חל על
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

תאריך פרסום מקורי: (יום שלישי 10 מרץ 2026)

מזהה KB: 5084490

מאמר זה כולל הדרכה עבור

  • מומחי IT ומנהלי Intune שמנהלים מכשירי Windows, פורסים פקדי עדכון של אישור אתחול מאובטח באמצעות מדיניות קטלוג הגדרות ופקחים על זרימות עבודה של עדכונים.

  • צוותים צריכים לייעד פריסות למודלים ספציפיים של חומרה באמצעות מסנני הקצאה.

במאמר זה:

מבוא

הדרכה זו עוזרת למנהלי IT להפוך את תהליך העדכון של אישור האתחול המאובטח לזמין באמצעות Microsoft Intune מדיניות הקטלוג של הגדרות המערכת. היא מתארת כיצד לקבוע את התצורה של הגדרת האתחול המאובטח המאפשרת את תהליך עדכון האישור וכיצד לפרוס תצורה זו. בנוסף, היא מדגישה כיצד להשתמש במסנני הקצאה מבוססי מודל כדי לתמוך בהתניות מבוקרות בשלבים בחומרה שכבר אומתה כדי לטפל בעדכון בהצלחה.

דרישות מוקדמות

זכאות לעדכון אישור אתחול מאובטח נקבעת על-ידי ספק ה- CSP של מדיניות האתחול המאובטח והקשחה של המכשיר. טווח זה אינו תואם תמיד לצירי הזמן של שירות Windows (כלומר, עדכונים) או Intune ההרשמה שלך.

Intune מוקדמות של מדיניות ו-

  • היכנס באמצעות חשבון בעל הרשאות ליצירת מסננים ויצירה/הקצאה של פריטי מדיניות קטלוג הגדרות.

  • יש לרשום מכשירים ב- Intune (מסנני מטלות חלים רק על מכשירים מנוהלים).

דרישות מוקדמות של זכאות לאתחול מאובטח

שלב 1 - קביעת תצורה של הגדרות עדכון אישור אתחול מאובטח Intune (קטלוג הגדרות)

בשלב זה, תיצור פרופיל תצורה של מכשיר קטלוג הגדרות Windows Microsoft Intune. עליך גם לקבוע את התצורה של הגדרות האתחול המאובטח המאפשרות את תהליך העדכון של אישור האתחול המאובטח.

מה תיצור

פרופיל תצורה של התקן קטלוג הגדרות Windows המאפשר את האפשרות הפוך אישור אתחול מאובטח לזמין עדכונים:

יצירת פרופיל קטלוג ההגדרות

  1. היכנס למרכז Microsoft Intune הניהול.

  2. עבור אל מכשירים > נהל מכשירים > תצורה.

  3. בחר צור > מדיניות חדשה.

  4. תחת יצירת פרופיל:

  5. פלטפורמה: Windows 10 ואילך

  6. סוג פרופיל: קטלוג הגדרות

  7. בחר צור.

  8. תן שם לפרופיל (לדוגמה, עדכון אישור אתחול מאובטח), הוסף תיאור אופציונלי ובחר הבא.

  9. בהגדרות התצורה, בחר הוסף הגדרות.

  10. ב'בורר ההגדרות', חפש אתחול מאובטח ובחר אותו תחת עיון לפי קטגוריה.

  11. הוסף את ההגדרה הפוך אישור עדכונים מאובטח לזמין מהשלושה המוצגים בקטגוריה אתחול מאובטח לפרופיל.

    הערה: באפשרותך לקבוע את התצורה של הגדרות האתחול המאובטח האחרות בקטגוריה זו באותו אופן אם תרחיש הפריסה שלך דורש אותן.

  12. קבע את תצורת ערך ההגדרה לזמין.

  13. בחר הבא כדי להמשיך למטלות. (החלת מסנן בשלב 3).

שלב 2 - יצירת מסנן הקצאות עבור פילוח מבוסס מודל

לאחר מכן, תיצור מסנן Intune המטלה שמכוון למודלים ספציפיים של מכשירים. פילוח מבוסס-מודל מאפשר לך להגדיר טווח של עדכוני אישור אתחול מאובטח במודלים נבחרים של חומרה. פריסה מבוקרת זו והפריסה בשלבים אינה דורשת קבוצות Microsoft Entra ID נוספות.

מדוע מומלץ להשתמש במיקוד מבוסס-מודל עבור פריסת אישור אתחול מאובטח

  • סטיית קושחה - יצרני ציוד מקורי מיישמים אתחול מאובטח באופן שונה, ולכן הגדרת טווח ברמת המודל מפחיתה את אופן הפעולה הבלתי צפוי.

  • אימות קודם - באפשרותך לאמת עדכוני אישור בערכת חומרה טובה ידועה לפני הפריסה רחבה.

מה תיצור

מסנן הקצאה של מכשירים מנוהלים שממטר (או לא כולל) מודלים ספציפיים של מכשירים.

יצירת מסנן ההקצאות

  1. היכנס למרכז Microsoft Intune הניהול.

  2. עבור אל ניהול דיירים > הקצאות >צור.

  3. בחר מכשירים מנוהלים.

  4. תחת יסודות, הגדר:

    • שם מסנן (תיאורי).

    • תיאור (אופציונלי, אך מומלץ).

    • פלטפורמה: Windows 10 ואילך.

  5. בחר באפשרות הבא.

  6. בכללים, בחר גישה אחת:

    • בונה הכללים (מומלץ עבור רוב מנהלי המערכת)

    • תחביר הכלל (עריכת ביטויים ידניים)

בניית כלל מבוסס מודל (בונה כללים)

  1. בבונה הכללים, בחר את מאפיין המודל.

  2. בחר אופרטור.

  3. הזן את מחרוזות המודל שברצונך להתאים.

  4. בחר הוסף ביטוי כדי להוסיף אותו לכלל.

  5. במידת הצורך, השתמש ב- And/Or כדי להרחיב את הכלל למודלים נוספים או כדי להוסיף קריטריונים נוספים בהתבסס על מאפיינים אפשריים אחרים הניתנים לסינון.

עצה: השתמש בהתקני תצוגה מקדימה כדי לאמת שהמסנן תואם לערכה המיועדת. רשימת התצוגה המקדימה תומכת בחיפוש לפי שם המכשיר, גירסת מערכת ההפעלה, דגם המכשיר ויצרן המכשיר.

תצוגה מקדימה ויצירה של המסנן

  1. בחר התקני תצוגה מקדימה כדי לאשר אילו מכשירים רשומים תואמים.

  2. בחר באפשרות הבא.

  3. (אופציונלי) הקצה תגיות טווח אם אתה משתמש בהן.

  4. בחר באפשרות הבא.

  5. ב - Review + create, בחר Create.

שלב 3 - הקצאת המדיניות באמצעות מסנן ההקצאות

לבסוף, עליך להקצות את פרופיל קטלוג ההגדרות למכשיר או לקבוצת משתמשים ולהחיל את מסנן המטלות. פעולה זו קובעת אילו מכשירים רשומים מקבלים ומעבדים את הגדרות העדכון של אישור האתחול המאובטח במהלך הערכת מדיניות.

מה תעשה

אתה תקצה את פרופיל הקטלוג 'הגדרות אתחול מאובטח' בשלב 1 לקבוצה ולאחר מכן החל את המסנן בשלב 2 במצב הכללה או אי-כלילה .

החלת מסנן ההקצאות

  1. במרכז הניהול של Microsoft Intune, נווט אל התקנים >ניהול מכשירים >תצורה.

  2. בחר את פרופיל קטלוג ההגדרות שיצרת בשלב 1 לעיל.

  3. פתח את מאפיינים > הקצאות >ערוך.

  4. הקצה את הפרופיל לקבוצת המשתמשים או לקבוצת המכשיריםהמתאימה.

    עצה: אם אין לך קריטריונים אחרים להגבלת המיקוד, הקצה מדיניות זו לקבוצה הווירטואלית 'כל המכשירים '. השתמש במסנן הקצאת מודל המכשירים בשלב 2 כדי להגדיר טווח של המטלה. שילוב זה מספיק עבור רוב הפריסה. הקבוצה הווירטואלית ' כל המכשירים' מוכללת, אינה דורשת תחזוקה קבוצתית, והיא ממוטבת לקנה מידה. לאחר מכן, מסנן המטלה מצמצם את הישימות בבדיקת המכשיר בהתבסס על מאפייני המכשיר, ללא צורך בקבוצות Microsoft Entra נוספות.

  5. בחר ערוך מסנן.

  6. בחר אפשרות אחת:

    • כלול מכשירים מסוננים במטלה: רק מכשירים התואמים למסנן מקבלים את המדיניות.

    • אל תכלול מכשירים מסוננים בהקצאה: מכשירים התואמים למסנן אינם מקבלים את המדיניות.

  7. בחר את מסנן המטלה הקיים שלך בשלב 2 ובחר בחר.

  8. בחר סקירה + שמירה >שמור.

הבנת אופן הפעולה של המכשיר

  • Intune את המסנן כאשר המכשיר נרשם, בכל פעם שהוא מבצע בדיקה, וכל פעם שהמדיניות שהוקצתה מוערכת מחדש.

  • הפיכת ההגדרה של אתחול מאובטח לזמינה אינה מבטיחה יישום אישור מיידי. עבור ההגדרה אתחול מאובטח שמפעילה את תהליך העדכון, המשימה אתחול מאובטח של Windows מופעלת כל 12 שעות. עדכונים מסוימים עשויות לדרוש הפעלה מחדש.

שאלות נפוצות

משימת האתחול המאובטח של Windows שמעבדת את ההגדרה פועלת כל 12 שעות.

אתחול העדכון באמצעות Intune אינו גורם להפעלה מחדש, למרות שייתכן שתידרש הפעלה מחדש כדי להשלים את העדכון.

לאחר החלת האישורים על הקושחה, ל- Windows אין אפשרות להסיר אותם. יש לבצע ניקוי אישורים באמצעות ממשק הקושחה.

תוקפם של אישורים ישנים יותר מתחיל לפוג ביוני 2026. מכשירים שלא קיבלו את האישורים החדשים יותר של 2023 יאבדו את היכולת לקבל הגנות אבטחה חדשות של אתחול מוקדם (לדוגמה, מסד נתונים של אתחול מאובטח ועדכונים מבוטלים).

משאבים

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות