Gælder for
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Oprindelig publiceringsdato: 10. marts 2026

KB-id: 5084490

Denne artikel indeholder vejledning til

  • It-teknikere og Intune administratorer, der administrerer Windows-enheder, installerer kontrolelementer til sikker bootstartcertifikatopdatering via indstillingers katalogpolitikker og kontrollerer opdateringsarbejdsprocesser.

  • Teams, der skal målrette udrulninger efter bestemte hardwaremodeller ved hjælp af opgavefiltre.

I denne artikel:

Introduktion

Denne vejledning hjælper it-administratorer med at aktivere sikker bootstart af certifikatopdateringsprocessen ved hjælp af katalogpolitikker for Microsoft Intune-indstillinger. Den beskriver, hvordan du konfigurerer indstillingen Sikker bootstart, der aktiverer certifikatopdateringsprocessen, og hvordan du installerer konfigurationen. Den fremhæver også, hvordan du bruger modelbaseredetildelingsfiltre til at understøtte kontrollerede, faseinddelte implementeringer på hardware, der allerede er valideret til at håndtere opdateringen.

Forudsætninger

Berettigelsen til sikker bootstartcertifikatopdatering bestemmes af CSP'en til sikker bootstartpolitik og enhedsfirmwaren. Dette omfang justeres ikke altid i forhold til tidslinjer for Windows-vedligeholdelse (dvs. opdateringer) eller Intune tilmeldingskrav.

Intune og politiske forudsætninger

  • Log på med en konto, der har tilladelse til at oprette filtre og oprette/tildele indstillinger katalogpolitikker.

  • Enheder skal være tilmeldt Intune (tildelingsfiltre gælder kun for administrerede enheder).

Forudsætninger for berettigelse til sikker bootstart

Trin 1 – Konfigurer indstillinger for sikker bootstart af certifikatopdatering i Intune (kataloget Indstillinger)

I dette trin skal du oprette en profil til konfiguration af windows-indstillinger for katalogenhed i Microsoft Intune. Du kan også konfigurere indstillingerne for sikker bootstart, der aktiverer sikker bootstartcertifikatopdatering.

Hvad du vil oprette

En konfigurationsprofil til katalogenheden i Windows-indstillinger, der aktiverer Opdateringer Aktivér certifikat til sikker bootstart:

Opret katalogprofilen Indstillinger

  1. Log på Microsoft Intune Administration.

  2. Gå til Enheder > Administrer enheder > Konfiguration.

  3. Vælg Opret > Ny politik.

  4. I Opret en profil:

  5. Platform: Windows 10 og nyere

  6. Profiltype: Kataloget Indstillinger

  7. Vælg Opret.

  8. Navngiv profilen (f.eks. Sikker bootstartcertifikatopdatering), tilføj en valgfri beskrivelse, og vælg Næste.

  9. Vælg Tilføj indstillinger under Konfigurationsindstillinger.

  10. I indstillingsvælgeren skal du søge efter Sikker bootstart og vælge den under Gennemse efter kategori.

  11. Føj indstillingen Aktivér certifikat til sikker bootstart Opdateringer fra de tre, der præsenteres i kategorien Sikker bootstart, til profilen.

    Bemærk!: Du kan konfigurere de andre indstillinger for sikker bootstart i denne kategori på samme måde, hvis installationsscenariet kræver dem.

  12. Konfigurer indstillingsværdien til Aktiveret.

  13. Vælg Næste for at fortsætte til opgaverne. (Du skal anvende et filter i trin 3).

Trin 2 – Opret et tildelingsfilter til modelbaseret målretning

Derefter skal du oprette et Intune opgavefilter, der er målrettet mod bestemte enhedsmodeller. Modelbaseret målretning giver dig mulighed for at begrænse sikker bootstart certifikatopdateringer til udvalgte hardwaremodeller. Denne kontrollerede og faseinddelte installation kræver ikke yderligere Microsoft Entra ID grupper.

Derfor anbefales modelbaseret målretning til installation af certifikat til sikker bootstart

  • Firmwarevariabilitet – OEM'er implementerer Sikker bootstart anderledes, så angivelse af modelniveau reducerer uventet funktionsmåde.

  • Tidligere validering – Du kan validere certifikatopdateringer på et kendt fungerende hardwaresæt før bred udrulning.

Hvad du vil oprette

Et tildelingsfilter for administrerede enheder , der registrerer (eller udelader) bestemte enhedsmodeller.

Opret tildelingsfilteret

  1. Log på Microsoft Intune Administration.

  2. Gå til Filtre for lejeradministration > Tildelingsfiltre > Opret.

  3. Vælg Administrerede enheder.

  4. I Grundlæggende skal du angive:

    • Filternavn (beskrivende).

    • Beskrivelse (valgfrit, men anbefales).

    • Platform: Windows 10 og nyere.

  5. Vælg Næste.

  6. Vælg én fremgangsmåde i Regler:

    • Regelgenerator (anbefales til de fleste administratorer)

    • Regelsyntaks (manuel redigering af udtryk)

Opbygge en modelbaseret regel (regelbygger)

  1. Vælg modelegenskaben i Regelgenerator.

  2. Vælg en operator.

  3. Angiv den eller de modelstrenge, du vil matche.

  4. Vælg Tilføj udtryk for at føje det til reglen.

  5. Hvis det er nødvendigt, kan du bruge And/Or til at udvide reglen til yderligere modeller eller tilføje yderligere kriterier baseret på andre mulige egenskaber, der kan filtreres.

Tip!: Brug Eksempelenheder til at validere, om filteret svarer til det tiltænkte sæt. Eksempellisten understøtter søgning efter enhedsnavn, operativsystemversion, enhedsmodel og enhedsproducent.

Få vist et eksempel, og opret filteret

  1. Vælg Vis enheder for at bekræfte, hvilke registrerede enheder der matcher.

  2. Vælg Næste.

  3. (Valgfrit) Tildel områdemærker , hvis du bruger dem.

  4. Vælg Næste.

  5. I Gennemse + opret skal du vælge Opret.

Trin 3 – Tildel politikken ved hjælp af tildelingsfilteret

Til sidst skal du tildele katalogprofilen Indstillinger til en enhed eller brugergruppe og anvende tildelingsfilteret. Dette bestemmer, hvilke registrerede enheder der modtager og behandler indstillingerne for sikker bootstartcertifikatopdatering under evaluering af politikker.

Hvad du vil gøre

Du skal tildele katalogprofilen Indstillinger for sikker bootstart fra trin 1 til en gruppe og derefter anvende filteret fra trin 2 i tilstanden Medtag eller Udelad .

Anvend tildelingsfilteret

  1. I Microsoft Intune Administration skal du gå til Enheder > Administrer enheder > konfiguration.

  2. Vælg den katalogprofil for Indstillinger, du oprettede i trin 1 ovenfor.

  3. Åbn Egenskaber > Opgaver > Rediger.

  4. Tildel profilen til den relevante brugergruppe eller enhedsgruppe.

    Tip!: Hvis du ikke har andre kriterier til at begrænse målretningen, skal du tildele denne politik til den virtuelle gruppe Alle enheder . Brug enhedsmodellens tildelingsfilter fra trin 2 til at begrænse opgaven. Denne kombination er tilstrækkelig til de fleste installationer. Den virtuelle gruppe Alle enheder er indbygget, kræver ingen gruppevedligeholdelse og er optimeret til skalering. Derefter indsnævrer tildelingsfilteret anvendeligheden ved enhedstjek baseret på enhedens egenskaber, uden at der kræves yderligere Microsoft Entra grupper.

  5. Vælg Rediger filter.

  6. Vælg en:

    • Medtag filtrerede enheder i opgaven: Kun enheder, der svarer til filteret, modtager politikken.

    • Udelad filtrerede enheder i opgave: Enheder, der svarer til filteret, modtager ikke politikken.

  7. Vælg dit eksisterende opgavefilter fra trin 2, og vælg Vælg.

  8. Vælg Gennemse + gem > Gem.

Forstå enhedens funktionsmåde

  • Intune evaluerer filteret, når enheden tilmelder sig, hver gang den tjekker ind, og når den tildelte politik evalueres igen.

  • Aktivering af indstillingen Sikker bootstart garanterer ikke øjeblikkeligt certifikatprogram. For indstillingen Sikker bootstart, der udløser opdateringsprocessen, kører Windows Sikker bootstart hver 12. time. Nogle opdateringer kan kræve en genstart.

Ofte stillede spørgsmål

Den Windows Secure Boot-opgave, der behandler indstillingen, kører hver 12. time.

Start af opdateringen via Intune medfører ikke en genstart, selvom det kan være nødvendigt at genstarte for at fuldføre opdateringen.

Når certifikater er blevet anvendt på firmware, kan Windows ikke fjerne dem. Rydning af certifikater skal udføres via firmwaregrænsefladen.

Ældre certifikater udløber i juni 2026. Enheder, der ikke har modtaget de nyere 2023-certifikater, mister muligheden for at modtage nye sikkerhedsbeskyttelser ved tidlig start (f.eks. Sikker bootstartdatabase og opdateringer til tilbagekaldelse).

Ressourcer

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed