Van toepassing op
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Oorspronkelijke publicatiedatum: dinsdag 10 maart 2026

KB-id: 5084490

Dit artikel bevat richtlijnen voor

  • IT-professionals en Intune beheerders die Windows-apparaten beheren, secure boot-besturingselementen voor certificaatupdates implementeren via catalogusbeleidsinstellingen en toezicht houden op updatewerkstromen.

  • Teams die implementaties moeten richten op specifieke hardwaremodellen met behulp van toewijzingsfilters.

In dit artikel:

Inleiding

Deze richtlijnen helpen IT-beheerders bij het inschakelen van het updateproces van het secure boot-certificaat met behulp van Microsoft Intune instellingen catalogusbeleid. Hierin wordt beschreven hoe u de instelling Beveiligd opstarten configureert waarmee het certificaatupdateproces wordt ingeschakeld en hoe u deze configuratie implementeert. Ook wordt uitgelegd hoe u toewijzingsfilters op basis vanmodellen kunt gebruiken om beheerde, gefaseerde implementaties te ondersteunen op hardware die al is gevalideerd om de update met succes te verwerken.

Vereisten

Geschiktheid voor het bijwerken van secure boot-certificaten wordt bepaald door de CSP en de apparaatfirmware van het secure boot-beleid . Dit bereik is niet altijd afgestemd op de tijdlijnen voor Windows-onderhoud (bijvoorbeeld updates) of Intune inschrijvingsvereisten.

vereisten voor Intune en beleid

  • Meld u aan met een account met machtigingen voor het maken van filters en het maken/toewijzen van beleidsregels voor instellingencatalogus.

  • Apparaten moeten worden ingeschreven bij Intune (toewijzingsfilters zijn alleen van toepassing op beheerde apparaten).

Vereisten voor veilig opstarten

Stap 1: instellingen voor het bijwerken van certificaten voor beveiligd opstarten configureren in Intune (catalogus instellingen)

In deze stap maakt u een configuratieprofiel voor windows-instellingen voor apparaten in Microsoft Intune. U configureert ook de instellingen voor beveiligd opstarten waarmee het updateproces van het certificaat beveiligd opstarten wordt ingeschakeld.

Wat u gaat maken

Een configuratieprofiel voor windows-instellingencatalogusapparaten waarmee het Updates Certificaat voor beveiligd opstarten inschakelen wordt ingeschakeld:

Het catalogusprofiel Instellingen maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Apparaten > Apparaten beheren > Configuratie.

  3. Selecteer Maken > Nieuw beleid.

  4. In Een profiel maken:

  5. Platform: Windows 10 en hoger

  6. Profieltype: Instellingencatalogus

  7. Selecteer Maken.

  8. Geef het profiel een naam (bijvoorbeeld Secure Boot Certificate Update), voeg een optionele beschrijving toe en selecteer Volgende.

  9. Selecteer bij Configuratie-instellingende optie Instellingen toevoegen.

  10. Zoek in de instellingenkiezer naar Beveiligd opstarten en selecteer deze onder Bladeren op categorie.

  11. Voeg de instelling Secure Boot Certificate inschakelen Updates van de drie die worden weergegeven in de categorie Beveiligd opstarten toe aan het profiel.

    Opmerking: U kunt de andere instellingen voor beveiligd opstarten in deze categorie op dezelfde manier configureren als uw implementatiescenario deze vereist.

  12. Configureer de instellingswaarde op Ingeschakeld.

  13. Selecteer Volgende om door te gaan naar de toewijzingen. (U past een filter toe in stap 3).

Stap 2: een toewijzingsfilter maken voor op modellen gebaseerde targeting

Vervolgens maakt u een Intune toewijzingsfilter dat is gericht op specifieke apparaatmodellen. Met op modellen gebaseerde targeting kunt u certificaatupdates voor beveiligd opstarten toepassen op geselecteerde hardwaremodellen. Voor deze beheerde en gefaseerde implementatie zijn geen extra Microsoft Entra ID groepen vereist.

Waarom op modellen gebaseerde targeting wordt aanbevolen voor secure boot-certificaatimplementatie

  • Firmwarevariabiliteit : OEM's implementeren Secure Boot anders, zodat het bereik op modelniveau onverwacht gedrag vermindert.

  • Voorafgaande validatie : u kunt certificaatupdates valideren op een bekende goede hardwareset voordat u een brede implementatie uitrolt.

Wat u gaat maken

Een toewijzingsfilter voor beheerde apparaten dat specifieke apparaatmodellen richt (of uitsluit).

Het toewijzingsfilter maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Tenantbeheer > Toewijzingsfilters > Maken.

  3. Selecteer Beheerde apparaten.

  4. Stel in Basisbeginselen het volgende in:

    • Filternaam (beschrijvend).

    • Beschrijving (optioneel, maar aanbevolen).

    • Platform: Windows 10 en hoger.

  5. Klik op Volgende.

  6. Kies in Regels één benadering:

    • Opbouwfunctie voor regels (aanbevolen voor de meeste beheerders)

    • Regelsyntaxis (handmatig bewerken van expressies)

Een op modellen gebaseerde regel bouwen (opbouwfunctie voor regels)

  1. Selecteer in De opbouwfunctie voor regels de eigenschap model .

  2. Kies een operator.

  3. Voer de modeltekenreeks(en) in die u wilt overeenkomen.

  4. Selecteer Expressie toevoegen om deze toe te voegen aan de regel.

  5. Gebruik indien nodig En/Of om de regel uit te breiden naar extra modellen of om aanvullende criteria toe te voegen op basis van andere mogelijke filtereigenschappen.

Tip: Gebruik Preview-apparaten om te controleren of het filter overeenkomt met de beoogde set. De preview-lijst ondersteunt het zoeken op apparaatnaam, versie van het besturingssysteem, apparaatmodel en apparaatfabrikant.

Het filter bekijken en maken

  1. Selecteer Voorbeeld van apparaten om te bevestigen welke geregistreerde apparaten overeenkomen.

  2. Klik op Volgende.

  3. (Optioneel) Wijs bereiktags toe als u deze gebruikt.

  4. Klik op Volgende.

  5. Selecteer in Beoordelen en makende optie Maken.

Stap 3: het beleid toewijzen met behulp van het toewijzingsfilter

Ten slotte wijst u het catalogusprofiel Instellingen toe aan een apparaat of gebruikersgroep en past u het toewijzingsfilter toe. Hiermee wordt bepaald welke geregistreerde apparaten de instellingen voor het bijwerken van het Secure Boot-certificaat ontvangen en verwerken tijdens de beleidsevaluatie.

Wat u gaat doen

U wijst het catalogusprofiel instellingen voor beveiligd opstarten uit stap 1 toe aan een groep en past vervolgens het filter uit stap 2 toe in de modus Opnemen of Uitsluiten .

Het toewijzingsfilter toepassen

  1. Navigeer in het Microsoft Intune-beheercentrum naar Apparaten > Apparaten beheren > Configuratie.

  2. Selecteer het catalogusprofiel Instellingen dat u in stap 1 hierboven hebt gemaakt.

  3. Open Eigenschappen > toewijzingen > Bewerken.

  4. Wijs het profiel toe aan de juiste gebruikersgroep of apparaatgroep.

    Tip: Als u geen andere criteria hebt om targeting te beperken, wijst u dit beleid toe aan de virtuele groep Alle apparaten . Gebruik het toewijzingsfilter van het apparaatmodel uit stap 2 om het bereik van de toewijzing te bepalen. Deze combinatie is voldoende voor de meeste implementaties. De virtuele groep Alle apparaten is ingebouwd, vereist geen groepsonderhoud en is geoptimaliseerd voor schaalaanpassing. Vervolgens beperkt het toewijzingsfilter de toepasbaarheid bij het inchecken van apparaten op basis van apparaateigenschappen, zonder dat er extra Microsoft Entra groepen nodig zijn.

  5. Selecteer Filter bewerken.

  6. Kies er een:

    • Gefilterde apparaten opnemen in de toewijzing: alleen apparaten die overeenkomen met het filter ontvangen het beleid.

    • Gefilterde apparaten uitsluiten bij toewijzing: apparaten die overeenkomen met het filter ontvangen het beleid niet.

  7. Selecteer uw bestaande toewijzingsfilter in stap 2 en kies Selecteren.

  8. Selecteer Controleren en opslaan > Opslaan.

Inzicht in het gedrag van apparaten

  • Intune evalueert het filter wanneer het apparaat wordt ingeschreven, telkens wanneer het wordt ingecheckt en wanneer het toegewezen beleid opnieuw wordt geëvalueerd.

  • Het inschakelen van de instelling Beveiligd opstarten garandeert geen onmiddellijke certificaattoepassing. Voor de instelling Beveiligd opstarten die het updateproces activeert, wordt de windows-taak beveiligd opstarten elke 12 uur uitgevoerd. Voor sommige updates moet u mogelijk opnieuw opstarten.

Veelgestelde vragen

De Windows Secure Boot-taak waarmee de instelling wordt verwerkt, wordt elke 12 uur uitgevoerd.

Het initiëren van de update via Intune veroorzaakt geen herstart, hoewel opnieuw opstarten mogelijk vereist is om de update te voltooien.

Nadat certificaten zijn toegepast op firmware, kan Windows deze niet verwijderen. Het wissen van certificaten moet worden uitgevoerd via de firmware-interface.

Oudere certificaten verlopen in juni 2026. Apparaten die de nieuwere 2023-certificaten niet hebben ontvangen, verliezen de mogelijkheid om nieuwe beveiligingsbeveiligingen voor vroeg opstarten te ontvangen (bijvoorbeeld beveiligde opstartdatabase en intrekkingsupdates).

Informatiebronnen

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum