適用先
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

元の発行日: 2026 年 3 月 10 日

KB ID: 5084490

この記事には、

  • Windows デバイスを管理し、設定カタログ ポリシーを使用してセキュア ブート証明書の更新コントロールを展開し、更新ワークフローを監視する IT 担当者とIntune管理者。

  • 割り当てフィルターを使用して特定のハードウェア モデルへの展開をターゲットにする必要がある Teams。

この記事では、

概要

このガイダンスは、IT 管理者がMicrosoft Intune設定カタログ ポリシーを使用してセキュア ブート証明書の更新プロセスを有効にするのに役立ちます。 証明書の更新プロセスを有効にするセキュア ブート設定を構成する方法と、その構成を展開する方法について説明します。 また、 モデルベースの割り当てフィルター を使用して、更新プログラムを正常に処理するために既に検証されているハードウェアで、制御された段階的なロールアウトをサポートする方法についても説明します。

前提条件

セキュア ブート証明書の更新資格は セキュア ブート ポリシー CSP とデバイス ファームウェアによって決まります。 このスコープは、Windows サービス (更新プログラム) のタイムラインやIntune登録要件と常に一致するとは限りません。

Intuneとポリシーの前提条件

  • フィルターを作成し、設定カタログ ポリシーを作成/割り当てるアクセス許可を持つアカウントでサインインします。

  • デバイスはIntuneに登録する必要があります (割り当てフィルターはマネージド デバイスにのみ適用されます)。

セキュア ブートの適格性の前提条件

手順 1 - Intuneでセキュア ブート証明書の更新設定を構成する (設定カタログ)

この手順では、Microsoft Intuneで Windows 設定カタログ デバイス構成プロファイルを作成します。 また、セキュア ブート証明書の更新プロセスを有効にするセキュア ブート設定も構成します。

作成する内容

[セキュア ブート証明書の有効化] Updatesを有効にする Windows 設定カタログ デバイス構成プロファイル:

設定カタログ プロファイルを作成する

  1. Microsoft Intune管理センターにサインインします。

  2. [ デバイス ] > [デバイスの 管理 ] > [構成] に移動します。

  3. [ 作成 ] > [新しいポリシー] を選択します

  4. [ プロファイルの作成] で、次の手順を実行します

  5. プラットフォーム: Windows 10以降

  6. プロファイルの種類: 設定カタログ

  7. [作成] を選択します。

  8. プロファイルに名前を付け (セキュア ブート証明書の更新など)、省略可能な説明を追加し、[ 次へ] を選択します。

  9. [ 構成設定] で、[ 設定の追加] を選択します。

  10. 設定ピッカーで、 セキュア ブート を検索し、[ カテゴリ別に参照] で選択します。

  11. [セキュア ブート証明書の有効化] Updates設定を、セキュア ブート カテゴリに表示されている 3 つからプロファイルに追加します。

    注: 展開シナリオで必要な場合と同じ方法で、このカテゴリの他のセキュア ブート設定を構成できます。

  12. 設定値を [有効] に構成します。

  13. [ 次へ ] を選択して割り当てを続行します。 (手順 3 でフィルターを適用します)。

手順 2 - モデルベースのターゲット設定の割り当てフィルターを作成 する

次に、特定のデバイス モデルを対象とするIntune割り当てフィルターを作成します。 モデルベースのターゲット設定を使用すると、選択したハードウェア モデルに対してセキュア ブート証明書の更新プログラムのスコープを設定できます。 この制御された段階的なデプロイでは、追加のMicrosoft Entra ID グループは必要ありません。

セキュア ブート証明書の展開にモデルベースのターゲット設定が推奨される理由

  • ファームウェアのばらつき - OEM はセキュア ブートを異なる方法で実装するため、モデル レベルのスコープを使用すると、予期しない動作が減ります。

  • 事前検証 - 広範なロールアウトの前に、既知の適切なハードウェア セットで証明書の更新を検証できます。

作成する内容

特定の デバイス モデルを対象とする (または除外する) マネージド デバイス割り当てフィルター。

割り当てフィルターを作成する

  1. Microsoft Intune管理センターにサインインします。

  2. [ テナント管理 ] > [ 割り当てフィルター] > [作成] に移動します。

  3. [ 管理対象デバイス] を選択します

  4. [ 基本] で、次の値を設定します。

    • フィルター名 (説明)。

    • 説明 (省略可能ですが、推奨)。

    • プラットフォーム: Windows 10以降

  5. [次へ] を選択します。

  6. [ ルール] で、次の 1 つの方法を選択します。

    • ルール ビルダー (ほとんどの管理者に推奨)

    • ルール構文 (手動式の編集)

モデルベースのルールを構築する (ルール ビルダー)

  1. ルール ビルダーで、モデル プロパティを選択します。

  2. 演算子を選択します。

  3. 一致させるモデル文字列を入力します。

  4. [ 式の追加] を選択してルールに追加します。

  5. 必要に応じて、 And/Or を 使用して、追加のモデルにルールを拡張するか、フィルター可能な他のプロパティに基づいて追加の条件を追加します。

ヒント:  プレビュー デバイスを使用して、フィルターが目的のセットと一致することを検証します。 プレビュー リストでは、デバイス名、OS バージョン、デバイス モデル、デバイスの製造元による検索がサポートされています。

フィルターをプレビューして作成する

  1. [ プレビュー デバイス ] を選択して、登録されているデバイスが一致することを確認します。

  2. [次へ] を選択します。

  3. (省略可能)スコープ タグを使用する場合は、 スコープ タグ を割り当てます。

  4. [次へ] を選択します。

  5. [ 確認と作成] で、[作成] を選択 します

手順 3 - 割り当てフィルターを使用してポリシーを割り当てる

最後に、設定カタログ プロファイルをデバイスまたはユーザー グループに割り当て、割り当てフィルターを適用します。 これにより、ポリシーの評価中に、どの登録済みデバイスがセキュア ブート証明書の更新設定を受信して処理するかを決定します。

実行する内容

手順 1 のセキュア ブート設定カタログ プロファイルをグループに割り当ててから、含 める モードまたは 除外 モードで手順 2 のフィルターを適用します。

割り当てフィルターを適用する

  1. Microsoft Intune管理センターで、[デバイス] > [デバイス管理] > [構成] に移動します。

  2. 上記の手順 1 で作成した設定カタログ プロファイルを選択します。

  3. [プロパティ] > [割り当て] > [編集] を開きます。

  4. プロファイルを適切な ユーザー グループ または デバイス グループに割り当てます。

    ヒント: ターゲット設定を制限する他の条件がない場合は、このポリシーを [すべてのデバイス ] 仮想グループに割り当てます。 手順 2 のデバイス モデル割り当てフィルターを使用して、割り当てのスコープを設定します。 この組み合わせは、ほとんどのデプロイで十分です。 [すべてのデバイス] 仮想グループが組み込まれており、グループのメンテナンスは必要なく、スケール用に最適化されています。 その後、割り当てフィルターは、追加のMicrosoft Entra グループを必要とせずに、デバイスのプロパティに基づいてデバイス チェックで適用性を狭めます。

  5. [ フィルターの編集] を選択します

  6. 1 つを選択します。

    • 割り当てにフィルター処理されたデバイスを含める: フィルターに一致するデバイスのみがポリシーを受け取ります。

    • 割り当てでフィルター処理されたデバイスを除外する: フィルターに一致するデバイスはポリシーを受け取りません。

  7. 手順 2 から既存の割り当てフィルターを選択し、[選択] を 選択します

  8. [ 確認と保存] > [保存] を選択します

デバイスの動作を理解する

  • Intuneは、デバイスが登録されたとき、チェックインするたびに、割り当てられたポリシーが再評価されるたびにフィルターを評価します。

  • セキュア ブート設定を有効にしても、即時の証明書アプリケーションは保証されません。 更新プロセスをトリガーするセキュア ブート設定の場合、Windows セキュア ブート タスクは 12 時間ごとに実行されます。 一部の更新プログラムでは、再起動が必要になる場合があります。

よく寄せられる質問

設定を処理する Windows セキュア ブート タスクは 、12 時間ごとに実行されます。

Intuneを使用して更新を開始しても再起動は発生しませんが、更新を完了するには再起動が必要な場合があります。

証明書がファームウェアに適用された後、Windows は証明書を削除できません。 証明書のクリアは、ファームウェア インターフェイスを介して行う必要があります。

2026 年 6 月に古い証明書の有効期限が切れ始めます。 新しい 2023 証明書を受け取っていないデバイスでは、新しい早期起動セキュリティ保護 (セキュア ブート データベースや失効更新プログラムなど) を受け取る機能が失われます。

リソース

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター