적용 대상
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

원래 게시 날짜: 2026년 3월 10일

KB ID: 5084490

이 문서에는 다음 지침이 있습니다.

  • Windows 디바이스를 관리하고, 설정 카탈로그 정책을 통해 보안 부팅 인증서 업데이트 컨트롤을 배포하고, 업데이트 워크플로를 감독하는 IT 전문가 및 Intune 관리자.

  • 할당 필터를 사용하여 특정 하드웨어 모델에 대한 배포를 대상으로 지정해야 하는 팀입니다.

이 문서에서는 다음을 수행합니다.

소개

이 지침은 IT 관리자가 Microsoft Intune 설정 카탈로그 정책을 사용하여 보안 부팅 인증서 업데이트 프로세스를 사용하도록 설정하는 데 도움이 됩니다. 인증서 업데이트 프로세스를 사용하도록 설정하는 보안 부팅 설정을 구성하는 방법과 해당 구성을 배포하는 방법을 간략하게 설명합니다. 또한 모델기반 할당 필터를 사용하여 업데이트를 성공적으로 처리하기 위해 이미 유효성이 검사된 하드웨어에서 제어된 단계적 롤아웃을 지원하는 방법을 강조 표시합니다.

사전 요건

보안 부팅 인증서 업데이트 자격은보안 부팅 정책 CSP 및 디바이스 펌웨어에 의해  결정됩니다. 이 scope 항상 Windows 서비스(즉, 업데이트) 타임라인 또는 Intune 등록 요구 사항에 부합하지는 않습니다.

Intune 및 정책 필수 구성 요소

  • 필터를 만들고 설정 카탈로그 정책을 만들거나 할당할 수 있는 권한이 있는 계정으로 로그인합니다.

  • 디바이스는 Intune 등록해야 합니다(할당 필터는 관리되는 디바이스에만 적용됨).

보안 부팅 자격 필수 구성 요소

1단계 - Intune 보안 부팅 인증서 업데이트 설정 구성(설정 카탈로그)

이 단계에서는 Microsoft Intune Windows 설정 카탈로그 디바이스 구성 프로필을 만듭니다. 또한 보안 부팅 인증서 업데이트 프로세스를 사용하도록 설정하는 보안 부팅 설정을 구성합니다.

만들 내용

보안 부팅 인증서 사용 업데이트 사용하도록 설정하는 Windows 설정 카탈로그 디바이스 구성 프로필:

설정 카탈로그 프로필 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스 > 디바이스 관리 > 구성으로 이동합니다.

  3. 만들기 > 새 정책을 선택합니다.

  4. 프로필 만들기에서 다음을 수행합니다.

  5. 플랫폼: Windows 10 이상

  6. 프로필 유형: 설정 카탈로그

  7. 만들기를 선택합니다.

  8. 프로필 이름(예: 보안 부팅 인증서 업데이트)을 지정하고, 선택적 설명을 추가하고, 다음을 선택합니다.

  9. 구성 설정에서 설정 추가를 선택합니다.

  10. 설정 선택기에서 보안 부팅 을 검색하고 범주별 찾아보기에서 선택합니다.

  11. 보안 부팅 범주에 표시된 세 가지에서 프로필에 보안 부팅 인증서 업데이트 사용 설정을 추가합니다.

    참고: 배포 시나리오에 필요한 경우 동일한 방식으로 이 범주에서 다른 보안 부팅 설정을 구성할 수 있습니다.

  12. 설정 값을 사용으로 구성 합니다.

  13. 다음을 선택하여 할당을 계속합니다. (3단계에서 필터를 적용합니다).

2단계 - 모델 기반 대상 지정을 위한 할당 필터 만들기

다음으로, 특정 디바이스 모델을 대상으로 하는 Intune 할당 필터를 만듭니다. 모델 기반 대상 지정을 사용하면 보안 부팅 인증서 업데이트를 선택한 하드웨어 모델에 scope 수 있습니다. 이 제어 및 단계적 배포에는 추가 Microsoft Entra ID 그룹이 필요하지 않습니다.

보안 부팅 인증서 배포에 모델 기반 대상 지정을 권장하는 이유

  • 펌웨어 가변성 - OEM은 보안 부팅을 다르게 구현하므로 모델 수준 범위 지정은 예기치 않은 동작을 줄입니다.

  • 이전 유효성 검사 - 광범위한 롤아웃 전에 알려진 좋은 하드웨어 집합에서 인증서 업데이트의 유효성을 검사할 수 있습니다.

만들 내용

특정 디바이스 모델을 대상으로 하거나 제외하는 관리 되는 디바이스 할당 필터입니다.

할당 필터 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 테넌트 관리 > 할당 필터 > 만들기로 이동합니다.

  3. 관리되는 디바이스를 선택합니다.

  4. 기본 사항에서 다음을 설정합니다.

    • 필터 이름 (설명).

    • 설명 (선택 사항이지만 권장됨).

    • 플랫폼: Windows 10 이상.

  5. 다음을 선택합니다.

  6. 규칙에서 다음 한 가지 방법을 선택합니다.

    • 규칙 작성기 (대부분의 관리자에게 권장)

    • 규칙 구문 (수동 식 편집)

모델 기반 규칙 빌드(규칙 작성기)

  1. 규칙 작성기에서 모델 속성을 선택합니다.

  2. 연산자 선택

  3. 일치시킬 모델 문자열을 입력합니다.

  4. 식 추가를 선택하여 규칙에 추가합니다.

  5. 필요한 경우 And/Or 를 사용하여 규칙을 추가 모델로 확장하거나 가능한 다른 필터링 가능한 속성에 따라 조건을 추가합니다.

팁:  미리 보기 디바이스를 사용하여 필터가 의도한 집합과 일치하는지 확인합니다. 미리 보기 목록은 디바이스 이름, OS 버전, 디바이스 모델 및 디바이스 제조업체별 검색을 지원합니다.

필터 미리 보기 및 만들기

  1. 디바이스 미리 보기를 선택하여 등록된 디바이스가 일치하는지 확인합니다.

  2. 다음을 선택합니다.

  3. (선택 사항) 범위 태그를 사용하는 경우 범위 태그를 할당합니다.

  4. 다음을 선택합니다.

  5. 검토 + 만들기에서 만들기를 선택합니다.

3단계 - 할당 필터를 사용하여 정책 할당

마지막으로 설정 카탈로그 프로필을 디바이스 또는 사용자 그룹에 할당하고 할당 필터를 적용합니다. 정책 평가 중에 보안 부팅 인증서 업데이트 설정을 수신하고 처리하는 등록된 디바이스가 결정됩니다.

수행할 내용

1단계의 보안 부팅 설정 카탈로그 프로필을 그룹에 할당한 다음 포함 또는 제외 모드의 2단계에서 필터를 적용합니다.

할당 필터 적용

  1. Microsoft Intune 관리 센터에서 디바이스 > 디바이스 관리 > 구성으로 이동합니다.

  2. 위의 1단계에서 만든 설정 카탈로그 프로필을 선택합니다.

  3. 속성 > 할당 > 편집 엽니다.

  4. 적절한 사용자 그룹 또는 디바이스 그룹에 프로필을 할당합니다.

    팁: 대상 지정을 제한할 다른 기준이 없는 경우 모든 디바이스 가상 그룹에 이 정책을 할당합니다. 2단계에서 디바이스 모델 할당 필터를 사용하여 할당을 scope. 이 조합은 대부분의 배포에 충분합니다. 모든 디바이스 가상 그룹이 기본 제공되고, 그룹 유지 관리가 필요하지 않으며, 규모에 맞게 최적화됩니다. 그런 다음 할당 필터는 추가 Microsoft Entra 그룹을 요구하지 않고 디바이스 속성에 따라 디바이스 검사 적용 가능성을 좁혀줍니다.

  5. 필터 편집을 선택합니다.

  6. 다음 중 하나를 선택합니다.

    • 할당에 필터링된 디바이스 포함: 필터와 일치하는 디바이스만 정책을 받습니다.

    • 할당에서 필터링된 디바이스 제외: 필터와 일치하는 디바이스는 정책을 수신하지 않습니다.

  7. 2단계에서 기존 할당 필터를 선택하고 선택을 선택합니다.

  8. 검토 + 저장 > 저장을 선택합니다.

디바이스 동작 이해

  • Intune 디바이스가 등록될 때, 체크 인할 때마다, 할당된 정책이 다시 평가될 때마다 필터를 평가합니다.

  • 보안 부팅 설정을 사용하도록 설정해도 즉각적인 인증서 애플리케이션이 보장되지는 않습니다. 업데이트 프로세스를 트리거하는 보안 부팅 설정의 경우 Windows 보안 부팅 작업은 12시간마다 실행됩니다. 일부 업데이트는 다시 시작해야 할 수 있습니다.

질문과 대답

설정을 처리하는 Windows 보안 부팅 작업은 12시간마다 실행됩니다.

업데이트를 완료하려면 다시 시작해야 할 수 있지만 Intune 통해 업데이트를 시작해도 다시 시작되지는 않습니다.

인증서가 펌웨어에 적용되면 Windows에서 인증서를 제거할 수 없습니다. 인증서 지우는 작업은 펌웨어 인터페이스를 통해 수행해야 합니다.

이전 인증서는 2026년 6월에 만료되기 시작합니다. 최신 2023 인증서를 받지 못한 디바이스는 새로운 초기 부팅 보안 보호(예: 보안 부팅 데이터베이스 및 해지 업데이트)를 받을 수 없습니다.

리소스

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터