Menerapkan pengaturan pembaruan sertifikat Boot Aman menggunakan penargetan berbasis model di Microsoft Intune

Dalam Artikel ini:

• Pendahuluan

• Prasyarat

• Langkah 1 - Mengonfigurasi pengaturan pembaruan sertifikat Boot Aman di Intune (Katalog pengaturan)

• Langkah 2 - Membuat filter penetapan untuk penargetan berbasis model

• Langkah 3 - Tetapkan kebijakan menggunakan filter penetapan

• Pertanyaan Umum

• Sumber daya

Pendahuluan

Panduan ini membantu administrator TI mengaktifkan proses pembaruan sertifikat Boot Aman menggunakan kebijakan katalog Pengaturan Microsoft Intune. Ini menguraikan cara mengonfigurasi pengaturan Boot Aman yang memungkinkan proses pembaruan sertifikat dan cara menyebarkan konfigurasi tersebut. Fitur ini juga menyoroti cara menggunakan filter penetapan berbasismodel untuk mendukung peluncuran bertahapi yang dikontrol pada perangkat keras yang telah divalidasi untuk berhasil menangani pembaruan.

Prasyarat

Kelayakan pembaruan sertifikat Boot Aman ditentukan oleh CSP Kebijakan Boot Aman dan firmware perangkat. Lingkup ini tidak selalu sejalan dengan garis waktu layanan Windows (misalnya pembaruan) atau persyaratan pendaftaran Intune.

Intune dan persyaratan kebijakan

• Masuk dengan akun yang memiliki izin untuk membuat filter dan membuat/menetapkan kebijakan Katalog Pengaturan.

• Perangkat harus terdaftar di Intune (filter penetapan hanya berlaku untuk perangkat terkelola).

Prasyarat kelayakan Boot Aman

• Daftar versi Windows yang didukung tersedia dalam metode Microsoft Intune Boot Aman untuk perangkat Windows dengan pembaruan yang dikelola TI.

• Perangkat harus mengaktifkan Boot Aman dan harus berada pada pembaruan pelayanan saat ini.

Langkah 1 - Mengonfigurasi pengaturan pembaruan sertifikat Boot Aman di Intune (Katalog pengaturan)

Dalam langkah ini, Anda membuat profil konfigurasi perangkat katalog Pengaturan Windows di Microsoft Intune. Anda juga mengonfigurasi pengaturan Boot Aman yang mengaktifkan proses pembaruan sertifikat Boot Aman.

Apa yang akan Anda buat

Profil konfigurasi perangkat katalog Pengaturan Windows yang mengaktifkan Updates Aktifkan Sertifikat Boot Aman:

Membuat profil katalog Pengaturan

1. Masuk ke pusat admin Microsoft Intune.

2. Buka Perangkat > Kelola perangkat > Konfigurasi.

3. Pilih Buat > Kebijakan baru.

4. Di Membuat profil:

5. Platform: Windows 10 dan yang lebih baru

6. Tipe profil: Pengaturan katalog

7. Pilih Buat.

8. Beri nama profil (misalnya , Secure Boot Certificate Update), tambahkan deskripsi opsional, lalu pilih Berikutnya.

9. Pada Pengaturan konfigurasi, pilih Tambahkan pengaturan.

10. Di pemilih pengaturan, cari Boot Aman dan pilih di bawah Telusuri menurut kategori.

11. Tambahkan pengaturan Aktifkan Sertifikat Boot Aman Updates dari tiga yang disajikan dalam kategori Boot Aman ke profil.

    Catatan: Anda dapat mengonfigurasi pengaturan Boot Aman lainnya dalam kategori ini dengan cara yang sama jika skenario penyebaran memerlukannya.

12. Mengonfigurasi nilai pengaturan ke Diaktifkan.

13. Pilih Berikutnya untuk melanjutkan ke tugas. (Anda akan menerapkan filter di Langkah 3).

Langkah 2 - Membuat filter penetapan untuk penargetan berbasis model

Berikutnya, buat filter penetapan Intune yang menargetkan model perangkat tertentu. Penargetan berbasis model memungkinkan Anda untuk melingkupi pembaruan sertifikat Boot Aman untuk model perangkat keras yang dipilih. Penyebaran yang dikontrol dan bertahap ini tidak memerlukan grup Microsoft Entra ID tambahan.

Mengapa penargetan berbasis model disarankan untuk penyebaran sertifikat Boot Aman

• Keragaman firmware - OEM menerapkan Secure Boot secara berbeda, sehingga pelingkupan tingkat model mengurangi perilaku yang tidak diharapkan.

• Validasi sebelumnya - Anda bisa memvalidasi pembaruan sertifikat pada kumpulan perangkat keras yang dikenal baik sebelum peluncuran luas.

Apa yang akan Anda buat

Filter penetapan perangkat terkelola yang menargetkan (atau mengecualikan) model perangkat tertentu.

Membuat filter tugas

1. Masuk ke pusat admin Microsoft Intune.

2. Masuk ke Penyewa administrasi > filter Tugas > Buat.

3. Pilih Perangkat terkelola.

4. Dalam Dasar-dasar, atur:

   • Memfilter nama (deskriptif).

   • Deskripsi (opsional, tapi disarankan).

   • Platform: Windows 10 dan yang lebih baru.

5. Pilih Berikutnya.

6. Dalam Aturan, pilih satu pendekatan:

   • Pembuat aturan (disarankan untuk sebagian besar admin)

   • Sintaks aturan (pengeditan ekspresi manual)

Menyusun aturan berbasis model (pembangun aturan)

1. Di Pembuat aturan, pilih properti model .

2. Pilih operator.

3. Masukkan string model yang ingin Anda cocokkan.

4. Pilih Tambahkan ekspresi untuk menambahkannya ke aturan.

5. Jika diperlukan, gunakan And/Or untuk memperluas aturan ke model tambahan atau untuk menambahkan kriteria tambahan berdasarkan properti lain yang dapat difilter.

Mempratinjau dan membuat filter

1. Pilih Pratinjau perangkat untuk mengonfirmasi perangkat terdaftar mana yang cocok.

2. Pilih Berikutnya.

3. (Opsional) Tetapkan tag Lingkup jika Anda menggunakannya.

4. Pilih Berikutnya.

5. Di Tinjau + buat, pilih Buat.

Langkah 3 - Tetapkan kebijakan menggunakan filter penetapan

Terakhir, tetapkan profil Katalog Pengaturan ke perangkat atau grup pengguna dan terapkan filter penetapan. Ini menentukan perangkat terdaftar mana yang menerima dan memproses pengaturan pembaruan sertifikat Boot Aman selama evaluasi kebijakan.

Apa yang akan Anda lakukan

Anda akan menetapkan profil katalog Pengaturan Boot Aman dari Langkah 1 ke grup, lalu menerapkan filter dari Langkah 2 dalam mode Sertakan atau Kecualikan .

Menerapkan filter tugas

1. Di pusat admin Microsoft Intune, navigasikan ke Perangkat > Kelola perangkat > Konfigurasi.

2. Pilih profil Pengaturan katalog yang Anda buat di Langkah 1 di atas.

3. Buka Properti > Tugas > Edit.

4. Tetapkan profil ke grup pengguna atau grup perangkat yang sesuai.

   Tips: Jika Anda tidak memiliki kriteria lain untuk membatasi penargetan, tetapkan kebijakan ini ke grup virtual Semua perangkat . Gunakan filter penetapan model perangkat dari Langkah 2 untuk melingkupi tugas. Kombinasi ini cukup untuk sebagian besar penyebaran. Grup virtual Semua perangkat disertakan, tidak memerlukan pemeliharaan grup, dan dioptimalkan untuk skala. Kemudian, filter tugas mempersempit penerapan pada check-in perangkat berdasarkan properti perangkat, tanpa memerlukan grup Microsoft Entra tambahan.

5. Pilih Edit filter.

6. Pilih salah satu:

   • Menyertakan perangkat yang difilter dalam tugas: hanya perangkat yang cocok dengan filter yang menerima kebijakan.

   • Kecualikan perangkat yang difilter dalam tugas: perangkat yang cocok dengan filter tidak menerima kebijakan.

7. Pilih filter tugas yang sudah ada dari Langkah 2, lalu pilih Pilih.

8. Pilih Tinjau + simpan > Simpan.

Memahami perilaku perangkat

• Intune mengevaluasi filter saat perangkat mendaftar, setiap kali perangkat check in, dan setiap kali kebijakan yang ditetapkan dievaluasi ulang.

• Mengaktifkan pengaturan Boot Aman tidak menjamin aplikasi sertifikat langsung. Untuk pengaturan Boot Aman yang memicu proses pembaruan, tugas Boot Aman Windows berjalan setiap 12 jam. Beberapa pembaruan dapat memerlukan mulai ulang.

Pertanyaan Umum

Sumber daya

• Definisi pengaturan dan nilai yang diperbolehkan: SecureBoot Policy CSP

• Pengaturan alur katalog dan pengaturan perilaku: metode Microsoft Intune Boot Aman untuk perangkat Windows dengan pembaruan yang dikelola TI

• Latar belakang dan garis waktu: Kedaluwarsa sertifikat Boot Aman Windows dan pembaruan CA

• Membuat, mempratinjau, dan menerapkan filter: Membuat filter penetapan di Microsoft Intune

• Properti, operator, dan sintaks yang didukung: Properti filter tugas dan referensi operator

• Perencanaan peluncuran keseluruhan dan Intune disebut sebagai opsi yang direkomendasikan: Playbook Boot Aman untuk sertifikat yang kedaluwarsa pada tahun 2026

• Pendekatan khusus pemantauan dan pelaporan Intune): Memantau status sertifikat Boot Aman dengan perbaikan Microsoft Intune