Отнася се за
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Първоначална дата на публикуване: 10 март 2026 г.

ИД в КБ: 5084490

В тази статия има указания за

  • ИТ специалисти и Intune администратори, които управляват устройства с Windows, разполагат контроли за актуализиране на сертификат за защитено стартиране чрез настройките на каталозите и наблюдават работните потоци за актуализиране.

  • Екипи, които трябва да насочват разполаганията към конкретни хардуерни модели с помощта на филтрите за присвояване.

В тази статия:

Въведение

Това ръководство помага на ИТ администраторите да разрешат процеса на актуализиране на сертификата за защитено стартиране, като използват правилата за каталога с настройки на Microsoft Intune. Той описва как да конфигурирате настройката за защитено стартиране, която разрешава процеса на актуализиране на сертификата, и как да разположите тази конфигурация. Той също така наблязва как да използвате филтри за присвояване, базирано на модел, за да поддържате контролирани поетапни внедряване на хардуер, който вече е проверен, за да се обработи успешно актуализацията.

Предварителни изисквания

Отговаряне на условията за актуализация на сертификата за защитено стартиране се определя отправилата за защитено стартиране CSP и фърмуера на  устройството. Този обхват не винаги съответства на времевите линии на обслужване на Windows (т.е. актуализации) или изискванията за Intune записване.

предварителни изисквания за Intune и правила

  • Влезте с акаунт, който има разрешения за създаване на филтри и създаване/присвояване на правила за каталози с настройки.

  • Устройствата трябва да са записани в Intune (филтрите за присвояване се прилагат само за управлявани устройства).

Предварителни изисквания за отговаряне на условията за защитено стартиране

Стъпка 1 – Конфигуриране на настройките за актуализиране на сертификата за защитено стартиране в Intune (каталог с настройки)

В тази стъпка можете да създадете профил за конфигуриране на устройство с настройките на каталога на Windows в Microsoft Intune. Можете също да конфигурирате настройките на защитеното стартиране, които разрешават процеса на актуализиране на сертификата за защитено стартиране.

Какво ще създадете

Профил за конфигуриране на устройство с каталог на настройки на Windows, който разрешава Актуализации разрешаване на сертификат за защитено стартиране:

Създаване на профила на каталога с настройки

  1. Влезте в центъра за администриране на Microsoft Intune.

  2. Отидете в Устройства > Управление на устройства > конфигуриране.

  3. Изберете Създаване >Нови правила.

  4. В Създаване на профил:

  5. Платформа: Windows 10 и по-нови версии

  6. Тип на профила: Каталог на настройките

  7. Изберете Create (създаване).

  8. Дайте име на профила (например актуализация на сертификата за защитено стартиране), добавете незадължително описание и изберете Напред.

  9. В Настройки за конфигуриране изберете Добавяне на настройки.

  10. В избирача на настройки потърсете Защитено стартиране и го изберете под Преглед по категория.

  11. Добавете настройката разрешаване на сертификат за защитено стартиране Актуализации от трите, представени в категорията защитено стартиране, към профила.

    Забележка: Можете да конфигурирате другите настройки на защитеното стартиране в тази категория по същия начин, ако сценарият на разполагане ги изисква.

  12. Конфигурирайте стойността на настройката на "Разрешено".

  13. Изберете Напред , за да продължите със задачите. (Ще приложите филтър в стъпка 3).

Стъпка 2 – Създаване на филтър за присвояване за насочване, базирано на модел

След това можете да създадете филтър за присвояване на Intune, който е насочен към конкретни модели устройства. Базираното на модел насочване ви позволява да ограничите актуализациите на сертификата за защитено стартиране до избрани хардуерни модели. Това контролирано и поетапно разполагане не изисква допълнителни Microsoft Entra ID групи.

Защо се препоръчва насочване, базирано на модел, за разполагане на сертификат за защитено стартиране

  • Променливост на фърмуера – OEM реализират защитено стартиране по различен начин, така че ограничаването на нивото на модела намалява неочакваното поведение.

  • Предварителна проверка – можете да проверявате актуализациите на сертификати на известен добър хардуерен набор преди широко внедряване.

Какво ще създадете

Филтър за присвояване на управлявани устройства , който цели (или изключва) конкретни модели устройства.

Създаване на филтъра за присвояване

  1. Влезте в центъра за администриране на Microsoft Intune.

  2. Отидете на Администриране на клиент > Филтри за присвояване > Създаване.

  3. Изберете Управлявани устройства.

  4. В Основни задайте:

    • Име на филтъра (описателно).

    • Описание (незадължително, но препоръчително).

    • Платформа: Windows 10 и по-нови версии.

  5. Изберете Напред.

  6. В Правила изберете един подход:

    • Конструктор на правила (препоръчва се за повечето администратори)

    • Синтаксис на правило (ръчно редактиране на изрази)

Създаване на базирано на модел правило (конструктор на правила)

  1. В Конструктор на правила изберете свойството на модела .

  2. Изберете оператор.

  3. Въведете низовете на модела, които искате да съвпадат.

  4. Изберете Добавяне на израз , за да го добавите към правилото.

  5. Ако е необходимо, използвайте И/Или , за да разширите правилото до допълнителни модели или да добавите допълнителни критерии на базата на други възможни свойства, които могат да бъдат филтрирани.

Съвет: Използвайте устройства за предварителен преглед , за да проверите дали филтърът отговаря на желания набор. Списъкът за предварителен преглед поддържа търсене по име на устройството, версия на операционната система, модел на устройството и производител на устройството.

Визуализиране и създаване на филтъра

  1. Изберете Устройства за предварителен преглед , за да потвърдите кои записани устройства съвпадат.

  2. Изберете Напред.

  3. (По избор) Присвоете етикети за обхват, ако ги използвате.

  4. Изберете Напред.

  5. В Преглед + създаване изберете Създай.

Стъпка 3 – Задаване на правилата с помощта на филтъра за присвояване

И накрая можете да присвоите профил на каталога настройки на устройство или потребителска група и да приложите филтъра за присвояване. Това определя кои записани устройства получават и обработват настройките за актуализиране на сертификата за защитено стартиране по време на оценяването на правилата.

Какво ще направите

Ще присвоите профила на каталога "Настройки за защитено стартиране" от стъпка 1 към група, след което ще приложите филтъра от стъпка 2 в режим на включване или изключване .

Прилагане на филтъра за присвояване

  1. В центъра за администриране на Microsoft Intune отидете на Устройства > Управление на устройства > Конфигуриране.

  2. Изберете профила на каталога с настройки, който създадохте в стъпка 1 по-горе.

  3. Отворете Свойства > възложени задачи > Редактиране.

  4. Назначаване на профила към съответната потребителска група или група устройства.

    Съвет: Ако не разполагате с други критерии за ограничаване на насочването, присвоете тези правила към виртуалната група всички устройства . Използвайте филтъра за присвояване на модел на устройство от стъпка 2, за да ограничите възлагането. Тази комбинация е достатъчна за повечето разполагания. Виртуалната група "Всички устройства " е вградена, не изисква групова поддръжка и е оптимизирана за мащабиране. След това филтърът за присвояване стеснява приложимостта при вкарване на устройството въз основа на свойствата на устройството, без да се изискват допълнителни Microsoft Entra групи.

  5. Изберете Редактиране на филтър.

  6. Изберете едно от следните:

    • Включване на филтрирани устройства при присвояването: само устройства, които отговарят на филтъра, получават правилата.

    • Изключете филтрираните устройства при присвояването: устройства, които отговарят на филтъра, не получават правилата.

  7. Изберете съществуващия филтър за възложена задача от Стъпка 2 и изберете Избор.

  8. Изберете Преглед + записване > Запиши.

Разбиране на поведението на устройството

  • Intune оценява филтъра, когато устройството се регистрира, всеки път, когато бъде вкарано, и всеки път, когато присвоените правила бъдат преизчислени.

  • Разрешаването на настройката за защитено стартиране не гарантира незабавното приложение за сертификат. За настройката за защитено стартиране, която задейства процеса на актуализация, задачата за защитено стартиране на Windows се изпълнява на всеки 12 часа. Някои актуализации може да изискват рестартиране.

Често задавани въпроси

Задачата за защитено стартиране на Windows, която обработва настройката, се изпълнява на всеки 12 часа.

Инициирането на актуализацията чрез Intune не води до рестартиране, въпреки че може да се наложи рестартиране, за да завършите актуализацията.

След като сертификатите бъдат приложени към фърмуера, Windows не може да ги премахне. Изчистването на сертификати трябва да се извърши чрез интерфейса на фърмуера.

По-старите сертификати започват да изтичат през юни 2026 г. Устройства, които не са получили по-новите сертификати от версия 2023, ще загубят възможността да получават нови защити за защита от ранно стартиране (например база данни за защитено стартиране и актуализации на анулираните актуализации).

Ресурси

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност