추가 Windows 업데이트 설정 관리

소비자 정보를 찾으시나요? Windows 업데이트: FAQ를 참조하세요.

그룹 정책 설정 또는 MDM(모바일 장치 관리)을 사용하여 Windows 10 장치에서 Windows 업데이트의 동작을 구성할 수 있습니다. 업데이트 검색 간격을 구성하고 업데이트를 받는 시기를 선택하며 업데이트 서비스 위치를 지정하고 그 밖에도 많은 작업을 수행할 수 있습니다.

Windows 업데이트 설정 요약

업데이트 검사

장치가 업데이트를 검사하고 받는 방법을 구성할 수 있는 상당한 유연성이 관리자에게 있습니다.

인트라넷 Microsoft 업데이트 서비스 위치 지정을 통해 관리자는 장치가 내부 Microsoft 업데이트 서비스 위치를 가리키도록 할 수 있으며, Windows 업데이트 인터넷 위치에 연결하지 않기는 장치를 해당 내부 업데이트 서비스로만 제한할 수 있는 옵션을 제공합니다. 자동 업데이트 검색 주기는 장치가 업데이트를 검사하는 빈도를 제어합니다.

클라이언트 쪽 대상 지정 사용을 사용하여 내부 Microsoft 업데이트 서비스와 함께 작동하는 사용자 지정 디바이스 그룹을 만들 수 있습니다. 또한 인트라넷 Microsoft 업데이트 서비스 위치에서 서명된 업데이트 허용을 통해 디바이스가 내부 Microsoft 업데이트 서비스에서 Microsoft에서 서명하지 않은 업데이트를 받도록 할 수 있습니다.

마지막으로 업데이트 환경이 관리자에 의해 완전히 제어되도록 하려면 사용자에 대해 모든 Windows 업데이트 기능에 대한 액세스 권한을 제거할 수 있습니다.

기능 및 품질 업데이트를 받는 시기를 구성하는 추가 설정에 대해서는 비즈니스용 Windows 업데이트 구성을 참조하세요.

인트라넷 Microsoft 업데이트 서비스 위치 지정

Microsoft Update로부터의 업데이트를 호스팅할 인트라넷 서버를 지정합니다. 그런 다음 이 업데이트 서비스를 사용하여 네트워크의 컴퓨터를 자동으로 업데이트할 수 있습니다. 이 설정을 사용하여 네트워크에서 내부 업데이트 서비스 역할을 할 서버를 지정할 수 있습니다. 자동 업데이트 클라이언트는 이 서비스에서 네트워크의 컴퓨터에 적용되는 업데이트를 검색합니다.

그룹 정책에서 이 설정을 사용하려면 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\인트라넷 Microsoft 업데이트 서비스 위치 지정으로 이동합니다. 자동 업데이트 클라이언트가 업데이트를 검색하고 다운로드하는 서버와 업데이트된 워크스테이션이 통계를 업로드하는 서버의 서버 이름 값을 설정해야 합니다. 두 값 모두 동일한 서버로 설정할 수 있습니다. 선택적 서버 이름 값을 지정하여 인트라넷 업데이트 서비스 대신 대체 다운로드 서버에서 업데이트를 다운로드하도록 Windows 업데이트 에이전트를 구성할 수 있습니다.

설정이 사용함으로 설정된 경우, 자동 업데이트 클라이언트는 Windows 업데이트 대신 지정된 인트라넷 Microsoft 업데이트 서비스(또는 대체 다운로드 서버)에 연결하여 업데이트를 검색하고 다운로드합니다. 이 설정을 사용하면 조직의 최종 사용자는 업데이트를 받기 위해 방화벽을 거칠 필요가 없으며, 배포 후에 업데이트를 테스트할 수 있는 기회가 제공됩니다. 설정이 사용 안함 또는 구성되지 않음으로 설정되어 있고 정책 또는 사용자 기본 설정에 따라 자동 업데이트 사용하지 않도록 설정되지 않은 경우 자동 업데이트 클라이언트는 인터넷의 Windows 업데이트 사이트에 직접 연결합니다.

대체 다운로드 서버는 인트라넷 업데이트 서비스 대신 대체 다운로드 서버에서 파일을 다운로드하도록 Windows 업데이트 에이전트를 구성합니다. URL이 없는 파일 다운로드 옵션을 사용하면 업데이트 메타데이터에 파일의 다운로드 URL이 없을 때 대체 다운로드 서버에서 콘텐츠를 다운로드할 수 있습니다. 이 옵션은 인트라넷 업데이트 서비스가 대체 다운로드 서버에 있는 파일에 대한 업데이트 메타데이터에 다운로드 URL을 제공하지 않는 경우에만 사용해야 합니다.

MDM을 사용하여 이 정책을 구성하려면 UpdateServiceUrl 및 UpdateServiceUrlAlternate를 사용합니다.

자동 업데이트 검색 주기

사용 가능한 업데이트를 확인하기 전에 얼마나 오래 대기할지 결정하는 데 Windows가 사용할 시간을 지정합니다. 정확한 대기 시간은 여기서 지정된 시간에서 지정된 시간의 0 - 20%를 빼서 결정됩니다. 예를 들어 이 정책을 사용하여 20시간의 검색 주기를 지정하는 경우, 이 정책이 적용되는 모든 클라이언트는 16 - 20시간 사이에 업데이트를 확인합니다.

그룹 정책을 사용하여 이 설정을 설정하려면 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\자동 업데이트 검색 주기로 이동합니다.

설정이 사용함으로 설정된 경우, Windows는 지정된 간격으로 사용 가능한 업데이트를 확인합니다. 설정이 사용 안 함 또는 구성되지 않음으로 설정된 경우, Windows는 기본인 22시간 간격으로 사용 가능한 업데이트를 확인합니다.

MDM을 사용하여 이 정책을 구성하려면 DetectionFrequency를 사용합니다.

모든 Windows 업데이트 기능에 대한 액세스 권한 제거

관리자는 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\모든 Windows 업데이트 기능을 액세스할 수 있는 권한 제거에서 그룹 정책 설정을 사용하도록 설정하여 사용자에 대한 '업데이트 확인' 옵션을 사용하지 않도록 설정할 수 있습니다. 백그라운드 업데이트 검사, 다운로드 및 설치는 구성된 대로 계속 작동합니다.

모든 Windows 업데이트 인터넷 위치에 연결하지 않기

인트라넷 업데이트 서비스에서 업데이트를 받도록 Windows 업데이트가 구성된 경우에도, 향후 Windows 업데이트 연결 및 Microsoft 업데이트, Microsoft Store 또는 비즈니스용 Microsoft Store와 같은 다른 서비스에 연결할 수 있도록 공개 Windows 업데이트 서비스에서 주기적으로 정보를 검색합니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\Windows 업데이트 인터넷 위치에 연결하지 않기를 사용하여 이 정책을 사용함으로 설정합니다. 이 정책을 사용하면 위에 설명한 기능을 사용할 수 없게 되며, Microsoft Store, 비즈니스용 Microsoft Store, 비즈니스용 Windows 업데이트, 배달 최적화 같은 공개 서비스에 대한 연결이 중지될 수 있습니다.

클라이언트 측 대상 지정 사용

인트라넷 Microsoft 업데이트 서비스에서 업데이트를 받으려면 사용해야 하는 대상 그룹 이름을 지정합니다. 이렇게 하면 관리자는 WSUS 또는 구성 관리자와 같은 소스에서 다른 업데이트를 받을 장치 그룹을 구성할 수 있습니다.

이 그룹 정책 설정은 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\클라이언트 측 대상 지정 사용에서 찾을 수 있습니다. 설정이 사용으로 설정된 경우 지정한 대상 그룹 정보가 인트라넷 Microsoft 업데이트 서비스로 전송되며, 이를 사용하여 이 컴퓨터에 배포해야 하는 업데이트를 결정합니다. 설정이 사용 안 함 또는 구성되지 않음으로 설정된 경우, 인트라넷 Microsoft 업데이트 서비스에 대상 그룹 정보가 전송되지 않습니다.

인트라넷 Microsoft 업데이트 서비스가 여러 대상 그룹을 지원하는 경우, 이 정책은 세미콜론으로 구분된 여러 그룹 이름을 지정할 수 있습니다. 그렇지 않으면 단일 그룹이 지정되어야 합니다.

인트라넷 Microsoft 업데이트 서비스 위치에서 서명된 업데이트 허용

이 정책 설정을 사용하면 인트라넷 Microsoft 업데이트 서비스 위치에서 발견된, Microsoft 이외의 엔터티가 서명한 업데이트를 자동 업데이트가 허용할지 여부를 관리할 수 있습니다.

그룹 정책에서 이 설정을 구성하려면 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\인트라넷 Microsoft 업데이트 서비스 위치에서 서명된 업데이트 허용으로 이동합니다.

이 정책 설정을 사용하도록 설정하면 자동 업데이트 로컬 컴퓨터의 "신뢰할 수 있는 게시자" 인증서 저장소에 있는 인증서로 서명된 경우 인트라넷 Microsoft 업데이트 서비스 위치 지정에 지정된 대로 인트라넷 Microsoft 업데이트 서비스 위치를 통해 받은 업데이트를 수락합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 인트라넷 Microsoft 업데이트 서비스 위치의 업데이트는 Microsoft에서 서명해야 합니다.

MDM을 사용하여 이 정책을 구성하려면 AllowNonMicrosoftSignedUpdate를 사용합니다.

업데이트 설치

업데이트 프로세스에 더 많은 유연성을 추가하기 위해 업데이트 설치를 제어하는 설정을 사용할 수 있습니다.

자동 업데이트 구성은 자동 업데이트 설치를 위한 네 가지 옵션을 제공하는 반면 Windows 업데이트 드라이버 포함 안 함에서는 받은 나머지 업데이트와 함께 드라이버가 설치되지 않도록 합니다.

Windows 업데이트에 드라이버를 포함하지 않음

관리자는 업데이트 도중 Windows 업데이트 드라이버를 제외할 수 있습니다.

그룹 정책에서 이 설정을 구성하려면 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\Windows 업데이트에 드라이버를 포함하지 않음을 사용합니다. Windows 품질 업데이트에 드라이버를 포함하지 않으려면 이 정책을 사용합니다. 이 정책을 사용하지 않거나 구성하지 않으면 드라이버 분류가 있는 업데이트가 Windows 업데이트 포함됩니다.

자동 업데이트 구성

IT 관리자는 업데이트를 검사, 다운로드, 설치하는 자동 업데이트 동작을 관리할 수 있습니다.

그룹 정책을 사용하여 자동 업데이트 구성

컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\자동 업데이트 구성에서 다음 옵션 중 하나를 선택해야 합니다.

2 - 다운로드 및 자동 설치 알림 - Windows에서 이 장치에 적용되는 업데이트를 찾으면 업데이트를 다운로드할 준비가 되었다는 알림이 사용자에게 표시됩니다. 설정 > 업데이트 & 보안 > Windows 업데이트 이동하여 사용 가능한 업데이트를 다운로드하고 설치할 수 있습니다.

3 - 자동 다운로드 및 설치 알림 - Windows는 디바이스에 적용되는 업데이트를 찾아 백그라운드에서 다운로드합니다(이 프로세스 중에 사용자에게 알림 또는 중단되지 않음). 다운로드가 완료되면 설치할 준비가 되었다는 알림이 사용자에게 표시됩니다. 설정 > 업데이트 & 보안 > Windows 업데이트 이동하여 사용자가 설치할 수 있습니다.

4 - 자동으로 다운로드하고 설치를 예약 - 그룹 정책 설정에서 옵션을 사용하여 일정을 지정합니다. 이 설정에 대한 자세한 내용은 업데이트 설치 예약을 참조하세요.

5 - 로컬 관리자가 설정을 선택할 수 있음 - 이 옵션을 사용하면 로컬 관리자는 설정 앱을 사용하여 구성 옵션을 선택할 수 있습니다. 로컬 관리자는 자동 업데이트 대한 구성을 사용하지 않도록 설정할 수 없습니다. 이 옵션은 Windows 10 이상 버전에서는 사용할 수 없습니다.

7 - 설치 알림 및 다시 시작 알림(Windows Server 2016 이상만 해당) - 이 옵션을 사용하면 Windows에서 이 장치에 적용되는 업데이트를 찾으면 다운로드됩니다. 그러면 업데이트가 설치될 준비가 되었다는 알림이 사용자에게 표시됩니다. 업데이트가 설치되면 디바이스를 다시 시작하라는 알림이 사용자에게 표시됩니다.

이 설정이 사용 안 함으로 설정된 경우, Windows 업데이트에서 사용할 수 있는 모든 업데이트를 수동으로 다운로드하고 설치해야 합니다. 이렇게 하려면 사용자가 설정 > 업데이트 & 보안 > Windows 업데이트 이동해야 합니다.

이 설정이 구성되지 않음으로 설정된 경우 관리자는 설정 업데이트 & 보안 > Windows 업데이트 고급 옵션에서 설정 > 앱을 통해 자동 업데이트 >구성할 수 있습니다.

레지스트리를 편집하여 자동 업데이트 구성

Active Directory가 배포되지 않은 환경에서 레지스트리 설정을 편집하여 자동 업데이트에 대한 그룹 정책을 구성할 수 있습니다.

이렇게 하려면 다음 단계를 따르세요.

1. 시작을 선택하고 "regedit"를 검색한 다음 레지스트리 편집기를 엽니다.

2. 다음 레지스트리 키를 엽니다.

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
   

3. 자동 업데이트를 구성하려면 다음 레지스트리 값 중 하나를 추가합니다.

   • NoAutoUpdate 업데이트(REG_DWORD):

     • 0: 자동 업데이트를 사용할 수 있습니다(기본값).

     • 1: 자동 업데이트를 사용할 수 없습니다.

   • AUOptions(REG_DWORD):

     • 1: 자동 업데이트에서 컴퓨터를 최신 상태로 유지하지 않습니다.

     • 2: 다운로드 및 설치를 알립니다.

     • 3: 자동으로 다운로드하고 설치 알림을 보냅니다.

     • 4: 자동으로 다운로드하고 설치를 예약합니다.

     • 5: 로컬 관리자가 구성 모드를 선택할 수 있도록 허용합니다. 이 옵션은 Windows 10 이상 버전에서는 사용할 수 없습니다.

     • 7: 설치를 알리고 다시 시작에 대해 알립니다. (Windows Server 2016 이상만 해당)

   • ScheduledInstallDay(REG_DWORD):

     • 0: 매일.

     • 1 ~ 7: 일요일(1)부터 토요일(7)까지의 요일입니다.

   • ScheduledInstallTime(REG_DWORD):

     n, 여기서 n은 24시간 형식으로 된 날짜의 시간과 같습니다(0-23).

   • UseWUServer(REG_DWORD)

     이 값을 1로 설정하면 Windows 업데이트 대신 소프트웨어 업데이트 서비스를 실행하는 서버를 사용하도록 자동 업데이트를 구성할 수 있습니다.

   • RescheduleWaitTime(REG_DWORD)

     m, 여기서 m은 자동 업데이트가 시작되는 시간과 예약된 시간이 경과한 시점에 설치를 시작하는 시간 사이에 대기하는 시간 간격입니다. 시간은 1에서 60까지로 설정되며 1분에서 60분을 나타냅니다.

     참고

     이 설정은 클라이언트가 SUS SP1 클라이언트 버전 또는 이후 버전으로 업데이트한 후 클라이언트 동작에만 영향을 줍니다.

   • NoAutoRebootWithLoggedOnUsers(REG_DWORD):

     0(거짓) 또는 1(참). 1로 설정하면 사용자가 로그온하는 동안 자동 업데이트 컴퓨터를 자동으로 다시 시작하지 않습니다.

     참고

     이 설정은 클라이언트가 SUS SP1 클라이언트 버전 이상 버전으로 업데이트한 후 클라이언트 동작에 영향을 줍니다.

WSUS(Windows Software Update Services)를 실행하는 서버에서 자동 업데이트 사용하려면 Microsoft Windows Server Update Services 배포 지침을 참조하세요.

정책 레지스트리 키를 사용하여 자동 업데이트를 직접 구성하는 경우 정책은 로컬 관리자가 클라이언트를 구성하기 위해 설정한 기본 설정보다 우선 합니다. 관리자가 나중에 레지스트리 키를 제거하는 경우 로컬 관리자가 설정한 기본 설정이 다시 사용됩니다.

업데이트를 위해 클라이언트 컴퓨터와 서버가 연결하는 WSUS 서버를 확인하려면 다음 레지스트리 값을 레지스트리에 추가합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

• WUServer(REG_SZ)

  이 값은 WSUS 서버를 HTTP 이름으로 설정합니다(예: http://IntranetSUS).

• WUStatusServer(REG_SZ)

  이 값은 HTTP 이름으로 SUS 통계 서버를 설정합니다(예: http://IntranetSUS).

Windows 업데이트 알림에 organization 이름 표시

Windows 11 클라이언트가 Microsoft Entra 테넌트와 연결되면 Windows 업데이트 알림에 organization 이름이 나타납니다. instance 경우 비즈니스용 Windows 업데이트 대한 규정 준수 최종 기한이 구성된 경우 사용자 알림에 Contoso와 유사한 메시지를 표시하려면 중요한 업데이트를 설치해야 합니다. organization 이름은 Windows 11 설정의Windows 업데이트 페이지에도 표시됩니다.

organization 이름은 다음과 같은 방법으로 Microsoft Entra ID 연결된 Windows 11 클라이언트에 대해 자동으로 표시됩니다.

• Microsoft Entra 조인됨
• Microsoft Entra 등록됨
• Microsoft Entra 하이브리드 조인됨

Windows 업데이트 알림에 organization 이름을 표시하지 않으려면 레지스트리에서 다음을 추가하거나 수정합니다.

• 레지스트리 키: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
• DWORD 값 이름: UsoDisableAADJAttribution
• 값 데이터: 1

다음 PowerShell 스크립트가 예제로 제공됩니다.

$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1" 

if (!(Test-Path $registryPath)) 
{
  New-Item -Path $registryPath -Force | Out-Null
}

New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null

초기 사용자 로그인 전에 Windows 업데이트 설치 허용

(Windows 11 버전 22H2(2023-04 누적 업데이트 미리 보기) 또는 이후 누적 업데이트)

새 디바이스에서 Windows 업데이트 사용자가 OOBE(Out of Box Experience)를 완료하고 처음으로 로그인할 때까지 백그라운드 업데이트 설치를 시작하지 않습니다. 대부분의 경우 사용자는 OOBE를 완료한 직후에 로그인합니다. 그러나 일부 VM 기반 솔루션은 디바이스를 프로비전하고 첫 번째 사용자 환경을 자동화합니다. 이러한 VM은 사용자에게 즉시 할당되지 않을 수 있으므로 며칠 후까지 초기 로그인이 표시되지 않습니다.

초기 로그인이 지연되는 시나리오에서 다음 레지스트리 값을 설정하면 사용자가 처음 로그인하기 전에 디바이스가 백그라운드 업데이트 작업을 시작할 수 있습니다.

• 레지스트리 키: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
• DWORD 값 이름: ScanBeforeInitialLogonAllowed
• 값 데이터: 1