Gäller för
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Ursprungligt publiceringsdatum: den 10 mars 2026

KB-ID: 5084490

Den här artikeln innehåller vägledning för

  • IT-tekniker och Intune-administratörer som hanterar Windows-enheter, distribuerar kontroller för certifikatuppdatering för säker start via katalogprinciper för inställningar och övervakar uppdateringsarbetsflöden.

  • Team som behöver rikta distributioner till specifika maskinvarumodeller med hjälp av tilldelningsfilter.

I den här artikeln:

Inledning

Den här vägledningen hjälper IT-administratörer att aktivera processen för uppdatering av certifikat för säker start med hjälp av katalogprinciper för Microsoft Intune inställningar. Den beskriver hur du konfigurerar inställningen Säker start som aktiverar processen för certifikatuppdatering och hur du distribuerar den konfigurationen. Den belyser också hur du använder modellbaseradetilldelningsfilter för att stödja kontrollerade, stegvisa distributioner på maskinvara som redan har verifierats för att hantera uppdateringen.

Krav

Behörigheten för certifikatuppdatering för säker start bestäms av CSP för säker start-princip och enhetens inbyggda programvara. Den här omfattningen justeras inte alltid efter windows underhållslivslinjer (d.v.s. uppdateringar) eller Intune registreringskrav.

Intune och policykrav

  • Logga in med ett konto som har behörighet att skapa filter och skapa/tilldela principer för inställningskatalogen.

  • Enheter måste registreras i Intune (tilldelningsfilter gäller endast för hanterade enheter).

Krav för säker start

Steg 1 – Konfigurera inställningar för uppdatering av certifikat för säker start i Intune (katalog med inställningar)

I det här steget skapar du en konfigurationsprofil för windows-inställningar i Microsoft Intune. Du kan också konfigurera inställningarna för säker start som aktiverar processen för uppdatering av certifikat för säker start.

Det här skapar du

En konfigurationsprofil för en windows-inställningskatalog som gör att Uppdateringar Aktivera certifikat för säker start:

Skapa profilen för inställningskatalogen

  1. Logga in på administrationscentret för Microsoft Intune.

  2. Gå till Enheter > Hantera enheter > konfiguration.

  3. Välj Skapa > Ny princip.

  4. I Skapa en profil:

  5. Plattform: Windows 10 och senare

  6. Profiltyp: Inställningskatalog

  7. Välj Skapa.

  8. Namnge profilen (t.ex. Secure Boot Certificate Update), lägg till en valfri beskrivning och välj Nästa.

  9. I Konfigurationsinställningar väljer du Lägg till inställningar.

  10. Sök efter Säker start i inställningsväljaren och välj det under Bläddra efter kategori.

  11. Lägg till inställningen Enable Secure Boot Certificate Uppdateringar från de tre som visas i kategorin Säker start i profilen.

    Obs!: Du kan konfigurera de andra inställningarna för säker start i den här kategorin på samma sätt om distributionsscenariot kräver dem.

  12. Konfigurera inställningsvärdet till Aktiverat.

  13. Välj Nästa för att fortsätta till uppgifterna. (Du använder ett filter i steg 3).

Steg 2 – Skapa ett uppgiftsfilter för modellbaserad inriktning

Därefter skapar du ett Intune tilldelningsfilter som riktar sig till specifika enhetsmodeller. Med modellbaserad inriktning kan du begränsa uppdateringar av certifikat för säker start till valda maskinvarumodeller. Den här kontrollerade och stegvisa distributionen kräver inte ytterligare Microsoft Entra ID grupper.

Därför rekommenderas modellbaserad inriktning för säker start-certifikatdistribution

  • Variabilitet för inbyggd programvara – OEM-tillverkare implementerar Säker start på olika sätt, så omfattning på modellnivå minskar oväntat beteende.

  • Tidigare validering – Du kan verifiera certifikatuppdateringar på en känd bra maskinvaruuppsättning före omfattande distribution.

Det här skapar du

Ett tilldelningsfilter för hanterade enheter som riktar sig till (eller exkluderar) specifika enhetsmodeller.

Skapa uppgiftsfiltret

  1. Logga in på administrationscentret för Microsoft Intune.

  2. Gå till Administration av klientorganisation > Uppgiftsfilter > Skapa.

  3. Välj Hanterade enheter.

  4. I Grundläggande anger du:

    • Filternamn (beskrivande).

    • Beskrivning (valfritt, men rekommenderas).

    • Plattform: Windows 10 och senare.

  5. Välj Nästa.

  6. Välj en metod i Regler:

    • Regelverktyget (rekommenderas för de flesta administratörer)

    • Regelsyntax (manuell uttrycksredigering)

Skapa en modellbaserad regel (regelverktyget)

  1. Välj modellegenskapen i Regelverktyget.

  2. Välj en operator.

  3. Ange den eller de modellsträngar som du vill matcha.

  4. Välj Lägg till uttryck för att lägga till det i regeln.

  5. Om det behövs kan du använda And/Or för att utöka regeln till ytterligare modeller eller för att lägga till ytterligare villkor baserat på andra möjliga filterbara egenskaper.

Tips: Använd Förhandsgranskningsenheter för att verifiera att filtret matchar den avsedda uppsättningen. Förhandsgranskningslistan har stöd för sökning efter enhetsnamn, OS-version, enhetsmodell och enhetstillverkare.

Förhandsgranska och skapa filtret

  1. Välj Förhandsgranska enheter för att bekräfta vilka registrerade enheter som matchar.

  2. Välj Nästa.

  3. (Valfritt) Tilldela omfattningstaggar om du använder dem.

  4. Välj Nästa.

  5. I Granska + skapa väljer du Skapa.

Steg 3 – Tilldela principen med hjälp av tilldelningsfiltret

Slutligen tilldelar du profilen för inställningskatalogen till en enhet eller användargrupp och tillämpar uppgiftsfiltret. Detta avgör vilka registrerade enheter som tar emot och bearbetar inställningarna för uppdatering av certifikat för säker start under principutvärderingen.

Vad du ska göra

Du tilldelar katalogprofilen Inställningar för säker start från steg 1 till en grupp och tillämpar sedan filtret från steg 2 i inkludera - eller uteslutningsläge .

Använda uppgiftsfiltret

  1. I administrationscentret för Microsoft Intune går du till Enheter > Hantera enheter > konfiguration.

  2. Välj den inställningskatalogprofil som du skapade i steg 1 ovan.

  3. Öppna Egenskaper > Uppgifter > Redigera.

  4. Tilldela profilen till lämplig användargrupp eller enhetsgrupp.

    Tips: Om du inte har några andra villkor för att begränsa inriktning tilldelar du den här principen till den virtuella gruppen Alla enheter . Använd filtret för tilldelning av enhetsmodell från steg 2 för att begränsa tilldelningen. Den här kombinationen är tillräcklig för de flesta distributioner. Den virtuella gruppen Alla enheter är inbyggd, kräver inget gruppunderhåll och är optimerad för skalning. Tilldelningsfiltret begränsar sedan tillämpligheten vid enhetscheckning baserat på enhetsegenskaper, utan att ytterligare Microsoft Entra grupper krävs.

  5. Välj Redigera filter.

  6. Välj ett alternativ:

    • Inkludera filtrerade enheter i tilldelningen: endast enheter som matchar filtret får principen.

    • Exkludera filtrerade enheter i tilldelning: enheter som matchar filtret får inte principen.

  7. Välj ditt befintliga uppgiftsfilter från steg 2 och välj Välj.

  8. Välj Granska + spara > Spara.

Förstå enhetens beteende

  • Intune utvärderar filtret när enheten registreras, varje gång den checkar in och när den tilldelade principen utvärderas på nytt.

  • Aktivering av inställningen Säker start garanterar inte ett omedelbart certifikatprogram. För inställningen Säker start som utlöser uppdateringsprocessen körs uppgiften Säker start i Windows var 12:e timme. Vissa uppdateringar kan kräva en omstart.

Vanliga frågor

Uppgiften Windows Säker start som bearbetar inställningen körs var 12:e timme.

Att starta uppdateringen via Intune orsakar ingen omstart, men en omstart kan krävas för att slutföra uppdateringen.

När certifikat har tillämpats på inbyggd programvara kan Windows inte ta bort dem. Rensning av certifikat måste göras via gränssnittet för den inbyggda programvaran.

Äldre certifikat börjar gälla i juni 2026. Enheter som inte har tagit emot de nyare 2023-certifikaten förlorar möjligheten att få nya säkerhetsskydd för tidig start (t.ex. databas för säker start och återkallningsuppdateringar).

Resurser

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter