보안 패치 및 업데이트 관리를 위해 Microsoft Intune 구성

보안 패치 및 업데이트 관리를 위해 Microsoft Intune 구성

2025년 2월 8일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft Intune을 구성하고 사용하여 Windows 장치에서 보안 패치 및 업데이트를 효과적으로 관리하도록 안내하는 것을 목표로 합니다. 끊임없이 진화하는 사이버 위협 환경에서 운영 체제와 애플리케이션을 최신 상태로 유지하는 것은 취약성을 완화하고 공격으로부터 조직을 보호하기 위한 가장 중요한 보안 관행 중 하나입니다. UEM(통합 엔드포인트 관리) 솔루션인 Microsoft Intune은 업데이트 프로세스를 자동화하고 제어하는 ​​강력한 도구를 제공합니다[1].

소개

보안 패치 및 업데이트 부족은 보안 침해의 주요 원인 중 하나입니다. 운영 체제 및 소프트웨어의 알려진 취약점은 공격자가 자주 악용하므로 효율적이고 자동화된 패치 관리 프로세스가 필수적입니다. 인력이 분산되어 있고 장치가 다양한 현대 기업 환경에서 수동 업데이트 관리는 비실용적이며 오류가 발생하기 쉽습니다. Windows 장치에 대한 업데이트를 관리 및 배포하기 위한 중앙 집중식 플랫폼을 제공하여 업데이트의 보안과 규정 준수를 보장하는 Microsoft Intune이 빛을 발하는 곳입니다[2].

Microsoft Intune을 사용하면 보안 및 비보안 수정 사항을 제공하는 품질 업데이트와 새로운 기능과 개선 사항을 제공하는 기능 업데이트를 포함하여 다양한 유형의 Windows 업데이트를 관리할 수 있습니다. 업데이트 링 정책과 기능 업데이트 프로필을 통해 관리자는 업데이트 배포 시기와 방법을 제어할 수 있으므로 단계적 롤아웃을 통해 위험을 최소화하고 호환성을 보장할 수 있습니다. 또한 Intune은 업데이트의 규정 준수 상태를 모니터링하고 문제를 해결하는 기능을 제공합니다[3].

이 방법 가이드에서는 Intune에서 업데이트 링 및 기능 업데이트 프로필 설정, Windows 장치에 업데이트 배포, 업데이트 준수 모니터링, 보고서를 사용하여 문제 식별 및 해결을 다룹니다. 독자가 이러한 기능을 구현, 테스트 및 검증할 수 있도록 단계별 지침, 실제 예제 및 간결한 설명이 제공됩니다. 또한 효과적이고 자율적이며 전문적이고 안정적인 패치 및 보안 업데이트 관리를 보장하기 위한 보안 팁, 규정 준수 확인 및 모범 사례에 대해 논의합니다.

패치 관리에 Microsoft Intune이 중요한 이유는 무엇입니까?

  • 자동화 및 효율성: 업데이트 제공을 자동화하여 관리 부담을 줄이고 장치를 항상 최신 상태로 유지합니다.
  • 세밀한 제어: 관리자는 언제, 어떻게, 어떤 장치에 업데이트를 적용할지에 대한 세부 정책을 설정하여 단계적 출시를 지원할 수 있습니다.
  • 향상된 보안: 최신 보안 수정 사항을 신속하게 적용하여 취약점을 완화하고 알려진 악용으로부터 보호합니다.
  • 규정 준수: 장치가 내부 보안 정책 및 규제 요구 사항을 준수하도록 돕습니다.
  • 가시성 및 보고: 업데이트 상태를 모니터링하고, 비준수 장치를 식별하고, 문제를 해결하기 위한 대시보드 및 보고서를 제공합니다.
  • 사용자 경험: 활성 기간을 구성하고 마감일을 다시 시작하여 업데이트가 사용자 생산성에 미치는 영향을 최소화할 수 있습니다.

전제조건

보안 패치 및 업데이트를 관리하기 위해 Microsoft Intune을 구성하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Intune 라이선스(일반적으로 Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5 구독에 포함됨) [4].
  2. 관리 액세스: Microsoft Intune 관리 센터('https://intune.microsoft.com')에서 '전역 관리자' 또는 'Intune 서비스 관리자' 역할을 가진 계정입니다.
  3. 등록된 Windows 장치: 등록된 Windows 10/11 장치Microsoft Intune에서 생성되었습니다. Windows 업데이트(비즈니스용 Windows 업데이트)[5]에서 업데이트를 받도록 장치를 구성해야 합니다.

단계별: 패치 관리를 위해 Microsoft Intune 구성

Windows 장치에 대한 업데이트 정책을 구성해 보겠습니다.

1. Windows용 업데이트 링 생성

업데이트 링은 품질 및 비보안 업데이트가 장치에 적용되는 방법과 시기를 관리하는 정책입니다.

  1. 브라우저를 열고 Microsoft Intune 관리 센터 https://intune.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 왼쪽 탐색 창에서 장치 > 플랫폼별 > Windows를 선택합니다.
  4. '업데이트 관리'에서 Windows 업데이트 링을 선택합니다.

  5. '+ 프로필 만들기'를 클릭하세요.

  6. 기본:

    • 이름: 의미 있는 이름을 지정합니다(예: Anel_Atualizacao_Piloto_Windows).
    • 설명: 명확한 설명을 제공합니다(예: '최소 지연으로 파일럿 그룹에 대한 링 업데이트').

  7. '다음'을 클릭하세요.

  8. 벨소리 설정 업데이트:

    • 품질 업데이트 설정:
      • 품질 업데이트 유지 관리 수준: '일반 공급 채널'.
      • 품질 업데이트 연기 기간(일): '0'(파일럿 그룹의 경우 최대한 빨리 업데이트를 받기 위해) 대규모 그룹의 경우 '3'~'7'일을 설정할 수 있습니다.
      • 드라이버 업데이트 연기 기간(일): '0'(또는 테스트 드라이버의 경우 더 큰 값).
    • 기능 업데이트 설정:
      • 기능 업데이트 유지 관리 수준: '일반 공급 채널'.
      • 기능 업데이트 연기 기간(일): '0'(파일럿 그룹의 경우). 대규모 그룹의 경우 30~60일을 설정할 수 있습니다.
    • 최종 사용자 경험 설정:
      • 자동 업데이트 동작: '유지 관리 시간에 자동으로 설치하고 다시 시작합니다.'
      • 설치 후 재부팅: 유지 관리 시간에 자동으로 다시 시작.
      • 활동 시간: 사용자가 제어하는 ​​활동 시간.
      • 재개 기한(일): 2(파일럿 그룹의 경우). 대규모 그룹의 경우 '5~7일'입니다.

  9. '다음'을 클릭하세요.

  10. 범위 태그: 선택적으로 범위 태그를 추가합니다. '다음'을 클릭하세요.

  11. 할당: 이 업데이트 링을 Azure AD 장치 그룹(예: Pilot_Device_Group)에 할당합니다.

  12. '다음'을 클릭하세요.

  13. 검토 + 생성: 설정을 검토하고 만들기를 클릭합니다.

    • 설명: 업데이트의 단계적 출시를 허용하고 호환성 문제의 위험을 최소화하려면 연기 기간이 다른 여러 업데이트 링(예: 파일럿, 고속, 저속)을 만들어야 합니다.

2. Windows용 기능 업데이트 프로필 생성(Windows 10 이상용 기능 업데이트)

기능 업데이트 프로필을 사용하면 장치를 특정 Windows 버전(예: Windows 11 22H2)으로 지정할 수 있습니다.

  1. Microsoft Intune 관리 센터의 왼쪽 탐색 창에서 장치 > 플랫폼별 > Windows를 선택합니다.
  2. '업데이트 관리'에서 Windows 10 이상 기능 업데이트를 선택합니다.

  3. '+ 프로필 만들기'를 클릭하세요.

  4. 기본사항:

    • 이름: 의미 있는 이름을 지정합니다(예: Atualizacao_Recurso_Windows11_23H2).
    • 설명: 명확한 설명을 제공합니다(예: '적격 장치에 Windows 11 23H2 배포').

  5. '다음'을 클릭하세요.

  6. 기능 업데이트 설정:

    • 배포할 리소스 버전: 원하는 버전을 선택합니다(예: Windows 11, 버전 23H2).
    • 사용 가능 날짜: 장치에 업데이트를 사용할 수 있는 날짜를 설정합니다.
    • 종료일: 선택적으로 업그레이드 제안의 종료일을 설정합니다.

  7. '다음'을 클릭하세요.

  8. 범위 태그: 선택적으로 범위 태그를 추가합니다. '다음'을 클릭하세요.

  9. 할당: 이 프로필을 Azure AD 장치 그룹(예: Windows11_Device_Group)에 할당합니다.

  10. '다음'을 클릭하세요.

  11. 검토 + 생성:설정을 검토하고 만들기를 클릭합니다.

    • 설명: 이 프로필은 할당된 그룹의 장치가 특정 버전의 Windows 11 23H2를 수신하는지 확인합니다. 광범위하게 배포하기 전에 소규모 그룹에서 기능 업데이트를 테스트하는 것이 중요합니다.

3. 업데이트 상태 모니터링

Intune은 업데이트 진행 상황과 규정 준수를 모니터링하기 위한 대시보드와 보고서를 제공합니다.

  1. Microsoft Intune 관리 센터의 왼쪽 탐색 창에서 장치 > 플랫폼별 > Windows를 선택합니다.
  2. '업데이트 관리'에서 Windows 업데이트 링을 선택합니다.
  3. 모니터링하려는 업데이트 링(예: Anel_Atualizacao_Piloto_Windows)을 클릭합니다.

  4. 업데이트 링 개요에서는 '장치 배포 상태' 및 '사용자 업데이트 상태'를 볼 수 있으며, 이는 호환되는 장치 수, 오류가 있는 장치 수 등을 보여줍니다.

  5. 더 자세한 보고서를 보려면 Intune 관리 센터의 왼쪽 탐색 창에서 보고서 > Windows 업데이트를 선택합니다.

  6. 여기서는 'Windows 업데이트 규정 준수 보고서' 및 'Windows 기능 업데이트 보고서'와 같은 보고서를 찾아 조직의 업데이트 상태를 포괄적으로 확인할 수 있습니다.

검증 및 테스트

업데이트 정책을 테스트하여 예상대로 작동하는지, 장치가 업데이트를 올바르게 수신하는지 확인하는 것이 중요합니다.

1. 업데이트 링 테스트(품질 업데이트)

  1. 시나리오: Intune에 테스트 Windows 장치를 등록하고 Pilot_Device_Group에 할당합니다.
  2. 예상 조치: 장치는 Anel_Atualizacao_Piloto_Windows 정책에 따라 품질 업데이트를 수신하고 설치해야 합니다(0일 지연, 즉 빠르게).
  3. 확인:
    • 테스트 기기에서 '설정' > 'Windows 업데이트'로 이동하여 업데이트 내역을 확인하세요.
    • Intune 관리 센터에서 'Anel_Atualizacao_Piloto_Windows'에 대한 '장치 배포 상태' 및 'Windows 업데이트 규정 준수 보고서'를 확인하여 장치가 규정을 준수하는지 확인하세요.
    • 장치에 대한 명령(관리자 권한으로 PowerShell): ``파워셸 Get-WindowsUpdateLog ````
      • 설명: 이 명령은 문제 해결에 유용한 Windows 업데이트 활동에 대한 자세한 로그를 생성합니다.

2. 리소스 업데이트 프로필 테스트

  1. 시나리오: Intune에 테스트 Windows 장치를 등록하고 Windows11_Device_Group에 할당합니다.
  2. 예상 조치: 장치는 'Windows 11 기능 업데이트 버전 23H2'를 받아 설치해야 합니다.
  3. 확인:
    • 테스트 기기에서 '설정' > '시스템' > '정보'로 이동하여 'Windows 버전'을 확인하세요.
    • Intune 관리 센터에서 'Atualizacao_Recurso_Windows11_23H2' 프로필의 '장치 배포 상태'와 'Windows 기능 업데이트 보고서'를 확인하세요.

보안 팁 및 모범 사례

  • 업데이트 링 전략: 단계적 업데이트 링 전략(예: 파일럿, 소형, 중형, 대형)을 구현하여 업데이트를 광범위하게 배포하기 전에 장치 하위 집합에서 테스트합니다. 이렇게 하면 중단 위험이 최소화됩니다.
  • 유지 관리 기간: 사용자 생산성에 미치는 영향을 최소화하면서 업데이트가 적시에 적용되도록 유지 관리 기간과 재시작 기한을 구성합니다.
  • 지속적 모니터링: Intune에서 업데이트 준수 보고서를 정기적으로 모니터링하고 비준수 또는 업데이트 오류 장치에 대한 경고를 설정합니다.
  • 호환성 테스트: 주요 기능 업데이트를 배포하기 전에 환경의 중요한 응용 프로그램 및 하드웨어에 대한 호환성 테스트를 수행하십시오.
  • 배달 최적화: 조직 전체에 업데이트를 배포할 때 배달 최적화와 같은 기능을 사용하여 네트워크 대역폭 소비를 줄입니다.
  • 드라이버 관리: 드라이버 업데이트에 주의하세요. 문제가 있는 드라이버로 인해 충돌이 발생할 수 있으므로 드라이버 업데이트를 지연하거나 광범위하게 배포하기 전에 광범위하게 테스트하는 것이 좋습니다.시스템의 능력.
  • Microsoft Defender for Endpoint와의 통합: Intune과 Defender for Endpoint는 함께 작동하여 엔드포인트 보안을 보장합니다. Defender for Endpoint는 패치로 해결할 수 있는 취약성에 대한 통찰력을 제공할 수 있습니다.

일반적인 문제 해결

  • 기기가 업데이트를 받지 못합니다:
    • 장치가 Intune에 등록되어 있고 업데이트/기능 링 정책이 올바른 장치 그룹에 할당되었는지 확인하세요.
    • 장치에서 Windows 업데이트에 대한 연결을 확인하십시오. 명령 프롬프트에서 wuauclt.exe /reportnow(Windows 10의 경우) 또는 usoclient StartScan(Windows 11의 경우)을 실행하세요.
    • PowerShell의 'Get-WindowsUpdateLog'를 사용하여 장치의 Windows 업데이트 로그를 확인하세요.
    • Intune에서 '활성 시간' 설정을 확인하세요. 장치가 항상 사용 시간 내에 있는 경우 업데이트를 설치하기 위해 장치를 다시 시작하지 않을 수 있습니다.
  • 업데이트 설치 실패:
    • 특정 오류 코드는 장치의 Windows 업데이트 로그를 확인하세요.
    • 장치에 충분한 디스크 공간이 있는지 확인하십시오.
    • 기존 소프트웨어나 드라이버와의 호환성 문제가 원인일 수 있습니다. 통제된 환경에서 테스트하세요.
    • Windows 업데이트 서비스를 통해 장치 네트워크 연결을 확인하세요.
  • Intune 보고서에서 장치가 규격을 준수하지 않는 것으로 표시됩니다:
    • 준수 상태가 Intune에 다시 보고되는 데 다소 시간이 걸릴 수 있습니다. 몇 시간 정도 기다리십시오.
    • 장치가 활성화되어 있고 Intune과 통신하고 있는지 확인하세요.
    • 규정 준수 정책이 장치에 올바르게 할당되었는지 확인합니다.
  • 오탐(장치가 비준수로 표시되지만 최신임):
    • 장치의 업데이트 상태를 수동으로 확인하십시오. 최신인 경우 Intune 보고가 지연될 수 있습니다.
    • 장치에서 Intune 클라이언트 관리 서비스를 다시 시작합니다(net stop dmwappushservice && net start dmwappushservice).

결론

Microsoft Intune은 Windows 환경에서 보안 패치 및 업데이트를 관리하는 데 없어서는 안 될 도구입니다. 품질 및 기능 업데이트 배포를 자동화하고 프로세스에 대한 세부적인 제어를 제공함으로써 Intune을 통해 조직은 장치를 안전하게 유지하고 사이버 위협에 대한 최신 보호 기능을 준수할 수 있습니다. 지속적인 모니터링 및 사전 문제 해결과 함께 업데이트 링 전략을 구현하는 것은 탄력적인 IT 환경을 보장하는 데 매우 중요합니다. 이 실용적인 가이드를 통해 보안 전문가와 IT 관리자는 Microsoft Intune을 구성, 검증 및 관리하여 끝점 보안 상태를 강화하고 조직의 자산을 보호할 수 있는 준비를 갖추게 됩니다.

참고자료:

[1] 마이크로소프트 런. Intune에서 Windows 소프트웨어 업데이트를 관리합니다. 사용 가능: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] 마이크로소프트 런. Microsoft Intune이란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/intune/overview [3] 마이크로소프트 런. Intune으로 Windows 업데이트를 관리하세요. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] 마이크로소프트 런. Microsoft Intune 라이선스. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] 마이크로소프트 런. Intune에서 Windows 업데이트 링을 설정합니다. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] 마이크로소프트 런. Intune에서 Windows 10 이상 기능 업데이트를 구성합니다. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] 마이크로소프트 런. Windows 업데이트는 Intune에서 보고됩니다. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports