Secure Booti serdi värskendussätete rakendamine mudelipõhise sihtimise abil Microsoft Intune

Selles artiklis:

• Sissejuhatus

• Eeldused

• 1. toiming – turbekäivituse serdi värskendussätete konfigureerimine Intune (sätete kataloog)

• 2. juhis: määrangufiltri loomine mudelipõhise sihtimise jaoks

• 3. juhis: määrake poliitika määramisfiltri abil

• Korduma kippuvad küsimused

• Ressursid

Sissejuhatus

Need juhised aitavad IT-administraatoritel Microsoft Intune sätete kataloogipoliitikate abil turvalise algkäivituse serdi värskendamise lubada. Selles kirjeldatakse, kuidas konfigureerida secure Booti sätet, mis lubab serdi värskendamise protsessi ja kuidas seda konfiguratsiooni juurutada. Samuti rõhutab see, kuidas kasutada mudelipõhiseid määrangufiltreid, et toetada kontrollitud etapiviisilisi väljaandeid riistvaral, mis on juba valideeritud värskenduse õnnestumiseks.

Eeldused

Turvalise algkäivituse serdi värskenduse sobivuse määrab secure Boot Policy CSP ja seadme püsivara. See ulatus ei ühti alati Windowsi teeninduse (st värskenduste) ajaskaalade ega Intune registreerimisnõuetega.

Intune ja poliitika eeltingimused

• Logige sisse kontoga, millel on õigus luua filtreid ja luua/määrata sätete kataloogi poliitikaid.

• Seadmed peavad olema registreeritud Intune (määramisfiltrid kehtivad ainult hallatavatele seadmetele).

Secure Booti tingimustele vastavuse eeltingimused

• Toetatud Windowsi versioonide loend on saadaval it-hallatavate värskendustega Windowsi seadmete turvalise käivitamise Microsoft Intune meetodil.

• Seadmetes peab olema lubatud turvaline käivitamine ja see peab olema praeguses hooldusvärskenduses.

1. toiming – turbekäivituse serdi värskendussätete konfigureerimine Intune (sätete kataloog)

Selles etapis loote Microsoft Intune Windowsi sätete kataloogi seadme konfiguratsiooniprofiili. Samuti saate konfigureerida secure Booti sätted, mis lubavad Secure Boot serdi värskendamise protsessi.

Loodav teave

Windowsi sätete kataloogi seadme konfiguratsiooniprofiil, mis lubab turvalise algkäivituse serdi Teabevärskendused:

Sätete kataloogiprofiili loomine

1. Logige sisse Microsoft Intune halduskeskusesse.

2. Valige Seadmed > Seadmete haldamine > konfigureerimine.

3. Valige Loo > Uus poliitika.

4. Tehke jaotises Profiili loomine järgmist.

5. Platvorm: Windows 10 ja uuemad versioonid

6. Profiili tüüp: sätete kataloog

7. Valige käsk Loo.

8. Pange profiilile nimi (nt Secure Boot Certificate Update), lisage valikuline kirjeldus ja valige Edasi.

9. Tehke konfigureerimissätetes valik Lisa sätted.

10. Otsige sätetevalijas üles Secure Boot ja valige see jaotises Sirvi kategooria järgi.

11. Lisage turbekäivituse serdi Teabevärskendused säte profiilile kategoorias Secure Boot esitatud kolmest sättest.

    Märkus.: Kui teie juurutusstsenaarium neid nõuab, saate konfigureerida ka teised selle kategooria turvalise algkäivituse sätted.

12. Konfigureerige sätte väärtuseks Lubatud.

13. Ülesannetega jätkamiseks valige Edasi . (Rakendate filtri 3. juhises).

2. juhis: määrangufiltri loomine mudelipõhise sihtimise jaoks

Järgmiseks loote Intune määramisfiltri, mis sihib kindlaid seadmemudeleid. Mudelipõhine sihtimine võimaldab teil määrata turvalise algkäivituse serdi värskendused valitud riistvaramudelitele. See kontrollitud ja etapiline juurutamine ei nõua täiendavaid Microsoft Entra ID rühmi.

Miks on turvalise algkäivituse serdi juurutamiseks soovitatav mudelipõhine sihtimine?

• Püsivara hajuvus – OEM-id rakendavad secure Booti erinevalt, seega vähendab mudelitaseme ulatuse määramine ootamatut käitumist.

• Eelnev valideerimine . Enne laia väljalaskmist saate serdivärskendusi valideerida teadaolevas heas riistvarakomplektis.

Loodav teave

Hallatavate seadmete määramisfilter, mis sihib (või välistab) kindlaid seadmemudeleid.

Ülesandefiltri loomine

1. Logige sisse Microsoft Intune halduskeskusesse.

2. Avage jaotis Rentnikuhaldus > Määramisfiltrid > Loo.

3. Valige Hallatavad seadmed.

4. Jaotises Põhitõed määrake:

   • Filtri nimi (kirjeldav).

   • Kirjeldus (valikuline, kuid soovitatav).

   • Platvorm: Windows 10 ja uuemad versioonid.

5. Valige suvand Edasi.

6. Valige jaotises Reeglid üks võimalus.

   • Reeglikoostur (soovitatav enamiku administraatorite jaoks)

   • Reegli süntaks (avaldise käsitsi redigeerimine)

Mudelipõhise reegli (reeglikoostur) koostamine

1. Valige reeglikoosturismudeli atribuut.

2. Valige tehtemärk.

3. Sisestage vastendatavad mudelistringid.

4. Valige avaldise lisamiseks reeglile käsk Lisa avaldis .

5. Vajaduse korral kasutage ja /või , et laiendada reeglit täiendavatele mudelitele või lisada täiendavaid kriteeriume muude võimalike filtreeritavate atribuutide alusel.

Filtri eelvaade ja loomine

1. Valige Seadmete eelvaade , et kontrollida, millised registreeritud seadmed kattuvad.

2. Valige suvand Edasi.

3. (Valikuline) Määrake ulatuse sildid , kui te neid kasutate.

4. Valige suvand Edasi.

5. Valige jaotises Läbivaatus + loomine käsk Loo.

3. juhis: määrake poliitika määramisfiltri abil

Lõpuks määrate seadmele või kasutajarühmale sätete kataloogi profiili ja rakendate määramisfiltri. See määrab kindlaks, millised registreeritud seadmed saavad ja töötlevad turbekäivituse serdi värskendamise sätteid poliitika hindamise ajal.

Mida teha?

Määrate rühmale secure Boot Settings kataloogiprofiili alates 1. juhisest ja rakendate seejärel filtri 2. juhisest kaasamis - või välistamisrežiimis .

Ülesandefiltri rakendamine

1. Liikuge Microsoft Intune halduskeskuses jaotisse Seadmed > Seadmete haldamine > konfigureerimine.

2. Valige ülaltoodud juhises 1 loodud sätete kataloogi profiil.

3. Atribuudid > Määrangud > Redigeeri.

4. Määrake profiil vastavale kasutajarühmale või seadmerühmale.

   Näpunäide.: Kui teil pole muid sihtimise piiramise kriteeriume, määrake see poliitika virtuaalrühmale Kõik seadmed . Määrangu ulatuse määramiseks kasutage seadme mudeli määramise filtrit 2. etapist. See kombinatsioon on enamiku juurutuste jaoks piisav. Virtuaalrühm Kõik seadmed on sisse ehitatud, ei vaja rühma hooldust ja on optimeeritud mastaapimiseks. Seejärel kitsendab ülesandefilter seadme sisseregistreerimisel kohaldatavust seadme atribuutide põhjal, ilma et oleks vaja täiendavaid Microsoft Entra rühmi.

5. Valige Redigeeri filtrit.

6. Valige üks:

   • Kaasake filtreeritud seadmed määramisse: poliitika saavad ainult filtrile vastavad seadmed.

   • Välistage filtreeritud seadmed määrangus: filtrile vastavad seadmed ei saa poliitikat.

7. Valige 2. juhises olemasolev ülesandefilter ja valige vali.

8. Valige Läbivaatus ja salvestage > Salvesta.

Seadme käitumise mõistmine

• Intune hindab filtrit seadme registreerimisel, iga kord, kui see sisse registreerib, ja iga kord, kui määratud poliitikat uuesti hinnatakse.

• Secure Booti sätte lubamine ei taga vahetut serdirakendust. Turbekäivituse sätte puhul, mis käivitab värskendusprotsessi, käivitub Windowsi turbekäivituse toiming iga 12 tunni tagant. Mõned värskendused võivad nõuda taaskäivitamist.

Korduma kippuvad küsimused

Ressursid

• Sätete määratlused ja lubatud väärtused: SecureBoot Policy CSP

• Sätete kataloogivoog ja sätete käitumine: IT-hallatavate värskendustega Windowsi seadmete turvalise käivitamise meetodi Microsoft Intune

• Taust ja ajaskaalad: Windowsi turvalise algkäivituse serdi aegumine ja CA värskendused

• Filtrite loomine, eelvaade ja rakendamine: määramisfiltrite loomine Microsoft Intune

• Toetatud atribuudid, tehtemärgid ja süntaks: määramisfiltri atribuudid ja tehtemärgid

• Üldine väljaandmise kavandamine ja Intune soovitatud valikuna välja toodud: Secure Boot playbook for certificates expiring in 2026

• Ainult jälgimine ja Intune aruandlus. Secure Booti serdi oleku jälgimine Microsoft Intune parandustega