Vzťahuje sa na
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Pôvodný dátum publikovania: 10. marca 2026

KB ID: 5084490

Tento článok obsahuje návod na

  • IT profesionáli a správcovia Intune, ktorí spravujú zariadenia s Windowsom, nasadzujú ovládacie prvky aktualizácie certifikátu zabezpečeného spustenia prostredníctvom politík katalógu nastavení a dohliadajú na pracovné postupy aktualizácie.

  • Tímy, ktoré potrebujú zamerať nasadenie na konkrétne hardvérové modely pomocou filtrov priradenia.

V tomto článku:

Úvod

Tieto pokyny pomáhajú správcom IT povoliť proces aktualizácie certifikátu zabezpečeného spustenia pomocou politík katalógu nastavení Microsoft Intune. Popisuje, ako nakonfigurovať nastavenie zabezpečeného spustenia, ktoré umožňuje proces aktualizácie certifikátu, a ako nasadiť túto konfiguráciu. Zvýrazňuje tiež, ako používať filtre priradenia založené na modeli na podporu riadených fáz zavádzania na hardvéri, ktorý už bol overený, aby sa aktualizácia úspešne spracovala.

Požiadavky

Oprávnenosť na aktualizáciu certifikátu zabezpečeného spustenia je určenáCSP politiky zabezpečeného  spustenia a firmvérom zariadenia. Tento rozsah nie je vždy v súlade s časovými osami údržby systému Windows (t. j. aktualizáciami) alebo Intune požiadavkami na registráciu.

Intune a predpoklady politiky

  • Prihláste sa pomocou konta s povoleniami na vytváranie filtrov a vytváranie a priraďovanie politík katalógu nastavení.

  • Zariadenia musia byť zaregistrované v Intune (filtre priradenia sa vzťahujú len na spravované zariadenia).

Predpoklady oprávnenosti na zabezpečené spustenie

Krok 1 – Konfigurácia nastavení aktualizácie certifikátu zabezpečeného spustenia v Intune (katalóg nastavení)

V tomto kroku vytvoríte profil konfigurácie katalógového zariadenia nastavení Windowsu v Microsoft Intune. Môžete tiež nakonfigurovať nastavenia zabezpečeného spustenia, ktoré povolia proces aktualizácie certifikátu zabezpečeného spustenia.

Čo vytvoríte

Profil konfigurácie katalógu nastavení systému Windows, ktorý umožňuje povoliť certifikát zabezpečeného spustenia Aktualizácie:

Vytvorenie profilu katalógu nastavení

  1. Prihláste sa do Centra spravovania Microsoft Intune.

  2. Prejdite do časti Zariadenia > Spravovať zariadenia > Konfigurácia.

  3. Vyberte položku Vytvoriť > Novú politiku.

  4. V časti Vytvorenie profilu:

  5. Platforma: Windows 10 a novšie verzie

  6. Typ profilu: Katalóg nastavení

  7. Vyberte položku Vytvoriť.

  8. Zadajte názov profilu (napr. aktualizácia certifikátu zabezpečeného spustenia), pridajte voliteľný popis a vyberte položku Ďalej.

  9. V nastaveniach konfigurácie vyberte položku Pridať nastavenia.

  10. Vo výbere nastavení vyhľadajte položku Zabezpečené spustenie a vyberte ju v časti Prehľadávať podľa kategórie.

  11. Pridajte nastavenie Povoliť certifikát zabezpečeného spustenia Aktualizácie z troch uvedených v kategórii Zabezpečené spustenie do profilu.

    Poznámka: Ďalšie nastavenia zabezpečeného spustenia v tejto kategórii môžete nakonfigurovať rovnakým spôsobom, ak ich váš scenár nasadenia vyžaduje.

  12. Nakonfigurujte hodnotu nastavenia na možnosť Povolené.

  13. Ak chcete pokračovať v priradených úlohách, vyberte položku Ďalej . (Filter použijete v kroku 3).

Krok 2 – Vytvorenie filtra priradenia pre zameranie na základe modelu

V ďalšom kroku vytvoríte filter priradenia Intune, ktorý sa zameriava na konkrétne modely zariadení. Zameranie na základe modelu umožňuje rozsah aktualizácií certifikátov zabezpečeného spustenia vybratých hardvérových modelov. Toto riadené a fázované nasadenie nevyžaduje ďalšie Microsoft Entra ID skupiny.

Prečo sa na nasadenie certifikátu zabezpečeného spustenia odporúča zameranie založené na modeli

  • Variabilita firmvéru – OEM implementujú zabezpečené spustenie odlišne, takže určenie rozsahu na úrovni modelu znižuje neočakávané správanie.

  • Predchádzajúce overenie – pred širokým uvedením môžete overiť aktualizácie certifikátu na známej dobrej hardvérovej množine.

Čo vytvoríte

Filter priradenia spravovaných zariadení , ktorý cieli (alebo vylučuje) konkrétne modely zariadení.

Vytvorenie filtra priradenia

  1. Prihláste sa do Centra spravovania Microsoft Intune.

  2. Prejdite do správy nájomníka > filtre priradení > vytvoriť.

  3. Vyberte položku Spravované zariadenia.

  4. V časti Základy nastavte:

    • Názov filtra (popisný).

    • Popis (voliteľný, ale odporúča sa).

    • Platforma: Windows 10 a novšie verzie.

  5. Vyberte tlačidlo Ďalej.

  6. V časti Pravidlá vyberte jeden prístup:

    • Zostavovač pravidiel (odporúča sa pre väčšinu správcov)

    • Syntax pravidla (manuálna úprava výrazu)

Vytvorenie modelového pravidla (zostavovač pravidiel)

  1. V Zostavovači pravidiel vyberte vlastnosť modelu .

  2. Vyberte operátor.

  3. Zadajte reťazce modelu, ktoré sa majú zhodovať.

  4. Vyberte položku Pridať výraz a pridajte ho do pravidla.

  5. V prípade potreby použite príkaz And/Or na rozšírenie pravidla na ďalšie modely alebo na pridanie ďalších kritérií na základe iných možných filtrovateľných vlastností.

Tip: Pomocou zariadení s ukážkou overte, či sa filter zhoduje s určenou množinou. Zoznam ukážky podporuje vyhľadávanie podľa názvu zariadenia, verzie operačného systému, modelu zariadenia a výrobcu zariadenia.

Zobrazenie ukážky a vytvorenie filtra

  1. Vyberte ukážkové zariadenia a potvrďte, ktoré zaregistrované zariadenia sa zhodujú.

  2. Vyberte tlačidlo Ďalej.

  3. (Voliteľné) Ak ich použijete, priraďte značky rozsahu .

  4. Vyberte tlačidlo Ďalej.

  5. V časti Revízia + vytvoriť vyberte položku Vytvoriť.

Krok 3 – Priradenie politiky pomocou filtra priradenia

Nakoniec priraďte profil katalógu Nastavení k zariadeniu alebo skupine používateľov a použite filter priradenia. To určuje, ktoré zaregistrované zariadenia prijímajú a spracúvajú nastavenia aktualizácie certifikátu zabezpečeného spustenia počas vyhodnocovania politiky.

Čo budete robiť

Priradíte profil katalógu nastavenia zabezpečeného spustenia z kroku 1 do skupiny a potom použijete filter z kroku 2 v režime Zahrnutie alebo Vylúčenie .

Použitie filtra priradenia

  1. V Centre spravovania Microsoft Intune prejdite na položku Zariadenia > Spravovať zariadenia > Konfigurácia.

  2. Vyberte profil katalógu nastavení, ktorý ste vytvorili v kroku 1 vyššie.

  3. Otvorte položku Vlastnosti > Priradenia > upraviť.

  4. Priraďte profil príslušnej skupine používateľov alebo skupine zariadení.

    Tip: Ak nemáte žiadne ďalšie kritériá na obmedzenie zamerania, priraďte túto politiku virtuálnej skupine Všetky zariadenia . Použite filter priradenia modelu zariadenia z kroku 2 na rozsah priradenia. Táto kombinácia je dostatočná pre väčšinu nasadení. Virtuálna skupina Všetky zariadenia je vstavaná, nevyžaduje žiadnu údržbu skupiny a je optimalizovaná pre mierku. Potom filter priradenia zužuje použiteľnosť pri vráteniu zariadenia na základe vlastností zariadenia bez toho, aby bolo potrebné ďalšie Microsoft Entra skupiny.

  5. Vyberte položku Upraviť filter.

  6. Vyberte jednu z možností:

    • Zahrnutie filtrovaných zariadení do priradenia: politiku dostanú iba zariadenia, ktoré zodpovedajú filtru.

    • Vylúčiť filtrované zariadenia v priradení: zariadenia, ktoré zodpovedajú filtru, nedostanú politiku.

  7. V kroku 2 vyberte existujúci filter priradenej úlohy a vyberte položku Vybrať.

  8. Vyberte položky Revízia a Uložiť > Uložiť.

Vysvetlenie správania zariadenia

  • Intune vyhodnotí filter, keď sa zariadenie zaregistruje, pri každom prihlásení a pri každom opätovnom vyhodnotení priradenej politiky.

  • Povolenie nastavenia zabezpečeného spustenia nezaručuje okamžitú aplikáciu certifikátu. V prípade nastavenia zabezpečeného spustenia, ktoré spúšťa proces aktualizácie, sa úloha zabezpečeného spustenia systému Windows spustí každých 12 hodín. Niektoré aktualizácie môžu vyžadovať reštartovanie.

Najčastejšie otázky

Úloha zabezpečeného spustenia systému Windows, ktorá spracováva nastavenie, sa spúšťa každých 12 hodín.

Spustenie aktualizácie prostredníctvom Intune nespôsobí reštart, hoci na dokončenie aktualizácie môže byť potrebný reštart.

Po použití certifikátov na firmvér ich Windows nedokáže odstrániť. Vymazávanie certifikátov sa musí vykonať prostredníctvom rozhrania firmvéru.

Platnosť starších certifikátov sa začne plynúť v júni 2026. Zariadenia, ktoré nedostali novšie certifikáty verzie 2023, stratia možnosť prijímať nové bezpečnostné ochrany pred skorým spustením (napr. aktualizácie databázy zabezpečeného spustenia a aktualizácie zrušenia).

Zdroje informácií

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania