Attiecas uz
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Sākotnējās publicēšanas datums: 2026. gada 10. marts

KB ID: 5084490

Šajā rakstā ir norādījumi par to, kā

  • IT profesīmi un Intune administratori, kas pārvalda Windows ierīces, izvietojiet drošās sāknēšanas sertifikātu atjaunināšanas vadīklas, izmantojot iestatījumu kataloga politikas, un pārraugiet atjaunināšanas darbplūsmas.

  • Darba grupas, kurām ir jāizvieto izvietojumi konkrētos aparatūras modeļos, izmantojot uzdevumu filtrus.

Šajā rakstā:

Ievads

Šie norādījumi palīdz IT administratoriem iespējot drošas sāknēšanas sertifikātu atjaunināšanas procesu, Microsoft Intune iestatījumu kataloga politikas. Tajā ir izklāstīts, kā konfigurēt drošās sāknēšanas iestatījumu, kas iespējo sertifikāta atjaunināšanas procesu un kā izvietot šo konfigurāciju. Tajā ir arī iezīmēts, kā izmantot modeļa piešķires filtrus, lai atbalstītu kontrolēto, pakāpentisko izvēršiju aparatūrā, kas jau ir validēta, lai veiksmīgi apstrādātu atjauninājumu.

Priekšnosacījumi

Drošas sāknēšanas sertifikāta atjaunināšanas atbilstību nosaka  drošāssāknēšanas politikas CSP un ierīces aparātprogrammatūra. Šis tvērums ne vienmēr atbilst Windows apkalpošanas (t.i., atjauninājumiem) laika grafikiem Intune reģistrācijas prasībām.

Intune un politikas priekšnosacījumi

  • Pierakstieties ar kontu, kuram ir atļaujas izveidot filtrus un izveidot/piešķirt iestatījumu kataloga politikas.

  • Ierīces ir jāreģistrē Intune (piešķires filtri attiecas tikai uz pārvaldītām ierīcēm).

Secure Boot piemērotības priekšnosacījumi

1. darbība. Drošās sāknēšanas sertifikāta atjaunināšanas iestatījumu konfigurēšana Intune (iestatījumu katalogs)

Šajā darbībā jūs izveidojat Windows iestatījumu kataloga ierīču konfigurācijas profilu programmā Microsoft Intune. Varat arī konfigurēt drošās sāknēšanas iestatījumus, kas iespējo drošas sāknēšanas sertifikāta atjaunināšanas procesu.

Ko izveidosit

Windows iestatījumu kataloga ierīču konfigurācijas profils, kas iespējo drošās sāknēšanas sertifikāta Atjauninājumi:

Iestatījumu kataloga profila izveide

  1. Pierakstieties administrēšanas Microsoft Intune centrā.

  2. Dodieties uz ierīces > Pārvaldīt ierīces > konfigurāciju.

  3. Atlasiet Izveidot > jauna politika.

  4. Lietojumprogrammā Profila izveide:

  5. Platforma: Windows 10 un jaunākas versijas

  6. Profila tips: Iestatījumu katalogs

  7. Atlasiet vienumu Izveidot.

  8. Nosaukiet profilu (piemēram, Drošas sāknēšanas sertifikāta atjauninājumu), pievienojiet neobligātu aprakstu un atlasiet Tālāk.

  9. Sadaļā Konfigurācijas iestatījumi atlasiet Pievienot iestatījumus.

  10. Iestatījumu atlasītājā meklējiet drošā sāknēšanas programma un atlasiet to sadaļā Pārlūkot pēc kategorijas.

  11. Pievienojiet iestatījumu Iespējot drošas sāknēšanas Atjauninājumi no trīs kategorijām Drošā sāknēšana profilā.

    Piezīme.: Varat konfigurēt citus šīs kategorijas drošās sāknēšanas iestatījumus tādā pašā veidā, ja tos pieprasa izvietošanas scenārijs.

  12. Konfigurējiet iestatījuma vērtību uz Iespējots.

  13. Atlasiet Tālāk , lai turpinātu uzdevumus. (Jūs lietosiet 3. darbībā parādīto filtru).

2. darbība. Izveidojiet uzdevumu filtru uz modeļu bāzes vērstai mērķauditorijai

Pēc tam izveidojiet jaunu uzdevuma Intune, kas attiecas uz konkrētiem ierīces modeļiem. Izmantojot mērķauditoriju, varat izmantot drošas sāknēšanas sertifikāta atjauninājumus atlasītajiem aparatūras modeļiem. Šai kontrolētajā un pakāpenajā izvietošanā nav nepieciešama papildu Microsoft Entra ID grupas.

Kāpēc drošas sāknēšanas sertifikāta izvietošanai ir ieteicams izmantot uz modeļu balstītu mērķauditoriju

  • Aparātprogrammatūras mainīgumu — OEMs īsteno secure boot citādi, tāpēc modeļa līmeņa noteikšana samazina neparedzētu programmas darbību.

  • Iepriekšējā validācija — sertifikātu atjauninājumus var validēt zināmai labai aparatūras kopai pirms plašas izvērššanās.

Ko izveidosit

Pārvaldīto ierīču piešķires filtrs, kas filtrē (vai izslēdz) noteiktus ierīces modeļus.

Uzdevuma filtra izveide

  1. Pierakstieties administrēšanas Microsoft Intune centrā.

  2. Dodieties uz nomnieka administrēšanas sadaļu > Uzdevumu filtri > Izveidot.

  3. Atlasiet Pārvaldītās ierīces.

  4. Pamatelementos iestatiet:

    • Filtra nosaukums (aprakstošs).

    • Apraksts (neobligāts, bet ieteicamais).

    • Platforma: Windows 10 jaunākas versijas.

  5. Atlasiet vienumu Tālāk.

  6. Kārtulās izvēlieties vienu metodi:

    • Kārtulu veidotājs (ieteicams lielākajai daļai administratoru)

    • Kārtulas sintakse (manuālā izteiksmes rediģēšana)

Uz modeļu balstītas kārtulas izveide (kārtulu veidotājs)

  1. Kārtulu veidotājā atlasiet modeļa rekvizītu.

  2. Izvēlieties operatoru.

  3. Ievadiet modeļa virkni(es), kuru vēlaties saskaņot.

  4. Atlasiet Pievienot izteiksmi, lai to pievienotu kārtulai.

  5. Ja nepieciešams, izmantojiet And/Or , lai paplašinātu kārtulu līdz papildu modeļiem vai pievienotu papildu kritērijus, pamatojoties uz citiem iespējamiem filtrējamiem rekvizītiem.

Padoms.: Izmantojiet Preview ierīces, lai pārbaudītu, vai filtrs atbilst paredzētajai kopai. Priekšskatījuma saraksts atbalsta meklēšanu pēc ierīces nosaukuma, operētājsistēmas versijas, ierīces modeļa un ierīces ražotāja.

Priekšskatījums un filtra izveide

  1. Atlasiet Priekšskatīt ierīces, lai apstiprinātu, kuras reģistrētas ierīces ir saskaņotas.

  2. Atlasiet vienumu Tālāk.

  3. (Neobligāts) Piešķiriet tvēruma atzīmes , ja tās izmantojat.

  4. Atlasiet vienumu Tālāk.

  5. Lietojumprogrammā Pārskatīšana + izveidot atlasiet Izveidot.

3. darbība. Politikas piešķiršana, izmantojot piešķires filtru

Visbeidzot jums ir jāpiešķir iestatījumu kataloga profils ierīcei vai lietotāju grupai un jālieto piešķires filtrs. Tas nosaka, kuras reģistrētas ierīces tiek saņemtas un apstrādā drošas sāknēšanas sertifikāta atjaunināšanas iestatījumus politikas novērtēšanas laikā.

Kā rīkoties

Grupai piešķirat drošas sāknēšanas iestatījumu kataloga profilu no 1. darbības, pēc tam filtru no režīma Iekļaut vai Izslēgt 2. darbības lietot.

Uzdevuma filtra apply the assignment filter

  1. Administrēšanas Microsoft Intune naviģējiet uz Ierīces, > pārvaldīt >konfigurāciju.

  2. Atlasiet iestatījumu kataloga profilu, ko izveidojāt 1. darbībā iepriekš.

  3. Uzdevumu >atvēršana >Rediģēt.

  4. Piešķiriet profilu atbilstošai lietotāju grupai vaiierīču grupai.

    Padoms.: Ja jums nav citu kritēriju, lai ierobežotu mērķauditoriju, piešķiriet šo politiku virtuālajai grupai Visas ierīces. Uzdevuma tvērumam izmantojiet ierīces modeļa piešķiršanas filtru no 2. darbības. Šī kombinācija ir pietiekama lielākajai daļai izvietojumu. Virtuālā grupa Visas ierīces ir iebūvēta, tai nav nepieciešama grupas uzturēšana un tā ir optimizēta mērogam. Pēc tam uzdevumu filtrs sašaurinās ierīču atdošanas laikā, ņemot vērā ierīces rekvizītus, bez papildu Microsoft Entra grupām.

  5. Atlasiet Rediģēt filtru.

  6. Izvēlieties vienu:

    • Piešķirē iekļaujiet filtrētās ierīces: tikai filtram atbilstošo ierīču gadījumā tiek parādīta politika.

    • Piešķirē neiekļaut filtrētās ierīces: filtram atbilstošajās ierīcēs netiek parādīta politika.

  7. 2. darbībā atlasiet esošo uzdevuma filtru un izvēlieties Atlasīt.

  8. Atlasiet Pārskatīšana + saglabāt > Saglabāt.

Informācija par ierīces darbību

  • Intune novērtē filtru, kad ierīce veic reģistrāciju, katru reizi, kad tā pārbauda, un ikreiz, kad piešķirtā politika tiek vērtēta no jauna.

  • Iespējojot drošas sāknēšanas iestatījumu, netiek garantēta tūlītēja sertifikāta lietojumprogramma. Drošas sāknēšanas iestatījumam, kas aktivizē atjaunināšanas procesu, Windows drošās sāknēšanas uzdevums tiek izpildīts ik pēc 12 stundām. Dažiem atjauninājumiem var būt nepieciešama restartēšana.

Bieži uzdotie jautājumi

Windows drošās sāknēšanas uzdevums, kas apstrādā iestatījumu, darbojas ik pēc 12 stundām.

Atjauninājumu uzsāciet ar Intune nesāciet restartēšanu, lai gan var būt nepieciešama restartēšana, lai pabeigtu atjaunināšanu.

Kad sertifikāti ir lietoti aparātprogrammatūrai, Windows tos nevar noņemt. Sertifikātu notīrīšanas darbības jāveic aparātprogrammatūras interfeisā.

Vecāku sertifikātu termiņš beidzas 2026. gada jūnijā. Ierīces, kas nav saņēmušas jaunākos 2023. gada sertifikātus, zaudēs iespēju saņemt jaunus pirmssāknēšanas drošības aizsardzību (piemēram, drošas sāknēšanas datu bāzi un atsaukšanas atjauninājumus).

Resursi

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs