Si applica a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Data di pubblicazione originale: 10 marzo 2026

ID KB: 5084490

Questo articolo contiene indicazioni per

  • I professionisti IT e gli amministratori Intune che gestiscono i dispositivi Windows, distribuiscono i controlli di aggiornamento del certificato di avvio protetto tramite i criteri del catalogo delle impostazioni e supervisionano i flussi di lavoro degli aggiornamenti.

  • Team che devono assegnare distribuzioni a modelli hardware specifici usando i filtri di assegnazione.

In questo articolo:

Introduzione

Queste linee guida consentono agli amministratori IT di abilitare il processo di aggiornamento del certificato di avvio protetto usando i criteri del catalogo delle impostazioni di Microsoft Intune. Descrive come configurare l'impostazione avvio protetto che abilita il processo di aggiornamento del certificato e come distribuire tale configurazione. Evidenzia anche come usare i filtri di assegnazione basati sumodello per supportare le implementzioni a fasi controllate nell'hardware che è già stato convalidato per gestire correttamente l'aggiornamento.

Prerequisiti

L'idoneità all'aggiornamento del certificato di avvio protetto è determinata dal CSP dei  criteridi avvio protetto e dal firmware del dispositivo. Questo ambito non è sempre allineato con le sequenze temporali della manutenzione di Windows (ad esempio gli aggiornamenti) o con i requisiti di registrazione Intune.

prerequisiti Intune e politici

  • Accedere con un account che dispone delle autorizzazioni per creare filtri e creare/assegnare criteri catalogo impostazioni.

  • I dispositivi devono essere registrati in Intune (i filtri di assegnazione si applicano solo ai dispositivi gestiti).

Prerequisiti per l'idoneità all'avvio protetto

Passaggio 1 - Configurare le impostazioni di aggiornamento del certificato di avvio protetto in Intune (catalogo impostazioni)

In questo passaggio viene creato un profilo di configurazione del dispositivo del catalogo impostazioni di Windows in Microsoft Intune. Puoi anche configurare le impostazioni di avvio protetto che abilitano il processo di aggiornamento del certificato di avvio protetto.

Cosa creerai

Un profilo di configurazione del catalogo delle impostazioni di Windows che abilita l'Aggiornamenti Abilita certificato di avvio protetto:

Creare il profilo del catalogo impostazioni

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

  2. Vai a Dispositivi > Gestisci dispositivi > Configurazione.

  3. Selezionare Crea > nuovo criterio.

  4. In Crea un profilo:

  5. Piattaforma: Windows 10 e versioni successive

  6. Tipo di profilo: Catalogo impostazioni

  7. Seleziona Crea.

  8. Assegna un nome al profilo (ad esempio Aggiornamento del certificato di avvio protetto), aggiungi una descrizione facoltativa e seleziona Avanti.

  9. In Impostazioni di configurazione seleziona Aggiungi impostazioni.

  10. Nella selezione impostazioni, cerca Avvio protetto e selezionalo in Sfoglia per categoria.

  11. Aggiungi al profilo l'impostazione Abilita certificato di avvio protetto Aggiornamenti dalle tre presentate nella categoria Avvio protetto.

    Nota: È possibile configurare le altre impostazioni di avvio protetto in questa categoria allo stesso modo se lo scenario di distribuzione le richiede.

  12. Configurare il valore dell'impostazione su Abilitato.

  13. Selezionare Avanti per continuare con le attività. Nel passaggio 3 verrà applicato un filtro.

Passaggio 2 - Creare un filtro delle assegnazioni per l'assegnazione basata su modello

Successivamente, si crea un filtro di assegnazione Intune che riguarda modelli di dispositivo specifici. L'assegnazione basata su modello consente di limitare l'ambito degli aggiornamenti del certificato di avvio protetto a modelli hardware selezionati. Questa distribuzione controllata e a fasi non richiede altri gruppi di Microsoft Entra ID.

Perché è consigliato l'assegnazione basata su modello per la distribuzione del certificato di avvio protetto

  • Variabilità firmware : gli OEM implementano l'avvio protetto in modo diverso, quindi la definizione dell'ambito a livello di modello riduce il comportamento imprevisto.

  • Convalida precedente : è possibile convalidare gli aggiornamenti dei certificati in un set hardware valido noto prima dell'implementazione generale.

Cosa creerai

Un filtro di assegnazione dispositivi gestiti che riguarda (o esclude) modelli di dispositivi specifici.

Creare il filtro delle assegnazioni

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

  2. Passare a Tenant administration > Assignment filters > Create.

  3. Seleziona Dispositivi gestiti.

  4. In Informazioni di base, impostare:

    • Nome del filtro (descrittivo).

    • Descrizione (facoltativa, ma consigliata).

    • Piattaforma: Windows 10 e versioni successive.

  5. Seleziona Avanti.

  6. In Regole scegliere un approccio:

    • Generatore di regole (consigliato alla maggior parte degli amministratori)

    • Sintassi delle regole (modifica manuale delle espressioni)

Creare una regola basata su modello (generatore di regole)

  1. In Generatore di regole selezionare la proprietà del modello .

  2. Scegli un operatore.

  3. Immettere le stringhe del modello che si desidera associare.

  4. Selezionare Aggiungi espressione per aggiungerla alla regola.

  5. Se necessario, usare And/Or per estendere la regola ad altri modelli o per aggiungere altri criteri in base ad altre possibili proprietà filtrabili.

Suggerimento: Usare i dispositivi di anteprima per verificare che il filtro corrisponda al set previsto. L'elenco di anteprima supporta la ricerca in base al nome del dispositivo, alla versione del sistema operativo, al modello del dispositivo e al produttore del dispositivo.

Visualizzare in anteprima e creare il filtro

  1. Seleziona Anteprima dispositivi per confermare la corrispondenza dei dispositivi registrati.

  2. Seleziona Avanti.

  3. (Facoltativo) Assegnare i tag di ambito se vengono usati.

  4. Seleziona Avanti.

  5. In Revisione e creazione selezionare Crea.

Passaggio 3 - Assegnare il criterio usando il filtro delle assegnazioni

Infine, assegnare il profilo del catalogo impostazioni a un dispositivo o a un gruppo di utenti e applicare il filtro delle assegnazioni. Questo determina quali dispositivi registrati ricevono ed elaborano le impostazioni di aggiornamento del certificato di avvio protetto durante la valutazione dei criteri.

Operazioni da eseguire

Il profilo del catalogo impostazioni di avvio protetto verrà assegnato dal passaggio 1 a un gruppo, quindi verrà applicato il filtro del passaggio 2 in modalità di inclusione o esclusione .

Applicare il filtro delle assegnazioni

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Dispositivi > Gestire la configurazione dei dispositivi >.

  2. Selezionare il profilo del catalogo impostazioni creato nel passaggio 1 precedente.

  3. Aprire Proprietà > Assegnazioni > Modifica.

  4. Assegnare il profilo al gruppo di utenti o al gruppo di dispositivi appropriato.

    Suggerimento: Se non si hanno altri criteri per limitare l'assegnazione, assegnare questo criterio al gruppo virtuale Tutti i dispositivi . Usa il filtro di assegnazione del modello di dispositivo del passaggio 2 per limitare l'assegnazione. Questa combinazione è sufficiente per la maggior parte delle distribuzioni. Il gruppo virtuale Tutti i dispositivi è integrato, non richiede manutenzione di gruppo ed è ottimizzato per la scalabilità. Quindi, il filtro di assegnazione restringe l'applicabilità al check-in del dispositivo in base alle proprietà del dispositivo, senza richiedere ulteriori gruppi di Microsoft Entra.

  5. Selezionare Modifica filtro.

  6. Scegli un'opzione:

    • Includi dispositivi filtrati nell'assegnazione: solo i dispositivi che corrispondono al filtro ricevono il criterio.

    • Escludere i dispositivi filtrati in un'attività: i dispositivi che corrispondono al filtro non ricevono i criteri.

  7. Selezionare il filtro delle assegnazioni esistente nel passaggio 2 e scegliere Seleziona.

  8. Seleziona Revisione + Salva > Salva.

Comprendere il comportamento del dispositivo

  • Intune valuta il filtro quando il dispositivo viene registrato, ogni volta che esegue l'accesso e ogni volta che i criteri assegnati vengono rivalutati.

  • L'abilitazione dell'impostazione avvio protetto non garantisce un'applicazione di certificato immediata. Per l'impostazione Avvio protetto che attiva il processo di aggiornamento, l'attività Di avvio protetto di Windows viene eseguita ogni 12 ore. Alcuni aggiornamenti possono richiedere un riavvio.

Domande frequenti

L'attività Avvio protetto di Windows che elabora l'impostazione viene eseguita ogni 12 ore.

L'avvio dell'aggiornamento tramite Intune non causa un riavvio, anche se potrebbe essere necessario un riavvio per completare l'aggiornamento.

Dopo l'applicazione dei certificati al firmware, Windows non può rimuoverli. La cancellazione dei certificati deve essere eseguita tramite l'interfaccia firmware.

I certificati meno recenti iniziano a scadere a giugno 2026. I dispositivi che non hanno ricevuto i certificati 2023 più recenti perderanno la possibilità di ricevere nuove protezioni di sicurezza di avvio anticipato (ad esempio, aggiornamenti di database di avvio protetto e revoche).

Risorse

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità