다음을 통해 공유


장치 업데이트용 MDM(모바일 장치 관리)

개발자나 관리자가 아닌 경우 Windows 업데이트: 자주 묻는 질문에서 보다 유용한 정보를 확인할 수 있습니다.

PC, 태블릿, 전화 및 IoT 장치와 함께 MDM(모바일 장치 관리) 솔루션이 경량 장치 관리 기술로 널리 보급되고 있습니다. Windows에서는 MDM에서 사용할 수 있는 관리 기능을 확장하는 데 많은 투자를 하고 있습니다. Microsoft가 추가하는 주요 기능 중 하나는 MDM이 최신 Microsoft 업데이트를 통해 장치를 최신 상태로 유지하는 기능입니다.

특히 Windows는 MDM이 다음을 수행할 수 있도록 API를 제공합니다.

  • 자동 업데이트 정책을 구성하여 컴퓨터를 최신으로 유지해야 합니다.
  • 지정된 장치에 대해 승인된 업데이트를 구성하여 더 작은 컴퓨터 집합에서 업데이트를 테스트합니다. 그런 다음 전사적 출시를 수행합니다.
  • 관리 장치의 규정 준수 상태를 가져옵니다. IT는 여전히 보안 패치가 필요한 시스템 또는 특정 시스템의 최신 상태를 이해할 수 있습니다.
  • 장치를 최신 상태로 유지하도록 자동 업데이트 정책을 구성합니다.
  • 장치 준수 정보(필요하지만 아직 설치되지 않은 업데이트 목록)를 확인합니다.
  • 장치별 업데이트 승인 목록을 입력하세요. 목록은 장치가 승인되고 테스트된 업데이트만 설치하도록 합니다.
  • 최종 사용자에 대한 EULA(최종 사용자 라이선스 계약)을 승인하여 EULA로 업데이트하는 경우에도 업데이트 배포를 자동화할 수 있습니다.

이 문서에서는 WINDOWS에서 업데이트 관리를 구현하는 데 필요한 정보를 ISV(독립 소프트웨어 게시자)에 제공합니다. 자세한 내용은 정책 CSP - 업데이트를 참조하세요.

참고

업데이트 승인을 지정하고 준수 상태를 가져오기 위한 OMA DM API는 업데이트 ID를 사용하여 업데이트를 참조합니다. 업데이트 ID는 특정 업데이트를 식별하는 GUID입니다. MDM은 업데이트의 제목, 설명, KB, 업데이트 유형(예: 보안 업데이트 또는 서비스 팩)을 포함하여 원시 GUID 대신 업데이트에 대한 IT 친화적인 정보를 표시하려고 합니다. 자세한 내용은 [MS-WSUSSS]: Windows 업데이트 서비스: Server-Server 프로토콜을 참조하세요.

다음 다이어그램에서는 작동 방식에 대한 개념적 개요를 제공합니다.

모바일 장치 업데이트 관리.

다이어그램은 대략 다음 세 영역으로 나눌 수 있습니다.

  • 장치 관리 서비스는 다이어그램 맨 위에 있는 서버-서버 동기화 프로토콜을 사용하여 Microsoft 업데이트의 업데이트 정보(제목, 설명, 적용 가능성)를 동기화합니다.
  • 장치 관리 서비스는 자동 업데이트 정책을 설정하고 업데이트 준수 정보를 획득하고 다이어그램의 왼쪽에 있는 OMA DM을 통해 승인을 설정합니다.
  • 장치는 클라이언트/서버 프로토콜을 사용하여 Microsoft 업데이트에서 업데이트를 가져옵니다. 장치에 적용되고 IT 부서에서 승인한 업데이트만 다운로드 및 설치합니다(다이어그램의 오른쪽 부분).

서버-서버 동기화 프로토콜을 사용하여 업데이트 메타데이터 다운로드

Microsoft 업데이트 카탈로그에는 MDM 관리 장치에 필요하지 않은 많은 업데이트가 포함되어 있습니다. 여기에는 서버 업데이트, 하위 수준 데스크톱 운영 체제 및 레거시 앱, 수많은 드라이버와 같은 레거시 소프트웨어에 대한 업데이트가 포함됩니다. MDM은 서버-서버 동기화 프로토콜을 사용하여 클라이언트에서 보고된 업데이트에 대한 업데이트 메타데이터를 가져오는 것이 좋습니다.

이 섹션에서는 이 설정에 대해 설명합니다. 다음 다이어그램에는 서버-서버 동기화 프로토콜 프로세스가 표시됩니다.

MDM 서버-서버 동기화.

MSDN은 서버-서버 동기화 프로토콜에 대한 많은 정보를 제공합니다. 특히 다음의 사항이 있습니다.

  • SOAP 기반 프로토콜이며 서버 동기화 웹 서비스에서 WSDL을 얻을 수 있습니다. WSDL을 사용하여 많은 프로그래밍 환경에 대한 호출 프록시를 생성하여 개발을 간소화할 수 있습니다.
  • 프로토콜 예제에서 코드 샘플을 찾을 수 있습니다. 샘플 코드는 사용할 수 있는 원시 SOAP 명령을 표시합니다. .NET(WSDL 생성 프록시 호출)과 같은 프로그래밍 언어에서 호출하는 것이 더 간단합니다. 서버 동기화 WSDL에서 생성된 스텁은 잘못된 바인딩 URL을 생성합니다. 바인딩 URL을 https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx로 설정해야 합니다.

몇 가지 주요 사항은 다음과 같습니다.

  • 프로토콜에는 권한 부여 단계(GetAuthConfig, GetAuthorizationCookie 및 GetCookie 호출)가 있습니다. 프로토콜 예제에서 샘플 1: 인증 코드는 인증이 어떻게 수행되는지 보여줍니다. 권한 부여 단계라고 하지만 프로토콜은 완전히 열려 있습니다(프로토콜의 이 단계를 실행하는 데 자격 증명이 필요하지 않음). 동기화 프로토콜의 주요 부분에 대한 쿠키를 얻으려면 이 호출 시퀀스를 수행해야 합니다. 최적화로 쿠키를 캐시하고 쿠키가 만료된 경우에만 해당 시퀀스를 다시 호출할 수 있습니다.
  • 이 프로토콜을 사용하면 MDM에서 GetUpdateData를 호출하여 특정 업데이트에 대한 업데이트 메타데이터를 동기화할 수 있습니다. 자세한 내용은 MSDN의 GetUpdateData를 참조하세요. 개정 번호와 함께 적용 가능한 업데이트를 가져오는 LocURI는 <LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>입니다. S2S 동기화를 통해 모든 업데이트를 사용할 수 있는 것은 아니기 때문에 SOAP 오류를 처리해야 합니다.
  • 모바일 장치의 경우 GetUpdateData를 호출하여 특정 업데이트에 대한 메타데이터를 동기화할 수 있습니다. 또는 로컬 온-프레미스 솔루션의 경우 WSUS(Windows Server Update Services)를 사용하고 Microsoft 업데이트 카탈로그 사이트에서 모바일 업데이트를 수동으로 가져올 수 있습니다. 자세한 내용은 프로세스 흐름 다이어그램 및 서버 동기화 프로세스 스크린샷을 참조하세요.

참고

시간이 지남에 따라 Microsoft 업데이트는 설명 정보를 업데이트하고, 적용 가능성 규칙의 버그를 수정하고, 지역화를 변경하는 등 지정된 업데이트에 대한 메타데이터를 수정합니다. 업데이트 자체에 영향을 주지 않는 변경이 발생할 때마다 새 업데이트 수정 버전이 만들어집니다. 업데이트 수정 버전에 대한 ID 키를 구성하는 UpdateID(GUID) 및 RevisionNumber(int) 화합물입니다. MDM은 IT에 대한 업데이트 수정 버전을 표시하지 않습니다. 대신 각 UPDATEID(GUID)에 대해 MDM은 수정 번호가 가장 높은 업데이트의 이후 수정 버전에 대한 메타데이터를 유지합니다.

업데이트 메타데이터 XML 구조 및 요소 설명 예시

GetUpdateData 호출의 응답은 XmlUpdateBlob 요소의 업데이트 메타데이터를 포함하는 ServerSyncUpdateData 배열을 반환합니다. 업데이트 XML의 스키마는 프로토콜 예제에서 사용할 수 있습니다. 주요 요소 중 일부는 여기에 설명되어 있습니다.

  • UpdateID - 업데이트의 고유 식별자
  • RevisionNumber - 업데이트가 수정된 경우 업데이트의 수정 번호입니다.
  • CreationDate - 이 업데이트를 만든 날짜입니다.
  • UpdateType - 다음을 포함할 수 있는 업데이트 유형입니다.
    • Detectoid - 이 업데이트 ID가 호환성 논리를 나타내는 경우
    • 범주 - 이 요소는 다음 중 하나를 나타낼 수 있습니다.
      • 업데이트가 속하는 제품 범주입니다. 예를 들어 Windows, MS Office 등이 해당합니다.
      • 업데이트가 속하는 분류입니다. 예를 들어 드라이버, 보안 등이 해당합니다.
    • 소프트웨어 - 업데이트가 소프트웨어 업데이트인 경우
    • 드라이버 - 업데이트가 드라이버 업데이트인 경우
  • LocalizedProperties - 업데이트의 제목 및 설명에서 업데이트를 사용할 수 있는 언어를 나타냅니다. 다음과 같은 필드가 있습니다.
    • 언어 - LCID(언어 코드 식별자)입니다. 예를 들어 en 또는 es가 있습니다.
    • 제목 - 업데이트의 제목입니다. 예를 들어 "Windows SharePoint Services 3.0 서비스 팩 3 x64 버전(KB2526305)"
    • 설명 - 업데이트에 대한 설명입니다. 예를 들어 "Windows SharePoint Services 3.0 서비스 팩 3(KB2526305)은 Windows SharePoint Services 3.0에 대한 최신 업데이트를 제공합니다. 해당 항목을 설치한 후에는 컴퓨터를 다시 시작해야 할 수 있습니다. 이 항목을 설치한 후에는 제거할 수 없습니다."
  • KBArticleID - 특정 업데이트에 대한 세부 정보가 있는 이 업데이트의 KB 문서 번호입니다. 예를 들면 https://support.microsoft.com/kb/2902892입니다.

이 섹션에서는 서버-서버 동기화 프로토콜 사용에 대해 가능한 알고리즘을 설명하여 MDM에 업데이트 메타데이터를 끌어옵니다.

먼저 몇 가지 배경이 있습니다.

  • 다중 테넌트 MDM이 있는 경우 모든 테넌트에 공통되므로 업데이트 메타데이터를 공유 파티션에 유지할 수 있습니다.
  • 그런 다음 메타데이터 동기화 서비스를 구현할 수 있습니다. 서비스는 주기적으로 서버-서버 동기화를 호출하여 IT가 관심을 갖고 있는 업데이트에 대한 메타데이터를 가져옵니다.
  • OMA DM을 사용하여 장치를 제어하는 MDM 구성 요소(다음 섹션에서 설명)는 해당 업데이트가 장치에 아직 알려지지 않은 경우 각 클라이언트에서 필요한 업데이트 목록을 메타데이터 동기화 서비스에 보내야 합니다.

다음 절차에서는 메타데이터 동기화 서비스에 대한 기본 알고리즘에 대해 설명합니다.

  1. "오류 발생에 필요한 업데이트 ID"의 빈 목록을 만듭니다. 이 목록은 OMA DM을 사용하는 MDM 서비스 구성 요소에 의해 업데이트됩니다. 임시이기 때문에 이 목록에 정의 업데이트를 추가하지 않는 것이 좋습니다. 예를 들어 Defender는 하루에 여러 번 새 정의 업데이트를 릴리스할 수 있으며 각 업데이트는 누적됩니다.
  2. 주기적으로 동기화합니다. (2시간마다 한 번 - 시간당 한 번 이하 권장)
    1. 아직 존재하지 않는 쿠키가 없는 경우 프로토콜의 권한 부여 단계를 구현하여 쿠키를 가져옵니다. 프로토콜 예제샘플 1: 권한 부여를 참조하세요.
    2. 프로토콜의 메타데이터 부분을 구현합니다. 샘플 2: 프로토콜 예제메타데이터 및 배포 동기화)를 참조하고 업데이트 메타데이터가 아직 DB로 끌어오지 않은 경우 "오류 발생에 필요한 업데이트 ID" 목록의 모든 업데이트에 대해 GetUpdateData를 호출합니다.
      • 업데이트가 기존 업데이트의 최신 개정 버전(동일한 UpdateID, 더 높은 개정 번호)인 경우 이전 업데이트 메타데이터를 새 업데이트 메타데이터로 대체합니다.
      • 업데이트를 가져온 후 "오류 발생 시 필요한 업데이트 ID" 목록에서 업데이트를 제거합니다.

이러한 단계는 IT에서 관리해야 하는 Microsoft 업데이트 집합에 대한 정보를 가져오므로 정보를 다양한 업데이트 관리 시나리오에서 사용할 수 있습니다. 예를 들어 업데이트 승인 시 IT 부서에서 승인 중인 업데이트를 볼 수 있도록 정보를 얻을 수 있습니다. 또는 규정 준수 보고서에서 필요하지만 아직 설치되지 않은 업데이트를 확인합니다.

OMA DM을 사용하여 업데이트 관리

MDM은 OMA DM을 통해 업데이트를 관리할 수 있습니다. MDM을 사용하고 Windows OMA DM 프로토콜과 통합하는 방법과 MDM 관리를 위해 장치를 등록하는 방법에 대한 자세한 내용은 모바일 장치 관리에 설명되어 있습니다. 이 섹션에서는 업데이트 관리를 지원하기 위해 통합을 확장하는 방법을 중점적으로 설명합니다. 업데이트 관리의 주요 측면에는 다음 정보가 포함됩니다.

  • 장치를 최신 상태로 유지하도록 자동 업데이트 정책을 구성합니다.
  • 장치 준수 정보(필요하지만 아직 설치되지 않은 업데이트 목록)를 확인합니다.
  • 장치별 업데이트 승인 목록을 지정합니다. 목록은 장치가 승인되고 테스트된 업데이트만 설치하도록 합니다.
  • EULA를 사용하는 업데이트의 경우에도 업데이트 배포를 자동화할 수 있도록 최종 사용자에 대한 EULA를 승인합니다.

다음 목록에서는 업데이트를 적용하기 위한 제안 모델에 대해 설명하고 있습니다.

  1. "테스트 그룹" 및 "모든 그룹"이 있습니다.
  2. 테스트 그룹에서 모든 업데이트 흐름을 허용합니다.
  3. 모든 그룹에서 품질 업데이트 지연을 7일 동안 설정한 다음 품질 업데이트는 7일 후에 자동으로 승인됩니다. 품질 업데이트 지연은 정의 업데이트를 제외하므로 정의 업데이트는 사용 가능한 경우 자동으로 승인됩니다. Update/DeferQualityUpdatesPeriodInDays를 7로 설정하여 정의 업데이트 일정을 품질 업데이트 지연 일정과 일치합니다. 7일 후 또는 문제가 발생하는 경우 일시 중지하여 업데이트가 흐르도록 합니다.

업데이트는 업데이트 정책 CSP를 사용하여 구성됩니다.

업데이트 관리 사용자 환경 스크린샷

관리자 콘솔의 다음 스크린샷은 업데이트 제목, 승인 상태 및 기타 메타데이터 필드 목록을 보여 줍니다.

MDM 업데이트 관리 스크린샷.

MDM 업데이트 관리 메타데이터 스크린샷.

SyncML 예제

Microsoft 자동 업데이트를 설정하여 알리고 연기합니다.

<SyncML xmlns="SYNCML:SYNCML1.1">
    <SyncBody>
        <Replace xmlns="">
            <CmdID>1</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>2</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>3</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
               </Target>
                <Data>0</Data>
            </Item>
        </Replace>
       <Final/>
    </SyncBody>
</SyncML>

프로세스 흐름 다이어그램 및 서버 동기화 프로세스 스크린샷

다음의 다이어그램 및 스크린샷은 Windows Server Update Services 및 Microsoft 업데이트 카탈로그를 사용하여 장치 업데이트 프로세스의 프로세스 흐름을 표시합니다.

mdm 장치 업데이트 관리 스크린샷3.

mdm 장치 업데이트 관리 스크린샷4.

mdm 장치 업데이트 관리 스크린샷5

mdm 장치 업데이트 관리 스크린샷6

mdm 장치 업데이트 관리 스크린샷7

mdm 장치 업데이트 관리 스크린샷8

mdm 장치 업데이트 관리 스크린샷9