그룹 정책을 사용하여 알려진 문제 롤백을 배포하는 방법
이 문서에서는 관리되는 디바이스에서 KIR을 활성화하는 KIR(알려진 문제 롤백) 정책 정의를 사용하도록 그룹 정책을 구성하는 방법을 설명합니다.
적용 대상: Windows Server(지원되는 모든 버전), Windows 클라이언트(지원되는 모든 버전)
요약
Microsoft는 Windows Server 2019 및 Windows 10 버전 1809 이상 버전용 KIR이라는 새로운 Windows 서비스 기술을 개발했습니다. 지원되는 Windows 버전의 경우 KIR는 비보안 Windows 업데이트 릴리스의 일부로 적용된 특정 변경 사항을 롤백합니다. 해당 릴리스의 일부로 변경된 다른 모든 변경 내용은 그대로 유지됩니다. 이 기술을 사용하면 Windows 업데이트로 인해 회귀 또는 기타 문제가 발생하는 경우 전체 업데이트를 제거하고 마지막으로 알려진 정상 구성으로 시스템을 반환할 필요가 없습니다. 문제를 일으킨 변경 내용만 롤백합니다. 이 롤백은 일시적입니다. Microsoft가 문제를 해결하는 새 업데이트를 릴리스한 후에는 롤백이 더 이상 필요하지 않습니다.
Important
KIR은 비보안 업데이트에만 적용됩니다. 비보안 업데이트에 대한 수정 사항을 롤백해도 잠재적인 보안 취약성이 발생하지 않기 때문입니다.
Microsoft는 엔터프라이즈가 아닌 디바이스에 대한 KIR 배포 프로세스를 관리합니다. 엔터프라이즈 디바이스의 경우 Microsoft는 KIR 정책 정의 MSI 파일을 제공합니다. 그런 다음 엔터프라이즈는 그룹 정책을 사용하여 하이브리드 Microsoft Entra ID 또는 AD DS(Active Directory 도메인 Services) 도메인에 KIR을 배포할 수 있습니다.
참고 항목
이 그룹 정책 변경을 적용하려면 영향을 받는 컴퓨터를 다시 시작해야 합니다.
KIR 프로세스
Microsoft에서 비보안 업데이트에 심각한 회귀 또는 유사한 문제가 있다고 판단되면 Microsoft는 KIR을 생성합니다. Microsoft는 Windows 상태 대시보드에서 KIR을 알리고 다음 위치에 정보를 추가합니다.
- 적용 가능한 Windows 업데이트 KB 문서의 알려진 문제 섹션
- 영향을 받는 Windows 버전에 대한 Windows 상태 릴리스 대시보드 https://aka.ms/windowsreleasehealth 의 알려진 문제 목록(예: Windows 10, 버전 20H2 및 Windows Server 버전 20H2)
엔터프라이즈가 아닌 고객의 경우 Windows 업데이트 프로세스는 KIR를 자동으로 적용합니다. 추가적인 조치가 필요하지 않습니다.
엔터프라이즈 고객의 경우 Microsoft는 정책 정의 MSI 파일을 제공합니다. 엔터프라이즈 고객은 엔터프라이즈 그룹 정책 인프라를 사용하여 KIR를 관리형 시스템으로 전파할 수 있습니다.
KIR MSI 파일의 예를 보려면 Windows 10(2004 및 20H2) 알려진 문제 롤백 031321 01.msi 다운로드합니다.
KIR 정책 정의의 수명은 제한됩니다(최대 몇 개월). Microsoft가 원래 문제를 해결하기 위해 수정된 업데이트를 게시한 후에는 KIR이 더 이상 필요하지 않습니다. 그런 다음 그룹 정책 인프라에서 정책 정의를 제거할 수 있습니다.
그룹 정책을 사용하여 단일 디바이스에 KIR 적용
그룹 정책을 사용하여 단일 디바이스에 KIR을 적용하려면 다음 단계를 수행합니다.
- 디바이스에 KIR 정책 정의 MSI 파일을 다운로드합니다.
Important
.msi 파일 이름에 나열된 운영 체제가 업데이트하려는 디바이스의 운영 체제와 일치하는지 확인합니다.
- 디바이스에서 .msi 파일을 실행합니다. 이 작업은 관리 템플릿에 KIR 정책 정의를 설치합니다.
- 로컬 그룹 정책 편집기를 엽니다. 이렇게 하려면 시작을 선택한 다음 gpedit.msc를 입력합니다.
- 로컬 컴퓨터 정책>컴퓨터 구성>관리 템플릿>KB ####### 문제 XXX 롤백>Windows 10 버전 YYMM을 선택합니다.
참고 항목
이 단계에서 ####### 는 문제를 일으킨 업데이트의 KB 문서 번호입니다. XXX 는 문제 번호이고 YYMM 은 Windows 10 버전 번호입니다.
- 정책을 마우스 오른쪽 단추로 클릭한 다음[ 사용 안 함>확인 편집>]을 선택합니다.
- 장치를 다시 시작합니다.
로컬 그룹 정책 편집기를 사용하는 방법에 대한 자세한 내용은 로컬 그룹 정책 편집기를 사용하여 관리 템플릿 정책 설정 작업을 참조 하세요.
그룹 정책을 사용하여 하이브리드 Microsoft Entra ID 또는 AD DS 도메인의 디바이스에 KIR 적용
하이브리드 Microsoft Entra ID 또는 AD DS 도메인에 속하는 디바이스에 KIR 정책 정의를 적용하려면 다음 단계를 수행합니다.
- KIR MSI 파일 다운로드 및 설치
- GPO(그룹 정책 개체)를 만듭니다.
- GPO를 적용하는 WMI 필터를 만들고 구성합니다.
- GPO 및 WMI 필터를 연결합니다.
- GPO를 구성합니다.
- GPO 결과를 모니터링합니다.
1. KIR MSI 파일 다운로드 및 설치
- KIR 릴리스 정보 또는 알려진 문제 목록을 확인하여 업데이트해야 하는 운영 체제 버전을 식별합니다.
- 도메인에 대한 그룹 정책을 관리하는 데 사용하는 컴퓨터로 업데이트해야 하는 파일 .msi KIR 정책 정의를 다운로드합니다.
- .msi 파일을 실행합니다. 이 작업은 관리 템플릿에 KIR 정책 정의를 설치합니다.
참고 항목
정책 정의는 C:\Windows\PolicyDefinitions 폴더에 설치 됩니다 . 그룹 정책 중앙 저장소를 구현한 경우 .admx 및 .adml 파일을 중앙 저장소에 복사해야 합니다.
2. GPO 만들기
- 그룹 정책 관리 콘솔을 열고 포리스트: DomainName>도메인을 선택합니다.
- 도메인 이름을 마우스 오른쪽 단추로 클릭한 다음 이 도메인에서 GPO 만들기를 선택하고 여기에 연결합니다.
- 새 GPO의 이름(예: KIR 문제 XXX)을 입력한 다음 확인을 선택합니다.
GPO를 만드는 방법에 대한 자세한 내용은 그룹 정책 개체 만들기를 참조 하세요.
3. GPO를 적용하는 WMI 필터 만들기 및 구성
WMI 필터를 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 선택합니다.
새 WMI 필터의 이름을 입력합니다.
모든 Windows 10 버전 2004 디바이스에 대한 필터와 같은 WMI 필터에 대한 설명을 입력합니다.
추가를 선택합니다.
쿼리에서 다음 쿼리 문자열을 입력합니다.
SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
Important
이 문자열 <에서 VersionNumber> 는 GPO를 적용할 Windows 버전을 나타냅니다. 버전 번호는 다음 형식을 사용해야 합니다(문자열에서 숫자를 사용하는 경우 대괄호 제외).
10.0.xxxxx
여기서 xxxxx 는 5자리 숫자입니다. 현재 KIR은 다음 버전을 지원합니다.
버전 빌드 번호 Windows 10 버전 20H2 10.0.19042 Windows 10, 버전 2004 10.0.19041 Windows 10, 버전 1909 10.0.18363 Windows 10, 버전 1903 10.0.18362 Windows 10, 버전 1809 10.0.17763 Windows 릴리스 및 빌드 번호의 최신 목록은 Windows 10 - 릴리스 정보를 참조하세요.
