연습: CSP 및 MDM을 사용하여 비즈니스용 Windows 업데이트 구성

아티클
05/17/2024
적용 대상:

✅ Windows 11, ✅ Windows 10

소비자 정보를 찾으시나요? Windows 업데이트: FAQ를 참조하세요.

개요

CSP(구성 서비스 공급자) 정책을 사용하여 MDM(모바일 장치 관리) 도구를 사용하여 비즈니스용 Windows 업데이트 작동하는 방식을 제어할 수 있습니다. 비즈니스용 Windows 업데이트 설정을 변경하기 전에 업데이트에 대한 배포 전략을 고려하고 고안해야 합니다.

IT 관리자는 Microsoft Intune 또는 비 Microsoft MDM 도구를 사용하여 비즈니스용 Windows 업데이트 대한 정책을 설정할 수 있습니다.

비즈니스용 Windows 업데이트 사용하여 업데이트를 관리하려면 아직 준비하지 않은 경우 다음 단계를 준비해야 합니다.

업데이트의 단계 배포에 사용하는 배포 링과 일치하는 Active Directory 보안 그룹을 Create. Windows 클라이언트의 배포 링에 대한 자세한 내용은 Windows 클라이언트 업데이트용 배포 링 빌드를 참조하세요.
Windows 업데이트 서비스에 대한 액세스를 허용합니다.

Windows 업데이트 제품 관리

업데이트가 적용되는 시기를 제어할 수 있습니다(예: 디바이스에 업데이트가 설치된 시기를 연기하거나 특정 기간 동안 업데이트를 일시 중지).

디바이스에 제공하려는 업데이트 결정

기능 및 품질 업데이트는 모두 비즈니스용 Windows 업데이트 정책을 사용하여 Windows 업데이트 연결된 디바이스에 자동으로 제공됩니다. 그러나 디바이스가 다른 Microsoft 업데이트 받을지 또는 해당 디바이스에 적용 가능한 드라이버를 추가로 받을지 여부를 선택할 수 있습니다.

Microsoft 업데이트 사용하도록 설정하려면 Update/AllowMUUpdateService를 사용합니다.

드라이버는 디바이스 시스템에 유용하기 때문에 자동으로 사용하도록 설정됩니다. 드라이버 정책이 디바이스(기본값)에서 드라이버를 업데이트할 수 있도록 허용하는 것이 좋지만 드라이버를 수동으로 관리하려는 경우 이 설정을 해제할 수 있습니다. 어떤 이유로 드라이버 업데이트를 사용하지 않도록 설정하려면 Update/ExcludeWUDriversInQualityUpdate를 사용합니다.

또한 앞에서 설명한 대로 Microsoft 제품 업데이트를 허용하는 것이 좋습니다.

디바이스가 기능 및 품질 업데이트를 받을 때 설정

다음 기능 업데이트의 시험판 버전을 받으려고 합니다.

비즈니스용 Windows 참가자 프로그램에 등록되어 있는지 확인합니다. Windows 참가자는 상용 고객이 릴리스되기 전에 기능 업데이트의 유효성을 검사하는 데 도움을 줄 수 있는 무료 프로그램입니다. 프로그램에 가입하면 릴리스 전에 업데이트를 받을 수 있으며 다음 업데이트와 관련된 전자 메일 및 콘텐츠를 받을 수 있습니다.
시험판 빌드를 설치하려는 테스트 디바이스의 경우 Update/ManagePreviewBuilds를 사용합니다. 옵션을 미리 보기 빌드 사용으로 설정합니다.
Update/BranchReadinessLevel을 사용하고 미리 보기 빌드 중 하나를 선택합니다. Windows 참가자 프로그램 슬로우는 유효성 검사를 위해 시험판 빌드를 사용하는 상용 고객에게 권장되는 채널입니다.
또한 Update/DeferFeatureUpdatesPeriodInDays를 사용하여 지연 기간을 최대 14일로 설정하여 릴리스된 업데이트와 동일한 방식으로 시험판 기능 업데이트를 연기할 수 있습니다. Windows 참가자 프로그램 느린 빌드를 사용하여 테스트하는 경우 업데이트가 릴리스된 0일째에 IT 부서에 미리 보기 업데이트를 받은 다음 테스터 그룹에 배포하기 전에 7-10일 지연되는 것이 좋습니다. 이 일정은 문제가 발견되면 테스트에 도달하기 전에 미리 보기 업데이트의 출시를 일시 중지할 수 있도록 하는 데 도움이 됩니다.

내 디바이스가 수신하는 릴리스된 기능 업데이트를 관리하려고 합니다.

비즈니스용 Windows 업데이트 관리자가 업데이트를 연기하거나 일시 중지할 수 있습니다. 최대 365일 동안 기능 업데이트를 연기하고 최대 30일 동안 품질 업데이트를 연기할 수 있습니다. 지연은 지정한 지연 일 수(제품 날짜 = 릴리스 날짜 + 지연 날짜)에 대해 릴리스될 때까지 업데이트를 받지 못했음을 의미합니다. 지정한 시작 날짜부터 최대 35일 동안 기능 또는 품질 업데이트를 일시 중지할 수 있습니다.

기능 업데이트를 연기하려면 : Update/DeferFeatureUpdatesPeriodInDays
기능 업데이트를 일시 중지하려면 : Update/PauseFeatureUpdatesStartTime
품질 업데이트를 연기하려면 : Update/DeferQualityUpdatesPeriodInDays
품질 업데이트를 일시 중지하려면 : Update/PauseQualityUpdatesStartTime

예제

이 예제에는 품질 업데이트를 위한 세 개의 링이 있습니다. 첫 번째 링("파일럿")의 지연 기간은 0일입니다. 두 번째 링("fast")의 지연은 5일입니다. 세 번째 링("느린")의 지연은 10일입니다.

세 개의 링으로 나뉘어진 디바이스의 그림입니다.

품질 업데이트가 릴리스되면 다음에 업데이트를 검색할 때 파일럿 링의 디바이스에 제공됩니다.

5일 후

빠른 링의 디바이스는 다음에 업데이트를 검색할 때 품질 업데이트를 제공합니다.

빠른 링이 배포된 디바이스의 그림입니다.

10일 후

품질 업데이트가 릴리스된 지 10일 후, 다음에 업데이트를 검색할 때 슬로우 링의 디바이스에 제공됩니다.

느린 링이 배포된 디바이스의 그림입니다.

문제가 발생하지 않으면 업데이트를 검색하는 모든 디바이스는 릴리스 후 10일 이내에 세 번의 웨이브로 품질 업데이트를 제공합니다.

업데이트에 문제가 발생하면 어떻게 해야 할까요?

이 예제에서는 "파일럿" 링에 업데이트를 배포하는 동안 몇 가지 문제가 발견됩니다.

파일럿 링으로 나뉘어 문제가 발생하는 디바이스의 그림

이 시점에서 IT 관리자는 업데이트를 일시 중지하는 정책을 설정할 수 있습니다. 이 예제에서 관리자는 품질 업데이트 일시 중지 검사 상자를 선택합니다.

일시 중지 품질 업데이트 검사 상자가 선택된 링의 그림입니다.

이제 모든 디바이스가 35일 동안 업데이트에서 일시 중지됩니다. 일시 중지가 제거되면 다음 품질 업데이트가 제공되며, 이는 이상적으로는 동일한 문제가 발생하지 않습니다. 여전히 문제가 있는 경우 IT 관리자는 업데이트를 다시 일시 중지할 수 있습니다.

특정 버전을 계속 사용하려고 합니다.

다음 버전의 지연이 경과하거나 버전을 건너뛰어야 하는 경우(예: 가을 릴리스로 업데이트 가을 릴리스) 디바이스를 버전에 유지해야 하는 경우 기능 업데이트 지연을 사용하는 대신 Update/TargetReleaseVersion(또는 Intune 기능 업데이트 미리 보기 배포)을 사용합니다. 이 정책을 사용하는 경우 디바이스를 이동하거나 계속 사용할 버전을 지정합니다(예: "1909"). Windows 10 릴리스 정보 페이지에서 버전 정보를 찾을 수 있습니다.

사용자가 업데이트를 경험하는 방법 관리

업데이트 후 디바이스를 다운로드, 설치 및 다시 시작할 때 관리하려고 합니다.

기본 동작인 자동 업데이트를 허용하는 것이 좋습니다. 자동 업데이트 정책을 설정하지 않으면 디바이스는 지능형 활성 시간과 같은 기본 제공 인텔리전스를 사용하여 사용자에게 가장 적합한 시간에 다운로드, 설치 및 다시 시작하려고 시도합니다.

보다 세부적인 제어를 위해 사용자가 Update/ActiveHoursMaxRange를 사용하여 설정할 수 있는 최대 활성 시간을 설정할 수 있습니다. Update/ActiveHoursEnd 및 Update/ActiveHoursStart를 사용하여 활성 에 대한 특정 시작 및 종료 시간을 설정할 수도 있습니다.

자동 업데이트가 사용하지 않도록 설정되지 않은 경우 기본적으로 사용하도록 설정되고 사용자가 자신의 활성 시간을 설정할 수 있는 경우 더 나은 환경을 제공하기 때문에 활성 시간 정책을 설정하지 않는 것이 가장 좋습니다.

활성 시간 외에 업데이트하려면 옵션 2(기본 설정)와 함께 Update/AllowAutoUpdate 를 사용합니다. 보다 세부적인 제어를 위해 자동 업데이트를 사용하여 설치 시간, 일 또는 주를 예약하는 것이 좋습니다. 일정을 사용하려면 옵션 3을 사용한 다음 계획에 맞게 다음 정책을 설정합니다.

이러한 정책을 설정하면 지정된 시간에 설치가 자동으로 수행되고 설치가 완료된 후 15분 후에 디바이스가 다시 시작됩니다(사용자가 중단하지 않는 한).

최종 기한 이전에 자동 업데이트를 허용하지 않으려면 Update/AllowAutoUpdate 를 옵션 5로 설정하여 자동 업데이트를 해제합니다.

디바이스를 안전하게 유지하고 업데이트 기한을 준수하려고 합니다.

기능 및 품질 업데이트에 대한 특정 기한을 설정하여 디바이스가 Windows 10 버전 1709 이상에서 안전하게 유지되도록 하는 것이 좋습니다. 최종 기한은 디바이스를 설치하기 전에 업데이트가 디바이스에 제공된 후 경과할 수 있는 일 수를 지정할 수 있도록 하여 작동합니다. 또한 사용자가 강제로 다시 시작하기 전에 보류 중인 다시 시작 후에 경과할 수 있는 일 수를 설정할 수 있습니다. 사용할 설정

또한 이러한 정책은 최종 기한이 실제로 만료될 때까지 "참여형 다시 시작 환경"을 제시하여 최종 기한에 도달할 때까지 자동 다시 시작을 옵트아웃하는 옵션을 제공합니다. 이 시점에서 디바이스는 활성 시간에 관계없이 자동으로 다시 시작을 예약합니다.

이러한 알림은 사용자가 선택한 설정에 따라 사용자에게 표시되는 알림입니다.

자동 업데이트 및 다시 시작에 대한 최종 기한 지정이 설정된 경우(Windows 10 버전 1709 이상):

다시 시작이 보류 중인 동안 최종 기한이 발생하기 전에 다음을 수행합니다.
- 처음 며칠 동안 사용자는 알림 메시지를 받습니다.
- 이 기간이 지나면 사용자는 다음 대화 상자를 받습니다.
- 사용자가 다시 시작을 예약했거나 자동 다시 시작이 예약된 경우 예약된 시간 15분 전에 사용자가 이 알림을 수신하여 다시 시작이 수행될 예정임을 알 수 있습니다.
최종 기한이 지난 후에도 다시 시작이 보류 중인 경우:
- 마감일이 지나기 12시간 전에 사용자는 마감일이 다가오고 있다는 알림을 받습니다.
- 최종 기한이 지나면 사용자는 디바이스를 준수 상태로 유지하기 위해 강제로 다시 시작해야 하며 이 알림을 받습니다.

알림에 대한 최종 사용자 설정

적용 대상:

Windows 11 버전 23H2(KB5037771 이상)
Windows 11 버전 22H2(KB5037771 이상)

사용자는 설정Windows 업데이트>고급 옵션> 업데이트 완료를 위해 다시 시작해야할 때 알림옵션에서> 업데이트 보류 중인 다시 시작에 대한 알림에 대한 기본 설정을 설정할 수 있습니다. 이 설정은 최종 사용자가 제어하며 IT 관리자가 제어하거나 구성할 수 없습니다.

사용자는 업데이트를 완료하기 위해 다시 시작해야 하는 경우 알림 설정에 대해 다음과 같은 옵션을 사용할 수 있습니다.

끄기 (기본값): 디바이스가 업데이트에 대해 보류 중인 다시 부팅 상태로 들어가면 24시간 동안 다시 시작 알림이 표시되지 않습니다. 처음 24시간 동안에는 활성 시간 외에도 자동 다시 시작이 계속 발생할 수 있습니다. 일반적으로 최종 기한이 다가오는 동안 사용자는 예정된 다시 시작에 대한 알림을 더 적게 받습니다.
- 마감일이 1일로 설정되면 사용자는 최종 기한에 대한 알림과 강제 다시 시작 15분 전에 최종 구분할 수 없는 알림만 받습니다.
켜기: 디바이스가 업데이트를 위해 다시 부팅 보류 중 상태가 되면 사용자는 즉시 알림 메시지를 받습니다. 업데이트에 대한 자동 다시 시작은 초기 알림 이후 24시간 동안 차단되어 이러한 사용자에게 다시 시작을 준비할 시간을 줍니다. 24시간이 지나면 자동 다시 시작이 발생할 수 있습니다. 이 설정은 예정된 다시 시작에 대한 알림을 받고자 하는 사용자에게 권장됩니다.
- 마감일이 1일로 설정되면 초기 알림이 발생하고, 자동 다시 시작이 24시간 동안 차단되고, 사용자는 최종 기한 전에 또 다른 알림과 강제 다시 시작 15분 전에 최종 불일치 알림을 받습니다.

최종 기한이 0일로 설정된 경우 어떤 옵션을 선택하든 사용자가 수신하는 유일한 알림은 강제 다시 시작 15분 전에 최종 구분할 수 없는 알림입니다.

알림에 대한 사용자 기본 설정은 준수 최종 기한 에 대한 다음 정책을 사용할 때 적용됩니다.

사용자가 보는 알림을 관리하려고 합니다.

알림에 영향을 주는 추가 설정이 있습니다.

기본 알림은 사용자가 설정한 규정 준수 정책을 조정하면서 최상의 사용자 환경을 제공하기 위해 사용하는 것이 좋습니다. 기본 알림 설정에서 충족되지 않는 추가 요구 사항이 있는 경우 다음 값과 함께 Update/NoUpdateNotificationsDuringActiveHours 정책을 사용할 수 있습니다.

0(기본값) - 기본 Windows 업데이트 알림 사용
1 - 다시 시작 경고를 제외한 모든 알림 끄기
2 - 다시 시작 경고를 포함하여 모든 알림 끄기

참고

옵션 2 는 개인 디바이스에 대한 열악한 환경을 만듭니다. 자동 다시 시작을 사용하지 않도록 설정한 키오스크 디바이스에만 권장됩니다.

업데이트/ScheduleRestartWarning에서 더 많은 옵션을 사용할 수 있습니다. 이 설정을 사용하면 업데이트 전에 자동 다시 시작 경고 알림 기간(2~24시간, 기본값은 4시간)을 지정할 수 있습니다. Update/ScheduleImminentRestartWarning을 사용하여 자동 다시 시작 임박 경고 알림의 기간을 지정할 수도 있습니다(기본값은 15-60분). 기본 알림을 사용하는 것이 좋습니다.

사용자가 액세스할 수 있는 업데이트 설정을 관리하려고 합니다.

모든 Windows 디바이스는 사용자에게 Windows 업데이트 관리하는 데 사용할 수 있는 다양한 컨트롤을 제공합니다. 검색을 통해 이러한 컨트롤에 액세스하여 Windows 업데이트 찾거나 설정에서 업데이트 및 보안을 선택할 수 있습니다. 사용자가 액세스할 수 있는 다양한 컨트롤을 사용하지 않도록 설정하는 기능을 제공합니다.

업데이트 일시 중지 설정에 액세스할 수 있는 사용자는 7일 동안 기능 및 품질 업데이트를 모두 방지할 수 있습니다. Update/SetDisablePauseUXAccess를 사용하여 사용자가 Windows 업데이트 설정 페이지를 통해 업데이트를 일시 중지하지 못하도록 할 수 있습니다. 이 설정을 사용하지 않도록 설정하면 organization 일부 설정이 관리되고 업데이트 일시 중지 설정이 회색으로 표시됩니다.

WSUS(Windows Server Update Server)를 사용하는 경우 사용자가 Windows 업데이트 검사하지 못하도록 할 수 있습니다. 이렇게 하려면 Update/SetDisableUXWUAccess를 사용합니다.

기본적으로 꺼져 있는 서비스를 통해 도입된 기능을 사용하도록 설정하려고 합니다.

(Windows 11 버전 22H2 이상부터)

Windows 11에 지속적인 혁신을 제공하기 위해 월별 누적 업데이트를 통해 새로운 기능과 향상된 기능이 도입되었습니다. 조직에서 계획하고 준비할 시간을 주기 위해 이러한 새로운 기능 중 일부는 기본적으로 일시적으로 꺼집니다. 기본적으로 꺼져 있는 기능은 월별 누적 업데이트에 대한 KB 문서에 나열되어 있습니다. 일반적으로 기능은 사용자 환경 또는 IT 관리자에게 상당한 영향을 주므로 기본적으로 해제되도록 선택됩니다.

서비스 업데이트에서 기본적으로 꺼져 있는 기능은 다음 연례 기능 업데이트에서 사용하도록 설정됩니다. 조직은 자체 속도로 기능 업데이트를 배포하도록 선택하여 이러한 기능을 준비할 때까지 지연할 수 있습니다.

AllowTemporaryEnterpriseFeatureControl을 사용하여 이러한 기능을 사용하도록 설정할 수 있습니다. 다음 옵션을 사용할 수 있습니다.

0 (기본값): 허용되지 않습니다. 기본적으로 꺼진 상태로 제공되는 기능은 꺼져 있습니다.
1: 허용됩니다. 최신 월별 누적 업데이트의 모든 기능이 사용하도록 설정됩니다.
- 정책이 1로 설정되면 디바이스가 다음에 다시 부팅될 때 현재 꺼져 있는 모든 기능이 켜집니다.

선택적 업데이트를 사용하도록 설정하려고 합니다.