Εφαρμογή ρυθμίσεων ενημέρωσης πιστοποιητικού Ασφαλούς εκκίνησης με χρήση στόχευσης βάσει μοντέλου στο Microsoft Intune

Σε αυτό το άρθρο:

• Εισαγωγή

• Προαπαιτούμενα

• Βήμα 1 - Ρύθμιση παραμέτρων ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης στο Intune (Κατάλογος ρυθμίσεων)

• Βήμα 2 - Δημιουργία φίλτρου ανάθεσης για στόχευση βάσει μοντέλου

• Βήμα 3 - Εκχωρήστε την πολιτική χρησιμοποιώντας το φίλτρο ανάθεσης

• Συνήθεις ερωτήσεις

• Πόροι

Εισαγωγή

Αυτές οι οδηγίες βοηθούν τους διαχειριστές IT να ενεργοποιήσουν τη διαδικασία ενημέρωσης πιστοποιητικού Ασφαλούς εκκίνησης χρησιμοποιώντας πολιτικές καταλόγου Microsoft Intune Ρυθμίσεις. Περιγράφει πώς μπορείτε να ρυθμίσετε τις παραμέτρους της ασφαλούς εκκίνησης που επιτρέπει τη διαδικασία ενημέρωσης πιστοποιητικού και τον τρόπο ανάπτυξης της συγκεκριμένης ρύθμισης παραμέτρων. Επισημαίνει επίσης τον τρόπο χρήσης φίλτρων ανάθεσης βάσει μοντέλου για την υποστήριξη ελεγχόμενων, σταδιακών κυκλοφοριών σε υλικό που έχει ήδη επικυρωθεί για τον επιτυχή χειρισμό της ενημέρωσης.

Προαπαιτούμενα

Η καταλληλότητα για την ενημέρωση πιστοποιητικού ασφαλούς εκκίνησης καθορίζεται από την Πολιτική ασφαλούς εκκίνησης CSP και το υλικολογισμικό της συσκευής. Αυτό το εύρος δεν ευθυγραμμίζεται πάντα με τα χρονοδιαγράμματα συντήρησης των Windows (π.χ., ενημερώσεις) ή Intune απαιτήσεις εγγραφής.

προαπαιτούμενα Intune και πολιτικής

• Πραγματοποιήστε είσοδο με ένα λογαριασμό που έχει δικαιώματα δημιουργίας φίλτρων και δημιουργίας/εκχώρησης πολιτικών καταλόγου ρυθμίσεων.

• Οι συσκευές πρέπει να είναι εγγεγραμμένες στο Intune (τα φίλτρα ανάθεσης εργασιών ισχύουν μόνο για διαχειριζόμενες συσκευές).

Προϋποθέσεις καταλληλότητας ασφαλούς εκκίνησης

• Η λίστα των υποστηριζόμενων εκδόσεων των Windows είναι διαθέσιμη με Microsoft Intune μέθοδο ασφαλούς εκκίνησης για συσκευές Windows με ενημερώσεις διαχειριζόμενες από it.

• Στις συσκευές πρέπει να είναι ενεργοποιημένη η Ασφαλής εκκίνηση και θα πρέπει να υπάρχει μια τρέχουσα ενημέρωση συντήρησης.

Βήμα 1 - Ρύθμιση παραμέτρων ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης στο Intune (Κατάλογος ρυθμίσεων)

Σε αυτό το βήμα, μπορείτε να δημιουργήσετε ένα προφίλ ρύθμισης παραμέτρων συσκευής καταλόγου ρυθμίσεων των Windows στο Microsoft Intune. Επίσης, ρυθμίζετε τις παραμέτρους της Ασφαλούς εκκίνησης που ενεργοποιούν τη διαδικασία ενημέρωσης πιστοποιητικού Ασφαλούς εκκίνησης.

Τι θα δημιουργήσετε

Ένα προφίλ ρύθμισης παραμέτρων συσκευής καταλόγου ρυθμίσεων των Windows που ενεργοποιεί το Ενημερώσεις Ενεργοποίηση πιστοποιητικού ασφαλούς εκκίνησης:

Δημιουργία του προφίλ καταλόγου Ρυθμίσεων

1. Πραγματοποιήστε είσοδο στο κέντρο διαχείρισης Microsoft Intune.

2. Μεταβείτε στις Συσκευές > Διαχείριση συσκευών > Ρύθμιση παραμέτρων.

3. Επιλέξτε Δημιουργία > Νέα πολιτική.

4. Στην ενότητα Δημιουργία προφίλ:

5. Πλατφόρμα: Windows 10 και νεότερες εκδόσεις

6. Τύπος προφίλ: Κατάλογος ρυθμίσεων

7. Επιλέξτε Δημιουργία.

8. Ονομάστε το προφίλ (π.χ., Ενημέρωση πιστοποιητικού ασφαλούς εκκίνησης), προσθέστε μια προαιρετική περιγραφή και επιλέξτε Επόμενο.

9. Στις Ρυθμίσεις παραμέτρων, επιλέξτε Προσθήκη ρυθμίσεων.

10. Στον επιλογέα ρυθμίσεων, αναζητήστε την επιλογή Ασφαλής εκκίνηση και επιλέξτε την στην περιοχή Αναζήτηση ανά κατηγορία.

11. Προσθέστε τη ρύθμιση Enable Secure Boot Certificate Ενημερώσεις από τις τρεις που παρουσιάζονται στην κατηγορία Secure Boot στο προφίλ.

    Σημείωση: Μπορείτε να ρυθμίσετε τις παραμέτρους των άλλων ρυθμίσεων Ασφαλούς εκκίνησης σε αυτή την κατηγορία με τον ίδιο τρόπο, εάν το σενάριο ανάπτυξής σας τις απαιτεί.

12. Ρυθμίστε την τιμή ρύθμισης σε Ενεργοποιημένο.

13. Επιλέξτε Επόμενο για να συνεχίσετε με τις αναθέσεις εργασιών. (Θα εφαρμόσετε ένα φίλτρο στο Βήμα 3).

Βήμα 2 - Δημιουργία φίλτρου ανάθεσης για στόχευση βάσει μοντέλου

Στη συνέχεια, δημιουργείτε ένα φίλτρο ανάθεσης Intune που στοχεύει συγκεκριμένα μοντέλα συσκευών. Η στόχευση βάσει μοντέλου σάς επιτρέπει να ορίσετε την εμβέλεια ενημερώσεων πιστοποιητικών ασφαλούς εκκίνησης για επιλεγμένα μοντέλα υλικού. Αυτή η ελεγχόμενη και σταδιακή ανάπτυξη δεν απαιτεί πρόσθετες ομάδες Microsoft Entra ID.

Γιατί συνιστάται η στόχευση βάσει μοντέλου για την ανάπτυξη πιστοποιητικών ασφαλούς εκκίνησης

• Μεταβλητότητα υλικολογισμικού - Οι OEM εφαρμόζουν την Ασφαλή εκκίνηση με διαφορετικό τρόπο, επομένως, η εμβέλεια επιπέδου μοντέλου μειώνει την απροσδόκητη συμπεριφορά.

• Προηγούμενη επικύρωση - Μπορείτε να επικυρώσετε ενημερώσεις πιστοποιητικών σε ένα γνωστό καλό σύνολο υλικού πριν από την ευρεία κυκλοφορία.

Τι θα δημιουργήσετε

Ένα φίλτρο ανάθεσης διαχειριζόμενων συσκευών που στοχεύει (ή εξαιρεί) συγκεκριμένα μοντέλα συσκευών.

Δημιουργία του φίλτρου ανάθεσης εργασιών

1. Πραγματοποιήστε είσοδο στο κέντρο διαχείρισης Microsoft Intune.

2. Μεταβείτε στη διαχείριση μισθωτή > φίλτρα ανάθεσης > Δημιουργία.

3. Επιλέξτε Διαχειριζόμενες συσκευές.

4. Στην ενότητα Βασικά στοιχεία, ορίστε:

   • Όνομα φίλτρου (περιγραφικό).

   • Περιγραφή (προαιρετική, αλλά συνιστάται).

   • Πλατφόρμα: Windows 10 και νεότερες εκδόσεις.

5. Επιλέξτε Επόμενο.

6. Στην περιοχή Κανόνες, επιλέξτε μία προσέγγιση:

   • Δόμηση κανόνων (προτείνεται για τους περισσότερους διαχειριστές)

   • Σύνταξη κανόνα (μη αυτόματη επεξεργασία παραστάσεων)

Δημιουργία κανόνα βάσει μοντέλου (εργαλείο δόμησης κανόνων)

1. Στη Δόμηση κανόνων, επιλέξτε την ιδιότητα μοντέλου .

2. Επιλέξτε έναν τελεστή.

3. Εισαγάγετε τις συμβολοσειρές του μοντέλου που θέλετε να αντιστοιχίσετε.

4. Επιλέξτε Προσθήκη παράστασης για να την προσθέσετε στον κανόνα.

5. Εάν είναι απαραίτητο, χρησιμοποιήστε την επιλογή Ή/και για να επεκτείνετε τον κανόνα σε πρόσθετα μοντέλα ή για να προσθέσετε πρόσθετα κριτήρια με βάση άλλες πιθανές ιδιότητες με δυνατότητα φιλτραρίσματος.

Προεπισκόπηση και δημιουργία του φίλτρου

1. Επιλέξτε Συσκευές προεπισκόπησης για να επιβεβαιώσετε ποιες εγγεγραμμένες συσκευές ταιριάζουν.

2. Επιλέξτε Επόμενο.

3. (Προαιρετικό) Αν χρησιμοποιείτε ετικέτες εύρους, αντιστοιχίστε ετικέτες εύρους .

4. Επιλέξτε Επόμενο.

5. Στην ενότητα Αναθεώρηση + δημιουργία, επιλέξτε Δημιουργία.

Βήμα 3 - Εκχωρήστε την πολιτική χρησιμοποιώντας το φίλτρο ανάθεσης

Τέλος, εκχωρείτε το προφίλ καταλόγου Ρυθμίσεις σε μια συσκευή ή ομάδα χρηστών και εφαρμόζετε το φίλτρο ανάθεσης. Αυτό καθορίζει ποιες εγγεγραμμένες συσκευές λαμβάνουν και επεξεργάζονται τις ρυθμίσεις ενημέρωσης πιστοποιητικού Ασφαλούς εκκίνησης κατά την αξιολόγηση πολιτικής.

Τι θα κάνετε

Θα αντιστοιχίσετε το προφίλ καταλόγου Secure Boot Settings από το Βήμα 1 σε μια ομάδα και, στη συνέχεια, θα εφαρμόσετε το φίλτρο από το βήμα 2 σε λειτουργία συμπερίληψης ή εξαίρεσης .

Εφαρμογή του φίλτρου ανάθεσης

1. Στο κέντρο διαχείρισης Microsoft Intune, μεταβείτε στην επιλογή Συσκευές > Διαχείριση συσκευών > Ρύθμιση παραμέτρων.

2. Επιλέξτε το προφίλ καταλόγου Ρυθμίσεις που δημιουργήσατε στο Βήμα 1 παραπάνω.

3. Ανοίξτε τις Ιδιότητες > αναθέσεις εργασιών > Επεξεργασία.

4. Αντιστοιχίστε το προφίλ στην κατάλληλη ομάδα χρηστών ή ομάδα συσκευών.

   Συμβουλή: Εάν δεν έχετε άλλα κριτήρια για να περιορίσετε τη στόχευση, εκχωρήστε αυτήν την πολιτική στην εικονική ομάδα Όλες οι συσκευές . Χρησιμοποιήστε το φίλτρο αντιστοίχισης μοντέλου συσκευής από το Βήμα 2 για να εφαρμόσετε την ανάθεση εργασιών. Αυτός ο συνδυασμός επαρκεί για τις περισσότερες αναπτύξεις. Η εικονική ομάδα Όλες οι συσκευές είναι ενσωματωμένη, δεν απαιτεί συντήρηση ομάδας και είναι βελτιστοποιημένη για κλίμακα. Στη συνέχεια, το φίλτρο ανάθεσης περιορίζει την καταλληλότητα κατά τον έλεγχο συσκευής με βάση τις ιδιότητες της συσκευής, χωρίς να απαιτούνται πρόσθετες ομάδες Microsoft Entra.

5. Επιλέξτε Επεξεργασία φίλτρου.

6. Επιλέξτε ένα από τα εξής:

   • Συμπεριλάβετε φιλτραρισμένες συσκευές στην ανάθεση: μόνο οι συσκευές που ταιριάζουν με το φίλτρο λαμβάνουν την πολιτική.

   • Εξαίρεση φιλτραρισμένων συσκευών στην ανάθεση: οι συσκευές που ταιριάζουν με το φίλτρο δεν λαμβάνουν την πολιτική.

7. Επιλέξτε το υπάρχον φίλτρο ανάθεσης εργασίας από το Βήμα 2 και επιλέξτε Επιλογή.

8. Επιλέξτε Αναθεώρηση + αποθήκευση > Αποθήκευση.

Κατανόηση της συμπεριφοράς της συσκευής

• Intune αξιολογεί το φίλτρο κατά την εγγραφή της συσκευής, κάθε φορά που πραγματοποιεί έλεγχο και κάθε φορά που επαναξιολογείται η αντιστοιχισμένη πολιτική.

• Η ενεργοποίηση της ρύθμισης Ασφαλούς εκκίνησης δεν εγγυάται την άμεση εφαρμογή πιστοποιητικού. Για τη ρύθμιση Ασφαλούς εκκίνησης που ενεργοποιεί τη διαδικασία ενημέρωσης, η εργασία Ασφαλούς εκκίνησης των Windows εκτελείται κάθε 12 ώρες. Ορισμένες ενημερώσεις μπορεί να απαιτούν επανεκκίνηση.

Συνήθεις ερωτήσεις

Πόροι

• Ορισμοί ρυθμίσεων και επιτρεπόμενες τιμές: CSP Πολιτικής SecureBoot

• Συμπεριφορά ροής και ρύθμισης καταλόγου ρυθμίσεων ρυθμίσεων: Microsoft Intune μέθοδος Ασφαλούς εκκίνησης για συσκευές Windows με ενημερώσεις διαχειριζόμενες από IT

• Φόντο και λωρίδες χρόνου: Λήξη πιστοποιητικού ασφαλούς εκκίνησης των Windows και ενημερώσεις CA

• Δημιουργία, προεπισκόπηση και εφαρμογή φίλτρων: Δημιουργία φίλτρων ανάθεσης εργασιών σε Microsoft Intune

• Υποστηριζόμενες ιδιότητες, τελεστές και σύνταξη: Αναφορά στις ιδιότητες φίλτρου ανάθεσης και στους τελεστές

• Ο συνολικός σχεδιασμός κυκλοφορίας και Intune που προτείνονται ως προτεινόμενη επιλογή: Βιβλίο αναπαραγωγής ασφαλούς εκκίνησης για πιστοποιητικά που λήγουν το 2026

• Προσέγγιση μόνο παρακολούθησης και αναφορά Intune): Παρακολούθηση της κατάστασης του πιστοποιητικού Ασφαλούς εκκίνησης με Microsoft Intune αποκατασταση