ينطبق على
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

تاريخ النشر الأصلي: 10 مارس 2026

معرف KB: 5084490

تحتوي هذه المقالة على إرشادات ل

  • محترفو تكنولوجيا المعلومات ومسؤولو Intune الذين يديرون أجهزة Windows، وينشرون عناصر تحكم تحديث شهادة التمهيد الآمن من خلال نهج كتالوج الإعدادات، ويشرفون على مهام سير عمل التحديث.

  • الفرق التي تحتاج إلى استهداف عمليات التوزيع إلى نماذج أجهزة معينة باستخدام عوامل تصفية التعيين.

في هذه المقالة:

المقدمة

يساعد هذا التوجيه مسؤولي تكنولوجيا المعلومات على تمكين عملية تحديث شهادة التمهيد الآمن باستخدام نهج كتالوج إعدادات Microsoft Intune. يوضح كيفية تكوين إعداد التمهيد الآمن الذي يمكن عملية تحديث الشهادة وكيفية توزيع هذا التكوين. كما يسلط الضوء على كيفية استخدام عوامل تصفية التعيين المستندة إلى النموذج لدعم الإطلاقات المرحلية المتحكم بها على الأجهزة التي تم التحقق من صحتها بالفعل للتعامل مع التحديث بنجاح.

المتطلبات الأساسية

يتم تحديد أهلية تحديث شهادة التمهيد الآمن بواسطة نهج التمهيد الآمن CSP والبرامج الثابتة للجهاز. لا يتوافق هذا النطاق دائما مع المخططات الزمنية لخدمة Windows (أي التحديثات) أو متطلبات التسجيل Intune.

Intune والمتطلبات الأساسية للنهج

  • سجل الدخول باستخدام حساب لديه أذونات لإنشاء عوامل تصفية وإنشاء/تعيين نهج كتالوج الإعدادات.

  • يجب تسجيل الأجهزة في Intune (تنطبق عوامل تصفية التعيين فقط على الأجهزة المدارة).

المتطلبات الأساسية لأهلية التمهيد الآمن

الخطوة 1 - تكوين إعدادات تحديث شهادة التمهيد الآمن في Intune (كتالوج الإعدادات)

في هذه الخطوة، يمكنك إنشاء ملف تعريف تكوين جهاز كتالوج Windows Settings في Microsoft Intune. يمكنك أيضا تكوين إعدادات التمهيد الآمن التي تمكن عملية تحديث شهادة التمهيد الآمن.

ما الذي ستقوم بإنشائه

ملف تعريف تكوين جهاز كتالوج إعدادات Windows الذي يمكن التحديثات تمكين شهادة التمهيد الآمن:

إنشاء ملف تعريف كتالوج الإعدادات

  1. سجل الدخول إلى مركز إدارة Microsoft Intune.

  2. انتقل إلى الأجهزة > إدارة الأجهزة > التكوين.

  3. حدد Create > New policy.

  4. في إنشاء ملف تعريف:

  5. النظام الأساسي: Windows 10 والإصدارات الأحدث

  6. نوع ملف التعريف: كتالوج الإعدادات

  7. حدد إنشاء.

  8. قم بتسمية ملف التعريف (على سبيل المثال، تحديث شهادة التمهيد الآمن)، وأضف وصفا اختياريا، وحدد التالي.

  9. في إعدادات التكوين، حدد إضافة إعدادات.

  10. في منتقي الإعدادات، ابحث عن Secure Boot وحدده ضمن Browse by category.

  11. أضف إعداد تمكين شهادة التمهيد الآمن التحديثات من الإعدادات الثلاثة المعروضة في فئة التمهيد الآمن إلى ملف التعريف.

    ملاحظة: يمكنك تكوين إعدادات التمهيد الآمن الأخرى في هذه الفئة بنفس الطريقة إذا كان سيناريو التوزيع يتطلبها.

  12. تكوين قيمة الإعداد إلى ممكن.

  13. حدد التالي للمتابعة إلى التعيينات. (ستقوم بتطبيق عامل تصفية في الخطوة 3).

الخطوة 2 - إنشاء عامل تصفية تعيين للاستهداف المستند إلى النموذج

بعد ذلك، يمكنك إنشاء عامل تصفية تعيين Intune يستهدف نماذج أجهزة معينة. يسمح لك الاستهداف المستند إلى النموذج بتحديد نطاق تحديثات شهادة التمهيد الآمن لنماذج الأجهزة المحددة. لا يتطلب هذا التوزيع المتحكم به والمرحلي مجموعات Microsoft Entra ID إضافية.

لماذا يوصى بالاستهداف المستند إلى النموذج لتوزيع شهادة التمهيد الآمن

  • تغير البرامج الثابتة - تنفذ الشركات المصدرة للوحدات التنظيمية التمهيد الآمن بشكل مختلف، لذلك يقلل النطاق على مستوى النموذج من السلوك غير المتوقع.

  • التحقق المسبق - يمكنك التحقق من صحة تحديثات الشهادة على مجموعة أجهزة جيدة معروفة قبل الإطلاق الواسع.

ما الذي ستقوم بإنشائه

عامل تصفية تعيين الأجهزة المدارة الذي يستهدف (أو يستبعد) نماذج أجهزة معينة.

إنشاء عامل تصفية التعيين

  1. سجل الدخول إلى مركز إدارة Microsoft Intune.

  2. انتقل إلى إدارة المستأجر > عوامل تصفية التعيين > إنشاء.

  3. حدد Managed devices.

  4. في الأساسيات، قم بتعيين:

    • اسم عامل التصفية (وصفي).

    • الوصف (اختياري، ولكن مستحسن).

    • النظام الأساسي: Windows 10 والإصدارات الأحدث.

  5. حدد التالي.

  6. في القواعد، اختر نهجا واحدا:

    • منشئ القواعد (مستحسن لمعظم المسؤولين)

    • بناء جملة القاعدة (تحرير التعبير اليدوي)

إنشاء قاعدة مستندة إلى نموذج (منشئ القواعد)

  1. في منشئ القاعدة، حدد خاصية النموذج .

  2. اختر عامل تشغيل.

  3. أدخل سلسلة (سلاسل) النموذج التي تريد مطابقتها.

  4. حدد إضافة تعبير لإضافته إلى القاعدة.

  5. إذا لزم الأمر، استخدم و/أو لتوسيع القاعدة إلى نماذج إضافية أو لإضافة معايير إضافية استنادا إلى خصائص أخرى يمكن تصفيتها.

تلميح: استخدم أجهزة المعاينة للتحقق من تطابق عامل التصفية مع المجموعة المقصودة. تدعم قائمة المعاينة البحث حسب اسم الجهاز وإصدار نظام التشغيل ونموذج الجهاز والشركة المصنعة للجهاز.

معاينة عامل التصفية وإنشاءه

  1. حدد معاينة الأجهزة لتأكيد الأجهزة المسجلة المتطابقة.

  2. حدد التالي.

  3. (اختياري) تعيين علامات النطاق إذا كنت تستخدمها.

  4. حدد التالي.

  5. في Review + create، حدد Create.

الخطوة 3 - تعيين النهج باستخدام عامل تصفية التعيين

وأخيرا، يمكنك تعيين ملف تعريف كتالوج الإعدادات لجهاز أو مجموعة مستخدمين وتطبيق عامل تصفية التعيين. يحدد هذا الأجهزة المسجلة التي تتلقى إعدادات تحديث شهادة التمهيد الآمن وتعالجها أثناء تقييم النهج.

ما الذي ستفعله

ستقوم بتعيين ملف تعريف كتالوج إعدادات التمهيد الآمن من الخطوة 1 إلى مجموعة، ثم تطبيق عامل التصفية من الخطوة 2 في وضع تضمين أو استبعاد .

تطبيق عامل تصفية التعيين

  1. في مركز إدارة Microsoft Intune، انتقل إلى الأجهزة > إدارة الأجهزة > التكوين.

  2. حدد ملف تعريف كتالوج الإعدادات الذي أنشأته في الخطوة 1 أعلاه.

  3. افتح خصائص > التعيينات > تحرير.

  4. تعيين ملف التعريف إلى مجموعة المستخدمين المناسبة أو مجموعة الأجهزة المناسبة.

    تلميح: إذا لم يكن لديك أي معايير أخرى للحد من الاستهداف، فعين هذا النهج إلى المجموعة الظاهرية لجميع الأجهزة . استخدم عامل تصفية تعيين نموذج الجهاز من الخطوة 2 لتحديد نطاق التعيين. هذه المجموعة كافية لمعظم عمليات التوزيع. تم تضمين المجموعة الظاهرية لجميع الأجهزة ، ولا تتطلب صيانة المجموعة، وتم تحسينها للمقياس. بعد ذلك، يضيق عامل تصفية التعيين إمكانية التطبيق عند تسجيل وصول الجهاز استنادا إلى خصائص الجهاز، دون الحاجة إلى مجموعات Microsoft Entra إضافية.

  5. حدد تحرير عامل التصفية.

  6. اختر واحدا:

    • تضمين الأجهزة التي تمت تصفيتها في التعيين: فقط الأجهزة التي تطابق عامل التصفية تتلقى النهج.

    • استبعاد الأجهزة التي تمت تصفيتها في التعيين: لا تتلقى الأجهزة التي تطابق عامل التصفية النهج.

  7. حدد عامل تصفية التعيين الحالي من الخطوة 2 واختر تحديد.

  8. حدد Review + save > Save.

فهم سلوك الجهاز

  • يقوم Intune بتقييم عامل التصفية عند تسجيل الجهاز، وفي كل مرة يتحقق فيها، وكلما تمت إعادة تقييم النهج المعين.

  • لا يضمن تمكين إعداد التمهيد الآمن تطبيق الشهادة الفوري. بالنسبة لإعداد التمهيد الآمن الذي يقوم بتشغيل عملية التحديث، يتم تشغيل مهمة Windows Secure Boot كل 12 ساعة. قد تتطلب بعض التحديثات إعادة تشغيل.

الأسئلة المتداولة

يتم تشغيل مهمة Windows Secure Boot التي تعالج الإعداد كل 12 ساعة.

لا يؤدي بدء التحديث عبر Intune إلى إعادة التشغيل، على الرغم من أن إعادة التشغيل قد تكون مطلوبة لإكمال التحديث.

بعد تطبيق الشهادات على البرامج الثابتة، يتعذر على Windows إزالتها. يجب مسح الشهادات من خلال واجهة البرنامج الثابت.

تبدأ صلاحية الشهادات القديمة في يونيو 2026. ستفقد الأجهزة التي لم تتلق شهادات 2023 الأحدث القدرة على تلقي حماية أمان جديدة للتمهيد المبكر (على سبيل المثال، قاعدة بيانات التمهيد الآمن وتحديثات الإبطال).

الموارد

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة