Застосовується до
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Вихідна дата публікації: 10 березня 2026 р.

Ідентифікатор KB: 5084490

У цій статті наведено інструкції для

  • ІТ-спеціалісти та Intune адміністратори, які керують пристроями Windows, розгортають елементи керування оновленням сертифіката безпечного завантаження за допомогою політик каталогу настройок і наглядають за робочими циклами оновлення.

  • Teams, яким потрібно цільове розгортання для певних моделей обладнання за допомогою фільтрів призначень.

У цій статті:

Вступ

Ці вказівки допоможуть ІТ-адміністраторам увімкнути процес оновлення сертифіката безпечного завантаження за допомогою політик каталогу параметрів Microsoft Intune. У ній описано, як настроїти параметр безпечного завантаження, який дає змогу оновлювати сертифікат і розгортати цю конфігурацію. У ньому також наголошується, як використовувати фільтри призначень на основімоделі для підтримки керованих поетапних розгортань на обладнанні, яке вже перевірено для успішної обробки оновлення.

Обов’язкові вимоги

Право на оновлення сертифіката безпечного завантаження визначаєтьсяCSP політики безпечного  завантаження та мікропрограмою пристрою. Ця область не завжди узгоджується з термінами обслуговування Windows (тобто оновленнями) або Intune вимогами до реєстрації.

Intune та обов'язкові умови політики

  • Увійдіть за допомогою облікового запису з дозволами на створення фільтрів і створення та призначення політик каталогу настройок.

  • Пристрої мають бути зареєстровані в Intune (фільтри призначень застосовуються лише до керованих пристроїв).

Обов'язкові вимоги щодо безпечного завантаження

Крок 1. Настроювання параметрів оновлення сертифіката безпечного завантаження в Intune (каталог настройок)

На цьому кроці потрібно створити профіль конфігурації пристрою з каталогу Настройок Windows у Microsoft Intune. Ви також налаштовуєте параметри безпечного завантаження, які активуєте процес оновлення сертифіката безпечного завантаження.

Що ви створите

Профіль конфігурації пристрою каталогу Настройок Windows, який дає змогу Оновлення Увімкнути сертифікат безпечного завантаження:

Створення профілю каталогу настройок

  1. Увійдіть у Центр адміністрування Microsoft Intune.

  2. Перейдіть до розділу Пристрої > Керування пристроями > Конфігурація.

  3. Натисніть кнопку Створити > Нову політику.

  4. У розділі Створення профілю:

  5. Платформа: Windows 10 та пізніші версії

  6. Тип профілю: каталог настройок

  7. Натисніть кнопку Створити.

  8. Назвіть профіль (наприклад, оновлення сертифіката безпечного завантаження), додайте необов'язковий опис і натисніть кнопку Далі.

  9. У настройках конфігурації натисніть кнопку Додати настройки.

  10. У засобі вибору настройок знайдіть параметр Безпечне завантаження та виберіть його в розділі Огляд за категорією.

  11. Додайте параметр Увімкнути сертифікат безпечного завантаження Оновлення з трьох, представлених у категорії безпечного завантаження, до профілю.

    Примітка.: Ви можете налаштувати інші параметри безпечного завантаження в цій категорії так само, якщо для цього потрібен сценарій розгортання.

  12. Установіть для параметра значення Увімкнуто.

  13. Натисніть кнопку Далі , щоб продовжити призначення. (Фільтр буде застосовано на кроці 3).

Крок 2. Створення фільтра призначення для цільового призначення на основі моделі

Потім ви створите фільтр призначення Intune, який відповідає певним моделям пристроїв. Цільове завдання на основі моделі дає змогу обмежити оновлення сертифіката безпечного завантаження для вибраних моделей обладнання. Це кероване та поетапне розгортання не потребує додаткових Microsoft Entra ID груп.

Чому для розгортання сертифіката безпечного завантаження рекомендовано цільове значення на основі моделі

  • Мінливість мікропрограм – виробники оригінального обладнання впроваджують безпечне завантаження по-різному, тому визначення області на рівні моделі зменшує неочікувану поведінку.

  • Попередня перевірка . Перед широким розгортанням можна перевірити оновлення сертифікатів на відомому хорошому наборі обладнання.

Що ви створите

Фільтр призначення керованих пристроїв , який вибирає (або виключає) певні моделі пристроїв.

Створення фільтра призначення

  1. Увійдіть у Центр адміністрування Microsoft Intune.

  2. Перейдіть до розділу Фільтри призначення > адміністрування компонентів > Створити.

  3. Виберіть Керовані пристрої.

  4. У розділі Основні відомості виконайте наведені нижче дії.

    • Ім'я фільтра (описове).

    • Опис (необов'язково, але рекомендовано).

    • Платформа: Windows 10 та пізніші версії.

  5. Натисніть кнопку Далі.

  6. У розділі Правила виберіть один спосіб:

    • Побудовник правил (рекомендовано для більшості адміністраторів)

    • Синтаксис правила (редагування виразів вручну)

Створення правила на основі моделі (побудовник правил)

  1. У побудовнику правил виберіть властивість моделі .

  2. Виберіть оператор.

  3. Введіть рядки моделі, які потрібно зіставити.

  4. Виберіть Додати вираз , щоб додати його до правила.

  5. За потреби скористайтеся оператором And/Or , щоб розширити правило на додаткові моделі або додати додаткові умови на основі інших можливих властивостей, які можна фільтрувати.

Порада.:  Скористайтеся пристроями попереднього перегляду, щоб перевірити, чи фільтр відповідає призначеному набору. У списку для попереднього перегляду підтримується пошук за іменем пристрою, версією ОС, моделлю пристрою та виробником пристрою.

Попередній перегляд і створення фільтра

  1. Виберіть Попередній перегляд пристроїв , щоб підтвердити відповідність зареєстрованих пристроїв.

  2. Натисніть кнопку Далі.

  3. (Необов'язково) Призначте позначки області , якщо використовуєте їх.

  4. Натисніть кнопку Далі.

  5. У вікні Рецензування + створення натисніть кнопку Створити.

Крок 3. Призначення політики за допомогою фільтра призначення

Нарешті, ви призначаєте профіль каталогу "Настройки" пристрою або групі користувачів і застосовуєте фільтр призначення. Це визначає, які зареєстровані пристрої отримують і обробляють параметри оновлення сертифіката безпечного завантаження під час оцінки політики.

Що ви будете робити

Ви призначите групі профіль каталогу параметрів безпечного завантаження з кроку 1, а потім застосуєте фільтр із кроку 2 в режимі включення або виключення .

Застосування фільтра призначення

  1. У Центрі адміністрування Microsoft Intune перейдіть до розділу Пристрої > Керування пристроями > Конфігурація.

  2. Виберіть профіль каталогу настройок, створений на кроці 1 вище.

  3. Відкрити властивості > призначення > редагування.

  4. Призначте профіль відповідній групі користувачів або групі пристроїв.

    Порада.: Якщо у вас немає інших умов для обмеження цільового значення, призначте цю політику віртуальній групі "Усі пристрої ". Використовуйте фільтр призначення моделі пристрою з кроку 2, щоб обмежити призначення. Цієї комбінації достатньо для більшості розгортань. Вбудована віртуальна група "Усі пристрої ", не потребує обслуговування групи та оптимізована для масштабування. Після цього фільтр призначення звужує застосовність під час реєстрації пристрою на основі властивостей пристрою, не вимагаючи додаткових груп Microsoft Entra.

  5. Виберіть Редагувати фільтр.

  6. Виберіть один із варіантів:

    • Включити до призначення відфільтровані пристрої: політика отримує лише пристрої, які відповідають фільтру.

    • Виключення відфільтрованих пристроїв у призначенні: пристрої, які відповідають фільтру, не отримують політики.

  7. Виберіть наявний фільтр призначення на кроці 2 та натисніть кнопку Вибрати.

  8. Виберіть Рецензування + збереження > Зберегти.

Загальні відомості про поведінку пристрою

  • Intune обчислює фільтр під час реєстрації пристрою, щоразу під час його перевірки та під час повторної оцінки призначеної політики.

  • Увімкнення параметра безпечного завантаження не гарантує негайного застосування сертифіката. Для параметра безпечного завантаження, який запускає процес оновлення, завдання безпечного завантаження Windows виконується кожні 12 годин. Для деяких оновлень може знадобитися перезавантаження.

Запитання й відповіді

Завдання безпечного завантаження Windows, яке обробляє цей параметр, виконується кожні 12 годин.

Запуск оновлення за допомогою Intune не призводить до перезавантаження, хоча для завершення оновлення може знадобитися перезавантаження.

Після застосування сертифікатів до мікропрограми Windows не зможе їх видалити. Очищення сертифікатів має виконуватися в інтерфейсі мікропрограми.

Термін дії старих сертифікатів починається в червні 2026 року. Пристрої, на яких не отримано нові сертифікати 2023, втратять можливість отримувати нові засоби захисту від раннього завантаження (наприклад, базу даних безпечного завантаження та оновлення відкликання).

Ресурси

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей