Uporaba nastavitev posodobitve potrdila varnega zagona z uporabo ciljanja na podlagi modela v Microsoft Intune

V tem članku:

• Uvod

• Predpogoji

• 1. korak – konfiguracija nastavitev posodobitve potrdila za varni zagon v Intune (katalog nastavitev)

• 2. korak – ustvarjanje filtra dodelitve za izbiranje na podlagi modela

• 3. korak – dodelitev pravilnika s filtrom dodelitve

• Pogosta vprašanja

• Viri

Uvod

Skrbniki IT lahko s pomočjo teh navodil omogočijo postopek posodobitve potrdila za varni zagon s pravilniki Microsoft Intune kataloga nastavitev. V njem je opisano, kako konfigurirate nastavitev varnega zagona, ki omogoča postopek posodobitve potrdila in kako uvedete to konfiguracijo. Prav tako je poudarjeno, kako uporabiti filtre dodelitev, ki temeljijo na modelu, za podporo nadzorovanih in po stopnjah uveljav na strojni opremi, za katero je bila že preverjena veljavnost za uspešno obravnavo posodobitve.

Predpogoji

Upravičenost do posodobitve potrdila varnega zagona je določena s pravilnikom CSP za varni zagon in vdelano programsko opremo naprave. Ta obseg ni vedno v skladu s časovnimi okviri servisiranja sistema Windows (tj. s posodobitvami) ali z Intune vpisa.

Intune in pogoji pravilnika

• Vpišite se z računom, ki ima dovoljenja za ustvarjanje filtrov in ustvarjanje/dodeljevanje pravilnikov kataloga nastavitev.

• Naprave morajo biti včlanjeni v Intune (filtri dodelitev veljajo le za upravljane naprave).

Pogoji za upravičenost do varnega zagona

• Seznam podprtih različic sistema Windows je na voljo v Microsoft Intune varnega zagona za naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.

• Naprave morajo imeti omogočen varni zagon in morajo biti v trenutni posodobitvi servisiranja.

1. korak – konfiguracija nastavitev posodobitve potrdila za varni zagon v Intune (katalog nastavitev)

V tem koraku ustvarite profil za konfiguracijo naprave s katalogom nastavitev sistema Windows v Microsoft Intune. Konfigurirate lahko tudi nastavitve varnega zagona, ki omogočajo postopek posodobitve potrdila za varni zagon.

Kaj boste ustvarili

A Windows Settings catalog device configuration profile that enables the Enable Secure Boot Certificate Posodobitve:

Ustvarjanje profila kataloga »Nastavitve«

1. Vpišite se v Microsoft Intune središče.

2. Pojdite na Naprave > upravljanje naprav >konfiguracijo.

3. Izberite Ustvari > nov pravilnik.

4. V razdelku Ustvarjanje profila:

5. Platforma: Windows 10 in novejše različice

6. Vrsta profila: Katalog nastavitev

7. Izberite Ustvari.

8. Poimenujte profil (npr. posodobitev potrdila za varni zagon), dodajte izbirni opis in izberite Naprej.

9. V nastavitvah konfiguracijeizberite Dodaj nastavitve.

10. V izbirniku nastavitev poiščite varni zagon in ga izberite pod možnostjo Prebrskaj po kategoriji.

11. V profil dodajte nastavitev Posodobitve potrdila za varni zagon iz treh kategorij varnega zagona.

    Opomba: Druge nastavitve varnega zagona v tej kategoriji lahko konfigurirate na enak način, če to zahteva vaš scenarij uvajanja.

12. Konfigurirajte vrednost nastavitve na Omogočeno.

13. Izberite Naprej , da nadaljujete z nalogami. (V 3. koraku boste uporabili filter).

2. korak – ustvarjanje filtra dodelitve za izbiranje na podlagi modela

Nato ustvarite filter dodelitve Intune, ki je namenjen določenim modelom naprav. Izbira na podlagi modela vam omogoča, da nastavite obseg posodobitev potrdila za varni zagon za izbrane modele strojne opreme. To nadzorovano in po stopnjah ne zahteva dodatnih Microsoft Entra ID skupine.

Zakaj je priporočeno ciljanje na podlagi modela za uvedbo potrdila varnega zagona

• Variabilnost vdelane programske opreme – proizvajalci strojne opreme drugače uvajajo varni zagon, zato določanje obsega na ravni modela zmanjša nepričakovano vedenje.

• Predhodno preverjanje veljavnosti – pred obširšo naročnitvijo lahko preverite veljavnost posodobitev potrdil za znano dobro strojno opremo.

Kaj boste ustvarili

Filter za dodelitev upravljanih naprav, ki določa (ali izključuje) določene modele naprav.

Ustvarjanje filtra dodelitve

1. Vpišite se v Microsoft Intune središče.

2. Pojdite v razdelek Skrbništvo najemnika > dodelijo filtre > Ustvari.

3. Izberite Upravljane naprave.

4. V razdelku Osnove nastavite:

   • Ime filtra (opisno).

   • Opis (izbirno, vendar priporočeno).

   • Platforma: Windows 10 in novejše različice.

5. Izberite Naprej.

6. V razdelku Pravila izberite en pristop:

   • Graditelj pravil (priporočeno za večino skrbnikov)

   • Sintaksa pravila (ročno urejanje izraza)

Ustvarjanje pravila na osnovi modela (graditelj pravil)

1. V graditelju pravil izberite lastnost modela.

2. Izberite operatorja.

3. Vnesite nize modela, ki jih želite poiskati.

4. Izberite Dodaj izraz, da ga dodate pravilu.

5. Po potrebi uporabite And/Or, da pravilo razširite na dodatne modele ali dodate dodatne pogoje na podlagi drugih možnih lastnosti, ki jih je mogoče filtrirati.

Predogled in ustvarjanje filtra

1. Izberite Naprave za predogled, da potrdite, katere včlanene naprave se ujemajo.

2. Izberite Naprej.

3. (Izbirno) Če jih uporabljate , dodelite oznake obsega.

4. Izberite Naprej.

5. V možnosti Pregled + ustvari izberite Ustvari.

3. korak – dodelitev pravilnika s filtrom dodelitve

Profil kataloga Nastavitev dodelite napravi ali skupini uporabnikov in uporabite filter dodelitve. To določa, katere včlanene naprave prejmejo in obdelajo nastavitve posodobitve potrdila za varni zagon med vrednotenjem pravilnika.

Kaj boste storile

Profil kataloga Nastavitev varnega zagona iz 1. koraka dodelite skupini, nato pa uporabite filter iz 2. koraka v načinu vključitevali izključitev .

Uporaba filtra dodelitve

1. V skrbniškem središču Microsoft Intune izberite Naprave, ki >Upravljanje naprav > konfiguracijo.

2. Izberite profil kataloga Nastavitve, ki ste ga ustvarili v 1. koraku zgoraj.

3. Odprite Lastnosti > naloge in > Uredi.

4. Dodelite profil ustrezni skupini uporabnikov aliskupini naprav.

   Namig: Če nimate drugih pogojev za omejitev ciljanja, dodelite ta pravilnik navidezni skupini Vse naprave. Uporabite filter dodelitve modela naprave iz 2. koraka, da nastavite obseg dodelitve. Ta kombinacija zadostuje za večino uvedbe. Navidezna skupina Vse naprave je vgrajena, ne zahteva vzdrževanja skupine in je optimizirana za prilagajanje velikosti. Nato filter dodelitve omeji uporabnost pri check-inu naprave glede na lastnosti naprave, ne da bi za to potrebovali Microsoft Entra skupin.

5. Izberite Uredi filter.

6. Izberite eno od možnosti:

   • V dodelitev vključite filtrirane naprave: pravilnik prejmejo le naprave, ki se ujemajo s filtrom.

   • Izključite filtrirane naprave pri dodelitvi: naprave, ki se ujemajo s filtrom, ne prejmejo pravilnika.

7. Izberite obstoječi filter dodelitve v 2. koraku in izberite Izberi.

8. Izberite Pregled + shrani > Shrani.

Razumevanje delovanja naprave

• Intune oceni filter, ko se naprava včlani, vsakič ko se sprosti, in vsakič, ko je dodeljen pravilnik znova ovrednoten.

• Omogočanje nastavitve varnega zagona ne zagotavlja takojšnje aplikacije za potrdilo. Za nastavitev varnega zagona, ki sproži postopek posodobitve, se opravilo varnega zagona sistema Windows zažene vsakih 12 ur. Nekatere posodobitve lahko zahtevajo ponovni zagon.

Pogosta vprašanja

Viri

• Definicije nastavitev in dovoljene vrednosti: Pravilnik SecureBoot CSP

• Potek in nastavitve kataloga nastavitev: Microsoft Intune način varnega zagona za naprave s sistemom Windows s posodobitvami, ki jih upravlja IT

• Ozadje in časovnice: potek potrdila varnega zagona sistema Windows in posodobitve overitelja digitalnih potrdil

• Ustvarjanje, predogled in uporaba filtrov: Ustvarjanje filtrov dodelitev v Microsoft Intune

• Podprte lastnosti, operatorji in sintaksa: lastnosti filtra dodelitve in sklici operatorjev

• Splošno načrtovanje in uporaba Intune kot priporočena možnost: playbook za varni zagon za potrdila, ki potečejo leta 2026

• Pristop samo za nadzorovanje in poročanje Intune): spremljanje stanja potrdila varnega zagona z Microsoft Intune odpravljanjem težav