Windows 365 보안 부팅 인증서 업데이트
원래 게시 날짜: 2026년 2월 19일
KB ID: 5080914
이 문서에는 다음 지침이 있습니다.
-
클라우드 PC를 관리하는 관리자를 Windows 365.
-
Windows 365 배포를 위해 보안 부팅을 사용하도록 설정된 클라우드 PC를 사용하는 조직
-
Windows 365 배포에 사용자 지정 이미지를 사용하는 조직.
이 문서에서는 다음을 수행합니다.
소개
보안 부팅은 디바이스 부팅 시퀀스 중에 신뢰할 수 있는 디지털 서명된 소프트웨어만 실행하는 데 도움이 되는 UEFI 펌웨어 보안 기능입니다. 2011년에 발급된 Microsoft 보안 부팅 인증서는 2026년 6월에 만료되기 시작합니다. 업데이트된 2023 인증서가 없으면 디바이스는 더 이상 새로 검색된 부팅 수준 취약성에 대한 새로운 보안 부팅 및 부팅 관리자 보호 또는 완화를 받지 못합니다.
Windows 365 서비스에서 프로비전된 모든 보안 부팅 사용 클라우드 PC와 프로비전하는 데 사용되는 사용자 지정 이미지는 만료되기 전에 2023 인증서로 업데이트해야 보호됩니다. Windows 디바이스에서 보안 부팅 인증서가 만료되는 경우를 참조하세요.
내 Windows 365 환경에 적용됩니까?
|
시나리오 |
보안 부팅 활성? |
작업 필요 |
|
클라우드 PC |
||
|
보안 부팅이 사용하도록 설정된 클라우드 PC |
예 |
클라우드 PC에서 인증서 업데이트 |
|
보안 부팅을 사용하지 않도록 설정된 클라우드 PC |
아니요 |
작업이 필요하지 않음 |
|
이미지 |
||
|
보안 부팅이 사용하도록 설정된 컴퓨팅 갤러리 이미지 Azure |
예 |
일반화하기 전에 원본 이미지에서 인증서 업데이트 |
|
신뢰할 수 있는 시작이 없는 컴퓨팅 갤러리 이미지 Azure |
아니요 |
프로비저닝 후 클라우드 PC에서 업데이트 적용 |
|
관리되는 이미지(신뢰할 수 있는 시작을 지원하지 않음) |
아니요 |
프로비저닝 후 클라우드 PC에서 업데이트 적용 |
전체 백그라운드 정보는 보안 부팅 인증서 업데이트: IT 전문가 및 조직을 위한 지침을 참조하세요.
인벤토리 및 모니터
조치를 취하기 전에 환경을 인벤토리에 추가하여 업데이트가 필요한 디바이스를 식별합니다. 자동 배포 방법을 사용하는 경우에도 2026년 6월 마감일 전에 인증서가 적용되는지 확인하려면 모니터링이 필수적입니다. 다음은 작업을 수행해야 하는지 여부를 결정하는 옵션입니다.
옵션 1: Microsoft Intune 수정
Microsoft Intune 등록된 클라우드 PC의 경우 Intune 수정(자동 수정)을 사용하여 검색 스크립트를 배포하여 전체에서 보안 부팅 인증서 상태 자동으로 수집할 수 있습니다. 스크립트는 각 디바이스에서 자동으로 실행되며 보안 부팅 상태, 인증서 업데이트 진행률 및 디바이스 세부 정보를 Intune 포털에 다시 보고합니다. 디바이스는 변경되지 않습니다. 결과를 보고 Intune 관리 센터에서 직접 CSV로 내보낼 수 있습니다.
검색 스크립트 배포에 대한 단계별 지침은 Microsoft Intune 수정을 사용하여 보안 부팅 인증서 상태 모니터링을 참조하세요.
옵션 2: Windows 자동 패치 보안 부팅 상태 보고서
Windows 자동 패치에 등록된 클라우드 PC의 경우 보안 부팅 상태 Intune 관리 센터 > 보고서 > Windows 자동 패치 > Windows 품질 업데이트 > 보고서 탭 >으로 이동합니다. Windows 자동 패치의 보안 부팅 상태 보고서를 참조하세요.
참고: Windows 365 Windows Autopatch를 사용하려면 클라우드 PC를 Windows Autopatch 서비스에 등록해야 합니다. Windows 365 Enterprise 워크로드의 Windows 자동 패치를 참조하세요.
옵션 3: 플릿 모니터링을 위한 레지스트리 키
기존 디바이스 관리 도구를 사용하여 플릿 전체에서 이러한 레지스트리 값을 쿼리합니다.
|
레지스트리 경로 |
키 |
용도 |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
현재 배포 상태 |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
오류를 나타냅니다(존재하지 않아야 합니다). |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
이벤트 ID를 나타냅니다(존재하지 않아야 합니다). |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
보류 중인 업데이트 비트 |
전체 레지스트리 키 세부 정보는 보안 부팅에 대한 레지스트리 키 업데이트를 참조하세요.
옵션 4: 이벤트 로그 모니터링
기존 디바이스 관리 도구를 사용하여 플릿 전체의 시스템 이벤트 로그에서 이러한 이벤트 ID를 수집하고 모니터링합니다.
|
이벤트 ID |
위치 |
의미 |
|
1808 |
시스템 |
인증서가 성공적으로 적용됨 |
|
1801 |
시스템 |
상태 또는 오류 세부 정보 업데이트 |
이벤트 세부 정보의 전체 목록은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요.
옵션 5: PowerShell 인벤토리 스크립트
Microsoft의 샘플 보안 부팅 인벤토리 데이터 수집 스크립트를 실행하여 보안 부팅 인증서 업데이트 상태 검사. 이 스크립트는 보안 부팅 상태, UEFI CA 2023 업데이트 상태, 펌웨어 버전 및 이벤트 로그 작업을 비롯한 여러 데이터 요소를 수집합니다.
배포
중요: 선택한 배포 옵션에 관계없이 디바이스 플릿을 모니터링하여 인증서가 2026년 6월 마감일 이전에 성공적으로 적용되었는지 확인하는 것이 좋습니다. 사용자 지정 이미지는 사용자 지정 이미지 고려 사항을 참조하세요.
옵션 1: Windows 업데이트 자동 업데이트(높은 신뢰도 디바이스)
Microsoft는 충분한 원격 분석이 유사한 하드웨어 구성에 대한 성공적인 배포를 확인하는 경우 Windows 월별 업데이트를 통해 디바이스를 자동으로 업데이트합니다.
-
상태: 신뢰도가 높은 디바이스에 대해 기본적으로 사용하도록 설정됨
-
옵트아웃하려는 경우가 아니면 아무 작업도 필요하지 않습니다.
|
레지스트리 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
키 |
HighConfidenceOptOut = 옵트아웃하려면 1 |
|
그룹 정책 |
컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 보안 부팅 > 자동 인증서 배포를 통해 업데이트 > 사용 안 함으로 설정하여 옵트아웃 |
추천: 자동 업데이트를 사용하도록 설정한 경우에도 클라우드 PC를 모니터링하여 인증서가 적용되었는지 확인합니다. 모든 디바이스가 높은 신뢰도 자동 배포를 받을 수 있는 것은 아닙니다.
자세한 내용은 자동화된 배포 지원을 참조하세요.
옵션 2: IT-Initiated 배포
즉시 또는 제어된 롤아웃을 위해 인증서 업데이트를 수동으로 트리거합니다.
|
방법 |
설명서 |
|
Microsoft Intune |
|
|
그룹 정책 |
|
|
레지스트리 키 |
|
|
WinCS CLI |
참고 사항:
-
동일한 디바이스에서 IT 시작 배포 방법(예: Intune 및 GPO)을 혼합하지 마세요. 동일한 레지스트리 키를 제어하고 충돌할 수 있습니다.
-
인증서가 완전히 적용되도록 약 48시간 및 하나 이상의 다시 시작을 허용합니다.
사용자 지정 이미지 고려 사항
사용자 지정 이미지는 organization 의해 완전히 관리됩니다. 보안 부팅 인증서 업데이트를 사용자 지정 이미지에 적용하고 프로비전에 사용하기 전에 다시 업로드해야 합니다.
원본 이미지에 보안 부팅 인증서 업데이트를 적용하는 것은 신뢰할 수 있는 시작 및 보안 부팅을 지원하는 Azure Compute Gallery 이미지(미리 보기)에서만 지원됩니다. 관리되는 이미지는 보안 부팅을 지원하지 않으므로 이미지 수준에서 인증서 업데이트를 적용할 수 없습니다. 관리되는 이미지에서 프로비전된 클라우드 PC의 경우 위의 배포 방법 중 하나를 사용하여 클라우드 PC에서 직접 업데이트를 적용합니다.
새 사용자 지정 이미지를 일반화하기 전에 인증서가 업데이트되었는지 확인합니다.
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
알려진 문제
서비스 레지스트리 키가 없습니다.
|
증상 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 경로가 없습니다. |
|
원인 |
디바이스에서 인증서 업데이트가 시작되지 않았습니다. |
|
해결 방법 |
Windows 업데이트 통해 자동 배포를 기다리거나 위의 IT 시작 배포 방법 중 하나를 사용하여 수동으로 시작합니다. |
상태가 장기간 "InProgress"를 표시합니다.
|
증상 |
UEFICA2023Status는 며칠 후 "InProgress"로 유지됩니다. |
|
원인 |
업데이트 프로세스를 완료하려면 디바이스를 다시 시작해야 할 수 있습니다. |
|
해결 방법 |
클라우드 PC를 다시 시작하고 15분 후에 다시 검사 상태. 문제가 지속되면 문제 해결 지침은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. |
UEFICA2023Error 레지스트리 키가 있음
|
증상 |
UEFICA2023Error 레지스트리 키가 있습니다. |
|
원인 |
인증서 배포 중에 오류가 발생했습니다. |
|
해결 방법 |
자세한 내용은 시스템 이벤트 로그를 확인합니다. 문제 해결 지침은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. |
리소스
도움이 더 필요하세요?
더 많은 옵션을 원하세요?
구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.
커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.
