Microsoft Intune'da model tabanlı hedefleme kullanarak Güvenli Önyükleme sertifikası güncelleştirme ayarlarını uygulama

Uygulandığı Öğe
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Not

  • Orijinal yayınlama tarihi: 10 Nisan 2026
  • KB Kimliği: 5084490

Bu makalede aşağıdakilerle ilgili yönergeler yer almaktadır:

  • BT uzmanları ve IntuneWindows cihazlarını yöneten, Ayarlar kataloğu ilkeleri aracılığıyla Güvenli Önyükleme sertifikası güncelleştirme denetimlerini dağıtan ve güncelleştirme iş akışlarını denetleyen Intune yöneticileri.
  • Atama filtrelerini kullanarak dağıtımları belirli donanım modellerine hedeflemesi gereken ekipler.

Bu Makalede:

Giriş

Bu kılavuz, BT yöneticilerinin Microsoft Intune Microsoft Intune Settings katalog ilkelerini kullanarak Güvenli Önyükleme sertifikası güncelleştirme işlemini etkinleştirmesine yardımcı olur. Sertifika güncelleştirme işlemini etkinleştiren Güvenli Önyükleme ayarının nasıl yapılandırılacağı ve bu yapılandırmanın nasıl dağıtılacağı özetlenir. Ayrıca, güncelleştirmeyi başarılı bir şekilde işlemek için zaten doğrulanmış donanımda kontrollü, aşamalı dağıtımları desteklemek için model tabanlı atama filtrelerinin nasıl kullanılacağını da vurgular.

Ön koşullar

Güvenli Önyükleme sertifikası güncelleştirmesine uygunluk,Güvenli Önyükleme İlkesi,  CSP ve cihaz üretici yazılımı tarafından belirlenir. Bu kapsam her zaman Windows hizmet (yani, güncelleştirmeler) zaman çizelgeleri veya Intune kayıt gereksinimleriyle uyumlu değildir.

IntuneIntune and policy prerequisites

  • Filtreler oluşturma ve Ayarlar Kataloğu ilkeleri oluşturma/atama izinleri olan bir hesapla oturum açın.
  • Cihazlar IntuneIntune'a kaydedilmelidir (atama filtreleri yalnızca yönetilen cihazlara uygulanır).

Güvenli Önyükleme uygunluğuna ilişkin ön koşullar

Adım 1 - Güvenli Önyükleme sertifikası güncelleştirme ayarlarını IntuneIntune (Ayarlar kataloğu) içinde yapılandırın

Bu adımda, Microsoft IntuneMicrosoft Intune'da bir Windows Ayarları kataloğu cihaz yapılandırma profili oluşturursunuz. Ayrıca, Güvenli Önyükleme sertifikası güncelleştirme işlemini etkinleştiren Güvenli Önyükleme ayarlarını yapılandırırsınız.

Oluşturacaklarınız

Güvenli Önyükleme Sertifikasını Etkinleştir öğesini etkinleştiren bir Windows Ayarları kataloğu cihaz yapılandırma profili UpdatesGüncelleştirmeler:

Ayarlar kataloğu profilini oluşturma

  1. TMicrosoft IntuneMicrosoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar>Cihazları Yapılandırmayı Yönet'e> gidin.

  3. Yeni ilkeoluştur'u> seçin.

  4. Profil oluştur bölümünde:

  5. Platform: Windows 10Windows 10 ve üstü

  6. Profil türü: Ayarlar kataloğu

  7. Oluştur’u seçin.

  8. Profili adlandırın (örneğin, Güvenli Önyükleme Sertifikası Güncellemesi), isteğe bağlı bir açıklama ekleyin ve İleri'yi seçin.

  9. Yapılandırma ayarları'ndaAyar ekle'yi seçin.

  10. Ayarlar seçicisinde Güvenli Önyükleme'yi arayın ve Kategoriye göre gözat altından seçin.

  11. Güvenli Önyükleme kategorisinde sunulan üç ayardan Güvenli Önyükleme Sertifikasını Etkinleştir GüncelleştirmelerGüncelleştirmeler ayarını profile ekleyin.

    Not

    Bu kategorideki diğer Güvenli Önyükleme ayarlarını, dağıtım senaryonuz gerektiriyorsa aynı şekilde yapılandırabilirsiniz.

  12. Ayar değerini Etkin olarak yapılandırın.

  13. Ödevlere devam etmek için İleri'yi seçin. (3. adımda bir filtre uygulayacaksınız).

2. Adım - Model tabanlı hedefleme için atama filtresi oluşturma

Ardından, belirli cihaz modellerini hedefleyen bir IntuneIntune atama filtresi oluşturursunuz. Model tabanlı hedefleme, Güvenli Önyükleme sertifikası güncelleştirmelerinin kapsamını seçili donanım modellerine göre belirlemenizi sağlar. Bu denetimli ve aşamalı dağıtım, ek Microsoft Entra IDMicrosoft Entra ID grupları gerektirmez.

Güvenli Önyükleme sertifikası dağıtımı için model tabanlı hedefleme neden önerilir?

  • Üretici yazılımı değişkenliği - OEM'ler Güvenli Önyüklemeyi farklı şekilde uygular, bu nedenle model düzeyinde kapsam belirleme beklenmeyen davranışları azaltır.
  • Önceden doğrulama - Düzgün çalıştığı bilinen bir donanım kümesi üzerinde geniş çaplı dağıtımdan önce sertifika güncelleştirmelerini doğrulayabilirsiniz.

Oluşturacaklarınız

Belirli cihaz modellerini hedefleyen (veya dışlayan) bir Yönetilen cihazlar atama filtresi.

Ödev filtresini oluşturma

  1. TMicrosoft IntuneMicrosoft Intune yönetim merkezinde oturum açın.

  2. Kiracı yönetimine> gitAtama filtreleri>Oluştur'u seçin.

  3. Yönetilen cihazlar'ı seçin.

  4. Temel Bilgiler'de şunları ayarlayın:

    • Filtre adı (açıklayıcı).
    • Açıklama (isteğe bağlı, ancak önerilir).
    • Platform: Windows 10 ve üzeri.
  5. İleri'yi seçin.

  6. Kurallar'da bir yaklaşım seçin:

    • Kural oluşturucu (çoğu yönetici için önerilir)
    • Kural sözdizimi (el ile ifade düzenleme)

Model tabanlı bir kural oluşturma (kural oluşturucu)

  1. Kural oluşturucudamodel özelliğini seçin.
  2. Bir işleç seçin.
  3. Eşleştirmek istediğiniz model dizelerini girin.
  4. Kurala eklemek için İfade ekle'yi seçin.
  5. Gerekirse, kuralı ek modellere genişletmek veya diğer olası filtrelenebilir özelliklere dayalı ek ölçütler eklemek için Ve/Veya kullanın.

İpucu

Filtrenin amaçlanan kümeyle eşleştiğini doğrulamak için Önizleme cihazlarını kullanın. Önizleme listesi cihaz adına, işletim sistemi sürümüne, cihaz modeline ve cihaz üreticisine göre aramayı destekler.

Filtreyi önizleme ve oluşturma

  1. Hangi kayıtlı cihazların eşleştiğini onaylamak için Cihazları önizle'yi seçin.
  2. İleri'yi seçin.
  3. (İsteğe bağlı) Kullanıyorsanız Kapsam etiketleri atayın.
  4. İleri'yi seçin.
  5. Gözden geçir + oluştur'daOluştur'u seçin.

3. Adım - Atama filtresini kullanarak ilkeyi atama

Son olarak, Ayarlar kataloğu profilini bir cihaza veya kullanıcı grubuna atar ve atama filtresini uygularsınız. Bu, ilke değerlendirmesi sırasında hangi kayıtlı cihazların Güvenli Önyükleme sertifikası güncelleştirme ayarlarını alacağını ve işleyeceğini belirler.

Ne yapacaksın?

Adım 1'deki Güvenli Önyükleme Ayarları katalog profilini bir gruba atayacak, ardından Dahil Et veya Hariç Tut modunda Adım 2'deki filtreyi uygulayacaksınız.

Ödev filtresini uygulama

  1. Microsoft Intune Microsoft Intune yönetim merkezinde, Cihazlar>Cihazları Yönet Yapılandırması'na> gidin.

  2. Yukarıdaki 1. Adımda oluşturduğunuz Ayarlar kataloğu profilini seçin.

  3. Özellikler, Ödevler>, Düzenle'yi> açma.

  4. Profili uygun kullanıcı grubuna veya cihaz grubuna atayın.

    İpucu

    Hedeflemeyi sınırlamak için başka bir ölçütünüz yoksa bu ilkeyi Tüm cihazlar sanal grubuna atayın. Atamanın kapsamını belirlemek için 2. Adımdaki cihaz modeli atama filtresini kullanın. Bu birleşim çoğu dağıtım için yeterlidir. Tüm cihazlar sanal grubu yerleşiktir, grup bakımı gerektirmez ve ölçek için iyileştirilmiştir. Ardından, atama filtresi, ek Microsoft Entra grupları gerektirmeden, cihaz özelliklerine dayalı olarak cihaz yoklamada uygulanabilirliği daraltır.

  5. Filtreyi düzenle'yi seçin.

  6. Birini seçin:

    • Filtrelenmiş cihazları göreve dahil et: Yalnızca filtreyle eşleşen cihazlar ilkeyi alır.
    • Filtrelenen cihazları atamada hariç tut: Filtreyle eşleşen cihazlar politikayı almaz.
  7. 2. Adımdaki mevcut ödev filtrenizi seçin ve Seç'i belirleyin.

  8. İncele + kaydet>Kaydet'i seçin.

Cihaz davranışını anlayın

  • IntuneIntune, cihaz kaydolduğunda, her iade ettiğinde ve atanan ilke yeniden değerlendirildiğinde filtreyi değerlendirir.
  • Güvenli Önyükleme ayarının etkinleştirilmesi, hemen sertifika uygulamasını garanti etmez. Güncelleme işlemini tetikleyen Güvenli Önyükleme ayarı için Windows Güvenli Önyükleme görevi her 12 saatte bir çalıştırılır. Bazı güncelleştirmeler için yeniden başlatma gerekebilir.

Sık Sorulan Sorular

Cihazlar "Güvenli Önyükleme Sertifikasını Etkinleştir UpdatesGüncelleştirmeler" ayarını ne sıklıkla işliyor?

Ayarı işleyen Windows Güvenli Önyükleme görevi her 12 saatte bir çalıştırılır.

Yeniden başlatmalar beklemeli miyim?

Güncelleştirmeyi IntuneIntune aracılığıyla başlatmak yeniden başlatmaya neden olmaz, ancak güncelleştirmenin tamamlanması için yeniden başlatma gerekebilir.

Yeni sertifikalar uygulandıktan sonra geri alabilir veya kaldırabilir miyim?

Sertifikalar üretici yazılımına uygulandıktan sonra Windows bunları kaldıramaz. Sertifikaların temizlenmesi, ürün yazılımı arayüzü üzerinden yapılmalıdır.

Bunu neden Haziran 2026'dan önce yapmalıyım?

Eski sertifikaların süresi Haziran 2026'da dolmaya başlıyor. Daha yeni 2023 sertifikalarını almamış cihazlar, yeni erken önyükleme güvenlik korumalarını (ör. Güvenli Önyükleme veritabanı ve iptal güncellemeleri) alma özelliğini kaybedecektir.

Kaynaklar