Microsoft Intune'da model tabanlı hedefleme kullanarak Güvenli Önyükleme sertifika güncelleştirme ayarlarını uygulama

Bu Makalede:

• Giriş

• Ön Koşullar

• 1. Adım - Intune'da Güvenli Önyükleme sertifika güncelleştirme ayarlarını yapılandırma (Ayarlar kataloğu)

• 2. Adım - Model tabanlı hedefleme için atama filtresi oluşturma

• 3. Adım - Atama filtresini kullanarak ilkeyi atama

• Sık Sorulan Sorular

• Kaynaklar

Giriş

Bu kılavuz, BT yöneticilerinin Microsoft Intune Ayarları katalog ilkelerini kullanarak Güvenli Önyükleme sertifika güncelleştirme işlemini etkinleştirmesine yardımcı olur. Sertifika güncelleştirme işlemini etkinleştiren Güvenli Önyükleme ayarının nasıl yapılandırılacağı ve bu yapılandırmanın nasıl dağıtılacağı özetlenmiştir. Ayrıca, güncelleştirmeyi başarıyla işlemek için zaten doğrulanmış donanım üzerinde denetimli, aşamalı dağıtımları desteklemek için modeltabanlı atama filtrelerinin nasıl kullanılacağını vurgular.

Ön Koşullar

Güvenli Önyükleme sertifikası güncelleştirme uygunluğu, Güvenli Önyükleme İlkesi CSP ve cihaz üretici yazılımı tarafından  belirlenir. Bu kapsam her zaman Windows bakım (güncelleştirmeler) zaman çizelgeleriyle veya Intune kayıt gereksinimleriyle uyumlu değildir.

Intune ve ilke önkoşulları

• Filtre oluşturma ve Ayarlar Kataloğu ilkeleri oluşturma/atama izinleri olan bir hesapla oturum açın.

• Cihazların Intune kaydedilmesi gerekir (atama filtreleri yalnızca yönetilen cihazlar için geçerlidir).

Güvenli Önyükleme uygunluğu önkoşulları

• Desteklenen Windows sürümlerinin listesi, BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları için Güvenli Önyükleme'nin Microsoft Intune yönteminde sağlanır.

• Cihazlarda Güvenli Önyükleme etkin olmalı ve geçerli bir bakım güncelleştirmesinde olmalıdır.

1. Adım - Intune'da Güvenli Önyükleme sertifika güncelleştirme ayarlarını yapılandırma (Ayarlar kataloğu)

Bu adımda, Microsoft Intune'de bir Windows Ayarları kataloğu cihaz yapılandırma profili oluşturursunuz. Güvenli Önyükleme sertifikası güncelleştirme işlemini etkinleştiren Güvenli Önyükleme ayarlarını da yapılandırabilirsiniz.

Oluşturacağınız şey

Güvenli Önyükleme Sertifikasını Etkinleştir Güncelleştirmeler etkinleştiren bir Windows Ayarları kataloğu cihaz yapılandırma profili:

Ayarlar kataloğu profilini oluşturma

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar > Cihazları yönetme > Yapılandırma'ya gidin.

3. Yeni > İlke Oluştur'u seçin.

4. Profil oluşturma bölümünde:

5. Platform: Windows 10 ve üzeri

6. Profil türü: Ayarlar kataloğu

7. Oluştur seçeneğini belirleyin.

8. Profili adlandırın (örneğin, Güvenli Önyükleme Sertifikası Güncelleştirmesi), isteğe bağlı bir açıklama ekleyin ve İleri'yi seçin.

9. Yapılandırma ayarları'nda Ayarlar ekle'yi seçin.

10. Ayarlar seçicide Güvenli Önyükleme'yi arayın ve Kategoriye göre gözat'ın altında seçin.

11. Güvenli Önyükleme kategorisinde sunulan üçünden Güvenli Önyükleme Sertifikasını Etkinleştir Güncelleştirmeler ayarını profile ekleyin.

    Not: Dağıtım senaryonuz gerekliyse, bu kategorideki diğer Güvenli Önyükleme ayarlarını da aynı şekilde yapılandırabilirsiniz.

12. Ayar değerini Etkin olarak yapılandırın.

13. Ödevlere devam etmek için İleri'yi seçin. (3. Adımda bir filtre uygulayacaksınız).

2. Adım - Model tabanlı hedefleme için atama filtresi oluşturma

Ardından, belirli cihaz modellerini hedefleyen bir Intune atama filtresi oluşturursunuz. Model tabanlı hedefleme, Güvenli Önyükleme sertifika güncelleştirmelerinin kapsamını seçili donanım modellerine göre belirlemenizi sağlar. Bu denetimli ve aşamalı dağıtım için ek Microsoft Entra ID grupları gerekmez.

Güvenli Önyükleme sertifikası dağıtımı için neden model tabanlı hedefleme önerilir?

• Üretici yazılımı değişkenliği - OEM'ler Güvenli Önyükleme'yi farklı şekilde uygular, bu nedenle model düzeyinde kapsam belirleme beklenmeyen davranışı azaltır.

• Önceki doğrulama - Geniş kapsamlı dağıtımdan önce bilinen iyi bir donanım kümesindeki sertifika güncelleştirmelerini doğrulayabilirsiniz.

Oluşturacağınız şey

Belirli cihaz modellerini hedefleyen (veya hariç tutan) yönetilen cihazlar atama filtresi.

Atama filtresini oluşturma

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Oluştur > Kiracı yönetimi > Atama filtreleri'ne gidin.

3. Yönetilen cihazlar'ı seçin.

4. Temel Bilgiler'de şunları ayarlayın:

   • Filtre adı (açıklayıcı).

   • Açıklama (isteğe bağlı, ancak önerilir).

   • Platform: Windows 10 ve üzeri.

5. İleri'yi seçin.

6. Kurallar'da bir yaklaşım seçin:

   • Kural oluşturucu ( çoğu yönetici için önerilir)

   • Kural söz dizimi (el ile ifade düzenleme)

Model tabanlı kural oluşturma (kural oluşturucu)

1. Kural oluşturucusu'nda model özelliğini seçin.

2. Bir işleç seçin.

3. Eşleştirmek istediğiniz model dizelerini girin.

4. Kurala eklemek için İfade ekle'yi seçin.

5. Gerekirse, kuralı ek modellere genişletmek veya diğer olası filtrelenebilir özelliklere göre ek ölçütler eklemek için Ve/Veya kullanın.

Filtreyi önizleme ve oluşturma

1. Kayıtlı cihazların eşleşmesini onaylamak için Cihazları önizle'yi seçin.

2. İleri'yi seçin.

3. (İsteğe bağlı) Kullanıyorsanız Kapsam etiketleri atayın.

4. İleri'yi seçin.

5. Gözden geçir + oluştur'da Oluştur'u seçin.

3. Adım - Atama filtresini kullanarak ilkeyi atama

Son olarak, Ayarlar kataloğu profilini bir cihaza veya kullanıcı grubuna atar ve atama filtresini uygularsınız. Bu, ilke değerlendirmesi sırasında hangi kayıtlı cihazların Güvenli Önyükleme sertifika güncelleştirme ayarlarını alacağını ve işlediğini belirler.

Ne yapacaksınız?

1. Adımdaki Güvenli Önyükleme Ayarları katalog profilini bir gruba atayacak ve ardından Dahil Et veya Dışla modundaki 2. Adımdaki filtreyi uygulayacaksınız.

Atama filtresini uygulama

1. Microsoft Intune yönetim merkezinde Cihazlar > Cihazları yönet > Yapılandırma'ya gidin.

2. Yukarıdaki 1. Adımda oluşturduğunuz Ayarlar kataloğu profilini seçin.

3. Düzenleme > Özellikler > Atamaları açın.

4. Profili uygun kullanıcı grubuna veya cihaz grubuna atayın.

   İpucu: Hedeflemeyi sınırlamak için başka ölçütleriniz yoksa, bu ilkeyi Tüm cihazlar sanal grubuna atayın. Atamanın kapsamını bulmak için 2. Adımdaki cihaz modeli atama filtresini kullanın. Bu birleşim çoğu dağıtım için yeterlidir. Tüm cihazlar sanal grubu yerleşiktir, grup bakımı gerektirmez ve ölçek için iyileştirilmiştir. Ardından atama filtresi, ek Microsoft Entra grupları gerektirmeden cihaz özelliklerine göre cihaz iadesinde uygulanabilirliği daraltıyor.

5. Filtreyi düzenle'yi seçin.

6. Birini seçin:

   • Filtrelenmiş cihazları atamaya dahil et: yalnızca filtreyle eşleşen cihazlar ilkeyi alır.

   • Filtrelenmiş cihazları atamada dışla: Filtreyle eşleşen cihazlar ilkeyi almaz.

7. 2. Adım'dan mevcut atama filtrenizi seçin ve Seç'i seçin.

8. Gözden Geçir ve kaydet'i > Kaydet'i seçin.

Cihaz davranışını anlama

• Intune cihaz kaydedildiğinde, her iade ettiğinde ve atanan ilke yeniden değerlendirildiğinde filtreyi değerlendirir.

• Güvenli Önyükleme ayarının etkinleştirilmesi anında sertifika uygulamasını garanti etmez. Güncelleştirme işlemini tetikleyen Güvenli Önyükleme ayarı için Windows Güvenli Önyükleme görevi 12 saatte bir çalışır. Bazı güncelleştirmeler yeniden başlatma gerektirebilir.

Sık Sorulan Sorular

Kaynaklar

• Ayarlar tanımları ve izin verilen değerler: SecureBoot İlkesi CSP

• Ayarlar kataloğu akışı ve ayar davranışı: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları için güvenli önyükleme Microsoft Intune yöntemi

• Arka plan ve zaman çizelgeleri: Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmeleri

• Filtre oluşturma, önizleme ve uygulama: Microsoft Intune'de atama filtreleri oluşturma

• Desteklenen özellikler, işleçler ve söz dizimi: Atama filtresi özellikleri ve işleçleri başvurusu

• Genel dağıtım planlama ve Intune önerilen seçenek olarak öne çıktı: 2026'da süresi dolan sertifikalar için Güvenli Önyükleme playbook'u

• Yalnızca izleme yaklaşımı ve Intune raporlaması): Microsoft Intune düzeltmelerle Güvenli Önyükleme sertifika durumunu izleme