Azure Virtual Desktop용 보안 부팅 인증서 업데이트
적용 대상
원래 게시 날짜: 2026년 2월 19일
KB ID: 5080931
이 문서에는 다음 지침이 있습니다.
-
세션 호스트 업데이트를 관리하는 Virtual Desktop 관리자 Azure
-
Azure Virtual Desktop 배포에 보안 부팅 사용 VM을 사용하는 조직
-
Azure Virtual Desktop 배포에 사용자 지정 이미지(골든 이미지)를 사용하는 조직
이 문서에서는 다음을 수행합니다.
소개
보안 부팅은 디바이스 부팅 시퀀스 중에 신뢰할 수 있는 디지털 서명된 소프트웨어만 실행하는 데 도움이 되는 UEFI 펌웨어 보안 기능입니다. 2011년에 발급된 Microsoft 보안 부팅 인증서는 2026년 6월에 만료되기 시작합니다. 업데이트된 2023 인증서가 없으면 디바이스는 더 이상 새로 검색된 부팅 수준 취약성에 대한 새로운 보안 부팅 및 부팅 관리자 보호 또는 완화를 받지 못합니다.
Azure Virtual Desktop 서비스에 등록된 모든 보안 부팅 사용 VM과 프로비전하는 데 사용되는 사용자 지정 이미지는 만료되기 전에 2023 인증서로 업데이트해야 보호됩니다. Windows 디바이스에서 보안 부팅 인증서가 만료되는 경우를 참조하세요.
Azure Virtual Desktop 환경에 적용됩니까?
|
시나리오 |
보안 부팅 활성? |
작업 필요 |
|
세션 호스트 |
||
|
보안 부팅을 사용하도록 설정된 신뢰할 수 있는 시작 VM |
예 |
세션 호스트에서 인증서 업데이트 |
|
보안 부팅을 사용하지 않도록 설정된 신뢰할 수 있는 시작 VM |
아니요 |
작업이 필요하지 않음 |
|
보안 유형 VM Standard |
아니요 |
작업이 필요하지 않음 |
|
1세대 VM |
지원되지 않음 |
작업이 필요하지 않음 |
|
골든 이미지 |
||
|
보안 부팅이 사용하도록 설정된 컴퓨팅 갤러리 이미지 Azure |
예 |
원본 이미지에서 인증서 업데이트 |
|
신뢰할 수 있는 시작이 없는 컴퓨팅 갤러리 이미지 Azure |
아니요 |
배포 후 세션 호스트에 업데이트 적용 |
|
관리되는 이미지(신뢰할 수 있는 시작을 지원하지 않음) |
아니요 |
배포 후 세션 호스트에 업데이트 적용 |
전체 백그라운드 정보는 보안 부팅 인증서 업데이트: IT 전문가 및 조직을 위한 지침을 참조하세요.
인벤토리 및 모니터
조치를 취하기 전에 환경을 인벤토리에 추가하여 업데이트가 필요한 디바이스를 식별합니다. 자동 배포 방법을 사용하는 경우에도 2026년 6월 마감일 전에 인증서가 적용되는지 확인하려면 모니터링이 필수적입니다. 다음은 작업을 수행해야 하는지 여부를 결정하는 옵션입니다.
옵션 1: Microsoft Intune 수정
Microsoft Intune 등록된 세션 호스트의 경우 Intune 수정(자동 수정)을 사용하여 검색 스크립트를 배포하여 전체에서 보안 부팅 인증서 상태 자동으로 수집할 수 있습니다. 스크립트는 각 디바이스에서 자동으로 실행되며 보안 부팅 상태, 인증서 업데이트 진행률 및 디바이스 세부 정보를 Intune 포털에 다시 보고합니다. 디바이스는 변경되지 않습니다. 결과를 보고 Intune 관리 센터에서 직접 CSV로 내보낼 수 있습니다.
검색 스크립트 배포에 대한 단계별 지침은 Microsoft Intune 수정을 사용하여 보안 부팅 인증서 상태 모니터링을 참조하세요.
옵션 2: Windows 자동 패치 보안 부팅 상태 보고서
Windows Autopatch에 등록된 개인 영구 세션 호스트의 경우 보안 부팅상태 > Intune 관리 센터 > 보고서 > Windows 자동 패치 > Windows 품질 업데이트 > 보고서 탭으로 이동합니다. Windows 자동 패치의 보안 부팅 상태 보고서를 참조하세요.
참고: Windows Autopatch는 Azure Virtual Desktop에 대한 개인 영구 가상 머신만 지원합니다. 다중 세션 호스트, 풀링된 비영구 가상 머신 및 원격 앱 스트리밍은 지원되지 않습니다. Azure Virtual Desktop 워크로드에서 Windows 자동 패치를 참조하세요.
옵션 3: 플릿 모니터링을 위한 레지스트리 키
기존 디바이스 관리 도구를 사용하여 플릿 전체에서 이러한 레지스트리 값을 쿼리합니다.
|
레지스트리 경로 |
키 |
용도 |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
현재 배포 상태 |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
오류를 나타냅니다(존재하지 않아야 합니다). |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
이벤트 ID를 나타냅니다(존재하지 않아야 합니다). |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
보류 중인 업데이트 비트 |
전체 레지스트리 키 세부 정보는 보안 부팅에 대한 레지스트리 키 업데이트: IT 관리형 업데이트가 있는 Windows 디바이스를 참조하세요.
옵션 4: 이벤트 로그 모니터링
기존 디바이스 관리 도구를 사용하여 플릿 전체의 시스템 이벤트 로그에서 이러한 이벤트 ID를 수집하고 모니터링합니다.
|
이벤트 ID |
위치 |
의미 |
|
1808 |
시스템 |
인증서가 성공적으로 적용됨 |
|
1801 |
시스템 |
상태 또는 오류 세부 정보 업데이트 |
이벤트 세부 정보의 전체 목록은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요.
옵션 5: PowerShell 인벤토리 스크립트
Microsoft의 샘플 보안 부팅 인벤토리 데이터 수집 스크립트를 실행하여 보안 부팅 인증서 업데이트 상태 검사. 이 스크립트는 보안 부팅 상태, UEFI CA 2023 업데이트 상태, 펌웨어 버전 및 이벤트 로그 작업을 비롯한 여러 데이터 요소를 수집합니다.
배포
중요: 선택한 배포 옵션에 관계없이 디바이스 플릿을 모니터링하여 인증서가 2026년 6월 마감일 이전에 성공적으로 적용되었는지 확인하는 것이 좋습니다. 사용자 지정 이미지는 골든 이미지 고려 사항을 참조하세요.
옵션 1: Windows 업데이트 자동 업데이트(높은 신뢰도 디바이스)
Microsoft는 충분한 원격 분석이 유사한 하드웨어 구성에 대한 성공적인 배포를 확인하는 경우 Windows 월별 업데이트를 통해 디바이스를 자동으로 업데이트합니다.
-
상태: 신뢰도가 높은 디바이스에 대해 기본적으로 사용하도록 설정
-
옵트아웃하려는 경우가 아니면 아무 작업도 필요하지 않습니다.
|
레지스트리 |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
키 |
HighConfidenceOptOut = 옵트아웃하려면 1 |
|
그룹 정책 |
컴퓨터 구성 > 관리 템플릿은 Windows 구성 요소 > > 보안 부팅 > 자동 인증서 배포를 업데이트 > 사용 안 함으로 설정하여 옵트아웃하도록 설정합니다. |
추천: 자동 업데이트를 사용하도록 설정하더라도 세션 호스트를 모니터링하여 인증서가 적용되었는지 확인합니다. 모든 디바이스가 높은 신뢰도 자동 배포를 받을 수 있는 것은 아닙니다.
자세한 내용은 자동화된 배포 지원을 참조하세요.
옵션 2: IT-Initiated 배포
즉시 또는 제어된 롤아웃을 위해 인증서 업데이트를 수동으로 트리거합니다.
|
방법 |
설명서 |
|
Microsoft Intune |
|
|
그룹 정책 |
|
|
레지스트리 키 |
|
|
WinCS CLI |
참고 사항:
-
동일한 디바이스에서 IT 시작 배포 방법(예: Intune 및 GPO)을 혼합하지 마세요. 동일한 레지스트리 키를 제어하고 충돌할 수 있습니다.
-
인증서가 완전히 적용되도록 약 48시간 및 하나 이상의 다시 시작을 허용합니다.
골든 이미지 고려 사항
보안 부팅이 사용하도록 설정된 Azure 컴퓨팅 갤러리 이미지를 사용하는 Azure Virtual Desktop 환경의 경우 캡처하기 전에 보안 부팅 2023 인증서 업데이트를 골든 이미지에 적용합니다. 위에서 설명한 방법 중 하나를 사용하여 업데이트를 적용한 다음 일반화하기 전에 인증서가 업데이트되었는지 확인합니다.
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
신뢰할 수 있는 시작을 사용하지 않는 이미지는 이미지를 통해 보안 부팅 인증서 업데이트를 받을 수 없습니다. 여기에는 신뢰할 수 있는 시작을 지원하지 않는 관리되는 이미지와 신뢰할 수 있는 시작이 사용하도록 설정되지 않은 컴퓨팅 갤러리 이미지 Azure 포함됩니다. 이러한 이미지에서 프로비전된 디바이스의 경우 위의 방법 중 하나를 사용하여 게스트 OS에서 업데이트를 적용합니다.
알려진 문제
서비스 레지스트리 키가 없습니다.
|
증상 |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\서비스 경로가 없습니다. |
|
원인 |
디바이스에서 인증서 업데이트가 시작되지 않았습니다. |
|
해결 방법 |
Windows 업데이트 통해 자동 배포를 기다리거나 위의 IT 시작 배포 방법 중 하나를 사용하여 수동으로 시작합니다. |
상태가 장기간 "InProgress"를 표시합니다.
|
증상 |
UEFICA2023Status는 며칠 후 "InProgress"로 유지됩니다. |
|
원인 |
업데이트 프로세스를 완료하려면 디바이스를 다시 시작해야 할 수 있습니다. |
|
해결 방법 |
세션 호스트를 다시 시작하고 15분 후에 다시 검사 상태. 문제가 지속되면 문제 해결 지침은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. |
UEFICA2023Error 레지스트리 키가 있음
|
증상 |
UEFICA2023Error 레지스트리 키가 있습니다. |
|
원인 |
인증서 배포 중에 오류가 발생했습니다. |
|
해결 방법 |
자세한 내용은 시스템 이벤트 로그를 확인합니다. 문제 해결 지침은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. |
리소스
도움이 더 필요하세요?
더 많은 옵션을 원하세요?
구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.
커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.
