Microsoft Intune에서 Windows 품질 신속하게 업데이트

  • 아티클
  • 읽는 데 32분 걸림

이 기능은 공개 미리 보기 상태입니다.

Windows 10 이상용 품질 정책 정책을 사용하면 Microsoft Intune을 사용하여 관리하는 디바이스에 가장 최신 Windows 10/11 보안 업데이트를 가능한 한 빨리 신속하게 설치할 수 있습니다. 긴급 업데이트 배포는 기존 월별 서비스 정책을 일시 중지하거나 편집할 필요 없이 수행됩니다. 예를 들어 일반 업데이트 프로세스가 일정 시간 동안 업데이트를 배포하지 않은 경우 보안 위협을 완화하기 위해 특정 업데이트를 신속하게 처리할 수 있습니다.

모든 업데이트를 신속하게 처리할 수 있는 것은 아닙니다. 현재 신속하게 처리할 수 있는 Windows 10/11 보안 업데이트만 품질 업데이트 정책과 함께 배포할 수 있습니다. 월별 정기적인 품질 업데이트를 관리하기 위해 Windows 10 이상용 업데이트 링 정책을 사용합니다.

긴급 업데이트 작업 방법

긴급 업데이트를 통해 최신 ‘패치 화요일’ 릴리스 또는 제로 데이 결함을 위한 대역 외 보안 업데이트와 같은 품질 업데이트를 신속하게 설치할 수 있습니다.

설치 속도를 높이기 위해 긴급 업데이트는 WNS 및 푸시 알림 채널과 같은 사용 가능한 서비스를 사용하여 설치할 긴급 업데이트가 있다는 메시지를 디바이스에 전달합니다. 이 프로세스를 사용하면 디바이스가 업데이트를 위해 체크 인할 때까지 기다리지 않고도 디바이스가 긴급 업데이트의 다운로드 및 설치를 최대한 빨리 시작할 수 있습니다.

디바이스가 업데이트를 시작하는 실제 시간은 온라인 상태인 디바이스, 검색 타이밍, 디바이스에 대한 통신 채널이 작동 중인지, 클라우드 처리 시간과 같은 기타 요인에 따라 달라집니다.

  • 각 긴급 업데이트 정책에 대해 릴리스 날짜에 따라 배포할 단일 업데이트를 선택합니다. 릴리스 날짜를 사용하면 1809, 1909와 같은 다른 버전의 Windows 10, 버전 1809, 1909 이상인 디바이스에 업데이트의 다른 인스턴스를 배포하기 위한 별도의 정책을 만들 필요가 없습니다.

  • Windows 업데이트는 각 디바이스의 빌드 및 아키텍처를 평가한 다음, 적용되는 업데이트 버전을 제공합니다.

  • 업데이트가 필요한 디바이스만 긴급 업데이트를 수신합니다.

    • Windows 업데이트는 업데이트 버전보다 크거나 같은 수정 버전이 이미 있는 디바이스에 대한 업데이트를 신속하게 처리하려고 하지 않습니다.
    • 업데이트보다 빌드 버전이 낮은 디바이스의 경우 Windows 업데이트를 설치하기 전에 디바이스에 업데이트가 여전히 필요한지 확인합니다.

    중요

    일부 시나리오에서는 Windows 업데이트는 긴급 업데이트 정책에서 지정한 업데이트보다 최신 업데이트를 설치할 수 있습니다. 이 시나리오에 대한 자세한 내용은 이 문서 뒷부분의 적용 가능한 최신 업데이트 설치 정보를 참조합니다.

  • 긴급 업데이트 정책은 배포하는 업데이트 버전에 대한 모든 품질 업데이트 지연 기간을 무시하고 재정의합니다. Intune Windows 업데이트 링품질 업데이트 지연 기간 에 대한 설정을 사용하여 품질 업데이트 지연을 구성할 수 있습니다.

  • 업데이트 설치를 완료하기 위해 다시 시작해야 하는 경우 정책은 다시 시작을 관리하는 데 도움이 됩니다. 정책에서 자동으로 다시 시작을 강제로 처리하기 전에 사용자가 디바이스를 다시 시작해야 하는 기간을 구성할 수 있습니다. 사용자는 다시 시작을 예약하도록 선택하거나 ‘활성 시간’ 외의 디바이스의 최적 시간을 디바이스가 찾도록 할 수도 있습니다. 다시 시작 기한에 도달하기 전에 디바이스는 최종 기한에 대해 디바이스 사용자에게 경고하는 알림을 표시하고 다시 시작을 예약하는 옵션을 포함합니다.

    최종 기한 전에 디바이스가 다시 시작되지 않으면 작업일 중간에 디바이스가 다시 시작할 수 있습니다. 다시 시작 동작에 대한 자세한 내용은 업데이트에 대한 준수 최종 기한 적용을 참조합니다.

  • 일반적인 월별 품질 업데이트 서비스에는 긴급 업데이트를 사용하지 않는 것이 좋습니다. 대신 Windows 10 이상 업데이트 링 정책의 마감 시간 설정 을 사용하는 것이 좋습니다. 자세한 내용은 Windows 업데이트 설정의 사용자 환경 설정 아래에서 최종 기한 설정 사용 을 참조합니다.

필수 구성 요소

중요

이 기능은 GCC High/DoD 클라우드 환경에서 지원되지 않습니다.

다음은 Intune을 사용하여 긴급 품질 업데이트를 설치할 수 있는 요구 사항입니다.

라이선싱:

Intune 라이선스 외에도 조직에는 다음 구독 중 하나가 있어야 합니다.

  • Windows 10/11 Enterprise E3 또는 E5(Microsoft 365 F3, E3 또는 E5에 포함)
  • Windows 10/11 Education A3 또는 A5(Microsoft 365 A3 또는 A5에 포함)
  • 사용자당 Windows 10/11 VDA(가상 데스크톱 액세스)
  • Microsoft 365 Business Premium

지원되는 Windows 10/11 버전:

  • x86 또는 x64 아키텍처에서 서비스를 지원하는 Windows 10/11 버전

일반적으로 사용할 수 있는 업데이트 빌드만 지원됩니다. 베타 및 개발 채널을 포함한 미리 보기 빌드는 신속한 업데이트에서 지원되지 않습니다.

지원되는 Windows 10/11 버전:

  • Professional
  • Enterprise
  • Pro Education
  • 교육

디바이스는 다음을 수행해야 합니다.

  • Intune MDM에 등록하거나 Intune 또는 파일럿 Intune으로 설정된 Windows 업데이트 정책 워크로드를 사용하여 공동 관리합니다.

  • Azure AD(Active Directory) 조인되거나 또는 하이브리드 Azure AD 조인되어야 합니다. 작업 영역 조인은 지원되지 않습니다.

  • 다음 엔드포인트에 액세스할 수 있습니다.

    • Windows 업데이트

      • *.prod.do.dsp.mp.microsoft.com
      • *.windowsupdate.com
      • *.dl.delivery.mp.microsoft.com
      • *.update.microsoft.com
      • *.delivery.mp.microsoft.com
      • tsfe.trafficshaping.dsp.mp.microsoft.com

    • WUfB-DS

      • devicelistenerprod.microsoft.com
      • login.windows.net
      • payloadprod*.blob.core.windows.net

    • Windows 푸시 알림 서비스: (권장되지만 필수 사항은 아닙니다. 이 액세스 권한이 없으면 디바이스는 매일 업데이트를 확인할 때까지 업데이트를 신속하게 처리하지 못할 수 있습니다.)

      • *.notify.windows.com

  • Windows 업데이트 서비스에서 직접 품질 업데이트를 받도록 구성되어야 합니다.

  • KB 4023057 - Windows 10 업데이트 서비스 구성 요소 업데이트와 함께 설치되는 Update Health Tools 가 설치되어 있어야 합니다. 디바이스에 Update Health Tools가 있는지 확인하려면 다음을 수행합니다.

    • C:\Program Files\Microsoft Update Health Tools 폴더를 찾아보거나 프로그램 추가/제거에서 Microsoft Update Health Tools 를 확인합니다.

    • 관리자 권한으로 다음 PowerShell 스크립트를 실행합니다.

      Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

      결과 예:
      WMI 쿼리에 대한 결과 예제

디바이스 설정:

긴급 업데이트 설치를 차단할 수 있는 충돌이나 구성을 방지하려면 다음과 같이 디바이스를 구성합니다. Intune Windows 10 이상용 업데이트 링 정책 을 사용하여 이러한 설정을 관리할 수 있습니다.

링 설정 업데이트 권장 값
시험판 빌드 사용 이 설정은 구성되지 않음 으로 설정해야 합니다. 베타 및 개발 채널을 포함한 미리 보기 빌드는 신속한 업데이트에서 지원되지 않습니다.
자동 업데이트 동작 기본값으로 다시 설정

다른 값을 사용하면 업데이트를 신속하게 처리하기 위한 사용자 환경이 저하되고 프로세스가 느려질 수 있습니다.
업데이트 알림 수준 변경 다시 시작 경고를 포함하여 모든 알림 끄기 이외의 값 사용

이러한 설정에 대한 자세한 내용은 정책 CSP – 업데이트를 참조합니다.

그룹 정책 설정은 모바일 디바이스 관리 정책을 재정의하며 다음 그룹 정책 설정 목록은 긴급 정책을 방해할 수 있습니다. 그룹 정책에 의해 이러한 설정이 관리되는 디바이스에서 해당 디바이스 기본값으로 복원합니다(구성되지 않음).

  • CorpWuURL - 인트라넷 Microsoft 업데이트 서비스 위치를 지정합니다.
  • AutoUpdateCfg - 자동 업데이트를 구성합니다.
  • DeferFeatureUpdates - 빌드 미리 보기 및 기능 업데이트 수신 시간을 선택합니다.
  • 이중 검사 사용 안 함 - 업데이트 지연 정책으로 인해 Windows 업데이트에 대한 검사가 발생하지 않도록 합니다.

Windows 상태 모니터링 사용:

긴급 업데이트에 대한 결과 및 업데이트 상태를 모니터링하려면 먼저 Intune 테넌트가 Windows 상태 모니터링을 사용하도록 설정해야 합니다. Windows 상태 모니터링을 구성하는 동안 범위Windows 업데이트 로 설정해야 합니다.

긴급 품질 업데이트 만들기 및 할당

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스 > Windows > Windows 10 이상용 품질 업데이트(미리 보기) > 프로필 만들기 를 선택합니다.

    프로필 UI 만들기 화면 캡처

  3. 이 프로필을 식별할 수 있도록 설정 에서 다음 속성을 입력합니다.

    • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.

    • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

  4. 설정 에서 디바이스 OS 버전이 보다 낮은 경우 품질 업데이트의 긴급 설치 를 구성합니다. 드롭다운 목록에서 신속하게 처리할 업데이트를 선택합니다. 목록에는 신속하게 처리할 수 있는 업데이트만 포함됩니다.

    선택적 Windows 품질 업데이트는 신속하게 처리할 수 없으므로 선택할 수 없습니다.

    업데이트 선택 영역 UI의 화면 캡처

    업데이트를 선택하는 경우:

    • 업데이트는 릴리스 날짜에 의해 식별되며 정책당 하나의 업데이트만 선택할 수 있습니다.

    • 이름에 문자 B 가 포함된 업데이트는 ‘화요일 패치’ 이벤트의 일부로 릴리스된 업데이트를 식별합니다. 문자 B는 해당 월의 두 번째 화요일에 업데이트가 릴리스되었음을 나타냅니다.

    • 화요일 패치 에서 대역 외에 릴리스하는 Windows 10/11의 보안 업데이트를 신속하게 처리할 수 있습니다. 문자 B 대신 대역 외 패치 릴리스에는 서로 다른 식별자가 있습니다.

    • 업데이트가 배포되면 Windows 업데이트는 정책을 수신하는 각 디바이스가 해당 디바이스 아키텍처와 해당 디바이스의 현재 Windows 버전(예: 1809, 2004 등)에 적용되는 업데이트 버전을 설치하도록 합니다.

    자세한 내용은 Windows 10 업데이트 서비스 주기 - Microsoft Tech Community 블로그를 참조합니다.

  5. 설정 에서 Number of days to wait before forced reboot(강제로 다시 부팅하기 전까지 대기할 일수)를 구성합니다. 이 설정의 경우 업데이트를 설치한 후 디바이스가 자동으로 다시 시작되는 시간을 선택하여 업데이트 설치를 완료합니다. 0~2일 사이에서 선택할 수 있습니다. 디바이스가 최종 기한 전에 수동으로 다시 시작되면 자동 다시 시작은 취소됩니다. 업데이트를 다시 시작할 필요가 없는 경우 이 설정은 적용되지 않습니다.

    • 0일 로 설정하면 디바이스가 업데이트를 설치하는 즉시 사용자에게 다시 시작에 대한 알림이 표시되고 작업을 저장할 시간이 제한됩니다.

    중요

    이 환경은 사용자 생산성에 영향을 줄 수 있습니다. 가능한 한 빨리 장치를 완료하고 다시 시작해야 하는 장치 또는 업데이트에 사용하는 것이 좋습니다.

    • 1일 또는 2일 로 설정하면 강제로 다시 시작하기 전에 디바이스 사용자에게 다시 시작을 관리할 수 있는 유연성을 제공할 수 있습니다. 이러한 설정은 업데이트가 디바이스에 설치된 후 24시간 또는 48시간의 자동 다시 시작 지연에 해당합니다.

      강제로 다시 부팅하기 전 일수 선택 화면 캡처

  6. 할당 에서 그룹 추가 를 선택한 다음, 디바이스 또는 사용자 그룹을 선택하여 정책을 할당합니다.

  7. 검토 + 만들기 에서 만들기 를 선택합니다. 정책을 만든 후에는 할당된 그룹에 배포합니다.

적용 가능한 최신 업데이트 확인

업데이트를 신속하게 처리하기 위한 정책이 정책에 지정된 것보다 최신 업데이트를 설치하는 경우 몇 가지 시나리오가 있습니다. 이 결과는 최신 업데이트가 지정된 업데이트를 포함하거나 능가할 때 발생하며 디바이스가 긴급 업데이트 정책에 지정된 업데이트를 설치하기 위해 체크 인하기 전에 해당 최신 업데이트를 사용할 수 있습니다. 이 시나리오의 자세한 예제는 이 문서의 뒷부분에 제공됩니다.

최신 품질 업데이트를 설치하면 디바이스 및 사용자의 중단을 줄이면서 의도된 업데이트의 이점을 적용할 수 있습니다. 이렇게 하면 여러 업데이트를 설치하지 않아도 되며 업데이트마다 별도로 다시 부팅이 필요할 수 있습니다.

다음 조건이 충족되면 최신 업데이트가 배포됩니다.

  • 이 디바이스는 최신 업데이트 설치를 차단하는 지연 정책의 대상이 아닙니다. 이 경우 지연되지 않은 가장 최근에 사용할 수 있는 업데이트가 설치될 수 있는 업데이트입니다.

  • 업데이트를 신속하게 처리하는 동안 디바이스는 최신 업데이트를 검색하는 새 검사를 실행합니다. 이 문제는 다음의 타이밍으로 인해 발생할 수 있습니다.

    • 설치를 완료하기 위해 디바이스를 다시 시작하는 경우
    • 디바이스가 일일 검사를 실행하는 경우
    • 새 업데이트를 사용할 수 있는 경우

    검사에서 최신 업데이트가 식별되면 Windows 업데이트는 원래 업데이트의 설치를 중지하고 다시 시작을 취소한 다음, 최신 업데이트의 다운로드 및 설치를 시작합니다.

긴급 업데이트 정책은 정책에 지정된 업데이트 버전에 대한 업데이트 지연을 재정의하지만 다른 업데이트 버전에 대한 지연은 재정의하지 않습니다.

긴급 업데이트 설치 예제

다음 이벤트 시퀀스는 테스트-1테스트-2 라는 두 디바이스가 디바이스에 할당된 Windows 10 이상용 품질 업데이트 정책을 기반으로 하여 업데이트를 설치하는 방법의 예를 제공합니다.

  1. Intune 관리자는 매월 넷째 주 화요일에 최신 Windows 10 품질 업데이트를 배포합니다. 패치 화요일 이벤트 이후 2주의 기간 동안 업데이트를 강제로 설치하기 전에 해당 환경에서 업데이트의 유효성을 검사할 수 있도록 합니다.

  2. 2021년 1월 19일, 디바이스 ‘테스트-1’ 및 ‘테스트-2’는 1월 12일 패치 화요일 릴리스에서 최신 품질 업데이트를 설치합니다. 다음날 휴가를 떠나는 사용자가 두 디바이스를 모두 끕니다.

  3. 2월 9일, Intune 관리자는 업데이트가 확인한 중요한 위협으로부터 회사 디바이스를 보호하는 데 도움이 되도록 Windows 10용 화요일 패치 릴리스 2021/02/09 – 2021.02 B 보안 업데이트 를 신속하게 설치하는 정책을 만듭니다. 긴급 정책은 ‘테스트-1’ 및 ‘테스트-2’를 모두 포함하는 디바이스 그룹에 할당됩니다. 활성 상태인 해당 그룹의 모든 디바이스는 긴급 업데이트 정책을 수신하고 설치합니다.

  4. 3월 9일 화요일 패치 이벤트에서 새로운 품질 업데이트가 Windows 10용 2021/03/09 – 2021.03 B 보안 업데이트 로 릴리스됩니다. 이 업데이트의 긴급 배포가 필요한 중요한 문제는 없지만 관리자가 충돌 가능성을 발견하였습니다. 관리자는 가능한 문제를 검토할 시간을 제공하기 위해 Windows 업데이트 링 정책을 사용하여 7일 지연 정책을 만듭니다. 모든 관리 디바이스는 3월 14일까지 이 업데이트를 설치할 수 없습니다.

  5. 이제 각각 다시 설정되는 시점을 기반으로 ‘테스트-1’ 및 ‘테스트-2’에 대한 다음 결과를 고려합니다.

    • 테스트-1 - 3월 12일에 ‘테스트-1’의 전원이 다시 켜지고 네트워크에 연결되어 긴급 업데이트 알림을 받습니다.

      1. Windows 업데이트는 정책별로 ‘테스트-1’에서 업데이트 설치를 신속하게 처리해야 한다고 결정합니다.
      2. 3월 9일 업데이트는 2월 업데이트를 대체하기 때문에 Windows 업데이트는 3월 9일 업데이트를 설치할 수 있습니다.
      3. 3월 14일까지 만료되지 않는 3월 업데이트에 대한 활성 지연이 있습니다.

      결과: 3월 업데이트에 대한 지연 정책이 여전히 활성 상태이고 해당 업데이트 설치를 차단하면 ‘디바이스-1’은 정책에 구성된 대로 2월 업데이트를 설치합니다.

    • 테스트-2 - 3월 20일에 ‘테스트-2’의 전원이 다시 켜지고 네트워크에 연결되어 긴급 업데이트 알림을 받습니다.

      1. Windows 업데이트는 정책별로 ‘테스트-2’에서 업데이트 설치를 신속하게 처리해야 한다고 결정합니다.
      2. 3월 9일 업데이트는 2월 업데이트를 대체하기 때문에 Windows 업데이트는 3월 9일 업데이트를 설치할 수 있습니다.
      3. 3월 업데이트에 대한 활성 지연은 더 이상 없습니다.

      결과: 3월 업데이트에 대한 지연 정책이 만료됨에 따라 ‘테스트-2’는 2월 업데이트를 건너뛰고 정책에 지정된 것보다 최신 업데이트를 설치하여 최신 3월 업데이트를 설치합니다.

품질 업데이트를 신속하게 처리하기 위한 정책 관리

관리 센터에서 장치 > Windows > Windows 10 이상용 품질 업데이트 로 이동하여 관리할 정책을 선택합니다. 정책이 열리며 개요 창이 나타납니다.

이 창에서 다음을 수행할 수 있습니다.

  • 삭제 를 선택하여 Intune에서 정책을 삭제합니다. 정책을 삭제하면 Intune에서 정책이 제거되지만 이미 설치를 완료한 경우 업데이트는 제거되지 않습니다. Windows 업데이트에서 진행 중인 설치를 취소하려고 하지만 진행 중인 설치는 취소할 수 없습니다.

  • 배포를 수정하려면 속성 을 선택합니다. 속성 창에서 편집 을 선택하여 설정, 범위 태그 또는 할당 을 엽니다. 이 위치에서 그런 다음 배포를 수정할 수 있습니다.

모니터링 및 보고

긴급 업데이트에 대한 결과 및 업데이트 상태를 모니터링하려면 먼저 Intune 테넌트가 Windows 상태 모니터링을 사용하도록 설정해야 합니다.

중요

Windows 상태 모니터링 프로필을 구성할 때 7단계 중에 범위Windows 업데이트 로 설정해야 합니다.

정책을 만든 후에는 다음 보고서에서 결과, 업데이트 상태, 오류를 모니터링할 수 있습니다.

요약 보고서:

이 보고서는 프로필에 있는 모든 디바이스의 현재 상태를 보여 주며 업데이트를 설치하는 중이거나 설치 완료 또는 오류가 있는 디바이스 수에 대한 개요를 제공합니다.

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 보고서 > Windows 업데이트 를 선택합니다. 요약 탭에서 Windows Expedited Quality updates(Windows 긴급 품질 업데이트) 표를 볼 수 있습니다.

  3. 자세한 내용을 확인하려면 보고서 탭을 선택한 다음, Windows 긴급 업데이트 보고서 를 선택합니다.

  4. 긴급 업데이트 프로필 선택 링크를 클릭합니다.

  5. 페이지 오른쪽에 표시된 프로필 목록에서 결과를 확인할 프로필을 선택합니다.

  6. 보고서 생성 단추를 선택합니다.

디바이스 보고서

이 보고서는 경고 또는 오류가 있는 디바이스를 찾고 업데이트 문제를 해결하는 데 도움이 될 수 있습니다.

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스 > 모니터 를 선택합니다.

  3. 모니터링 보고서 목록에서 소프트웨어 업데이트 섹션으로 스크롤하고 Windows 긴급 업데이트 실패 를 선택합니다.

  4. 페이지 오른쪽에 표시된 프로필 목록에서 결과를 확인할 프로필을 선택합니다.

    디바이스 보고서의 예

업데이트 상태

업데이트 상태 하위 상태 업데이트 정의
보류 중 유효성을 검사하는 중 서비스의 정책에 디바이스가 추가되었으며 디바이스를 신속하게 처리할 수 있는지에 대한 유효성 검사가 시작되었습니다.
보류 중 예약됨 디바이스가 유효성 검사를 통과하여 신속하게 처리됩니다.
제품 OfferReady 긴급 지침이 디바이스로 전송되었습니다.
설치 OfferReceived 디바이스가 Windows 업데이트를 검사하여 업데이트를 적용할 수 있지만 아직 다운로드를 시작하지 않았습니다.
설치 DownloadStart 디바이스가 업데이트를 다운로드하기 시작했습니다.
설치 DownloadComplete 디바이스가 업데이트를 다운로드했습니다.
설치 InstallStart 디바이스가 업데이트를 설치하기 시작했습니다.
설치 InstallComplete 디바이스가 업데이트 설치를 완료했습니다. 업데이트에 업데이트 오류가 없는 경우 디바이스는 RestartRequired 또는 UpdateInstalled 로 빠르게 이동해야 합니다.
설치 RestartRequired 설치가 완료되었고 디바이스를 다시 시작해야 합니다.
설치 RestartInitiated 디바이스가 다시 시작을 시작했습니다.
설치 RestartComplete 디바이스가 다시 시작을 완료했습니다.
설치됨 UpdateInstalled 업데이트가 성공적으로 완료되었습니다.

다음 단계