Застосування параметрів оновлення сертифіката безпечного завантаження за допомогою націлювання на основі моделі в Microsoft Intune

Застосовується до
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Примітка.

  • Дата початкової публікації: 10 березня 2026 р.
  • Ідентифікатор бази знань: 5084490

Ця стаття містить рекомендації щодо

  • ІТ-фахівці та адміністратори Intune, які керують пристроями Windows, розгортають елементи керування оновленням сертифіката безпечного завантаження за допомогою політик каталогу настройок і контролюють робочі цикли оновлення.
  • Команди, яким потрібно націлити розгортання на певні моделі обладнання за допомогою фільтрів призначень.

У цій статті:

Вступ

Цей довідник допоможе ІТ-адміністраторам активувати процес оновлення сертифіката безпечного завантаження за допомогою політик каталогу Microsoft Intune Settings. У ній описано, як настроїти параметр безпечного завантаження, який уможливлює процес оновлення сертифіката, і спосіб розгортання цієї конфігурації. Тут також наголошується, як використовувати фільтри призначень на основі моделі , щоб підтримати контрольоване поетапне розгортання на обладнанні, яке вже пройшло перевірку для успішної обробки оновлення.

Попередні умови

Відповідність вимогам на оновлення сертифіката безпечногозавантаження визначається політикою постачальника  служб конфігурації (CSP) і мікропрограмою пристрою. Цей обсяг не завжди збігається з термінами обслуговування Windows (тобто оновленнями) або вимогами до реєстрації Intune.

IntuneIntune та вимоги до політики

  • Увійдіть за допомогою облікового запису, який має дозволи на створення фільтрів і створення/призначення політик каталогу.
  • Пристрої мають бути зареєстровані в Intune (фільтри призначень застосовуються лише до керованих пристроїв).

Вимоги до безпечного завантаження

Крок 1. Налаштування параметрів оновлення сертифіката безпечного завантаження у Intune (Каталог параметрів)

На цьому кроці ви створюєте профіль конфігурації пристрою з каталогу Windows у Microsoft Intune. Ви також можете настроїти параметри безпечного завантаження, які дають змогу оновити процес оновлення сертифіката безпечного завантаження.

Що ви створите

Профіль конфігурації пристрою з каталогу настройок Windows, який активує сертифікат безпечного завантаження (Enable Secure Boot Certificate) Оновлення.

Створення профілю каталогу параметрів

  1. Увійдіть у Центр адміністрування Microsoft Intune.

  2. Перейдіть до розділу Пристрої> Керуванняконфігурацієюпристроїв>.

  3. Виберіть "Створити>політику".

  4. У розділі "Створення профілю":

  5. Платформа: Windows 10Windows 10 і новіші версії

  6. Тип профілю: каталог параметрів

  7. Натисніть Створити.

  8. Назвіть профіль (наприклад, "Оновлення сертифіката безпечного завантаження"), за бажання додайте опис, а потім натисніть кнопку "Далі".

  9. У розділі "Настройки конфігурації" виберіть пункт "Додати параметри".

  10. У засобі вибору настройок введіть у полі пошуку "Безпечне завантаження " та виберіть його в розділі "Перегляд за категорією".

  11. Додайте до профілю параметр Enable Secure Boot Certificate Оновлення із трьох параметрів, представлених у категорії Secure Boot.

    Примітка.

    Так само можна настроїти інші параметри безпечного завантаження в цій категорії (залежно від сценарію розгортання).

  12. Установіть для параметра значення "Увімкнуто".

  13. Натисніть кнопку "Далі ", щоб перейти до завдань. (Фільтр буде застосовано на кроці 3).

Крок 2. Створення фільтра призначень для націлювання на основі моделі

Далі створюється фільтр призначень Intune, який стосується конкретних моделей пристроїв. Таргетинг на основі моделі дає змогу обмежити оновлення сертифікатів безпечного завантаження на вибрані моделі обладнання. Для керованого та поетапного розгортання не потрібні додаткові групи Microsoft Entra ID.

Чому для розгортання сертифікатів безпечного завантаження рекомендовано використовувати таргетинг на основі моделі.

  • Варіативність мікропрограми : виробники оригінального обладнання реалізують безпечне завантаження по-різному, тому визначення області на рівні моделі зменшує неочікувану поведінку.
  • Попередня перевірка – можна перевірити оновлення сертифіката на свідомо справному апаратному наборі перед широким розгортанням.

Що ви створите

Фільтр призначень керованих пристроїв , який націлюється на певні моделі пристроїв (або виключає їх).

Створення фільтра завдань

  1. Увійдіть у Центр адміністрування Microsoft Intune.

  2. Перейдіть до розділу "Адміністрування>компонентів" Фільтри призначень>"Створити".

  3. Виберіть "Керовані пристрої".

  4. У меню "Основи" виберіть:

    • Ім'я фільтра (описове).
    • Опис (необов'язково, але рекомендовано).
    • Платформа: Windows 10Windows 10 і новіші версії.
  5. Натисніть кнопку Далі.

  6. У Правилах виберіть один підхід:

    • Конструктор правил (рекомендовано для більшості адміністраторів)
    • Синтаксис правила (редагування виразів вручну)

Створення правила на основі моделі (конструктора правил)

  1. У побудовнику правил виберіть властивість моделі.
  2. Виберіть оператора.
  3. Введіть рядки моделі, які потрібно зіставити.
  4. Виберіть пункт "Додати вираз ", щоб додати його до правила.
  5. За потреби скористайтеся оператором And/або для поширення правила на додаткові моделі або додавання додаткових умов на основі інших можливих властивостей, які можна фільтрувати.

Порада.

Використовуйте пристрої попереднього перегляду , щоб перевірити, чи фільтр відповідає потрібному набору. Список попереднього перегляду підтримує пошук за іменем пристрою, версією ОС, моделлю пристрою та виробником.

Попередній перегляд і створення фільтра

  1. Виберіть "Переглянути пристрої ", щоб підтвердити, які зареєстровані пристрої збігаються.
  2. Натисніть кнопку Далі.
  3. (Необов'язково) Призначте теги обсягу , якщо ви їх використовуєте.
  4. Натисніть кнопку Далі.
  5. У розділі "Рецензування+створення" натисніть кнопку "Створити".

Крок 3. Призначення політики за допомогою фільтра призначення

Нарешті ви призначите профіль каталогу настройок пристрою або групі користувачів і застосуєте фільтр призначення. Цей параметр визначає, які зареєстровані пристрої отримують і обробляють параметри оновлення сертифіката безпечного завантаження під час оцінювання політики.

Що ви будете робити

Призначте групі профіль каталогу настройок безпечного завантаження з кроку 1, а потім застосуйте фільтр із кроку 2 в режимі включення або виключення .

Застосування фільтра призначення

  1. У Центрі адміністрування Microsoft Intune перейдіть до розділу "Пристрої> Керуванняконфігурацієюпристроїв>".

  2. Виберіть профіль каталогу настройок, створений на кроці 1 вище.

  3. Відкрити властивості>Призначення>редагувати.

  4. Призначте профіль відповідній групі користувачів або пристроїв.

    Порада.

    Якщо у вас немає інших умов для обмеження націлювання, призначте цю політику віртуальній групі " Усі пристрої ". Щоб обмежити призначення, застосуйте фільтр призначень моделі пристрою на кроці 2. Цієї комбінації достатньо для більшості розгортань. Віртуальна група «Усі пристрої » вбудована, не потребує обслуговування групи та оптимізована для масштабування. Крім того, фільтр призначення звужує застосовність під час перевірки пристрою на основі властивостей пристрою, не вимагаючи додаткових груп Microsoft Entra.

  5. Виберіть "Змінити фільтр".

  6. Виберіть один із варіантів:

    • Включіть до призначення відфільтровані пристрої: політику отримають лише ті пристрої, які відповідають фільтру.
    • Виключити відфільтровані пристрої в призначенні: пристрої, що відповідають фільтру, не отримують політику.
  7. На кроці 2 виберіть наявний фільтр завдань, а потім натисніть кнопку "Виділити".

  8. Натисніть "Рецензування+зберегти>Зберегти".

Вивчення поведінки пристрою

  • IntuneIntune оцінює фільтр під час реєстрації пристрою, під час кожної реєстрації та щоразу, коли повторно оцінюється призначена політика.
  • Увімкнення параметра безпечного завантаження не гарантує негайного застосування сертифіката. Для параметра безпечного завантаження, який запускає процес оновлення, завдання безпечного завантаження Windows виконується кожні 12 годин. Для деяких оновлень може знадобитися перезавантаження.

Запитання й відповіді

Як часто пристрої обробляють параметр "Enable Secure Boot Certificate Оновлення" (Увімкнути сертифікат безпечного завантаження)?

Завдання безпечного завантаження Windows, яке обробляє параметр, виконується кожні 12 годин.

Чи варто очікувати перезапуску?

Ініціалізація оновлення через IntuneIntune не призводить до перезавантаження, хоча для завершення оновлення може знадобитися перезавантаження.

Чи можна відкотити або видалити нові сертифікати після того, як вони були застосовані?

Після застосування сертифікатів до мікропрограми Windows не може їх видалити. Очищення сертифікатів повинно здійснюватися через інтерфейс прошивки.

Чому це потрібно зробити до червня 2026 р.?

Старіші сертифікати починають діяти в червні 2026 р. Пристрої, які не отримали нові сертифікати 2023 року, втратять можливість отримувати нові засоби захисту раннього завантаження (наприклад, оновлення бази даних безпечного завантаження та оновлення відкликання).

Ресурси