Dotyczy
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Oryginalna data publikacji: 10 marca 2026 r.

Identyfikator BAZY WIEDZY: 5084490

Ten artykuł zawiera wskazówki dotyczące

  • Specjalistów IT i administratorów Intune, którzy zarządzają urządzeniami z systemem Windows, wdrażają kontrolki aktualizacji certyfikatu bezpiecznego rozruchu za pośrednictwem zasad wykazu ustawień i nadzorują przepływy pracy aktualizacji.

  • Zespoły, które muszą kierować wdrożenia do konkretnych modeli sprzętu przy użyciu filtrów przydziałów.

W tym artykule:

Wprowadzenie

Te wskazówki pomagają administratorom IT w włączeniu procesu aktualizacji certyfikatu bezpiecznego rozruchu przy użyciu zasad wykazu ustawień Microsoft Intune. Przedstawiono w nim, jak skonfigurować ustawienie bezpiecznego rozruchu, które umożliwia proces aktualizacji certyfikatu i jak wdrożyć tę konfigurację. Wyróżniono również sposób używania filtrów przydziałów opartych namodelu do obsługi kontrolowanych etapowych wdrożeń na sprzęcie, które zostały już sprawdzone pod względem pomyślnej obsługi aktualizacji.

Wymagania wstępne

Uprawnienia do aktualizacji certyfikatu bezpiecznego rozruchu są określane przezzasady bezpiecznego rozruchu  CSP i oprogramowanie układowe urządzenia. Ten zakres nie zawsze jest zgodny z osiami czasu obsługi systemu Windows (tj. aktualizacjami) ani Intune wymagań dotyczących rejestracji.

Intune i wymagania wstępne zasad

  • Zaloguj się przy użyciu konta, które ma uprawnienia do tworzenia filtrów i tworzenia/przypisywania zasad wykazu ustawień.

  • Urządzenia muszą być zarejestrowane w Intune (filtry zadań mają zastosowanie tylko do urządzeń zarządzanych).

Wymagania wstępne dotyczące uprawnień do bezpiecznego rozruchu

Krok 1. Konfigurowanie ustawień aktualizacji certyfikatu bezpiecznego rozruchu w Intune (wykaz ustawień)

W tym kroku utworzysz profil konfiguracji urządzenia wykazu ustawień systemu Windows w Microsoft Intune. Konfigurowane są również ustawienia bezpiecznego rozruchu, które umożliwiają proces aktualizacji certyfikatu bezpiecznego rozruchu.

Co utworzysz

A Windows Settings catalog device configuration profile that enables the Enable Secure Boot Certificate Aktualizacje:

Tworzenie profilu wykazu ustawień

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Przejdź do obszaru Urządzenia > Zarządzaj urządzeniami > Konfiguracja.

  3. Wybierz pozycję Utwórz > Nowe zasady.

  4. W oknie Tworzenie profilu:

  5. Platforma: Windows 10 i nowsze

  6. Typ profilu: wykaz ustawień

  7. Wybierz pozycję Utwórz.

  8. Nadaj profilowi nazwę (np. Aktualizacja certyfikatu bezpiecznego rozruchu), dodaj opcjonalny opis i wybierz pozycję Dalej.

  9. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia.

  10. W selektorze ustawień wyszukaj pozycję Bezpieczny rozruch i wybierz ją w obszarze Przeglądaj według kategorii.

  11. Dodaj ustawienie Aktualizacje Włącz certyfikat bezpiecznego rozruchu z trzech przedstawionych w kategorii Bezpieczny rozruch do profilu.

    Uwaga: Inne ustawienia bezpiecznego rozruchu w tej kategorii można skonfigurować w taki sam sposób, jeśli wymaga tego scenariusz wdrożenia.

  12. Skonfiguruj wartość ustawienia na wartość Włączone.

  13. Wybierz pozycję Dalej , aby przejść do zadań. (Filtr zostanie zastosowany w kroku 3).

Krok 2. Tworzenie filtru zadań dla kierowania na podstawie modelu

Następnie należy utworzyć filtr przydziału Intune przeznaczony dla określonych modeli urządzeń. Kierowanie oparte na modelu umożliwia określanie zakresu aktualizacji certyfikatu bezpiecznego rozruchu dla wybranych modeli sprzętu. To kontrolowane i etapowe wdrożenie nie wymaga dodatkowych grup Microsoft Entra ID.

Dlaczego kierowanie oparte na modelu jest zalecane w przypadku wdrożenia certyfikatu bezpiecznego rozruchu

  • Zmienność oprogramowania układowego — OEM inaczej implementują bezpieczny rozruch, więc określanie zakresu na poziomie modelu zmniejsza nieoczekiwane zachowanie.

  • Wcześniejsza weryfikacja — przed ogólnym wdrożeniem można zweryfikować aktualizacje certyfikatów na znanym dobrym zestawie sprzętowym.

Co utworzysz

Filtr przypisywania urządzeń zarządzanych , który sprawdza (lub wyklucza) określone modele urządzeń.

Tworzenie filtru zadania

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Przejdź do obszaru Administrowanie dzierżawą > Filtry przydziałów > Utwórz.

  3. Wybierz pozycję Zarządzane urządzenia.

  4. W obszarze Podstawy ustaw:

    • Nazwa filtru (opisowa).

    • Opis (opcjonalny, ale zalecany).

    • Platforma: Windows 10 i nowsze.

  5. Wybierz pozycję Dalej.

  6. W obszarze Reguły wybierz jedną metodę:

    • Konstruktor reguł (zalecane dla większości administratorów)

    • Składnia reguły (ręczne edytowanie wyrażeń)

Tworzenie reguły opartej na modelu (konstruktor reguł)

  1. W konstruktorze reguł wybierz właściwość modelu .

  2. Wybierz operator.

  3. Wprowadź ciągi modelu, które chcesz dopasować.

  4. Wybierz pozycję Dodaj wyrażenie , aby dodać je do reguły.

  5. W razie potrzeby należy użyć opcji And/Or , aby rozszerzyć regułę na dodatkowe modele lub dodać dodatkowe kryteria na podstawie innych możliwych właściwości filtrowanych.

Porada: Użyj urządzeń w wersji Preview , aby sprawdzić, czy filtr jest zgodny z zamierzonym zestawem. Lista podglądu umożliwia wyszukiwanie według nazwy urządzenia, wersji systemu operacyjnego, modelu urządzenia i producenta urządzenia.

Wyświetlanie podglądu i tworzenie filtru

  1. Wybierz pozycję Podgląd urządzeń , aby potwierdzić, które zarejestrowane urządzenia są zgodne.

  2. Wybierz pozycję Dalej.

  3. (Opcjonalnie) Przypisz tagi zakresu , jeśli ich używasz.

  4. Wybierz pozycję Dalej.

  5. W obszarze Recenzja + utwórz wybierz pozycję Utwórz.

Krok 3. Przypisywanie zasad przy użyciu filtru przydziałów

Na koniec przypisujesz profil wykazu ustawień do urządzenia lub grupy użytkowników i stosujesz filtr przydziału. To określa, które zarejestrowane urządzenia otrzymują i przetwarzają ustawienia aktualizacji certyfikatu bezpiecznego rozruchu podczas oceny zasad.

Co zrobisz

Przypiszesz profil wykazu ustawień bezpiecznego rozruchu z kroku 1 do grupy, a następnie zastosujesz filtr z kroku 2 w trybie dołączania lub wyklucz .

Stosowanie filtru zadania

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Urządzenia > Zarządzaj urządzeniami > Konfiguracja.

  2. Wybierz profil wykazu ustawień utworzony w kroku 1 powyżej.

  3. Otwórz okno Właściwości > zadania > Edytuj.

  4. Przypisz profil do odpowiedniej grupy użytkowników lub grupy urządzeń.

    Porada: Jeśli nie masz żadnych innych kryteriów ograniczających kierowanie, przypisz te zasady do grupy wirtualnej Wszystkie urządzenia . Użyj filtru przypisywania modelu urządzenia z kroku 2, aby określić zakres zadania. Ta kombinacja jest wystarczająca w przypadku większości wdrożeń. Grupa wirtualna Wszystkie urządzenia jest wbudowana, nie wymaga konserwacji grupy i jest zoptymalizowana pod kątem skali. Następnie filtr przydziału zawęża zastosowanie podczas meldowania się na urządzeniu na podstawie właściwości urządzenia, nie wymagając dodatkowych grup Microsoft Entra.

  5. Wybierz pozycję Edytuj filtr.

  6. Wybierz jedną z następujących pozycji:

    • Uwzględnij filtrowane urządzenia w zadaniu: zasady otrzymują tylko urządzenia zgodne z filtrem.

    • Wyklucz filtrowane urządzenia w przypisaniu: urządzenia zgodne z filtrem nie otrzymują zasad.

  7. Wybierz istniejący filtr zadania z kroku 2 i wybierz pozycję Wybierz.

  8. Wybierz pozycję Recenzja + zapisz > Zapisz.

Opis zachowania urządzenia

  • Intune ocenia filtr, gdy urządzenie się rejestruje, za każdym razem, gdy się sprawdza i ilekroć przypisane zasady są ponownie oceniane.

  • Włączenie ustawienia Bezpiecznego rozruchu nie gwarantuje natychmiastowego zastosowania certyfikatu. W przypadku ustawienia bezpiecznego rozruchu wyzwalającego proces aktualizacji zadanie Bezpiecznego rozruchu systemu Windows jest uruchamiane co 12 godzin. Niektóre aktualizacje mogą wymagać ponownego uruchomienia.

Często zadawane pytania

Zadanie Bezpiecznego rozruchu systemu Windows, które przetwarza to ustawienie, jest uruchamiane co 12 godzin.

Zainicjowanie aktualizacji za pośrednictwem Intune nie powoduje ponownego uruchomienia, ale w celu ukończenia aktualizacji może być wymagane ponowne uruchomienie.

Po zastosowaniu certyfikatów do oprogramowania układowego system Windows nie może ich usunąć. Czyszczenie certyfikatów musi odbywać się za pośrednictwem interfejsu oprogramowania układowego.

Starsze certyfikaty zaczynają wygasać w czerwcu 2026 r. Urządzenia, które nie otrzymały nowszych certyfikatów w wersji 2023, stracą możliwość otrzymywania nowych zabezpieczeń wczesnego rozruchu (np. bazy danych bezpiecznego rozruchu i aktualizacji odwołań).

Zasoby

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu