Platí pro
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Původní datum publikování: úterý 10. března 2026

ID znalostní báze: 5084490

Tento článek obsahuje pokyny pro

  • IT specialisté a Intune správci, kteří spravují zařízení s Windows, nasazují ovládací prvky aktualizace certifikátů zabezpečeného spouštění prostřednictvím zásad katalogu Nastavení a dohlížejí na pracovní postupy aktualizací.

  • Týmy, které potřebují cílit nasazení na konkrétní hardwarové modely pomocí filtrů přiřazení.

V tomto článku:

Úvod

Tyto doprovodné materiály pomáhají správcům IT povolit proces aktualizace certifikátu zabezpečeného spouštění pomocí zásad katalogu Microsoft Intune Nastavení. Popisuje, jak nakonfigurovat nastavení zabezpečeného spouštění, které umožňuje proces aktualizace certifikátu, a postup nasazení této konfigurace. Také ukazuje, jak používat filtry přiřazení založené namodelu k podpoře řízeného postupného zavádění na hardwaru, který už byl ověřen pro úspěšné zpracování aktualizace.

Předpoklady

Způsobilost k aktualizaci certifikátu zabezpečeného spouštění určuje partnerCSP zásad zabezpečeného  spouštění a firmware zařízení. Tento rozsah není vždy v souladu s časovými osami údržby Windows (tj. aktualizacemi) nebo Intune požadavky na registraci.

požadavky na Intune a zásady

  • Přihlaste se pomocí účtu, který má oprávnění k vytváření filtrů a vytváření a přiřazování zásad katalogu Nastavení.

  • Zařízení musí být zaregistrovaná v Intune (filtry přiřazení platí jenom pro spravovaná zařízení).

Požadavky na způsobilost zabezpečeného spouštění

Krok 1 – Konfigurace nastavení aktualizace certifikátu zabezpečeného spouštění v Intune (katalog nastavení)

V tomto kroku vytvoříte profil konfigurace zařízení v katalogu Nastavení systému Windows v Microsoft Intune. Nakonfigurujete také nastavení zabezpečeného spouštění, které povolí proces aktualizace certifikátu zabezpečeného spouštění.

Co vytvoříte

Konfigurační profil zařízení v katalogu nastavení systému Windows, který umožňuje povolit Aktualizace certifikátu zabezpečeného spouštění:

Vytvoření profilu katalogu Nastavení

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte na Zařízení > Spravovat zařízení > Konfigurace.

  3. Vyberte Vytvořit > Nová zásada.

  4. V části Vytvořit profil:

  5. Platforma: Windows 10 a novější

  6. Typ profilu: Katalog nastavení

  7. Vyberte Vytvořit.

  8. Pojmenujte profil (např. Aktualizace certifikátu zabezpečeného spouštění), přidejte volitelný popis a vyberte Další.

  9. V nastavení konfigurace vyberte Přidat nastavení.

  10. Ve výběru nastavení vyhledejte Zabezpečené spouštění a vyberte ho v části Procházet podle kategorie.

  11. Přidejte do profilu nastavení Aktualizace Povolit certifikát zabezpečeného spouštění ze tří uvedených v kategorii Zabezpečené spouštění.

    Poznámka: Další nastavení zabezpečeného spouštění v této kategorii můžete nakonfigurovat stejným způsobem, pokud to váš scénář nasazení vyžaduje.

  12. Nakonfigurujte hodnotu nastavení na Povoleno.

  13. Vyberte Další a pokračujte k přiřazením. (Filtr použijete v kroku 3.)

Krok 2 – Vytvoření filtru přiřazení pro cílení na základě modelu

Dále vytvoříte filtr přiřazení Intune, který cílí na konkrétní modely zařízení. Cílení na základě modelu umožňuje nastavit rozsah aktualizací certifikátů zabezpečeného spouštění na vybrané hardwarové modely. Toto řízené a fázované nasazení nevyžaduje další Microsoft Entra ID skupiny.

Proč se pro nasazení certifikátů zabezpečeného spouštění doporučuje cílení na základě modelu

  • Variabilita firmwaru – OEM implementují zabezpečené spouštění odlišně, takže rozsah na úrovni modelu snižuje neočekávané chování.

  • Předchozí ověření – Aktualizace certifikátů u známé funkční hardwarové sady můžete ověřit před širším uvedením.

Co vytvoříte

Filtr přiřazení spravovaných zařízení , který cílí (nebo vylučuje) konkrétní modely zařízení.

Vytvoření filtru přiřazení

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte do části Správa tenanta > Filtry přiřazení > Vytvořit.

  3. Vyberte Spravovaná zařízení.

  4. V části Základy nastavte:

    • Název filtru (popisný)

    • Popis (volitelné, ale doporučené)

    • Platforma: Windows 10 a novější.

  5. Vyberte Další.

  6. V části Pravidla zvolte jeden přístup:

    • Tvůrce pravidel (doporučeno pro většinu správců)

    • Syntaxe pravidla (ruční úpravy výrazů)

Vytvoření pravidla založeného na modelu (tvůrce pravidel)

  1. V Tvůrci pravidel vyberte vlastnost modelu .

  2. Zvolte operátor.

  3. Zadejte řetězce modelu, které chcete spárovat.

  4. Vyberte Přidat výraz a přidejte ho do pravidla.

  5. V případě potřeby můžete pomocí funkce And/Or rozšířit pravidlo na další modely nebo přidat další kritéria založená na dalších možných filtrovatelných vlastnostech.

Tip: Pomocí zařízení s náhledem ověřte, že filtr odpovídá zamýšlené sadě. Seznam preview podporuje vyhledávání podle názvu zařízení, verze operačního systému, modelu zařízení a výrobce zařízení.

Náhled a vytvoření filtru

  1. Vyberte Náhled zařízení a potvrďte, která zaregistrovaná zařízení se shodují.

  2. Vyberte Další.

  3. (Volitelné) Pokud je používáte, přiřaďte značky oboru .

  4. Vyberte Další.

  5. V části Zkontrolovat a vytvořit vyberte Vytvořit.

Krok 3 – Přiřazení zásady pomocí filtru přiřazení

Nakonec přiřadíte profil katalogu Nastavení k zařízení nebo skupině uživatelů a použijete filtr přiřazení. To určuje, která zaregistrovaná zařízení při vyhodnocování zásad přijímají a zpracovávají nastavení aktualizace certifikátu zabezpečeného spouštění.

Co budete dělat

Přiřadíte profil katalogu Nastavení zabezpečeného spouštění z kroku 1 ke skupině a pak použijete filtr z kroku 2 v režimu Zahrnutí nebo vyloučení .

Použití filtru přiřazení

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení > Spravovat zařízení > Konfigurace.

  2. Vyberte profil katalogu Nastavení, který jste vytvořili v kroku 1 výše.

  3. Otevřete Vlastnosti > Přiřazení > Upravit.

  4. Přiřaďte profil příslušné skupině uživatelů nebo skupině zařízení.

    Tip: Pokud nemáte žádná další kritéria pro omezení cílení, přiřaďte tuto zásadu virtuální skupině Všechna zařízení . K vymezení rozsahu přiřazení použijte filtr přiřazení modelu zařízení z kroku 2. Tato kombinace je dostatečná pro většinu nasazení. Virtuální skupina Všechna zařízení je integrovaná, nevyžaduje žádnou údržbu skupiny a je optimalizovaná pro škálování. Filtr přiřazení pak zužuje použitelnost při ohlášení zařízení na základě vlastností zařízení bez nutnosti dalších Microsoft Entra skupin.

  5. Vyberte Upravit filtr.

  6. Zvolte jednu z nich:

    • Zahrnout filtrovaná zařízení do přiřazení: Zásadu obdrží jenom zařízení, která odpovídají filtru.

    • Vyloučit filtrovaná zařízení v přiřazení: Zařízení, která odpovídají filtru, nedostanou zásadu.

  7. V kroku 2 vyberte existující filtr přiřazení a zvolte Vybrat.

  8. Vyberte Zkontrolovat a uložit > Uložit.

Vysvětlení chování zařízení

  • Intune filtr vyhodnocuje při registraci zařízení, při každém přihlášení a při každém opětovném vyhodnocení přiřazené zásady.

  • Povolení nastavení zabezpečeného spouštění nezaručuje okamžitou aplikaci certifikátu. V případě nastavení zabezpečeného spouštění, které aktivuje proces aktualizace, se úloha zabezpečeného spouštění Systému Windows spouští každých 12 hodin. Některé aktualizace můžou vyžadovat restartování.

Nejčastější dotazy

Úloha zabezpečeného spouštění Windows, která zpracovává nastavení, se spouští každých 12 hodin.

Inicializování aktualizace prostřednictvím Intune nezpůsobí restartování, i když k dokončení aktualizace může být vyžadováno restartování.

Po použití certifikátů na firmware je systém Windows nemůže odebrat. Vymazání certifikátů se musí provádět prostřednictvím rozhraní firmwaru.

Platnost starších certifikátů začíná v červnu 2026. Zařízení, která neobdržela novější certifikáty 2023, ztratí možnost přijímat nové bezpečnostní ochrany při předčasném spouštění (např. databáze zabezpečeného spouštění a aktualizace odvolání).

Zdroje informací

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti