Opmerking
- Oorspronkelijke publicatiedatum: 10 maart 2026
- KB-id: 5084490
Dit artikel bevat richtlijnen voor
- IT-professionals en Intune-beheerders die Windows-apparaten beheren, besturingselementen voor Secure Boot-certificaatupdates implementeren via catalogusbeleid voor instellingen en toezicht houden op updatewerkstromen.
- Teams die implementaties moeten richten op specifieke hardwaremodellen met behulp van toewijzingsfilters.
In dit artikel:
- Inleiding
- Vereisten
- Stap 1 - Instellingen voor het bijwerken van Secure Boot-certificaten configureren in Intune (instellingencatalogus)
- Stap 2 - Een toewijzingsfilter maken voor modelgebaseerde targeting
- Stap 3: het beleid toewijzen met het toewijzingsfilter
- Veelgestelde vragen
- Bronnen
Inleiding
Deze richtlijnen helpen IT-beheerders bij het inschakelen van het certificaatupdateproces voor beveiligd opstarten met behulp van catalogusbeleid voor Microsoft Intune-instellingen. Er wordt beschreven hoe de instelling voor beveiligd opstarten moet worden geconfigureerd waarmee het certificaatupdateproces wordt ingeschakeld en hoe u die configuratie implementeert. Het benadrukt ook hoe u modelgebaseerde toewijzingsfilters kunt gebruiken ter ondersteuning van gecontroleerde, gefaseerde implementaties op hardware die al is gevalideerd om de update met succes af te handelen.
Vereisten
De geschiktheid voor het bijwerken van Secure Boot-certificaten wordt bepaald door deSecure Boot Policy-CSP en de apparaatfirmware. Dit bereik is niet altijd afgestemd op de tijdlijnen voor Windows-onderhoud (d.w.z. updates) of de inschrijvingsvereisten voor Intune.
Intune en beleidsvereisten
- Meld u aan met een account dat gemachtigd is om filters te maken en instellingen te maken/toewijzen Catalogusbeleid.
- Apparaten moeten worden ingeschreven bij Intune (toewijzingsfilters zijn alleen van toepassing op beheerde apparaten).
Vereisten om in aanmerking te komen voor Secure Boot
- De lijst met ondersteunde Windows-versies is beschikbaar in de Microsoft Intune-methode voor beveiligd opstarten voor Windows-apparaten met door IT beheerde updates.
- Apparaten moeten beveiligd opstarten hebben ingeschakeld en moeten een actuele onderhoudsupdate hebben.
Stap 1 - Instellingen voor het bijwerken van Secure Boot-certificaten configureren in Intune (instellingencatalogus)
In deze stap maakt u een apparaatconfiguratieprofiel voor de catalogus met Windows-instellingen in Microsoft Intune. Je configureert ook de instellingen voor beveiligd opstarten waarmee het certificaatupdateproces voor beveiligd opstarten wordt ingeschakeld.
Wat je gaat maken
Een apparaatconfiguratieprofiel voor de Windows-instellingencatalogus waarmee het certificaat voor beveiligd opstarten inschakelen Updates wordt ingeschakeld:
Het catalogusprofiel Instellingen maken
Meld u aan bij het Microsoft Intune-beheercentrum.
Ga naar Apparaten>Apparaatconfiguratie beheren>.
SelecteerNieuw beleidmaken>.
In Een profiel maken:
Platform: Windows 10 en hoger
Profieltype: Instellingencatalogus
Selecteer Maken.
Geef het profiel een naam (bijvoorbeeld Secure Boot Certificate Update), voeg een optionele beschrijving toe en selecteer Volgende.
Selecteer Instellingen toevoegen in configuratie-instellingen.
Zoek in de instellingenkiezer naar Beveiligd opstarten en selecteer dit onder Bladeren op categorie.
Voeg de instelling Secure Boot Certificate Updates inschakelen uit de drie die worden weergegeven in de categorie Secure Boot toe aan het profiel.
Opmerking
Je kunt de andere instellingen voor beveiligd opstarten in deze categorie op dezelfde manier configureren als je implementatiescenario deze vereist.
Configureer de waarde van de instelling naar Ingeschakeld.
Selecteer Volgende om door te gaan naar de opdrachten. (In stap 3 past u een filter toe).
Stap 2 - Een toewijzingsfilter maken voor modelgebaseerde targeting
Vervolgens maakt u een filter voor Intune-toewijzingen dat is gericht op specifieke apparaatmodellen. Met modelgebaseerde targeting kunt u het bereik van Secure Boot-certificaatupdates voor geselecteerde hardwaremodellen bepalen. Voor deze gecontroleerde en gefaseerde implementatie zijn geen extra Microsoft Entra ID-groepen vereist.
Waarom modelgebaseerde targeting wordt aanbevolen voor de implementatie van Secure Boot-certificaten
- Firmwarevariabiliteit - OEM's implementeren Beveiligd opstarten anders, zodat scoping op modelniveau onverwacht gedrag vermindert.
- Voorafgaande validatie - U kunt certificaatupdates op een bekende goede hardwareset valideren voordat u ze breed implementeert.
Wat je gaat maken
Een toewijzingsfilter voor beheerde apparaten dat specifieke apparaatmodellen target (of uitsluit).
Het opdrachtenfilter maken
Meld u aan bij het Microsoft Intune-beheercentrum.
Ga naar Tenantbeheer>Toewijzingsfilters>Maken.
Selecteer Beheerde apparaten.
Stel in Basisprincipes het volgende in:
- Filternaam (beschrijvend).
- Beschrijving (optioneel, maar aanbevolen).
- Platform: Windows 10 en hoger.
Selecteer Next.
Kies één benadering in Regels:
- Opbouwfunctie voor regels (aanbevolen voor de meeste beheerders)
- Regelsyntaxis (handmatig bewerken van expressies)
Een op een model gebaseerde regel maken (regelbouwer)
- Selecteer de modeleigenschap in de opbouwfunctie voor regels .
- Kies een operator.
- Voer de modeltekenreeks(en) in die u wilt vergelijken.
- Selecteer Expressie toevoegen om deze toe te voegen aan de regel.
- Gebruik En/Of zo nodig om de regel uit te breiden naar andere modellen of om extra criteria toe te voegen op basis van andere mogelijke filterbare eigenschappen.
Tip
Gebruik Preview-apparaten om te controleren of het filter overeenkomt met de beoogde set. De Preview-lijst ondersteunt zoeken op apparaatnaam, besturingssysteemversie, apparaatmodel en apparaatfabrikant.
Een voorbeeld bekijken en het filter maken
- Selecteer Voorbeelden van apparaten om te controleren welke geregistreerde apparaten overeenkomen.
- Selecteer Next.
- (Optioneel) Wijs bereiklabels toe als u deze gebruikt.
- Selecteer Next.
- Selecteer Makenin Controleren + maken.
Stap 3: het beleid toewijzen met het toewijzingsfilter
Ten slotte wijst u het catalogusprofiel Instellingen toe aan een apparaat of gebruikersgroep en past u het toewijzingsfilter toe. Hiermee wordt bepaald welke geregistreerde apparaten de instellingen voor het bijwerken van het Secure Boot-certificaat ontvangen en verwerken tijdens de evaluatie van het beleid.
Wat je gaat doen
Je wijst het catalogusprofiel voor beveiligd opstarten uit stap 1 toe aan een groep en past vervolgens het filter uit stap 2 toe in de modus Opnemen of uitsluiten .
Het toewijzingsfilter toepassen
Ga in het Microsoft Intune-beheercentrum naar Apparaten>Apparaatconfiguratie beheren>.
Selecteer het catalogusprofiel Instellingen dat u in stap 1 hierboven hebt gemaakt.
Open eigenschappen>Toewijzingen>bewerken.
Wijs het profiel toe aan de juiste gebruikersgroep of apparaatgroep.
Tip
Als u geen andere criteria hebt om targeting te beperken, wijst u dit beleid toe aan de virtuele groep Alle apparaten . Gebruik het toewijzingsfilter voor het apparaatmodel uit stap 2 om een bereik voor de toewijzing te bepalen. Deze combinatie is voldoende voor de meeste implementaties. De virtuele groep Alle apparaten is ingebouwd, vereist geen groepsonderhoud en is geoptimaliseerd voor schaalbaarheid. Vervolgens beperkt het toewijzingsfilter de toepasbaarheid bij het inchecken van het apparaat op basis van apparaateigenschappen, zonder dat er extra Microsoft Entra-groepen nodig zijn.
Selecteer Filter bewerken.
Kies een van de volgende opties:
- Gefilterde apparaten opnemen in toewijzing: alleen apparaten die voldoen aan het filter ontvangen het beleid.
- Gefilterde apparaten uitsluiten in toewijzing: apparaten die voldoen aan het filter ontvangen het beleid niet.
Selecteer het bestaande opdrachtfilter in stap 2 en kies Selecteren.
Selecteer Controleren + opslaan>Opslaan.
Apparaatgedrag begrijpen
- Intune evalueert het filter wanneer het apparaat wordt ingeschreven, telkens wanneer het wordt ingecheckt en wanneer het toegewezen beleid opnieuw wordt geëvalueerd.
- Het inschakelen van de instelling voor beveiligd opstarten garandeert niet dat het certificaat onmiddellijk wordt aangevraagd. Voor de instelling Beveiligd opstarten waarmee het updateproces wordt geactiveerd, wordt de taak Windows Beveiligd opstarten elke 12 uur uitgevoerd. Voor sommige updates kan het nodig zijn om de Surface opnieuw op te starten.
Veelgestelde vragen
Hoe vaak verwerken apparaten de instelling 'Secure Boot Certificate Updates inschakelen'?
De Windows Secure Boot-taak die de instelling verwerkt, wordt elke 12 uur uitgevoerd.
Verwacht ik herstarts?
Als de update wordt geïnitieerd via Intune, wordt er niet opnieuw opgestart, hoewel een herstart nodig kan zijn om de update te voltooien.
Kan ik de nieuwe certificaten terugdraaien of verwijderen nadat ze zijn toegepast?
Wanneer certificaten zijn toegepast op firmware, kunnen deze niet meer worden verwijderd. Het wissen van certificaten moet worden gedaan via de firmware-interface.
Waarom moet ik dit doen vóór juni 2026?
Oudere certificaten verlopen in juni 2026. Apparaten die niet de nieuwere 2023-certificaten hebben ontvangen, verliezen de mogelijkheid om nieuwe beveiligingsmaatregelen voor vroeg opstarten te ontvangen (bijvoorbeeld Secure Boot-database en intrekkingsupdates).
Bronnen
- Definities van instellingen en toegestane waarden: CSP van SecureBoot-beleid
- Instellingencatalogusstroom en instellingsgedrag: Microsoft Intune-methode voor beveiligd opstarten voor Windows-apparaten met door IT beheerde updates
- Achtergrond en tijdlijnen: Windows Secure Boot-certificaatverloop en CA-updates
- Filters maken, bekijken en toepassen: Opdrachtfilters maken in Microsoft Intune
- Ondersteunde eigenschappen, operatoren en syntaxis: Eigenschappen en operatoren van toewijzingsfilters
- Algemene planning van de implementatie en Intune genoemd als aanbevolen optie: Playbook voor beveiligd opstarten voor certificaten die in 2026 verlopen
- Alleen controleren en Intune-rapportage): De status van Secure Boot-certificaat bewaken met Microsoft Intune-herstelbewerkingen