Se aplică la
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Data de publicare inițială: 10 martie 2026

ID KB: 5084490

Acest articol conține instrucțiuni pentru

  • Profesioniștii IT și administratorii Intune care gestionează dispozitive Windows, implementează controale de actualizare a certificatului de bootare securizată prin politicile de catalog Setări și supraveghează fluxurile de lucru de actualizare.

  • Echipele care trebuie să direcționeze implementările către anumite modele de hardware utilizând filtrele de atribuire.

În acest articol:

Introducere

Aceste instrucțiuni ajută administratorii IT să activeze procesul de actualizare a certificatului de bootare securizată utilizând politicile de catalog Microsoft Intune Setări. Acesta vă arată cum să configurați setarea Secure Boot care permite procesul de actualizare a certificatului și cum să implementați configurația respectivă. De asemenea, evidențiază modul de utilizare a filtrelor de atribuire bazate pemodel pentru a accepta lansări controlate, pe etape, pe hardware care au fost deja validate pentru a gestiona cu succes actualizarea.

Cerințe preliminare

Eligibilitatea pentru actualizarea certificatului de bootare securizată este determinată de CSP-ul politicii de bootare securizată și de firmware-ul dispozitivului. Acest domeniu nu se aliniază întotdeauna cu cronologiile de servicii Windows (de exemplu, actualizările) sau cu cerințele de înscriere Intune.

cerințe preliminare pentru Intune și politică

  • Conectați-vă cu un cont care are permisiuni pentru a crea filtre și a crea/atribui politici de catalog de setări.

  • Dispozitivele trebuie să fie înscrise în Intune (filtrele de atribuire se aplică doar pentru dispozitivele gestionate).

Cerințe preliminare pentru eligibilitatea pentru Boot securizat

Pasul 1 - Configurarea setărilor de actualizare a certificatului de bootare securizată în Intune (Catalog setări)

În acest pas, creați un profil de configurare a dispozitivului pentru catalogul Windows Settings în Microsoft Intune. De asemenea, configurați setările Secure Boot care activează procesul de actualizare a certificatului secure Boot.

Ce veți crea

Un profil de configurare a dispozitivului din catalogul Windows Settings care permite activarea certificatului de bootare securizată Actualizări:

Crearea profilului de catalog Setări

  1. Conectați-vă la centrul de administrare Microsoft Intune.

  2. Accesați Dispozitive > Gestionare dispozitive > Configurare.

  3. Selectați Creare > Politică nouă.

  4. În Crearea unui profil:

  5. Platformă: Windows 10 și versiuni mai recente

  6. Tip de profil: Catalog setări

  7. Selectați Creare.

  8. Denumiți profilul (de exemplu, Actualizare certificat de bootare securizată), adăugați o descriere opțională și selectați Următorul.

  9. În Setări de configurare, selectați Adăugare setări.

  10. În selectorul de setări, căutați Bootare sigură și selectați-l sub Răsfoire după categorie.

  11. Adăugați setarea Activați certificatul de boot securizat Actualizări de la cele trei prezentate în categoria Bootare sigură la profil.

    Notă: Puteți configura celelalte setări secure Boot din această categorie în același fel în cazul în care scenariul dvs. de implementare necesită acest lucru.

  12. Configurați valoarea setării la Activat.

  13. Selectați Următorul pentru a continua cu temele. (Veți aplica un filtru la Pasul 3).

Pasul 2 - Crearea unui filtru de atribuire pentru direcționarea bazată pe model

În continuare, creați un filtru de atribuire Intune care vizează anumite modele de dispozitive. Direcționarea bazată pe modele vă permite să stabiliți domeniul de aplicare a actualizărilor certificatelor de bootare securizată pentru modelele de hardware selectate. Această implementare controlată și pe etape nu necesită grupuri de Microsoft Entra ID suplimentare.

De ce este recomandată direcționarea bazată pe model pentru implementarea certificatului de bootare securizată

  • Variabilitatea firmware - producătorii OEM implementează Secure Boot în mod diferit, astfel încât stabilirea domeniului la nivel de model reduce comportamentul neașteptat.

  • Validarea anterioară - Puteți valida actualizările de certificate pe un set de hardware bun cunoscut înainte de o implementare extinsă.

Ce veți crea

Un filtru de atribuire a dispozitivelor gestionate care vizează (sau exclude) anumite modele de dispozitive.

Crearea filtrului de atribuire

  1. Conectați-vă la centrul de administrare Microsoft Intune.

  2. Accesați Administrare entități găzduite > Filtre de atribuire > Creare.

  3. Selectați Dispozitive gestionate.

  4. În Noțiuni de bază, setați:

    • Nume filtru (descriptiv).

    • Descriere (opțional, dar recomandat).

    • Platformă: Windows 10 și versiuni mai recente.

  5. Selectați Următorul.

  6. În Reguli, alegeți o abordare:

    • Generator de reguli (recomandat pentru majoritatea administratorilor)

    • Sintaxa regulii (editarea manuală a expresiilor)

Construirea unei reguli bazate pe model (generator de reguli)

  1. În Generator reguli, selectați proprietatea model .

  2. Alegeți un operator.

  3. Introduceți șir sau șiruri de model pe care doriți să le potriviți.

  4. Selectați Adăugare expresie pentru a o adăuga la regulă.

  5. Dacă este necesar, utilizați Și/Sau pentru a extinde regula la modele suplimentare sau pentru a adăuga criterii suplimentare pe baza altor proprietăți ce pot fi filtrate.

Sfat: Utilizați dispozitivele Preview pentru a valida faptul că filtrul se potrivește cu setul dorit. Lista de previzualizare acceptă căutarea după numele dispozitivului, versiunea sistemului de operare, modelul dispozitivului și producătorul dispozitivului.

Previzualizarea și crearea filtrului

  1. Selectați Dispozitive preview pentru a confirma ce dispozitive înscrise se potrivesc.

  2. Selectați Următorul.

  3. (Opțional) Atribuiți etichete domeniu dacă le utilizați.

  4. Selectați Următorul.

  5. În Revizuire + creare, selectați Creare.

Pasul 3 - Atribuirea politicii utilizând filtrul de atribuire

În sfârșit, atribuiți profilul de catalog Setări unui dispozitiv sau unui grup de utilizatori și aplicați filtrul de atribuire. Acest lucru determină ce dispozitive înscrise primesc și procesează setările de actualizare a certificatului de bootare securizată în timpul evaluării politicii.

Ce veți face

Veți atribui un profil de catalog Secure Boot Settings de la Pasul 1 unui grup, apoi veți aplica filtrul de la Pasul 2 în modul Includere sau Excludere .

Aplicați filtrul de atribuire

  1. În centrul de administrare Microsoft Intune, navigați la Dispozitive > Gestionare dispozitive > Configurare.

  2. Selectați profilul de catalog Setări pe care l-ați creat la Pasul 1 de mai sus.

  3. Deschideți Proprietăți > Atribuiri > Editare.

  4. Atribuiți profilul grupului de utilizatori corespunzător sau grupului de dispozitive corespunzător.

    Sfat: Dacă nu aveți alte criterii pentru a limita țintirea, atribuiți această politică grupului virtual Toate dispozitivele . Utilizați filtrul de atribuire a modelului de dispozitiv de la Pasul 2 pentru a detalia atribuirea. Această combinație este suficientă pentru majoritatea implementărilor. Grupul virtual Toate dispozitivele este încorporat, nu necesită întreținere de grup și este optimizat pentru scală. Apoi, filtrul de atribuire îngustează aplicabilitatea la arhivarea dispozitivului pe baza proprietăților dispozitivului, fără a necesita grupuri de Microsoft Entra suplimentare.

  5. Selectați Editare filtru.

  6. Alegeți una:

    • Includeți dispozitivele filtrate în atribuire: doar dispozitivele care se potrivesc filtrului primesc politica.

    • Excludeți dispozitivele filtrate din atribuire: dispozitivele care se potrivesc filtrului nu primesc politica.

  7. Selectați filtrul de atribuire existent de la Pasul 2 și alegeți Selectare.

  8. Selectați Revizuire + salvare > Salvare.

Înțelegerea comportamentului dispozitivului

  • Intune evaluează filtrul atunci când dispozitivul se înscrie, de fiecare dată când se arhivează și de fiecare dată când politica atribuită este reevaluată.

  • Activarea setării Secure Boot nu garantează aplicarea imediată a certificatului. Pentru setarea Boot securizat care declanșează procesul de actualizare, activitatea Bootare sigură Windows rulează la fiecare 12 ore. Unele actualizări pot necesita o repornire.

Întrebări frecvente

Activitatea Boot securizat Windows care procesează setarea rulează la fiecare 12 ore.

Inițierea actualizării prin Intune nu determină o repornire, deși poate fi necesară o repornire pentru a finaliza actualizarea.

După ce certificatele se aplică la firmware, Windows nu le poate elimina. Golirea certificatelor trebuie efectuată prin interfața firmware.

Certificatele mai vechi încep să expire în iunie 2026. Dispozitivele care nu au primit certificatele 2023 mai noi vor pierde capacitatea de a primi noi protecții de securitate pentru boot timpuriu (de exemplu, baza de date Secure Boot și actualizările revocate).

Resurse

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate