이번 포스팅에서는 Windows Update 관리 부분을 다루도록 하겠습니다. 우선 Preview 부분은 패스하겠습니다.
참고 자료
Learn about using Windows Update for Business in Microsoft Intune | Microsoft Docs
Configure Update rings for Windows 10 and later policy in Intune | Microsoft Docs
그리고 작성하다보니 기술자료를 거의 복사/붙여넣기 한 포스팅이 되었습니다. (셀프스터디 용으로 보시면 될 것 같습니다.)
Device -> Update rings for windows 10 and later 메뉴에서 업데이트 정책을 생성할 수 있습니다. -> Create profile
정책 이름 지정 -> Next
Update와 관련된 항목이 상당히 많은 것을 확인할 수 있습니다.
대부분은 기본 값으로 설정하였습니다.
각 항목에 대해서는 아래의 기술자료에 설명되어 있습니다.
Update settings Microsoft product updates Default: Allow 허용 - Microsoft 업데이트에서 앱 업데이트를 검색할 수 있도록 허용 을 선택합니다. 차단 - 차단을 선택하여 앱 업데이트 검색을 방지합니다. -> 허용으로 설정하겠습니다. Windows drivers Default: Allow 허용 - 업데이트 중에 포함 Windows 업데이트 드라이버 허용을 선택합니다. 차단 - 차단을 선택하여 드라이버 검색을 방지합니다. -> 이 부분을 허용 하였을 때의 문제점은 제조사에서 제공하는 Driver의 버전과 Windows Update 에서 제공하는 버전이 일치하지 않을 수 있습니다. 이 부분은 테스트 환경에서 확인해 보고 적요하는 것이 좋을 것으로 판단됩니다. 우선 기본 값 대로 허용으로 설정하였습니다. Quality update deferral period (days) Default: 0 품질 업데이트가 지연되는 0에서 30까지의 일 수를 지정합니다. 이 기간은 선택한 서비스 채널의 일부인 지연 기간에 추가됩니다. 지연 기간은 Microsoft가 업데이트를 릴리스할 때 시작됩니다. 품질 업데이트는 일반적으로 기존 Windows 기능의 수정 및 개선 사항입니다. -> 0으로 입력하는 것 보다는 1~7일 정도를 기간을 두는 것이 좋을 것 같습니다. 업데이트 후 이슈가 없는 체크하는 기간은 필요할 것으로 보입니다. 저는 테스트 환경이기 때문에 0으로 설정하였습니다. Feature update deferral period (days) Default: 0 기능 업데이트가 지연되는 일 수를 지정합니다. 이 기간은 선택한 서비스 채널의 일부인 지연 기간에 추가됩니다. 지연 기간은 Microsoft가 업데이트를 릴리스할 때 시작됩니다. -> 이 부분은 품질업데이트와 동일한 개념으로 이해하시면 될 것 같습니다. Upgrade Windows 10 devices to Latest Windows 11 release Default: No 예 로 설정하면 적격 Windows 10 디바이스가 최신 Windows 11 릴리스로 업그레이드됩니다. -> No로 설정하여 업데이트를 차단합니다. 반대로 Yes로 선택했을 때에는 Windows 11로 업그레이드 되는지는 나중에 테스트해 보도록 하겠습니다. Set feature update uninstall period (2 – 60 days) Default: 10 이 기간이 만료되면 이전 업데이트 비트가 디바이스에서 제거되고 더 이상 이전 업데이트 버전으로 제거할 수 없습니다. 예를 들어 기능 업데이트 제거 기간이 20일인 업데이트 링을 고려합니다. 25일 후에는 최신 기능 업데이트를 롤백하고 제거 옵션을 사용하기로 결정합니다. 최소 20일 전에 기능 업데이트를 설치한 디바이스는 유지 관리의 일부로 필요한 비트를 제거했으므로 기능 업데이트를 제거할 수 없습니다. 그러나 최대 19일 전에 기능 업데이트만 설치한 디바이스는 제거 기간 20일을 초과하기 전에 제거 명령을 수신하도록 성공적으로 체크 인한 경우, 업데이트를 제거할 수 있습니다. -> 기본 값 대로 진행합니다. Enable pre-release builds Default: Not Configured 업데이트 링 설정을 구성할 때 시험판 빌드 를 사용하도록 설정할 수 있습니다. 이 설정을 사용 으로 수신하는 디바이스는 지정한 시험판 빌드로 이동하고 다시 부팅됩니다. 사용하도록 설정하면 다음 시험판 빌드 중 하나를 지정합니다.
User experience settings 사용자 환경 설정은 디바이스 다시 시작 및 미리 알림에 대한 최종 사용자 환경을 제어합니다. 각 설정의 동작에 대한 자세한 내용은 Windows 업데이트 CSP 설명서를 참조하세요. [Automatic update behavior] Default: Auto install at maintenance time (유지 관리 시간에 자동 설치) 1. Notify download (다운로드 알림) 업데이트를 다운로드하기 전에 사용자에게 알립니다. 사용자는 업데이트를 다운로드하고 설치하도록 선택합니다. 2. Auto install at maintenance time (유지 관리 시간에 자동 설치) 업데이트가 자동으로 다운로드된 다음, 디바이스가 사용 중이거나 배터리 전원에서 실행되고 있지 않을 때 자동 유지 관리 중에 설치합니다. 다시 시작해야 하는 경우 사용자에게 최대 7일 동안 다시 시작하라는 메시지가 표시되고 다시 시작이 강제로 적용됩니다. 이 옵션은 업데이트가 설치된 후 디바이스를 자동으로 다시 시작할 수 있습니다. 활성 시간 설정을 사용하여 자동 다시 시작이 차단되는 기간을 정의합니다 a) Active hours start - 업데이트 설치로 인해 다시 시작을 표시하지 않는 시작 시간을 지정합니다. Default: 8 AM b) Active hours end - 업데이트 설치로 인해 다시 부팅을 표시하지 않는 종료 시간을 지정합니다. Default: 5 PM 3. Auto install and restart at maintenance time (유지 관리 시간에 자동 설치 및 다시 시작 ) 업데이트가 자동으로 다운로드된 다음, 디바이스가 사용 중이거나 배터리 전원에서 실행되고 있지 않을 때 자동 유지 관리 중에 설치합니다. 다시 시작해야 하는 경우 디바이스가 사용되지 않을 때 다시 시작되며, 이는 관리되지 않는 디바이스의 기본값입니다. 이 옵션은 업데이트가 설치된 후 디바이스를 자동으로 다시 시작할 수 있습니다. 활성 시간 설정의 사용은 Windows 업데이트 설정에 설명되어 있지 않지만 Intune 자동 다시 시작이 차단되는 기간을 정의하는 데 사용됩니다. 4. Auto install and restart at scheduled time (예약된 시간에 자동 설치 및 다시 시작) 설치 날짜 및 시간을 지정합니다. 지정되지 않은 경우 설치는 매일 오전 3시에 실행되고 15분 동안 카운트다운이 수행되어 다시 시작됩니다. 로그온한 사용자는 카운트다운을 지연하고 다시 시작할 수 있습니다. a) Automatic behavior frequency Default: Every week 이 설정을 사용하여 주, 일 및 시간을 포함하여 업데이트가 설치되는 시기를 예약합니다. b) Scheduled install day Default: Any Day 업데이트를 설치할 요일을 지정합니다. c) Scheduled install time Default: 3 AM 업데이트를 설치할 시간을 지정합니다. 5. Auto install and reboot without end-user control (최종 사용자 제어 없이 자동 설치 및 다시 부팅 ) 업데이트가 자동으로 다운로드된 다음, 디바이스가 사용 중이거나 배터리 전원에서 실행되고 있지 않을 때 자동 유지 관리 중에 설치됩니다. 다시 시작해야 하는 경우 사용하지 않을 때 디바이스가 다시 시작됩니다. 이 옵션은 최종 사용자 제어 창을 읽기 전용으로 설정합니다. 6. Reset to default (기본값으로 다시 설정) Windows 10 2018년 10월 업데이트 이상을 실행하고 Windows 11 실행하는 컴퓨터에서 원래 자동 업데이트 설정을 복원합니다. 기본값으로 다시 설정 하면 Windows 디바이스의 활성 시간을 자동으로 결정합니다. 활성 시간을 사용하여 Windows 업데이트를 설치하고 업데이트를 설치한 후 시스템을 다시 시작하는 데 가장 적합한 시간을 예약합니다. [Restart checks] Default: Allow 디바이스를 다시 시작할 때 이러한 검사를 건너뛰려면 건너뛰기를 선택합니다. [Option to pause Windows updates] Default: Enable a) Enable - 디바이스 사용자가 특정 일 수 동안 업데이트 설치를 일시 중지하도록 허용합니다. b) Disable - 디바이스 사용자가 업데이트 설치를 일시 중지하지 않도록 합니다. [Option to check for Windows updates] Default: Enable a) Enable - 디바이스 사용자가 특정 일 수 동안 업데이트 설치를 일시 중지하도록 허용합니다. b) Disable - 디바이스 사용자가 업데이트 설치를 일시 중지하지 않도록 합니다. [Change notification Update level] Default: Use the default Windows Update notifications 사용자에게 표시되는 Windows 업데이트 알림 수준을 지정합니다. 이 설정은 업데이트를 다운로드하고 설치하는 방법과 시기를 제어하지 않습니다. a) Not configured b) Use the default Windows Update notifications c) Turn off all notifications, excluding restart warnings d) Turn off all notifications, including restart warning [Use deadline settings] Default: Not configured 사용자가 최종 기한 설정을 사용할 수 있습니다. 1. Not configured 2. Allow Allow 으로 설정하면 최종 기한에 대해 다음 설정을 구성할 수 있습니다. a) Deadline for feature updates Default: Not configured 디바이스에 기능 업데이트가 자동으로 설치되기 전까지의 일 수를 지정합니다(2-30). b) Deadline for quality updates Default: Not configured 품질 업데이트가 디바이스에 자동으로 설치되기 전까지의 일 수를 지정합니다(2-30) c) Grace period Default: Not configured 다시 시작이 자동으로 발생할 때까지 마감일 이후의 최소 일 수를 지정합니다(0-7). d) Auto reboot before deadline Default: Yes 최종 기한 전에 디바이스를 자동으로 다시 부팅해야 하는지 여부를 지정합니다. (Yes or No) |
대상을 지정합니다.
Create
아래와 같이 생성된 것을 확인할 수 있습니다.
Device status 에서 Pending 상태인 것을 확인할 수 있습니다. (참고로 Update 정책은 Compliant 상태와는 상관없이 동작합니다.)
10분 정도 지나서 Succeeded 로 표시되었습니다.
End user update status에서 최신 업데이트 상태를 관리할 수 있습니다.
Client 단에서도 아래와 같이 확인할 수 있습니다.
'Microsoft 365 > Intune' 카테고리의 다른 글
M365. Azure AD Joined Plan (7). Defender EDR (0) | 2022.07.23 |
---|---|
M365. Azure AD Joined Plan (6). BitLocker (0) | 2022.07.13 |
M365. Azure AD Joined Plan (4). Configuration Profiles (0) | 2022.07.12 |
M365. Azure AD Joined Plan (3). Conditional Access (0) | 2022.07.11 |
M365. Azure AD Joined Plan (2). Compliance Policy (0) | 2022.07.11 |