Important
Windows 10 릴리스 정보 페이지에 나열된 빌드 번호에는 10.0 접두사를 포함하지 않습니다. 쿼리에서 빌드 번호를 사용하려면 10.0 접두사를 추가해야 합니다.
WMI 필터 를 만드는 방법에 대한 자세한 내용은 GPO에 대한 WMI 필터 만들기를 참조하세요.
4. GPO 및 WMI 필터 연결
- 이전에 만든 GPO를 선택하고 WMI 필터링 메뉴를 연 다음 방금 만든 WMI 필터를 선택합니다.
- 필터를 적용하려면 [예]를 선택합니다.
5. GPO 구성
GPO를 편집하여 KIR 활성화 정책을 사용합니다.
- 이전에 만든 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
- 그룹 정책 편집기에서 GPOName>컴퓨터 구성>관리 템플릿>KB ####### 문제 XXX 롤백>Windows 10 버전 YYMM을 선택합니다.
- 정책을 마우스 오른쪽 단추로 클릭한 다음[ 사용 안 함>확인 편집>]을 선택합니다.
GPO를 편집하는 방법에 대한 자세한 내용은 GPMC에서 그룹 정책 개체 편집을 참조하세요.
6. GPO 결과 모니터링
그룹 정책의 기본 구성에서 관리되는 디바이스는 90~120분 내에 새 정책을 적용해야 합니다. 이 프로세스의 속도를 높이기 위해 영향을 받는 디바이스에서 실행 gpupdate
하여 업데이트된 정책을 수동으로 확인할 수 있습니다.
영향을 받는 각 디바이스가 정책을 적용한 후 다시 시작되는지 확인합니다.
Important
이 문제를 도입한 수정 사항은 디바이스가 정책을 적용한 후 다시 시작한 후에 사용하지 않도록 설정됩니다.
Microsoft Intune ADMX 정책 수집을 사용하여 관리되는 디바이스에 KIR 활성화 배포
참고 항목
이 섹션의 솔루션을 사용하려면 컴퓨터에 2022년 7월 26일 이상 릴리스된 누적 업데이트를 설치해야 합니다.
그룹 정책 및 GPO는 Microsoft Intune과 같은 MDM(모바일 디바이스 관리) 기반 솔루션과 호환되지 않습니다. 이러한 지침은 ADMX 수집에 Intune 사용자 지정 설정을 사용하고 GPO 없이 KIR 활성화를 수행하도록 ADMX 지원 MDM 정책을 구성하는 방법을 안내합니다.
Intune 관리 디바이스에서 KIR 활성화를 수행하려면 다음 단계를 수행합니다.
1. KIR MSI 파일을 다운로드하여 설치하여 ADMX 파일 가져오기
KIR 릴리스 정보 또는 알려진 문제 목록을 확인하여 업데이트해야 하는 OS(운영 체제) 버전을 식별합니다.
Microsoft Intune에 로그인하는 데 사용하는 컴퓨터에서 필요한 KIR 정책 정의 .msi 파일을 다운로드합니다.
참고 항목
KIR 활성화 ADMX 파일의 콘텐츠에 액세스해야 합니다.
파일을 실행합니다
.msi
. 이 작업은 관리 템플릿에 KIR 정책 정의를 설치합니다.참고 항목
정책 정의는 C:\Windows\PolicyDefinitions 폴더에 설치 됩니다 .
ADMX 파일을 다른 위치로 추출하려면 TARGETDIR 속성과 함께 명령을 사용합니다
msiexec
. 예시:msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
2. Microsoft Intune에서 사용자 지정 구성 프로필 만들기
KIR 활성화를 수행하도록 디바이스를 구성하려면 관리되는 디바이스의 각 OS에 대한 사용자 지정 구성 프로필을 만들어야 합니다. 사용자 지정 프로필을 만들려면 다음 단계를 수행합니다.
- 속성을 선택하고 프로필의 기본 정보를 추가합니다.
- KIR 활성화를 위해 ADMX 파일을 수집하는 사용자 지정 구성 설정을 추가합니다.
- 사용자 지정 구성 설정을 추가하여 새 KIR 활성화 정책을 설정합니다.
- KIR 활성화 사용자 지정 구성 프로필에 디바이스를 할당합니다.
- 적용 가능성 규칙을 사용하여 OS에서 KIR 사용자 지정 구성 설정을 수신하도록 디바이스를 대상으로 지정합니다.
- KIR 활성화 사용자 지정 구성 프로필을 검토하고 만듭니다.
A. 속성을 선택하고 프로필에 대한 기본 정보 추가
Microsoft Intune 관리 센터에 로그인합니다.
디바이스>구성 프로필>만들기 프로필을 선택합니다.
다음 속성을 선택합니다.
- 플랫폼: Windows 10 이상
- 프로필: 템플릿>사용자 지정
만들기를 선택합니다.
기본에서 다음 속성을 입력합니다.
- 이름: 정책을 설명하는 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 좋은 정책 이름은 "04/30 KIR 정품 인증 – Windows 10 21H2"입니다.
- 설명: 정책에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
참고 항목
플랫폼 및 프로필 형식 에 이미 값이 선택되어 있어야 합니다.
새로 만들기를 선택합니다.
참고 항목
사용자 지정 구성 프로필 및 구성 설정을 만드는 방법에 대한 자세한 내용은 Microsoft Intune에서 사용자 지정 디바이스 설정 사용을 참조 하세요.
다음 두 단계로 진행하기 전에 파일이 추출된 텍스트 편집기(예: 메모장)에서 ADMX 파일을 엽니다. MSI 파일로 설치한 경우 ADMX 파일은 C:\Windows\PolicyDefinitions 경로에 있어야 합니다.
ADMX 파일의 예는 다음과 같습니다.
<policies>
<policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >
<parentCategory ref="KnownIssueRollback_Win_11" />
<supportedOn ref="SUPPORTED_Windows_11_0_Only" />
<enabledList…> … </enabledList>
<disabledList…>…</disabledList>
</policy>
</policies>
및 에 대한 policy name
parentCategory
값을 기록합니다. 이 정보는 파일의 끝에 있는 "정책" 노드에 있습니다.
B. KIR 활성화를 위해 ADMX 파일을 수집하는 사용자 지정 구성 설정 추가
이 구성 설정은 대상 디바이스에 KIR 활성화 정책을 설치하는 데 사용됩니다. 다음 단계에 따라 ADMX 수집 설정을 추가합니다.
구성 설정에서 추가를 선택합니다.
다음과 같이 속성을 입력합니다.
이름: 구성 설정에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 설정 이름을 지정합니다. 예를 들어 좋은 설정 이름은 "ADMX 수집: 04/30 KIR 정품 인증 – Windows 10 21H2"입니다.
설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
OMA-URI: ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX 정책 이름> 문자열을 입력합니다.
참고 항목
ADMX 정책 이름을> ADMX 파일에서 기록된 정책 이름의 값으로 바꿉<다. 예를 들어 "KB5011563_220428_2000_1_KnownIssueRollback"입니다.
데이터 형식: 문자열을 선택합니다.
값: 텍스트 편집기(예: 메모장)를 사용하여 ADMX 파일을 엽니다. 이 필드에 수집하려는 ADMX 파일의 전체 내용을 복사하여 붙여넣습니다.
저장을 선택합니다.
C. 사용자 지정 구성 설정을 추가하여 새 KIR 활성화 정책 설정
이 구성 설정은 이전 단계에서 정의된 KIR 활성화 정책을 구성하는 데 사용됩니다.
다음 단계에 따라 KIR 활성화 구성 설정을 추가합니다.
구성 설정에서 추가를 선택합니다.
다음과 같이 속성을 입력합니다.
이름: 구성 설정에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 설정 이름을 지정합니다. 예를 들어 좋은 설정 이름은 "KIR 정품 인증: 04/30 KIR 정품 인증 – Windows 10 21H2"입니다.
설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
OMA-URI: 문자열 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX 정책 이름을> 입력합니다.
참고 항목
부모 범주>를 이전 단계에서 기록된 부모 범주 문자열로 바꿉<다. 예를 들어 "KnownIssueRollback_Win_11"입니다. ADMX 정책 이름을> 이전 단계에서 사용한 것과 동일한 정책 이름으로 바꿉<다.
데이터 형식: 문자열을 선택합니다.
값: 사용 안 함/>을 입력<합니다.
저장을 선택합니다.
다음을 선택합니다.
D. KIR 활성화 사용자 지정 구성 프로필에 디바이스 할당
사용자 지정 구성 프로필이 수행하는 작업을 정의한 후 다음 단계에 따라 구성할 디바이스를 식별합니다.
- 할당에서 모든 디바이스 추가를 선택합니다.
- 다음을 선택합니다.
E. 적용 가능성 규칙을 사용하여 OS에서 KIR 사용자 지정 구성 설정을 수신하도록 디바이스를 대상으로 지정
GP에 적용할 수 있는 OS별 디바이스를 대상으로 지정하려면 이 구성을 적용하기 전에 디바이스 OS 버전(빌드)을 확인하는 적용 가능성 규칙을 추가합니다. 다음 페이지에서 지원되는 OS에 대한 빌드 번호를 조회할 수 있습니다.
페이지에 표시된 빌드 번호는 MMMMM.mmmm(M= 주 버전 및 m= 부 버전)으로 형식이 지정됩니다. OS 버전 속성은 주 버전 숫자를 사용합니다. 적용 가능성 규칙에 입력된 OS 버전 값은 "10.0.MMMMM"으로 포맷되어야 합니다. 예를 들어 "10.0.22000"입니다.
다음 지침에 따라 KIR 활성화에 대한 올바른 적용 가능성 규칙을 설정합니다.
적용 가능성 규칙에서 페이지에 이미 있는 빈 규칙에 다음 속성을 입력하여 적용 가능성 규칙을 만듭니다.
- 규칙: 드롭다운 목록에서 프로필 할당을 선택합니다.
- 속성: 드롭다운 목록에서 OS 버전을 선택합니다.
- 값: "10.0.MMMMM"으로 형식이 지정된 최소 및 최대 OS 버전 번호를 입력합니다.
새로 만들기를 선택합니다.
참고 항목
디바이스의 OS 버전은 시작 메뉴 명령을 실행 winver
하여 찾을 수 있습니다. ""로 구분된 두 부분으로 구성된 버전 번호가 표시됩니다. 예를 들어 "22000.613"입니다. 최소 OS 버전의 경우 왼쪽 번호를 "10.0"에 추가할 수 있습니다. 최소 OS 버전 번호의 마지막 숫자에 1을 추가하여 최대 OS 버전 번호를 가져옵니다. 이 예제에서는 다음 값을 사용할 수 있습니다.
최소 OS 버전: "10.0.22000"
최대 OS 버전: "10.0.22001"
F. KIR 활성화 사용자 지정 구성 프로필 검토 및 만들기
사용자 지정 구성 프로필의 설정을 검토하고 만들기를 선택합니다.
3. KIR 활성화 모니터링
지금 KIR 활성화가 진행 중이어야 합니다. 구성 프로필 진행률을 모니터링하려면 다음 단계를 수행합니다.
디바이스>구성 프로필로 이동하여 기존 프로필을 선택합니다. 예를 들어 macOS 프로필을 선택합니다.
개요 탭을 선택합니다. 이 보기에서 프로필 할당 상태에는 다음 상태가 포함됩니다.
- 성공: 정책이 성공적으로 적용되었습니다.
- 오류: 정책을 적용하지 못했습니다. 메시지는 일반적으로 설명에 연결되는 오류 코드를 표시합니다.
- 충돌: 두 설정이 동일한 디바이스에 적용되며 Intune은 충돌을 정렬할 수 없습니다. 관리자는 충돌을 검토해야 합니다.
- 보류 중: 디바이스가 아직 정책을 수신하기 위해 Intune에서 체크 인하지 않았습니다.
- 해당 없음: 디바이스에서 정책을 받을 수 없습니다. 예를 들어 정책은 iOS 11.1과 관련된 설정을 업데이트하지만 디바이스는 iOS 10을 사용합니다.
자세한 내용은 Microsoft Intune에서 디바이스 구성 프로필 모니터링을 참조 하세요.