비즈니스용 Windows 업데이트 배포 서비스 필수 구성 요소

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

비즈니스용 Windows 업데이트 배포 서비스를 사용하여 업데이트를 배포하는 프로세스를 시작하기 전에 필수 구성 요소를 충족하는지 확인합니다.

Azure 및 Microsoft Entra ID

• Microsoft Entra ID 있는 Azure 구독
• 디바이스를 Microsoft Entra 조인하고 아래 OSrequirements를 충족해야 합니다.
  • 디바이스를 Microsoft Entra 조인하거나 하이브리드 조인을 Microsoft Entra 수 있습니다.
  • Microsoft Entra 등록된 디바이스(Workplace joined)는 비즈니스용 Windows 업데이트 지원되지 않습니다.

라이선싱

비즈니스용 Windows 업데이트 배포 서비스를 사용하려면 디바이스 사용자에게 다음 라이선스 중 하나가 있어야 합니다.

• Windows 10/11 Enterprise E3 또는 E5(Microsoft 365 F3, E3 또는 E5에 포함)
• Windows 10/11 Education A3 또는 A5(Microsoft 365 A3 또는 A5에 포함)
• Windows Virtual Desktop Access E3 또는 E5
• Microsoft 365 Business Premium

운영 체제 및 버전

• Windows 11 Professional, Education, Enterprise, Pro Education 또는 Pro for Workstations 버전
• Windows 10 Professional, Education, Enterprise, Pro Education 또는 Pro for Workstations 버전

비즈니스용 Windows 업데이트 배포 서비스는 일반 공급 채널에서 Windows 클라이언트 디바이스를 지원합니다.

Windows 운영 체제 업데이트

• 업데이트를 신속하려면 클라이언트의 업데이트 상태 도구 가 필요합니다. 도구는 KB4023057 시작해서 설치됩니다. 디바이스에 업데이트 상태 도구가 있는지 확인하려면 다음을 수행합니다.

  • C:\Program Files\Microsoft Update Health Tools 폴더를 찾거나 Microsoft 업데이트 상태 도구에 대한 프로그램 제거 추가를 검토합니다.
  • 관리 다음 PowerShell 스크립트를 실행합니다.Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

• Windows 진단 데이터 수집에 대한 변경 내용의 경우 2023년 1월 릴리스 미리 보기 누적 업데이트 또는 그에 상응하는 업데이트를 설치하는 것이 좋습니다.

진단 데이터 요구 사항

배포 예약 컨트롤은 항상 사용할 수 있습니다. 그러나 모집단에 맞게 조정된 고유한 배포 보호를 활용하고 드라이버 업데이트를 배포하려면 디바이스가 진단 데이터를 Microsoft와 공유해야 합니다. 이러한 기능의 경우 적어도 배포 서비스는 디바이스가 이러한 기능에 대해 필수 수준(이전에는 기본이라고 함)에서 진단 데이터를 보내야 합니다.

배포 서비스와 함께 비즈니스용 Windows 업데이트 보고서를 사용하는 경우 다음 수준에서 진단 데이터를 사용하면 디바이스 이름을 보고에 표시할 수 있습니다.

• Windows 11 디바이스에 대한 선택적 수준(이전의 전체)
• Windows 10 디바이스에 대한 향상된 수준

사용 권한

• 비즈니스용 Windows 업데이트 배포 서비스 작업에는 WindowsUpdates.ReadWrite.All이 필요합니다.
  • Windows 업데이트 배포 관리자와 같은 일부 역할에는 이미 권한이 있습니다.

참고

Graph API 다른 부분을 활용하려면 추가 권한이 필요할 수 있습니다. 예를 들어 디바이스 정보를 표시하려면 최소 Device.Read.All 권한이 필요합니다.

필수 엔드포인트

• 다음 엔드포인트에 액세스할 수 있습니다.

• 엔드포인트 Windows 업데이트

  • *.prod.do.dsp.mp.microsoft.com
  • *.windowsupdate.com
  • *.dl.delivery.mp.microsoft.com
  • *.update.microsoft.com
  • *.delivery.mp.microsoft.com
  • tsfe.trafficshaping.dsp.mp.microsoft.com

• 비즈니스용 Windows 업데이트 배포 서비스 엔드포인트

  • devicelistenerprod.microsoft.com
  • login.windows.net
  • payloadprod*.blob.core.windows.net

• Windows 푸시 알림 서비스: (권장되지만 필수는 아닙니다. 이 액세스 권한이 없으면 디바이스는 업데이트를 위해 매일 검사 때까지 업데이트를 신속하게 처리하지 못할 수 있습니다.)

  • *.notify.windows.com

제한 사항

비즈니스용 Windows 업데이트 배포 서비스는 Windows 진단 데이터를 사용하는 Azure에서 호스트되는 Windows 서비스입니다. 비즈니스용 Windows 업데이트 GCC(미국 정부 커뮤니티 규정 준수) 요구 사항을 충족하지 않는다는 점에 유의해야 합니다. Microsoft 제품 및 서비스에 대한 GCC 제품 목록은 Microsoft 보안 센터를 참조하세요. 비즈니스용 Windows 업데이트 배포 서비스는 Azure 상업용 클라우드에서 사용할 수 있지만 GCC High 또는 미국 국방부 고객은 사용할 수 없습니다.

드라이버에 대한 정책 고려 사항

서비스에서 콘텐츠 승인을 받을 수 있지만 디바이스의 그룹 정책, CSP 또는 레지스트리 설정으로 인해 콘텐츠가 디바이스에 설치되지 않습니다. 경우에 따라 조직은 현재 또는 미래의 요구 사항에 맞게 이러한 정책을 구체적으로 구성합니다. instance 경우 조직은 배포 서비스를 통해 적용 가능한 드라이버 콘텐츠를 검토하고 설치를 허용하지 않을 수 있습니다. 이러한 종류의 동작을 구성하는 것은 특히 조직의 요구 사항 변화로 인해 드라이버 업데이트 관리를 전환하는 경우에 유용할 수 있습니다. 다음 목록에서는 배포 서비스를 통해 배포에 영향을 줄 수 있는 드라이버 관련 업데이트 정책에 대해 설명합니다.

디바이스에 대한 Windows 업데이트 드라이버를 제외하는 정책

다음 정책은 디바이스에 대한 Windows 업데이트 드라이버를 제외합니다.

• 드라이버를 제외하는 정책의 위치:
  • 그룹 정책: \Windows Components\Windows Update\Do not include drivers with Windows Updates 로 설정enabled
  • CSP: ExcludeWUDriversInQualityUpdate 가 로 설정됨 1
  • 레지스트리: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates 를 로 설정합니다. 1
  • Intune: 업데이트 링에 대한 Windows 드라이버 업데이트 설정이 로 설정됨Block

배포 서비스의 동작: 드라이버에 대해 등록되고 배포 서비스를 통해 대상 그룹에 추가된 드라이버 제외 정책이 있는 디바이스:

• 배포 서비스에 해당 드라이버 콘텐츠를 표시합니다.
• 배포 서비스에서 승인된 드라이버를 설치하지 않음
  • 드라이버를 차단하는 디바이스에 배포하는 경우 배포 서비스에서 드라이버가 제공되고 있음을 표시하고 설치가 보류 중임을 보고합니다.

드라이버 업데이트의 원본을 정의하는 정책

다음 정책은 드라이버 업데이트의 원본을 Windows 업데이트 또는 WSUS(Windows Server Update Service)로 정의합니다.

• 업데이트 원본을 정의하는 정책의 위치:
  • 그룹 정책: \Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates 옵션을 로 enabled 설정하여 로 Driver Updates 설정Windows Update
  • CSP: SetPolicyDrivenUpdateSourceForDriverUpdates가 원본으로 Windows 업데이트 대해 로 설정 0 됨
  • 레지스트리: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates 를 로 0설정합니다. UseUpdateClassPolicySource 에서 \AU도 로 설정해야 합니다.1
  • Intune: 해당 없음. Intune 비즈니스용 Windows 업데이트 사용하여 업데이트를 배포합니다. Windows 업데이트 정책에 대한 워크로드가 Intune 설정된 Configuration Manager 공동 관리 클라이언트도 비즈니스용 Windows 업데이트 사용합니다.

배포 서비스의 동작: 드라이버 에 대해 등록되고 배포 서비스를 통해 대상 그룹에 추가되는 이러한 업데이트 원본 정책이 있는 디바이스:

• 배포 서비스에 해당 드라이버 콘텐츠를 표시합니다.
• 배포 서비스에서 승인된 드라이버를 설치합니다.

참고

드라이버에 대한 검사 원본이 WSUS로 설정된 경우 배포 서비스는 디바이스에서 인벤토리 이벤트를 받지 않습니다. 즉, 배포 서비스는 디바이스에 대한 드라이버의 적용 가능성을 보고할 수 없습니다.

배포 서비스에 대한 일반적인 팁

서비스에서 최상의 결과를 보려면 다음 제안을 따르세요.

• 서비스로 관리하기 전에 디바이스가 프로비저닝을 완료할 때까지 기다립니다. Autopilot에서 디바이스를 프로비전하는 경우 프로비저닝을 완료한 후(일반적으로 하루) 배포 서비스에서만 관리할 수 있습니다.

• 기능 업데이트 지연 정책 없이 기능 업데이트 관리에 배포 서비스를 사용합니다. 배포 서비스를 사용하여 이전에 기능 업데이트 지연 정책을 사용한 디바이스에서 기능 업데이트를 관리하려는 경우 기능 업데이트를 제어하는 여러 조건이 없도록 기능 업데이트 지연 정책을 0 일로 설정하는 것이 가장 좋습니다. 디바이스가 오류 없이 서비스에 등록되었음을 확인한 후에만 기능 업데이트 지연 정책 값을 0일로 변경해야 합니다.

• 다른 채널을 사용하여 동일한 리소스를 관리하지 않습니다. Microsoft Graph API 또는 PowerShell과 함께 Microsoft Intune 사용하는 경우 두 채널을 모두 사용하여 동일한 리소스를 관리하는 경우 리소스의 측면(예: 디바이스, 배포, 업데이트 가능한 자산 그룹)을 덮어쓸 수 있습니다. 대신 리소스를 만든 채널을 통해서만 각 리소스를 관리합니다.