업데이트 규정 준수, 활동 및 사용자 환경에 대한 정책

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

장치를 최신 상태로 유지하는 것이 원활하고 안전하게 작동하도록 유지하는 가장 좋은 방법입니다.

업데이트 준수 마감일

업데이트 최종 기한 정책을 사용하여 디바이스가 원하는 업데이트 일정을 안정적으로 유지하는 방법을 제어할 수 있습니다. Windows 구성 요소는 이러한 최종 기한에 따라 조정됩니다. 또한 원하는 업데이트 기한을 충족하기 위해 사용자 환경과 속도 간에 균형을 맞출 수 있습니다. 예를 들어 최종 기한이 다가오기 전에 사용자 환경의 우선 순위를 지정한 다음, 최종 기한이 가까워짐에 따라 속도의 우선 순위를 지정하면서 사용자에게 제어권을 부여할 수 있습니다.

마감일

Windows 10 버전 1903부터 Windows 10, 버전 1709 이상(Windows 11 포함)에 대한 2019년 8월 보안 업데이트를 통해 이전 최종 기한과 유사한 정책을 대체하는 새로운 정책이 도입되었습니다. 자동 업데이트 및 다시 시작에 대한 마감일 지정.

이전 정책은 디바이스가 업데이트 상태에 도달하면 최종 기한을 restart pending 적용하기 시작했습니다. 새 정책은 업데이트가 게시된 시점부터 업데이트 설치 최종 기한에 대한 카운트다운과 지연을 시작합니다. 또한 이 정책에는 구성 가능한 유예 기간과 최종 기한에 도달할 때까지 자동 다시 시작을 옵트아웃하는 옵션이 포함되어 있습니다(최대 업데이트 속도에 대해 항상 자동 다시 시작을 허용하는 것이 좋습니다).

기한을 다음과 같이 설정하는 것이 좋습니다.

• 품질 업데이트 마감일(일 수): 2
• 기능 업데이트 마감일(일 수): 2

알림은 적절한 시간에 사용자에게 자동으로 표시되며, 최종 기한에 따라 나중에 미리 알림을 받거나, 일정을 변경하거나, 즉시 다시 시작하도록 선택할 수 있습니다. 알림 정책은 적절한 기본값으로 자동으로 구성되므로 설정 하지 않는 것이 좋습니다. 키오스크 또는 디지털 사이니지가 있는 경우는 예외입니다.

품질 업데이트의 경우 3일, 기능 업데이트의 경우 7일은 권장 사항이지만 organization 및 요구 사항에 따라 더 많거나 적게 원하는 것으로 결정할 수 있으며 이 정책은 최소 2일까지 구성할 수 있습니다.

중요

디바이스가 인터넷에 연결할 수 없는 경우 Microsoft에서 업데이트를 게시한 시기를 확인할 수 없으므로 최종 기한을 적용할 수 없습니다. 낮은 활동 디바이스에 대해 자세히 알아보세요.

유예 기간

다시 시작이 적용되기 전에 최소 중단 자동 다시 시작 시간을 찾기 위해 Windows에 대한 기간(일)을 설정할 수 있습니다. 이는 사용자가 며칠 동안(예: 휴가 중) 자리를 비운 경우에 특히 유용하므로 사용자가 돌아올 때 디바이스가 즉시 업데이트되지 않도록 합니다.

다음을 설정하는 것이 좋습니다.

• 유예 기간(일 수): 5

기한 및 유예 기간이 지나면 업데이트가 자동으로 적용되고 활성 시간에 관계없이 다시 시작됩니다.

Windows에서 다시 시작할 시기를 선택하도록 허용

Windows는 사용자 상호 작용을 사용하여 자동 다시 시작에 대한 가장 중단이 적은 시간을 동적으로 식별할 수 있습니다. 이 기능을 활용하려면 ConfigureDeadlineNoAutoReboot 가 사용 안 함으로 설정되어 있는지 확인합니다.

디바이스 활동 정책

Windows는 일반적으로 시스템 업데이트를 성공적으로 완료하기 위해 디바이스가 활성 상태이고 최소 6시간 동안 인터넷에 연결되어 있어야 하며, 2개 이상의 연속 작업이 필요합니다. 디바이스는 업데이트의 성공적인 설치를 방지하는 다른 물리적 상황이 있을 수 있습니다(예: 랩톱의 배터리 전원이 부족하거나 사용자가 활성 시간이 끝나기 전에 디바이스를 종료하고 디바이스가 최종 기한을 준수할 수 없는 경우).

이 섹션의 설정을 사용하여 업데이트 준수 기간 동안 디바이스가 업데이트를 설치할 수 있는지 확인할 수 있습니다.

활성 시간

"활성 시간"은 디바이스가 사용 중일 것으로 예상되는 기간을 식별합니다. 일반적으로 다시 시작은 이 시간 외에 발생합니다. Windows 10 버전 1903에는 관리자가 organization 대한 결정을 내리거나 시스템이 업데이트를 설치할 수 있는 기간을 최소화하는 활성 시간을 선택할 수 있도록 하는 대신 시스템이 사용자의 활동에 따라 활성 시간을 학습할 수 있도록 하는 "지능형 활성 시간"이 도입되었습니다.

중요

이전 버전의 Windows 10 활성 시간 구성 설정을 사용한 경우 지능형 활성 시간을 활용하려면 이러한 옵션을 사용 안 함이어야 합니다.

활성 시간을 설정하는 경우 업데이트 속도를 높이기 위해 다음 정책을 사용 안 함으로 설정하는 것이 좋습니다.

• 자동 다시 부팅을 지연합니다. 로그인한 사용자의 다시 시작을 지연하도록 시스템을 설정할 수 있지만, 사용자가 항상 로그인하거나 종료하는 경우 이 설정은 업데이트를 무기한 지연할 수 있습니다. 대신 다음 정책을 사용 안 함으로 설정하는 것이 좋습니다.

  • 활성 시간 동안 자동 다시 시작 끄기

  • 예약된 자동 업데이트에 대해 로그온한 사용자가 있는 자동 다시 시작 없음

  • 다시 시작 지연을 제한합니다. 규정 준수 최종 기한을 사용하면 업데이트가 발생할 것이라는 알림이 사용자에게 수신되므로 규정 준수 최종 기한이 준수 최종 기한을 벗어나 다시 시작을 지연시킬 수 없도록 이 정책을 사용 안 함으로 설정하는 것이 좋습니다.

• 사용자가 업데이트 및 다시 부팅을 승인하도록 허용하지 않습니다. 사용자가 최종 기한 정책 이외의 업데이트 프로세스를 승인하거나 참여하도록 허용하면 업데이트 속도가 감소하고 위험이 증가합니다. 이러한 정책은 사용 안 함으로 설정해야 합니다.

  • Update/RequireUpdateApproval
  • Update/EngagedRestartDeadline
  • Update/EngagedRestartDeadlineForFeatureUpdates
  • Update/EngagedRestartSnoozeSchedule
  • Update/EngagedRestartSnoozeScheduleForFeatureUpdates
  • Update/EngagedRestartTransitionSchedule

• 자동 업데이트를 구성합니다. 자동 업데이트를 구성하는 정책을 올바르게 설정하면 클라이언트가 WSUS(Windows Server Update Services) 서버에 연결하여 업데이트 속도를 높일 수 있습니다. 이 정책을 사용 안 함으로 설정하는 것이 좋습니다. 그러나 값을 제공해야 하는 경우 그룹 정책4로 설정하여 다운로드를 자동으로 설치하도록 설정해야 합니다. Microsoft Intune 사용하는 경우 값을 기본값으로 다시 설정으로 설정합니다.

• 자동 Windows 업데이트 데이터 통신 네트워크를 통해 다운로드할 수 있도록 허용합니다. 더 많은 디바이스가 주로 셀룰러 데이터를 사용하고 Wi-Fi 액세스 권한이 없으므로 사용자가 요금제 네트워크에서 업데이트를 자동으로 다운로드하도록 허용하는 것이 좋습니다. 기본 설정은 요금제 네트워크를 통해 다운로드를 허용하지 않지만, 이 값을 1 로 설정하면 셀룰러 서비스가 있는 경우 사용자가 인터넷에 연결되어 있는지 여부에 관계없이 업데이트를 받을 수 있도록 하여 속도를 높일 수 있습니다.

중요

이전 버전의 Windows는 지능형 활성 시간을 지원하지 않습니다. 디바이스가 Windows 10 버전 1903 이전 버전의 Windows를 실행하는 경우 다음 정책을 설정하는 것이 좋습니다.

• 활성 시간을 구성합니다. Windows 10 버전 1703부터는 활성 시간 시작 시간부터 계산되는 최대 활성 시간 범위를 지정할 수 있습니다. 이 값을 10으로 설정하는 것이 좋습니다.
• 업데이트 설치를 예약합니다. 자동 업데이트 구성 설정에는 지정된 설치 시간 후에 강제 다시 시작을 제어하는 두 가지 방법이 있습니다. 업데이트 설치 예약을 사용하는 경우 두 설정이 충돌할 가능성이 높으므로 두 설정을 모두 사용하도록 설정하지 마세요.
  • 자동 유지 관리 시간을 지정합니다. 이 설정을 사용하면 업데이트에 대한 광범위한 유지 관리 기간을 설정하고 이 일정이 활성 시간과 충돌하지 않도록 할 수 있습니다. 이 값을 3(오전 3 시에 해당)으로 설정하는 것이 좋습니다. 오전 3:00이 근무 시간 중간에 있는 경우 예약된 작업 시간이 시작되기 최소 몇 시간 전에 다른 시간을 선택합니다.
  • 설치 시간을 예약합니다. 이 설정을 사용하면 다시 시작할 설치 시간을 예약할 수 있습니다. 활성 시간과 충돌할 수 있으므로 이를 사용 안 함으로 설정하지 않는 것이 좋습니다.

전원 정책

업데이트를 위해 비활성 시간 동안 디바이스를 실제로 사용할 수 있어야 합니다. 전원 정책으로 인해 절전 모드가 해제되지 않으면 이 작업을 수행할 수 없습니다. organization 보안과 친환경 구성 간의 균형을 맞추기 위해 노력하고 있습니다. 적절한 절충을 달성하려면 다음 설정을 사용하는 것이 좋습니다.

사용자에게 디바이스가 켜지거나 꺼져 있지만 Windows의 경우 업데이트가 발생할 수 있도록 허용하는 상태(활성)와 그렇지 않은 상태(비활성 상태)가 있습니다. 일부 상태는 활성(절전 모드)으로 간주되지만 사용자는 디바이스가 꺼져 있다고 생각할 수 있습니다. 또한 업데이트를 시작하기 전에 Windows에서 확인하는 전원 상태(플러그 인/배터리)가 있습니다.

비활성 시간 동안 디바이스를 업데이트할 수 있도록 기본 설정을 재정의하고 사용자가 변경하지 못하도록 할 수 있습니다.

참고

디바이스가 필요할 때 업데이트를 설치할 수 있도록 하는 한 가지 방법은 비활성 시간 동안 디바이스를 연결하도록 사용자를 교육하는 것입니다. 최상의 정책을 사용하더라도 절전 모드에서도 연결되지 않은 디바이스는 업데이트되지 않습니다.

다음 전원 관리 설정을 사용하는 것이 좋습니다.

• 절전 모드(S1 또는 S0 저전력 유휴 또는 최신 대기). 디바이스가 절전 모드인 경우 시스템이 꺼져 있는 것처럼 보이지만 업데이트를 사용할 수 있는 경우 업데이트를 수행하기 위해 디바이스를 절전 모드에서 해제할 수 있습니다. 절전 모드의 전력 사용량은 작동(시스템이 완전히 사용 가능)과 최대 절전 모드(S4 - 종료 전 가장 낮은 전원 수준) 사이입니다. 디바이스를 사용하지 않는 경우 시스템은 일반적으로 절전 모드로 이동한 후 최대 절전 모드로 전환됩니다. 절전 모드와 최대 절전 모드 사이의 시간이 너무 짧고 Windows에서 업데이트를 완료할 시간이 없는 경우 속도 문제가 발생합니다. 절전 모드는 충분한 전원이 있는 한 시스템이 업데이트 프로세스를 시작하기 위해 시스템을 절전 모드에서 해제할 수 있기 때문에 중요한 설정입니다.

디바이스가 절전 모드를 사용할 수 있도록 하려면 다음 정책을 사용 또는 구성 안 됨으로 설정합니다.

• Power/AllowStandbyStatesWhenSleepingOnBattery
• Power/AllowStandbyWhenSleepingPluggedIn

사용자가 디바이스의 뚜껑을 닫으면 시스템이 절전 모드로 전환되고 디바이스가 업데이트를 수행할 수 있도록 다음 정책을 1(절 전 모드)으로 설정합니다.

• Power/SelectLidCloseActionOnBattery

• Power/SelectLidCloseActionPluggedIn

• 최대 절전 모드입니다. 디바이스가 최대 절전 모드인 경우 전원 사용량이 적고 전원 단추를 누르는 것과 같은 사용자 개입 없이는 시스템이 절전 모드에서 해제할 수 없습니다. 디바이스가 이 상태인 경우 ACPI 시간 및 경보 디바이스(TAD)를 지원하지 않는 한 업데이트할 수 없습니다. 즉, S3(번체 절전 모드)을 지원하는 디바이스가 연결되어 있고 Windows 업데이트를 사용할 수 있는 경우 업데이트가 완료될 때까지 최대 절전 모드 상태가 지연됩니다.

참고

최신 대기(S0 저전력 유휴)를 지원하는 디바이스에는 적용되지 않습니다. 명령 프롬프트에서 를 실행 powercfg /a 하여 디바이스가 지원하는 시스템 절전 상태(S3 또는 S0 저전력 유휴 상태)를 검사 수 있습니다. 자세한 내용은 Powercfg 옵션을 참조하세요.

기존 절전 모드를 지원하는 디바이스의 기본 시간 제한은 3시간으로 설정됩니다. 최대 절전 모드로 보내기 전에 Windows 업데이트 디바이스를 다시 시작할 수 있도록 이러한 정책을 줄이지 않는 것이 좋습니다.

• Power/HibernateTimeoutOnBattery
• Power/HibernateTimeoutPluggedIn

이전 또는 충돌하는 정책

Windows 클라이언트의 각 릴리스는 관리자와 조직 모두의 환경을 개선하도록 새로운 정책을 도입할 수 있습니다. 새 클라이언트 정책을 릴리스할 때는 해당 릴리스 이상용으로만 릴리스하거나 이전 버전에서 사용할 수 있도록 정책을 백포트합니다.

중요

그룹 정책 사용하는 경우 이전 ADMX 템플릿을 업데이트하지 않으며 최신 정책을 사용하려면 최신(1903) ADMX 템플릿을 사용해야 합니다. 또한 MDM 도구(Microsoft 또는 타사)를 사용하는 경우 도구 인터페이스에서 사용할 수 있게 될 때까지 새 정책을 사용할 수 없습니다.

관리자는 특정 동작을 설정하고 예상하므로 특정 사용 사례에 대해 설정된 이전 정책은 명시적으로 제거하지 않습니다. 그러나 유사한 이전 정책을 사용하지 않도록 설정하지 않고 새 정책을 설정하는 경우 충돌하는 동작이 있을 수 있으며 업데이트가 예상대로 수행되지 않을 수 있습니다.

중요

관리자가 Microsoft Intune 같은 MDM 서버에서 그룹 정책 설정 및 MDM 설정을 모두 가져오기 위해 디바이스를 설정하는 경우가 있습니다. 정책 충돌은 궁극적으로 설정하는 방법에 따라 다르게 처리됩니다.

• Windows 업데이트: 그룹 정책 설정이 MDM보다 우선합니다.
• Microsoft Intune: 두 개의 서로 다른 그룹에서 동일한 정책에 대해 서로 다른 값을 설정하면 경고가 표시되고 충돌이 해결될 때까지 두 정책 모두 설정되지 않습니다. organization 디바이스가 예상대로 업데이트를 수행하려면 충돌하는 정책을 사용하지 않도록 설정하는 것이 중요합니다. 예를 들어 디바이스가 MDM 정책 변경에 반응하지 않는 경우 검사 그룹 정책 값이 다른 유사한 정책이 설정되어 있는지 확인합니다. 업데이트 속도가 예상만큼 높지 않거나 일부 디바이스가 다른 디바이스보다 느린 경우 모든 정책 및 설정을 지우고 권장 업데이트 정책만 지정해야 할 때가 될 수 있습니다. 권장 정책의 통합 목록은 정책 및 설정 참조를 참조하세요.

다음은 업데이트 속도를 줄이거나 충돌할 수 있는 더 나은 정책을 사용할 수 있기 때문에 사용하지 않도록 설정할 수 있는 정책입니다.

• 기능 업데이트 기간을 일로 연기합니다. 최대 업데이트 속도의 경우 기능 업데이트가 완료되고 월별 보안 업데이트가 다시 제공되도록 이를 0 (지연 없음)으로 설정하는 것이 가장 좋습니다. 신속하게 배포해야 하는 긴급 품질 업데이트가 있더라도 지연 정책을 설정하는 대신 일시 중지 기능 업데이트 사용하는 것이 가장 좋습니다. 최신 기능 업데이트를 최신 상태로 유지하지 않으려면 더 긴 기간을 선택할 수 있습니다.
• 품질 업데이트 기간(일)을 연기합니다. 위험을 최소화하고 업데이트 속도를 최대화하기 위해 다른 디바이스 링으로 업데이트를 평가하는 동안 고려할 수 있는 최대 시간은 2~3일입니다.
• 시작 시간 업데이트 기능 일시 중지 해결에 시간이 필요한 알려진 문제가 없는 한 사용 안 함으로 설정합니다.
• 품질 업데이트 시작 시간을 일시 중지합니다. 해결에 시간이 필요한 알려진 문제가 없는 한 사용 안 함으로 설정합니다.
• 최종 기한 자동 다시 부팅 안 함. 기본값은 사용 안 함 - 0으로 설정 됩니다. 업데이트를 받을 때 디바이스가 자동으로 다시 시작하는 것이 좋습니다. Windows는 사용자 상호 작용을 사용하여 다시 시작하는 가장 중단이 적은 시간을 동적으로 식별합니다.

더 이상 지원되지 않거나 대체된 추가 정책도 있습니다.