Instellingen voor het bijwerken van secure boot-certificaten toepassen met behulp van modelgebaseerde targeting in Microsoft Intune

Van toepassing op
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Opmerking

  • Oorspronkelijke publicatiedatum: 10 maart 2026
  • KB-id: 5084490

Dit artikel bevat richtlijnen voor

  • IT-professionals en Intune-beheerders die Windows-apparaten beheren, besturingselementen voor Secure Boot-certificaatupdates implementeren via catalogusbeleid voor instellingen en toezicht houden op updatewerkstromen.
  • Teams die implementaties moeten richten op specifieke hardwaremodellen met behulp van toewijzingsfilters.

In dit artikel:

Inleiding

Deze richtlijnen helpen IT-beheerders bij het inschakelen van het certificaatupdateproces voor beveiligd opstarten met behulp van catalogusbeleid voor Microsoft Intune-instellingen. Er wordt beschreven hoe de instelling voor beveiligd opstarten moet worden geconfigureerd waarmee het certificaatupdateproces wordt ingeschakeld en hoe u die configuratie implementeert. Het benadrukt ook hoe u modelgebaseerde toewijzingsfilters kunt gebruiken ter ondersteuning van gecontroleerde, gefaseerde implementaties op hardware die al is gevalideerd om de update met succes af te handelen.

Vereisten

De geschiktheid voor het bijwerken van Secure Boot-certificaten wordt bepaald door deSecure Boot Policy-CSP en de  apparaatfirmware. Dit bereik is niet altijd afgestemd op de tijdlijnen voor Windows-onderhoud (d.w.z. updates) of de inschrijvingsvereisten voor Intune.

Intune en beleidsvereisten

  • Meld u aan met een account dat gemachtigd is om filters te maken en instellingen te maken/toewijzen Catalogusbeleid.
  • Apparaten moeten worden ingeschreven bij Intune (toewijzingsfilters zijn alleen van toepassing op beheerde apparaten).

Vereisten om in aanmerking te komen voor Secure Boot

Stap 1 - Instellingen voor het bijwerken van Secure Boot-certificaten configureren in Intune (instellingencatalogus)

In deze stap maakt u een apparaatconfiguratieprofiel voor de catalogus met Windows-instellingen in Microsoft Intune. Je configureert ook de instellingen voor beveiligd opstarten waarmee het certificaatupdateproces voor beveiligd opstarten wordt ingeschakeld.

Wat je gaat maken

Een apparaatconfiguratieprofiel voor de Windows-instellingencatalogus waarmee het certificaat voor beveiligd opstarten inschakelen Updates wordt ingeschakeld:

Het catalogusprofiel Instellingen maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Apparaten>Apparaatconfiguratie beheren>.

  3. SelecteerNieuw beleidmaken>.

  4. In Een profiel maken:

  5. Platform: Windows 10 en hoger

  6. Profieltype: Instellingencatalogus

  7. Selecteer Maken.

  8. Geef het profiel een naam (bijvoorbeeld Secure Boot Certificate Update), voeg een optionele beschrijving toe en selecteer Volgende.

  9. Selecteer Instellingen toevoegen in configuratie-instellingen.

  10. Zoek in de instellingenkiezer naar Beveiligd opstarten en selecteer dit onder Bladeren op categorie.

  11. Voeg de instelling Secure Boot Certificate Updates inschakelen uit de drie die worden weergegeven in de categorie Secure Boot toe aan het profiel.

    Opmerking

    Je kunt de andere instellingen voor beveiligd opstarten in deze categorie op dezelfde manier configureren als je implementatiescenario deze vereist.

  12. Configureer de waarde van de instelling naar Ingeschakeld.

  13. Selecteer Volgende om door te gaan naar de opdrachten. (In stap 3 past u een filter toe).

Stap 2 - Een toewijzingsfilter maken voor modelgebaseerde targeting

Vervolgens maakt u een filter voor Intune-toewijzingen dat is gericht op specifieke apparaatmodellen. Met modelgebaseerde targeting kunt u het bereik van Secure Boot-certificaatupdates voor geselecteerde hardwaremodellen bepalen. Voor deze gecontroleerde en gefaseerde implementatie zijn geen extra Microsoft Entra ID-groepen vereist.

Waarom modelgebaseerde targeting wordt aanbevolen voor de implementatie van Secure Boot-certificaten

  • Firmwarevariabiliteit - OEM's implementeren Beveiligd opstarten anders, zodat scoping op modelniveau onverwacht gedrag vermindert.
  • Voorafgaande validatie - U kunt certificaatupdates op een bekende goede hardwareset valideren voordat u ze breed implementeert.

Wat je gaat maken

Een toewijzingsfilter voor beheerde apparaten dat specifieke apparaatmodellen target (of uitsluit).

Het opdrachtenfilter maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Tenantbeheer>Toewijzingsfilters>Maken.

  3. Selecteer Beheerde apparaten.

  4. Stel in Basisprincipes het volgende in:

    • Filternaam (beschrijvend).
    • Beschrijving (optioneel, maar aanbevolen).
    • Platform: Windows 10 en hoger.
  5. Selecteer Next.

  6. Kies één benadering in Regels:

    • Opbouwfunctie voor regels (aanbevolen voor de meeste beheerders)
    • Regelsyntaxis (handmatig bewerken van expressies)

Een op een model gebaseerde regel maken (regelbouwer)

  1. Selecteer de modeleigenschap in de opbouwfunctie voor regels .
  2. Kies een operator.
  3. Voer de modeltekenreeks(en) in die u wilt vergelijken.
  4. Selecteer Expressie toevoegen om deze toe te voegen aan de regel.
  5. Gebruik En/Of zo nodig om de regel uit te breiden naar andere modellen of om extra criteria toe te voegen op basis van andere mogelijke filterbare eigenschappen.

Tip

Gebruik Preview-apparaten om te controleren of het filter overeenkomt met de beoogde set. De Preview-lijst ondersteunt zoeken op apparaatnaam, besturingssysteemversie, apparaatmodel en apparaatfabrikant.

Een voorbeeld bekijken en het filter maken

  1. Selecteer Voorbeelden van apparaten om te controleren welke geregistreerde apparaten overeenkomen.
  2. Selecteer Next.
  3. (Optioneel) Wijs bereiklabels toe als u deze gebruikt.
  4. Selecteer Next.
  5. Selecteer Makenin Controleren + maken.

Stap 3: het beleid toewijzen met het toewijzingsfilter

Ten slotte wijst u het catalogusprofiel Instellingen toe aan een apparaat of gebruikersgroep en past u het toewijzingsfilter toe. Hiermee wordt bepaald welke geregistreerde apparaten de instellingen voor het bijwerken van het Secure Boot-certificaat ontvangen en verwerken tijdens de evaluatie van het beleid.

Wat je gaat doen

Je wijst het catalogusprofiel voor beveiligd opstarten uit stap 1 toe aan een groep en past vervolgens het filter uit stap 2 toe in de modus Opnemen of uitsluiten .

Het toewijzingsfilter toepassen

  1. Ga in het Microsoft Intune-beheercentrum naar Apparaten>Apparaatconfiguratie beheren>.

  2. Selecteer het catalogusprofiel Instellingen dat u in stap 1 hierboven hebt gemaakt.

  3. Open eigenschappen>Toewijzingen>bewerken.

  4. Wijs het profiel toe aan de juiste gebruikersgroep of apparaatgroep.

    Tip

    Als u geen andere criteria hebt om targeting te beperken, wijst u dit beleid toe aan de virtuele groep Alle apparaten . Gebruik het toewijzingsfilter voor het apparaatmodel uit stap 2 om een bereik voor de toewijzing te bepalen. Deze combinatie is voldoende voor de meeste implementaties. De virtuele groep Alle apparaten is ingebouwd, vereist geen groepsonderhoud en is geoptimaliseerd voor schaalbaarheid. Vervolgens beperkt het toewijzingsfilter de toepasbaarheid bij het inchecken van het apparaat op basis van apparaateigenschappen, zonder dat er extra Microsoft Entra-groepen nodig zijn.

  5. Selecteer Filter bewerken.

  6. Kies een van de volgende opties:

    • Gefilterde apparaten opnemen in toewijzing: alleen apparaten die voldoen aan het filter ontvangen het beleid.
    • Gefilterde apparaten uitsluiten in toewijzing: apparaten die voldoen aan het filter ontvangen het beleid niet.
  7. Selecteer het bestaande opdrachtfilter in stap 2 en kies Selecteren.

  8. Selecteer Controleren + opslaan>Opslaan.

Apparaatgedrag begrijpen

  • Intune evalueert het filter wanneer het apparaat wordt ingeschreven, telkens wanneer het wordt ingecheckt en wanneer het toegewezen beleid opnieuw wordt geëvalueerd.
  • Het inschakelen van de instelling voor beveiligd opstarten garandeert niet dat het certificaat onmiddellijk wordt aangevraagd. Voor de instelling Beveiligd opstarten waarmee het updateproces wordt geactiveerd, wordt de taak Windows Beveiligd opstarten elke 12 uur uitgevoerd. Voor sommige updates kan het nodig zijn om de Surface opnieuw op te starten.

Veelgestelde vragen

Hoe vaak verwerken apparaten de instelling 'Secure Boot Certificate Updates inschakelen'?

De Windows Secure Boot-taak die de instelling verwerkt, wordt elke 12 uur uitgevoerd.

Verwacht ik herstarts?

Als de update wordt geïnitieerd via Intune, wordt er niet opnieuw opgestart, hoewel een herstart nodig kan zijn om de update te voltooien.

Kan ik de nieuwe certificaten terugdraaien of verwijderen nadat ze zijn toegepast?

Wanneer certificaten zijn toegepast op firmware, kunnen deze niet meer worden verwijderd. Het wissen van certificaten moet worden gedaan via de firmware-interface.

Waarom moet ik dit doen vóór juni 2026?

Oudere certificaten verlopen in juni 2026. Apparaten die niet de nieuwere 2023-certificaten hebben ontvangen, verliezen de mogelijkheid om nieuwe beveiligingsmaatregelen voor vroeg opstarten te ontvangen (bijvoorbeeld Secure Boot-database en intrekkingsupdates).

Bronnen