Gjelder for
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Opprinnelig publiseringsdato: 10. mars 2026 kl.

KB-ID: 5084490

Denne artikkelen har veiledning for

  • IT-eksperter og Intune administratorer som administrerer Windows-enheter, distribuerer oppdateringskontroller for sertifikat for sikker oppstart gjennom katalogpolicyer for innstillinger og fører tilsyn med oppdateringsarbeidsflyter.

  • Team som må målrette distribusjoner til bestemte maskinvaremodeller ved hjelp av tilordningsfiltre.

I denne artikkelen:

Innledning

Denne veiledningen hjelper IT-administratorer med å aktivere oppdateringsprosessen for sertifikat for sikker oppstart ved hjelp av katalogpolicyer for Microsoft Intune Innstillinger. Den beskriver hvordan du konfigurerer innstillingen for sikker oppstart som aktiverer oppdateringsprosessen for sertifikatet og hvordan du distribuerer denne konfigurasjonen. Den fremhever også hvordan du bruker modellbasertetilordningsfiltre til å støtte kontrollerte, trinnvise utrullinger på maskinvare som allerede er validert for å håndtere oppdateringen.

Forutsetninger

Kvalifisering for sikker oppstartssertifikatoppdatering bestemmes av CSP-en for sikker oppstartspolicy og fastvare for enheten. Dette omfanget samsvarer ikke alltid med tidslinjer for Windows-service (dvs. oppdateringer) eller Intune registreringskrav.

forutsetninger for Intune og policy

  • Logg på med en konto som har tillatelse til å opprette filtre og opprette/tilordne katalogpolicyer for innstillinger.

  • Enheter må være registrert i Intune (tildelingsfiltre gjelder bare for administrerte enheter).

Forutsetninger for kvalifisering for sikker oppstart

Trinn 1 – Konfigurer innstillinger for oppdatering av sertifikat for sikker oppstart i Intune (Innstillingskatalog)

I dette trinnet oppretter du en konfigurasjonsprofil for katalogenheten for Windows-innstillinger i Microsoft Intune. Du konfigurerer også innstillingene for sikker oppstart som aktiverer oppdateringsprosessen for sertifikatet for sikker oppstart.

Hva du skal opprette

En konfigurasjonsprofil for katalogenheten for Windows-innstillinger som aktiverer Aktiver sertifikat for sikker oppstart Oppdateringer:

Opprett katalogprofilen Innstillinger

  1. Logg deg på administrasjonssenteret for Microsoft Intune.

  2. Gå til Enheter > Administrere enheter > Konfigurasjon.

  3. Velg Opprett > Ny policy.

  4. I Opprett en profil:

  5. Plattform: Windows 10 og nyere

  6. Profiltype: Innstillingskatalog

  7. Velg Opprett.

  8. Gi navn til profilen (for eksempel oppdatering av sertifikat for sikker oppstart), legg til en valgfri beskrivelse, og velg Neste.

  9. Velg Legg til innstillinger under Konfigurasjonsinnstillinger.

  10. Søk etter Sikker oppstart i innstillingsvelgeren, og velg den under Bla gjennom etter kategori.

  11. Legg til innstillingen Aktiver sertifikat for sikker oppstart Oppdateringer fra de tre som vises i sikker oppstart-kategorien i profilen.

    Obs!: Du kan konfigurere de andre innstillingene for sikker oppstart i denne kategorien på samme måte hvis distribusjonsscenariet krever dem.

  12. Konfigurer innstillingsverdien til Aktivert.

  13. Velg Neste for å fortsette til oppgavene. (Du bruker et filter i trinn 3).

Trinn 2 – Opprett et oppgavefilter for modellbasert målretting

Deretter oppretter du et Intune oppgavefilter som er rettet mot bestemte enhetsmodeller. Med modellbasert målretting kan du begrense sertifikatoppdateringer for sikker oppstart til utvalgte maskinvaremodeller. Denne kontrollerte og trinnvise distribusjonen krever ikke flere Microsoft Entra ID grupper.

Hvorfor modellbasert målretting anbefales for distribusjon av sertifikat for sikker oppstart

  • Fastvarevariabilitet – OEMer implementerer sikker oppstart på en annen måte, så omfang på modellnivå reduserer uventet virkemåte.

  • Tidligere validering – Du kan validere sertifikatoppdateringer på et kjent, godt maskinvaresett før omfattende utrulling.

Hva du skal opprette

Et tilordningsfilter for administrerte enheter som retter seg mot (eller ekskluderer) bestemte enhetsmodeller.

Opprett oppgavefilteret

  1. Logg deg på administrasjonssenteret for Microsoft Intune.

  2. Gå til leieradministrasjon > Tildelingsfiltre > Opprett.

  3. Velg administrerte enheter.

  4. Angi følgende i Grunnleggende:

    • Filternavn (beskrivende).

    • Beskrivelse (valgfritt, men anbefalt).

    • Plattform: Windows 10 og nyere.

  5. Velg Neste.

  6. Velg én fremgangsmåte i Regler:

    • Regelverktøy (anbefales for de fleste administratorer)

    • Regelsyntaks (manuell redigering av uttrykk)

Bygg en modellbasert regel (regelverktøy)

  1. Velg modellegenskapen i regelverktøyet.

  2. Velg en operator.

  3. Skriv inn modellstrengene du vil samsvare med.

  4. Velg Legg til uttrykk for å legge det til i regelen.

  5. Hvis det er nødvendig, kan du bruke And/Or til å utvide regelen til flere modeller eller legge til flere kriterier basert på andre mulige filtrerbare egenskaper.

Tips!: Bruk forhåndsvisningsenheter til å validere at filteret samsvarer med det tiltenkte settet. Forhåndsvisningslisten støtter søk etter enhetsnavn, OS-versjon, enhetsmodell og enhetsprodusent.

Forhåndsvise og opprette filteret

  1. Velg Forhåndsvisningsenheter for å bekrefte hvilke registrerte enheter som samsvarer.

  2. Velg Neste.

  3. (Valgfritt) Tilordne omfangskoder hvis du bruker dem.

  4. Velg Neste.

  5. Velg Opprett i Se gjennom + opprett.

Trinn 3 – Tilordne policyen ved hjelp av tilordningsfilteret

Til slutt tilordner du katalogprofilen Innstillinger til en enhet eller brukergruppe og bruker tilordningsfilteret. Dette bestemmer hvilke registrerte enheter som mottar og behandler oppdateringsinnstillingene for sertifikat for sikker oppstart under policyevaluering.

Hva du skal gjøre

Du tilordner katalogprofilen for innstillinger for sikker oppstart fra trinn 1 til en gruppe, og deretter bruker du filteret fra trinn 2 i inkluder- eller utelatelsesmodus .

Bruke oppgavefilteret

  1. Gå til Enheter > Administrere enheter > Konfigurasjon i administrasjonssenteret for Microsoft Intune.

  2. Velg katalogprofilen for innstillinger du opprettet i trinn 1 ovenfor.

  3. Åpne egenskaper > tildelinger > redigere.

  4. Tilordne profilen til den aktuelle brukergruppen eller enhetsgruppen.

    Tips!: Hvis du ikke har noen andre kriterier for å begrense målrettingen, tilordner du denne policyen til den virtuelle gruppen Alle enheter . Bruk tilordningsfilteret for enhetsmodell fra trinn 2 til å begrense tilordningen. Denne kombinasjonen er tilstrekkelig for de fleste distribusjoner. Den virtuelle gruppen Alle enheter er innebygd, krever ikke gruppevedlikehold og er optimalisert for skalering. Deretter begrenser tilordningsfilteret anvendelighet ved enhetsinnsjekking basert på enhetsegenskaper, uten å kreve ytterligere Microsoft Entra grupper.

  5. Velg Rediger filter.

  6. Velg én:

    • Inkluder filtrerte enheter i tilordning: bare enheter som samsvarer med filteret, mottar policyen.

    • Utelat filtrerte enheter i tilordning: enheter som samsvarer med filteret, mottar ikke policyen.

  7. Velg det eksisterende oppgavefilteret fra trinn 2, og velg Velg.

  8. Velg Se gjennom og lagre > Lagre.

Forstå virkemåten til enheten

  • Intune evaluerer filteret når enheten registreres, hver gang den sjekker inn, og når den tilordnede policyen evalueres på nytt.

  • Aktivering av innstillingen for sikker oppstart garanterer ikke umiddelbar sertifikatprogram. For innstillingen for sikker oppstart som utløser oppdateringsprosessen, kjører Windows Secure Boot-oppgaven hver 12. time. Noen oppdateringer kan kreve en omstart.

Vanlige spørsmål

Windows Secure Boot-oppgaven som behandler innstillingen, kjører hver 12. time.

Start av oppdateringen via Intune fører ikke til omstart, men en omstart kan være nødvendig for å fullføre oppdateringen.

Når sertifikater brukes på fastvare, kan ikke Windows fjerne dem. Fjerning av sertifikater må gjøres via fastvaregrensesnittet.

Eldre sertifikater begynner å utløpe i juni 2026. Enheter som ikke har mottatt de nyere 2023-sertifikatene, mister muligheten til å motta nye sikkerhetsbeskyttelser for tidlig oppstart (for eksempel sikker oppstart av database og tilbakekallingsoppdateringer).

Ressurser

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter