Gilt für
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Ursprüngliches Veröffentlichungsdatum: 10. März 2026

KB-ID: 5084490

Dieser Artikel enthält Anleitungen für

  • IT-Experten und Intune Administratoren, die Windows-Geräte verwalten, Steuerelemente zum Aktualisieren von Zertifikaten für den sicheren Start über Einstellungskatalogrichtlinien bereitstellen und Updateworkflows überwachen.

  • Teams, die Bereitstellungen auf bestimmte Hardwaremodelle mithilfe von Zuweisungsfiltern ausrichten müssen.

In diesem Artikel:

Einführung

Dieser Leitfaden hilft IT-Administratoren beim Aktivieren des Zertifikataktualisierungsprozesses für den sicheren Start mithilfe von Microsoft Intune Einstellungen-Katalogrichtlinien. Es wird beschrieben, wie Sie die Einstellung für den sicheren Start konfigurieren, die den Zertifikataktualisierungsprozess aktiviert, und wie Diese Konfiguration bereitgestellt wird. Außerdem wird erläutert, wie modellbasierteZuweisungsfilter verwendet werden können, um kontrollierte, gestaffelte Rollouts auf Hardware zu unterstützen, die bereits für die erfolgreiche Verarbeitung des Updates überprüft wurde.

Voraussetzungen

Die Berechtigung zum Aktualisieren des Zertifikats für den sicheren Start wird durch den CSP und die  Gerätefirmware derRichtlinie für den sicheren Start bestimmt. Dieser Bereich entspricht nicht immer den Windows-Wartungszeitplänen (d. h. Updates) oder Intune Registrierungsanforderungen.

Intune und Richtlinienvoraussetzungen

  • Melden Sie sich mit einem Konto an, das über Berechtigungen zum Erstellen von Filtern und Erstellen/Zuweisen von Einstellungenkatalogrichtlinien verfügt.

  • Geräte müssen in Intune registriert werden (Zuweisungsfilter gelten nur für verwaltete Geräte).

Voraussetzungen für die Berechtigung für den sicheren Start

Schritt 1: Konfigurieren der Einstellungen für das Update des Zertifikats für den sicheren Start in Intune (Einstellungskatalog)

In diesem Schritt erstellen Sie ein Gerätekonfigurationsprofil für den Windows-Einstellungskatalog in Microsoft Intune. Außerdem konfigurieren Sie die Einstellungen für den sicheren Start, die den Prozess zum Aktualisieren des Zertifikats für den sicheren Start aktivieren.

Was Sie erstellen werden

Ein Windows-Einstellungskatalog-Gerätekonfigurationsprofil, das die Updates Enable Secure Boot Certificate (Zertifikat für sicheren Start aktivieren) aktiviert:

Erstellen des Einstellungskatalogprofils

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräte > Geräte verwalten > Konfiguration.

  3. Wählen Sie Create > New policy (Neue Richtlinieerstellen) aus.

  4. Unter Profil erstellen:

  5. Plattform: Windows 10 und höher

  6. Profiltyp: Einstellungskatalog

  7. Wählen Sie Erstellen aus.

  8. Benennen Sie das Profil (z. B. Secure Boot Certificate Update), fügen Sie eine optionale Beschreibung hinzu, und wählen Sie Weiter aus.

  9. Wählen Sie unter Konfigurationseinstellungendie Option Einstellungen hinzufügen aus.

  10. Suchen Sie in der Einstellungsauswahl nach Sicherer Start , und wählen Sie ihn unter Kategorie durchsuchen aus.

  11. Fügen Sie dem Profil die Einstellung Zertifikat für sicheren Start Updates aktivieren aus den drei in der Kategorie Sicherer Start angezeigten hinzu.

    Hinweis: Sie können die anderen Einstellungen für den sicheren Start in dieser Kategorie auf die gleiche Weise konfigurieren, wenn sie für Ihr Bereitstellungsszenario erforderlich sind.

  12. Konfigurieren Sie den Einstellungswert auf Aktiviert.

  13. Wählen Sie Weiter aus, um mit den Zuweisungen fortzufahren. (In Schritt 3 wenden Sie einen Filter an.

Schritt 2: Erstellen eines Zuweisungsfilters für die modellbasierte Zielbestimmung

Als Nächstes erstellen Sie einen Intune Zuweisungsfilter, der auf bestimmte Gerätemodelle abzielt. Mit der modellbasierten Ausrichtung können Sie Zertifikatupdates für den sicheren Start auf ausgewählte Hardwaremodelle festlegen. Für diese kontrollierte und mehrstufige Bereitstellung sind keine zusätzlichen Microsoft Entra ID Gruppen erforderlich.

Warum die modellbasierte Zielbestimmung für die Bereitstellung des Zertifikats für den sicheren Start empfohlen wird

  • Firmwarevariabilität : OEMs implementieren den sicheren Start anders, sodass die Bereichsdefinition auf Modellebene unerwartetes Verhalten reduziert.

  • Vorherige Überprüfung : Sie können Zertifikatupdates auf einer als fehlerfrei bekannten Hardwaresatz überprüfen, bevor sie allgemein bereitgestellt werden.

Was Sie erstellen werden

Ein Zuweisungsfilter für verwaltete Geräte , der auf bestimmte Gerätemodelle abzielt (oder ausschließt).

Erstellen des Zuweisungsfilters

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Mandantenverwaltung > Zuweisungsfilter > Erstellen.

  3. Wählen Sie Verwaltete Geräte aus.

  4. Legen Sie unter Grundlagen Folgendes fest:

    • Filtername (beschreibend).

    • Beschreibung (optional, aber empfohlen).

    • Plattform: Windows 10 und höher.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie unter Regeln einen Ansatz aus:

    • Regel-Generator (empfohlen für die meisten Administratoren)

    • Regelsyntax (manuelle Ausdrucksbearbeitung)

Erstellen einer modellbasierten Regel (Regel-Generator)

  1. Wählen Sie im Regel-Generator die Modelleigenschaft aus.

  2. Wählen Sie einen Operator aus.

  3. Geben Sie die Modellzeichenfolge(en) ein, die Sie abgleichen möchten.

  4. Wählen Sie Ausdruck hinzufügen aus, um ihn der Regel hinzuzufügen.

  5. Verwenden Sie bei Bedarf And/Or , um die Regel auf zusätzliche Modelle zu erweitern oder zusätzliche Kriterien basierend auf anderen möglichen filterbaren Eigenschaften hinzuzufügen.

Tipp: Verwenden Sie Vorschaugeräte , um zu überprüfen, ob der Filter mit dem beabsichtigten Satz übereinstimmt. Die Vorschauliste unterstützt die Suche nach Gerätename, Betriebssystemversion, Gerätemodell und Gerätehersteller.

Vorschau und Erstellen des Filters

  1. Wählen Sie Gerätevorschau aus, um zu bestätigen, welche registrierten Geräte übereinstimmen.

  2. Wählen Sie Weiter aus.

  3. (Optional) Weisen Sie Bereichstags zu , wenn Sie sie verwenden.

  4. Wählen Sie Weiter aus.

  5. Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus.

Schritt 3: Zuweisen der Richtlinie mithilfe des Zuweisungsfilters

Schließlich weisen Sie das Einstellungskatalogprofil einem Gerät oder einer Benutzergruppe zu und wenden den Zuweisungsfilter an. Dadurch wird bestimmt, welche registrierten Geräte während der Richtlinienauswertung die Einstellungen für die Aktualisierung des Zertifikats für den sicheren Start empfangen und verarbeiten.

Was Sie tun werden

Sie weisen das Katalogprofil für Einstellungen für den sicheren Start aus Schritt 1 einer Gruppe zu und wenden dann den Filter aus Schritt 2 im Einschließen - oder Ausschlussmodus an.

Anwenden des Zuweisungsfilters

  1. Navigieren Sie im Microsoft Intune Admin Center zu Geräte > Geräte verwalten > Konfiguration.

  2. Wählen Sie das Einstellungskatalogprofil aus, das Sie oben in Schritt 1 erstellt haben.

  3. Öffnen Sie Eigenschaften > Zuweisungen > Bearbeiten.

  4. Weisen Sie das Profil der entsprechenden Benutzergruppe oder Gerätegruppe zu.

    Tipp: Wenn Sie keine anderen Kriterien zum Einschränken der Zielgruppenadressierung haben, weisen Sie diese Richtlinie der virtuellen Gruppe Alle Geräte zu. Verwenden Sie den Gerätemodellzuweisungsfilter aus Schritt 2, um den Bereich für die Zuweisung zu festlegen. Diese Kombination ist für die meisten Bereitstellungen ausreichend. Die virtuelle Gruppe Alle Geräte ist integriert, erfordert keine Gruppenwartung und ist für die Skalierung optimiert. Anschließend schränkt der Zuweisungsfilter die Anwendbarkeit beim Einchecken des Geräts basierend auf den Geräteeigenschaften ein, ohne dass zusätzliche Microsoft Entra-Gruppen erforderlich sind.

  5. Wählen Sie Filter bearbeiten aus.

  6. Wählen Sie eins aus:

    • Gefilterte Geräte in die Zuweisung einschließen: Nur Geräte, die dem Filter entsprechen, erhalten die Richtlinie.

    • Gefilterte Geräte in der Zuweisung ausschließen: Geräte, die dem Filter entsprechen, erhalten die Richtlinie nicht.

  7. Wählen Sie Ihren vorhandenen Zuweisungsfilter aus Schritt 2 und dann Auswählen aus.

  8. Wählen Sie Überprüfen + speichern > Speichern aus.

Grundlegendes zum Geräteverhalten

  • Intune wertet den Filter aus, wenn das Gerät registriert wird, jedes Mal, wenn es eingecheckt wird und wenn die zugewiesene Richtlinie erneut ausgewertet wird.

  • Das Aktivieren der Einstellung "Sicherer Start" garantiert keine sofortige Zertifikatanwendung. Für die Einstellung Sicherer Start, die den Updatevorgang auslöst, wird der Windows-Task "Sicherer Start" alle 12 Stunden ausgeführt. Einige Updates können einen Neustart erfordern.

FAQ

Die Windows Secure Boot-Aufgabe, die die Einstellung verarbeitet, wird alle 12 Stunden ausgeführt.

Das Initiieren des Updates über Intune führt nicht zu einem Neustart, obwohl möglicherweise ein Neustart erforderlich ist, um das Update abzuschließen.

Nachdem Zertifikate auf Firmware angewendet wurden, kann Windows sie nicht mehr entfernen. Das Löschen von Zertifikaten muss über die Firmwareschnittstelle erfolgen.

Ältere Zertifikate laufen im Juni 2026 ab. Geräte, die die neueren 2023-Zertifikate nicht erhalten haben, verlieren die Möglichkeit, neue Frühstartsicherheitsschutze (z. B. Datenbankupdates für den sicheren Start und Sperrupdates) zu erhalten.

Ressourcen

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter