Применяется к
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Исходная дата публикации: 10 марта 2026 г.

Идентификатор базы знаний: 5084490

В этой статье содержатся рекомендации для

  • ИТ-специалисты и Intune администраторы, которые управляют устройствами Windows, развертывают элементы управления обновлением сертификатов безопасной загрузки с помощью политик каталога параметров и контролируют рабочие процессы обновления.

  • Команды, которым необходимо нацеливать развертывания на определенные модели оборудования с помощью фильтров назначений.

В этой статье:

Введение

Это руководство поможет ИТ-администраторам включить процесс обновления сертификата безопасной загрузки с помощью политик каталога параметров Microsoft Intune. В ней описано, как настроить параметр безопасной загрузки, который включает процесс обновления сертификата, и как развернуть такую конфигурацию. В ней также показано, как использовать фильтры назначения на основемодели для поддержки управляемых поэтапных выпусков на оборудовании, которое уже было проверено для успешной обработки обновления.

Предварительные требования

Право на обновление сертификата безопасной загрузки определяетсяCSP политики безопасной  загрузки и встроенного ПО устройства. Это область не всегда соответствует временным шкалам обслуживания Windows (т. е. обновлений) или требованиям к регистрации Intune.

предварительные требования к Intune и политике

  • Войдите с помощью учетной записи, которая имеет разрешения на создание фильтров и создание и назначение политик каталога параметров.

  • Устройства должны быть зарегистрированы в Intune (фильтры назначений применяются только к управляемым устройствам).

Предварительные требования для безопасной загрузки

Шаг 1. Настройка параметров обновления сертификата безопасной загрузки в Intune (каталог параметров)

На этом шаге вы создадите профиль конфигурации устройства каталога параметров Windows в Microsoft Intune. Вы также настраиваете параметры безопасной загрузки, которые позволяют обновить сертификат безопасной загрузки.

Что вы создадите

Профиль конфигурации устройства каталога параметров Windows, который включает Обновления включить сертификат безопасной загрузки:

Создание профиля каталога параметров

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства > Управление устройствами > Конфигурация.

  3. Выберите Создать > Создать политику.

  4. В разделе Создание профиля выполните приведенные далее действия.

  5. Платформа: Windows 10 и более поздних версий

  6. Тип профиля: каталог параметров

  7. Нажмите Создать.

  8. Назовите профиль (например, обновление сертификата безопасной загрузки), добавьте необязательное описание и нажмите кнопку Далее.

  9. В разделе Параметры конфигурации выберите Добавить параметры.

  10. В окне выбора параметров найдите безопасную загрузку и выберите его в разделе Обзор по категории.

  11. Добавьте параметр Включить сертификат безопасной загрузки Обновления из трех, представленных в категории Безопасная загрузка, в профиль.

    Примечание: Вы можете настроить другие параметры безопасной загрузки в этой категории таким же образом, если они требуются в сценарии развертывания.

  12. Задайте для параметра значение Включено.

  13. Нажмите кнопку Далее , чтобы перейти к назначениям. (Фильтр будет применен на шаге 3.

Шаг 2. Создание фильтра назначений для нацеливания на основе модели

Затем создайте фильтр назначения Intune, предназначенный для конкретных моделей устройств. Нацеливание на основе моделей позволяет область обновления сертификатов безопасной загрузки для выбранных моделей оборудования. Это управляемое и поэтапное развертывание не требует дополнительных Microsoft Entra ID групп.

Почему для развертывания сертификата безопасной загрузки рекомендуется нацеливание на основе модели

  • Вариативность встроенного ПО . Изготовители оборудования реализуют безопасную загрузку по-разному, поэтому определение уровня модели снижает непредвиденное поведение.

  • Предварительная проверка . Вы можете проверить обновления сертификатов в известном хорошем наборе оборудования перед широким развертыванием.

Что вы создадите

Фильтр назначения управляемых устройств , предназначенный (или исключающий) определенные модели устройств.

Создание фильтра назначений

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Администрирование клиента > Фильтры назначения > Создать.

  3. Выберите Управляемые устройства.

  4. В разделе Основные сведения задайте:

    • Имя фильтра (описательное).

    • Описание (необязательно, но рекомендуется).

    • Платформа: Windows 10 и более поздних версий.

  5. Выберите Далее.

  6. В разделе Правила выберите один подход:

    • Построитель правил (рекомендуется для большинства администраторов)

    • Синтаксис правила (редактирование выражений вручную)

Создание правила на основе модели (построитель правил)

  1. В построителе правил выберите свойство модели .

  2. Выберите оператор.

  3. Введите строки модели, которые нужно сопоставить.

  4. Выберите Добавить выражение , чтобы добавить его в правило.

  5. При необходимости используйте И/Или , чтобы расширить правило до дополнительных моделей или добавить дополнительные критерии на основе других возможных фильтруемых свойств.

Совет: Используйте устройства предварительного просмотра , чтобы проверить, соответствует ли фильтр предполагаемому набору. Список предварительных версий поддерживает поиск по имени устройства, версии ОС, модели устройства и изготовителю устройства.

Предварительный просмотр и создание фильтра

  1. Выберите Предварительный просмотр устройств , чтобы подтвердить соответствие зарегистрированных устройств.

  2. Выберите Далее.

  3. (Необязательно) При их использовании назначьте теги области .

  4. Выберите Далее.

  5. В разделе Просмотр и создание выберите Создать.

Шаг 3. Назначение политики с помощью фильтра назначений

Наконец, вы назначаете профиль каталога параметров устройству или группе пользователей и применяете фильтр назначений. Это определяет, какие зарегистрированные устройства получают и обрабатывают параметры обновления сертификата безопасной загрузки во время оценки политики.

Что вы будете делать

Вы назначите группе профиль каталога параметров безопасной загрузки из шага 1, а затем примените фильтр из шага 2 в режиме включения или исключения .

Применение фильтра назначений

  1. В Центре администрирования Microsoft Intune перейдите в раздел Устройства > Управление устройствами > конфигурация.

  2. Выберите профиль каталога параметров, созданный на шаге 1 выше.

  3. Откройте свойства > назначения > изменить.

  4. Назначьте профиль соответствующей группе пользователей или устройств.

    Совет: Если у вас нет других критериев для ограничения таргетинга, назначьте эту политику виртуальной группе Все устройства . Используйте фильтр назначения модели устройства из шага 2, чтобы область назначения. Этого сочетания достаточно для большинства развертываний. Виртуальная группа "Все устройства " встроена, не требует обслуживания группы и оптимизирована для масштабирования. Затем фильтр назначений сужает применимость проверка устройства на основе свойств устройства, не требуя дополнительных Microsoft Entra групп.

  5. Выберите Изменить фильтр.

  6. Выберите один из них:

    • Включить отфильтрованные устройства в назначение: политику получают только те устройства, которые соответствуют фильтру.

    • Исключите отфильтрованные устройства в назначении: устройства, соответствующие фильтру, не получают политику.

  7. Выберите существующий фильтр назначений на шаге 2 и нажмите кнопку Выбрать.

  8. Выберите Проверить и сохранить > Сохранить.

Общие сведения о поведении устройства

  • Intune вычисляет фильтр при регистрации устройства, при каждом его входе и при повторной оценке назначенной политики.

  • Включение параметра безопасной загрузки не гарантирует немедленное применение сертификата. Для параметра безопасной загрузки, который запускает процесс обновления, задача безопасной загрузки Windows выполняется каждые 12 часов. Для некоторых обновлений может потребоваться перезапуск.

Часто задаваемые вопросы

Задача безопасной загрузки Windows, которая обрабатывает параметр, выполняется каждые 12 часов.

Инициализация обновления через Intune не приводит к перезапуску, хотя для завершения обновления может потребоваться перезагрузка.

После применения сертификатов к встроенному ПО Windows не удается удалить их. Очистка сертификатов должна выполняться с помощью интерфейса встроенного ПО.

Срок действия старых сертификатов истекает в июне 2026 г. Устройства, которые не получили более новые сертификаты 2023, потеряют возможность получать новые средства защиты безопасности при ранней загрузке (например, безопасная загрузка базы данных и обновления отзыва).

Ресурсы

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей