IT 관리형 업데이트를 사용하는 Windows 디바이스용 보안 부팅의 Microsoft Intune 방법
적용 대상
원래 게시된 날짜: 2025년 12월 4일
KB ID: 5073196
이 문서에는 다음 지침이 있습니다.
-
Windows 디바이스 및 업데이트를 관리하는 자체 IT 부서가 있는 조직.
참고: 개인 Windows 디바이스를 소유한 개인인 경우 Microsoft 관리형 업데이트가 있는 가정용 사용자, 기업 및 학교용 Windows 디바이스 문서를 참조하세요.
이 지원의 가용성
-
2025년 11월 11일: Windows 11 및 Windows 10 버전이 아직 지원되고 있습니다.
|
변경 날짜 |
변경 설명 |
|---|---|
|
2025년 12월 17일 |
알려진 문제 섹션 추가됨 |
이 문서에서는 다음을 수행합니다.
소개
이 문서에서는 Microsoft Intune 사용하여 보안 부팅 인증서 업데이트를 배포, 관리 및 모니터링하기 위한 지원을 설명합니다. 설정은 다음으로 구성됩니다.
-
디바이스에서 배포를 트리거하는 기능
-
신뢰도가 높은 버킷을 옵트인/옵트아웃하는 설정
-
Microsoft 업데이트 관리를 옵트인/옵트아웃하는 설정
Microsoft Intune 구성 방법
이 메서드는 도메인 관리자가 모든 도메인에 가입된 Windows 클라이언트에 보안 부팅 업데이트를 배포하도록 설정할 수 있는 Microsoft Intune 사용하여 보안 부팅 설정을 제공합니다. 또한 옵트인/옵트아웃 설정으로 두 개의 보안 부팅 지원을 관리할 수 있습니다.
Microsoft Intune
-
디바이스 > 디바이스 관리에서 구성을 선택합니다.
-
만들기를 선택하고 새 정책을 선택합니다.
-
오른쪽 창에서 프로필 만들기 로 이동합니다.
-
플랫폼에 Windows 10 이상을 입력합니다.
-
-
프로필 유형에서 설정 카탈로그를 선택합니다.
-
프로필에 이름을 지정하여 프로필 만들기를 시작합니다. 이 예제에서는 "보안 부팅"을 이름으로 사용합니다. 다음을 누릅니 다.
-
구성 설정에서 설정 추가를 선택하고 설정 선택기를 사용하여 보안 부팅을 검색하여 보안 부팅 설정을 찾습니다. 보안 부팅 범주에 세 가지 설정이 표시됩니다. 보안 부팅에 대한 레지스트리 키 업데이트: IT 관리형 업데이트가 있는 Windows 디바이스 및 IT 관리형 업데이트 문서가 있는 Windows 디바이스용 보안 부팅의 GPO(그룹 정책 개체) 메서드에 설명된 것과 동일한 설정입니다.
-
Secureboot 인증서 사용 업데이트 기본적으로 선택되고 사용하도록 설정됩니다.
-
아래에 설명된 옵트인 및 옵트아웃 설정은 환경 및 배포 요구 사항을 충족하도록 구성할 수 있습니다.
-
-
이러한 설정을 사용할 디바이스의 프로필을 완료합니다.
설정 설명
Microsoft 업데이트 관리되는 옵트인 구성
Microsoft Intune 설정 이름: Microsoft 업데이트 관리되는 옵트인 구성
설명: 이 정책을 통해 기업은 Microsoft에서 관리하는 보안 부팅 인증서 업데이트의 제어된 기능 롤아웃 에 참여할 수 있습니다.
-
사용: Microsoft는 롤아웃에 등록된 디바이스에 인증서를 배포하는 데 도움을 줍니다.
-
사용 안 함(기본값): 제어된 롤아웃에 참여하지 않습니다.
요구 사항:
-
디바이스는 필요한 진단 데이터를 Microsoft에 보내야 합니다. 자세한 내용은 organization Windows 진단 데이터 구성 - Windows 개인 정보 | Microsoft Learn.
-
레지스트리 키 MicrosoftUpdateManagedOptIn에 해당합니다.
높은 신뢰도 Opt-Out 구성
Microsoft Intune 설정 이름: 높은 신뢰도 구성 Opt-Out
설명: 이 정책은 보안 부팅 인증서 업데이트가 Windows 월간 보안 및 비보안 업데이트를 통해 자동으로 적용되는지 여부를 제어합니다. Microsoft에서 보안 부팅 변수 업데이트를 처리할 수 있는 것으로 유효성을 검사한 디바이스는 누적 월별 업데이트의 일부로 이러한 업데이트를 수신하고 자동으로 적용합니다. 모든 하드웨어 및 펌웨어 조합의 유효성을 완전히 검사할 수 있는 것은 아니므로 Microsoft는 대상 테스트 및 진단 데이터를 사용하여 디바이스 준비 상태를 확인합니다. 충분한 진단 데이터가 있는 디바이스만 높은 신뢰도로 간주할 수 있습니다. 지정된 디바이스에 대해 진단 데이터를 사용할 수 없는 경우 높은 신뢰도로 분류할 수 없습니다.
-
사용: 월별 업데이트를 통한 자동 배포가 차단됩니다.
-
사용 안 함(기본값) : 업데이트 결과의 유효성을 검사한 디바이스는 월별 업데이트의 일부로 인증서 업데이트를 자동으로 받습니다.
참고:
-
업데이트가 성공적으로 처리되도록 의도된 디바이스가 확인됩니다.
-
월별 업데이트를 통해 자동 배포를 관리하도록 이 정책을 구성합니다.
-
레지스트리 키 HighConfidenceOptOut에 해당합니다.
Secureboot 인증서 업데이트 사용
Microsoft Intune 설정 이름: Secureboot 인증서 업데이트 사용
설명: 이 정책은 Windows가 디바이스에서 보안 부팅 인증서 배포 프로세스를 시작하는지 여부를 제어합니다.
-
사용: Windows는 업데이트된 보안 부팅 인증서를 자동으로 배포하기 시작합니다.
-
사용 안 함(기본값) : Windows에서 인증서를 자동으로 배포하지 않습니다.
참고:
-
이 설정을 처리하는 작업은 12시간마다 실행됩니다. 일부 업데이트는 안전하게 완료하기 위해 다시 시작해야 할 수 있습니다.
-
인증서가 펌웨어에 적용되면 Windows에서 제거할 수 없습니다. 인증서 지우는 작업은 펌웨어 인터페이스를 통해 수행해야 합니다.
-
레지스트리 키 AvailableUpdates에 해당합니다.
알려진 문제
증상
Microsoft Intune Mobile 장치 관리(MDM)을 통해 배포된 보안 부팅 구성 설정은 현재 Pro 버전의 Windows 10 및 Windows 11 차단됩니다.
-
이러한 정책을 적용하려고 하면 Microsoft Intune Error Code 65000이 발생합니다.
-
이벤트 로그는 이 버전에서 기능을 사용할 수 없음을 나타내는 POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION 기록할 수 있습니다.
해결 방법
이 문제는 조사 중이며 추가 정보는 사용 가능한 즉시 공유됩니다.
리소스
디바이스 결과를 모니터링하기 위한 UEFICA2023Status 및 UEFICA2023Error 레지스트리 키에 대한 자세한 내용은 보안 부팅: IT 관리형 업데이트가 포함된 Windows 디바이스에 대한 레지스트리 키 업데이트도 참조하세요.
디바이스, 디바이스 특성 및 디바이스 버킷 ID의 상태 이해하는 데 유용한 이벤트는 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. 이벤트 페이지에 설명된 이벤트 1801 및 1808에 특히 주의하세요.
도움이 더 필요하세요?
더 많은 옵션을 원하세요?
구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.
커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.
