Primjenjuje se na
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Izvorni datum objave: 10. ožujka 2026.

KB ID: 5084490

Ovaj članak sadrži smjernice za

  • IT profesionalci i Intune administratori koji upravljaju uređajima sa sustavom Windows, implementiraju kontrole za ažuriranje certifikata sigurnog pokretanja putem pravilnika kataloga postavki i nadgledaju tijekove rada ažuriranja.

  • Timovi koji moraju ciljati implementacije na određene hardverske modele pomoću filtara zadataka.

U ovom članku:

Uvod

Te smjernice it administratorima omogućuju postupak ažuriranja certifikata sigurnog pokretanja pomoću pravilnika Microsoft Intune kataloga postavki. U članku se opisuje kako konfigurirati postavku sigurnog pokretanja koja omogućuje postupak ažuriranja certifikata i način implementacije te konfiguracije. Također se ističe kako koristiti filtre dodjele utemeljene na modelu za podršku kontroliranim, postupnih primjena na hardveru za koji je već potvrđena provjera za uspješno rukovanje ažuriranjem.

Preduvjeti

Ispunjavanje uvjeta za ažuriranje certifikata sigurnog pokretanja određeno je CSP-om pravila sigurnog pokretanja i firmverom uređaja. Ovaj doseg nije uvijek usklađen s skalima servisiranja sustava Windows (npr. ažuriranjima) ili Intune registracije.

Intune i preduvjeti pravilnika

  • Prijavite se pomoću računa s dozvolama za stvaranje filtara i stvaranje/dodjeljivanje pravilnika kataloga postavki.

  • Uređaji moraju biti uključeni u Intune (filtri dodjele primjenjuju se samo na upravljane uređaje).

Preduvjeti za ispunjavanje uvjeta za sigurno pokretanje

1. korak – konfiguriranje postavki ažuriranja certifikata za sigurno pokretanje u Intune (katalog postavki)

U ovom koraku stvarate profil konfiguracije uređaja kataloga postavki sustava Windows u Microsoft Intune. Konfigurirajte i postavke sigurnog pokretanja koje omogućuju postupak ažuriranja certifikata sigurnog pokretanja.

Što ćete stvoriti

Profil konfiguracije uređaja kataloga postavki sustava Windows koji omogućuje omogućivanje certifikata za sigurno pokretanje Ažuriranja:

Stvaranje profila kataloga postavki

  1. Prijavite se u centar Microsoft Intune za administratore.

  2. Idite na Uređaji > Upravljanje uređajima > konfiguraciji.

  3. Odaberite Stvori > novi pravilnik.

  4. U odjeljku Stvaranje profila:

  5. Platforma: Windows 10 i novije

  6. Vrsta profila: katalog postavki

  7. Odaberite Stvori.

  8. Dodijelite naziv profilu (npr. ažuriranje certifikata sigurnog pokretanja), dodajte neobavezni opis i odaberite Dalje.

  9. U postavkama konfiguracije odaberite Dodaj postavke.

  10. U alatu za odabir postavki potražite sigurno pokretanje i odaberite ga u odjeljku Pregledaj po kategoriji.

  11. Dodajte postavku Omogući certifikat za sigurno Ažuriranja iz tri stavke navedene u kategoriji Sigurno pokretanje u profil.

    Napomena: Ostale postavke sigurnog pokretanja u ovoj kategoriji možete konfigurirati na isti način ako je za vaš scenarij implementacije potrebno.

  12. Konfigurirajte vrijednost postavke na Omogućeno.

  13. Odaberite Dalje da biste nastavili s dodjelama. (Primijenit ćete filtar u 3. koraku).

Drugi korak – stvaranje filtra zadatka za ciljanje utemeljeno na modelu

Zatim stvorite filtar dodjele Intune koji cilja određene modele uređaja. Ciljanje utemeljeno na modelu omogućuje vam doseg ažuriranja certifikata sigurnog pokretanja na odabrane hardverske modele. Ova kontrolirana i postupna implementacija ne zahtijeva dodatne Microsoft Entra ID grupe.

Zašto se preporučuje ciljanje utemeljeno na modelu za implementaciju certifikata sigurnog pokretanja

  • Varijabilnost opreme – OEM-i drugačije implementiraju sigurno pokretanje, pa se opsegom na razini modela smanjuje neočekivano ponašanje.

  • Prethodna provjera valjanosti – možete provjeriti valjanost ažuriranja certifikata na poznatom dobrom skupu hardvera prije širokog postavljanja.

Što ćete stvoriti

Filtar dodjele upravljanih uređaja koji cilja (ili isključuje) određene modele uređaja.

Stvaranje filtra zadatka

  1. Prijavite se u centar Microsoft Intune za administratore.

  2. Idite na Administracija klijenta > zadatka >Stvori.

  3. Odaberite Upravljani uređaji.

  4. U odjeljku Osnove postavite:

    • Naziv filtra (opisno).

    • Opis (neobavezno, ali preporučeno).

    • Platforma: Windows 10 i noviji.

  5. Odaberite Dalje.

  6. U odjeljku Pravila odaberite jedan pristup:

    • Sastavljač pravila (preporučuje se za većinu administratora)

    • Sintaksa pravila (ručno uređivanje izraza)

Stvaranje pravila utemeljenog na modelu (sastavljača pravila)

  1. U sastavljaču pravila odaberite svojstvo modela.

  2. Odaberite operator.

  3. Unesite nizove modela koje želite uskladiti.

  4. Odaberite Dodaj izraz da biste ga dodali u pravilo.

  5. Po potrebi upotrijebite And/Or da biste pravilo proširili na dodatne modele ili dodali dodatne kriterije na temelju drugih mogućih svojstava koja se mogu filtrirati.

Savjet: Pomoću uređaja pretpregleda provjerite podudara li se filtar s navedenim skupom. Popis pretpregleda podržava pretraživanje prema nazivu uređaja, verziji OS-a, modelu uređaja i proizvođaču uređaja.

Pretpregled i stvaranje filtra

  1. Odaberite Pretpregled uređaja da biste potvrdili koji se registrirani uređaji podudaraju.

  2. Odaberite Dalje.

  3. (Neobavezno) Dodijelite oznake opsega ako ih koristite.

  4. Odaberite Dalje.

  5. U odjeljku Pregled + stvaranje odaberite Stvori.

Treći korak – dodjela pravilnika pomoću filtra dodjele

Naposljetku, profil kataloga Postavki dodjeljujete uređaju ili korisničkoj grupi i primijenite filtar dodjele. To određuje koji registrirani uređaji primaju i obrađuju postavke ažuriranja certifikata sigurnog pokretanja tijekom procjene pravilnika.

Što ćete učiniti

Profil kataloga postavki sigurnog pokretanja dodijelit ćete grupi iz prvog koraka, a zatim primijeniti filtar iz 2. koraka u načinu rada Uključiili Isključi .

Primjena filtra zadatka

  1. U centru Microsoft Intune za administratore idite na Uređaji > upravljanje uređajima > konfiguraciji.

  2. Odaberite profil kataloga postavki koji ste stvorili u 1. koraku.

  3. Otvorite svojstva > zadacima > Uređivanje.

  4. Dodijelite profil odgovarajućoj grupi korisnika iligrupi uređaja.

    Savjet: Ako nemate druge kriterije za ograničavanje ciljanja, dodijelite to pravilo virtualnoj grupi Svi uređaji. Upotrijebite filtar dodjele modela uređaja iz 2. koraka da biste opseg dodjele. Ta je kombinacija dovoljna za većinu implementacija. Ugrađena je virtualna grupa Svi uređaji, ne zahtijeva održavanje grupe i optimizirana je za skaliranje. Zatim filtar dodjele sužava primjenjivost pri provjeri uređaja na temelju svojstava uređaja, bez potrebe za dodatnim Microsoft Entra grupama.

  5. Odaberite Uređivanje filtra.

  6. Odaberite jedan:

    • Uključite filtrirane uređaje u dodjelu: pravilnik primaju samo uređaji koji odgovaraju filtru.

    • Izuzimanje filtriranih uređaja u dodjeli: uređaji koji odgovaraju filtru ne primaju pravilnik.

  7. Odaberite postojeći filtar dodjele iz 2. koraka i odaberite Odaberi.

  8. Odaberite Pregled + spremi > Spremi.

Razumijevanje ponašanja uređaja

  • Intune procjenjuje filtar kada se uređaj prijavi, svaki put kada se prijavi i svaki put kada se dodijeljeni pravilnik ponovno procijeni.

  • Omogućivanjem postavke sigurnog pokretanja ne jamči se neposredna aplikacija certifikata. Za postavku sigurnog pokretanja koja pokreće postupak ažuriranja zadatak sigurnog pokretanja sustava Windows pokreće se svakih 12 sati. Za neka je ažuriranja potrebno ponovno pokretanje.

Najčešća pitanja

Zadatak sigurnog pokretanja sustava Windows koji obrađuje postavku pokreće se svakih 12 sati.

Pokretanje ažuriranja putem Intune ne može uzrokovati ponovno pokretanje, iako će možda biti potrebno ponovno pokretanje da bi se ažuriranje dovršilo.

Nakon primjene certifikata na opremu Windows ih ne može ukloniti. Brisanje certifikata mora se izvršiti putem sučelja programske opreme.

Stariji certifikati počinju istječe u lipnju 2026. Uređaji koji nisu primili novije certifikate za 2023 izgubit će mogućnost primanja novih sigurnosnih zaštita ranih pokretanja (npr. ažuriranja baze podataka sigurnog pokretanja i opoziva).

Resursi

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost