적용 대상
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

원래 게시 날짜: 2026년 2월 18일

KB ID: 5080921

이 문서에는 다음 지침이 있습니다.

  • 보안 부팅 인증서 업데이트에 대한 가시성이 필요한 IT 관리자는 Intune 등록된 Windows 디바이스에서 상태.

  • 2026년 6월 보안 부팅 인증서 만료 기한을 준비하는 조직

  • Intune 등록된 Windows 디바이스에서 인증서 출시 진행률을 모니터링하려는 팀

이 문서에서는 다음을 수행합니다.

소개

Microsoft 보안 부팅 인증서(2011 CA)는 2026년 6월부터 만료됩니다. 보안 부팅이 사용하도록 설정된 모든 Windows 디바이스는 만료 전에 2023 인증서로 업데이트해야 지속적인 보안 업데이트 지원을 받을 수 있습니다. 

이 가이드에서는 Microsoft Intune 수정(자동 관리 수정)을 사용하는 모니터링 전용 접근 방식을 제공합니다. 검색 스크립트는 각 디바이스에서 보안 부팅 및 인증서 상태 수집하고 Intune 포털에 다시 보고합니다. 디바이스에서는 수정 작업이 수행되지 않습니다. 이렇게 하면 관리자가 Intune 등록된 Windows 디바이스에서 인증서 업데이트 진행률을 중앙 집중식으로 내보낼 수 있습니다. 

이 방법을 사용하는 이유는 무엇인가요?

혜택

설명

디바이스 전체 표시 유형 

등록된 모든 Intune Windows 디바이스의 인증서 상태 한 곳에서 확인

내보낼 

Intune 포털에서 직접 CSV로 결과 내보내기

원시 레지스트리 값

통과/실패뿐만 아니라 실제 레지스트리 데이터 보기

디바이스 컨텍스트 

제조업체, 모델, BIOS 버전 및 펌웨어 유형 포함

이벤트 로그 원격 분석 

보안 부팅 이벤트 ID(1801/1808), 버킷 ID 및 신뢰도 수준을 캡처합니다.

제로 터치

SYSTEM으로 자동으로 실행 - 사용자 상호 작용이 필요하지 않음

인증서 업데이트에 대한 전체 백그라운드 정보는 보안 부팅 인증서 업데이트: IT 전문가 및 조직을 위한 지침을 참조하세요

사전 요건

검색 스크립트를 배포하기 전에 환경이 필요한 요구 사항을 충족하는지 확인합니다. 

이 솔루션은 Microsoft Intune 수정을 활용합니다. 필수 구성 요소의 전체 목록은 수정을 사용하여 지원 문제 검색 및 해결 - Microsoft Intune를 참조하세요.

검색 스크립트

검색 스크립트는 각 디바이스에서 포괄적인 보안 부팅 인벤토리 데이터를 수집하고 JSON 문자열로 출력하는 PowerShell 스크립트입니다. 스크립트는 다음 원본에서 읽습니다. 

레지스트리 — HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot 및 하위 키의 보안 부팅 인증서 업데이트 상태, 서비스 키, 디바이스 특성 및 옵트인/옵트아웃 설정 

WMI/CIM - OS 버전, 마지막 부팅 시간 및 베이스보드 하드웨어 정보 

이벤트 로그 - 이벤트 ID 1801 및 1808에 대한 시스템 이벤트 로그 항목(보안 부팅 업데이트 이벤트) 

JSON 출력은 수정 > 모니터 > 디바이스 상태 > "사전 수정 검색 출력"의 Intune 포털에 표시되며 분석을 위해 CSV로 내보낼 수 있습니다. 

중요: 검색 전용 스크립트입니다. 디바이스는 변경되지 않습니다. 수정 스크립트가 필요하지 않습니다. 

스크립트 파일 만들기 

Intune 수정 만들기 

Microsoft Intune 검색 스크립트를 수정(스크립트 패키지)로 배포하려면 다음 단계를 수행합니다. 

1단계: 스크립트 패키지 만들기 

2단계: 기본 사항 

  • 기본 사항 탭에서 다음 설정을 구성합니다.

설정

이름

보안 부팅 인증서 상태 모니터

설명

보안 부팅 인증서 업데이트 상태 모니터링합니다. 검색 전용 - 수정 작업이 수행되지 않습니다.

퍼블리셔

(organization 이름)

  • 다음을 클릭합니다 .

3단계: 설정 

  • 설정 탭에서 다음 설정을 구성합니다.

설정

참고

검색 스크립트 파일 

업로드 Detect-SecureBootCertificateStatus.ps1

이전 섹션의 스크립트

수정 스크립트 파일 

(비워 두기)

수정이 필요하지 않습니다. 이는 모니터링 전용입니다.

로그온한 자격 증명을 사용하여 이 스크립트 실행 

아니요

SYSTEM으로 실행하여 Confirm-SecureBootUEFI 및 레지스트리에 대한 액세스를 보장합니다.

스크립트 서명 검사 적용 

아니요

organization 서명된 스크립트가 필요한 경우 예로 설정

64비트 PowerShell에서 스크립트 실행

Confirm-SecureBootUEFI cmdlet 및 정확한 레지스트리 읽기에 필요

  • 다음을 클릭합니다 .

4단계: 범위 태그 

  • organization 필요한 scope 태그를 추가하거나 기본값으로 그대로 둡니다.

  • 다음을 클릭합니다.

5단계: 할당 

설정

참고

할당 

모니터링할 디바이스 그룹 선택

모든 디바이스를 플릿 전체 모니터링에 사용하거나 대상 모니터링에 특정 그룹 사용

일정 

모니터링 요구 사항에 맞게 구성

권장: 활성 롤아웃 추적을 위해 매일 한 번 또는 지속적인 모니터링을 위해 매주 한 번

참고: 수정은 디바이스의 구성된 일정에 따라 실행됩니다. 첫 번째 실행은 디바이스의 검사 주기에 따라 할당 후 최대 24시간이 걸릴 수 있습니다. 

다음을 클릭합니다 .

6단계: 검토 + 만들기 

  • 모든 설정 검토

  • 만들기 를 클릭합니다.

결과 보기 및 내보내기 

포털에서 결과 보기 

  • 디바이스 > 수정으로 이동합니다.

  • 보안 부팅 인증서 상태 모니터(또는 선택한 이름)를 클릭합니다.

  • 모니터 탭 선택

  • 디바이스 상태 클릭합니다.

  • 열을 클릭하고 사전 수정 검색 출력 추가

상태 모니터

다음 열이 있는 테이블이 표시됩니다. 

Column

설명

디바이스 이름

디바이스의 이름

사용자 이름 

디바이스의 기본 사용자

검색 상태 

문제 없음(인증서 업데이트됨) 또는 문제(인증서가 업데이트되지 않음)

사전 수정 검색 출력 

스크립트의 전체 JSON 출력

마지막으로 수정한 시간 

스크립트가 디바이스에서 마지막으로 실행된 경우

CSV로 내보내기 

  • 디바이스 상태 페이지에서 테이블 맨 위에 있는 내보내기 단추를 클릭합니다.

  • CSV 파일은 모든 디바이스에 대한 전체 JSON 검색 출력을 포함하여 모든 열을 다운로드합니다.

  • Excel에서 를 열어 모든 필드를 기준으로 필터링, 정렬 및 분석

: Excel에서는 TEXTJOIN 또는 JSON 함수를 사용하여 검색 출력 JSON을 별도의 열로 구문 분석하여 더 쉽게 분석할 수 있습니다. 

개요 탭

Intune 개요

수정의 개요 탭은 요약 dashboard 제공합니다. 

메트릭

의미

문제가 있는 디바이스

인증서가 아직 업데이트되지 않은 디바이스 

문제가 없는 디바이스

인증서가 최신 상태인 디바이스

검색에 실패한 디바이스

스크립트에 오류가 발생한 디바이스

질문과 대답

내 디바이스에서 변경되는 내용이 있나요? 

아니요. 검색 전용 스크립트입니다. 레지스트리 값이 수정되지 않고, 업데이트가 트리거되지 않으며, 수정 작업이 수행되지 않습니다. 스크립트는 값만 읽고 보고합니다. 

"문제"는 무엇을 의미하나요? 

"문제"는 디바이스에 아직 2023 보안 부팅 인증서가 적용되지 않았고 2023 서명된 부팅 관리자가 없음을 의미합니다. 인증서 업데이트가 시작되지 않았거나 업데이트가 진행 중이며 완료하려면 다시 부팅이 필요할 수 있습니다. 디바이스에서 보안 부팅이 사용하도록 설정되지 않았거나 디바이스가 UEFI 기반이 아니거나 부팅 관리자를 적용하기 위해 재부팅을 기다리고 있기 때문일 수 있습니다. 

"문제 없이"는 무엇을 의미하나요? 

"문제 없음"은 디바이스에 보안 부팅이 사용하도록 설정되어 있고 UEFICA2023Status 레지스트리 값이 업데이트됨을 의미하며, 이는 2023 인증서가 성공적으로 적용되었음을 나타냅니다. 

스크립트는 얼마나 자주 실행하나요? 

스크립트는 할당에서 구성한 일정에 따라 실행됩니다. 롤아웃 중 활성 모니터링의 경우 매일 권장됩니다. 지속적인 모니터링의 경우 매주로 충분합니다. 

서비스 레지스트리 키가 없으면 어떻게 해야 할까요? 

디바이스에 HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 키가 없는 경우 UEFICA2023Status 필드에 NoValue가 표시됩니다. 이는 일반적으로 디바이스에서 인증서 업데이트가 시작되지 않았다는 것을 의미합니다. 

필요한 라이선스는 무엇인가요? 

수정하려면 Windows 10/11 Enterprise E3/E5, Education A3/A5 또는 F3 라이선스가 필요합니다. 디바이스에 Business Premium 또는 Pro 라이선스만 있는 경우 수정을 사용할 수 없습니다. 수정을 위한 필수 구성 요소를 참조하세요

리소스 

보안 부팅 인증서 업데이트 플레이북

보안 부팅 인증서 업데이트: IT 전문가를 위한 지침

보안 부팅을 위한 레지스트리 키 업데이트

보안 부팅 DB 및 DBX 변수 업데이트 이벤트

Microsoft Intune 수정 

수정을 위한 필수 구성 요소

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터