Áp dụng cài đặt cập nhật chứng chỉ Khởi động An toàn bằng cách sử dụng nhắm mục tiêu theo mô hình Microsoft Intune

Trong Bài viết này:

• Giới thiệu

• Điều kiện tiên quyết

• Bước 1 - Đặt cấu hình cài đặt cập nhật chứng chỉ Khởi động An toàn trong Intune (danh mục Cài đặt)

• Bước 2 - Tạo bộ lọc bài tập cho nhắm mục tiêu theo mô hình

• Bước 3 - Gán chính sách bằng cách sử dụng bộ lọc bài tập

• Câu hỏi Thường Gặp

• Tài nguyên

Giới thiệu

Hướng dẫn này giúp người quản trị CNTT bật quy trình cập nhật chứng chỉ Khởi động An toàn bằng cách Microsoft Intune chính sách danh mục Cài đặt. Tài liệu này nêu cách đặt cấu hình cài đặt Khởi động An toàn cho phép quá trình cập nhật chứng chỉ và cách triển khai cấu hình đó. Bài viết cũng nêu bật cách sử dụng bộ lọc phân công theo mô hình để hỗ trợ các bản triển khai theo giai đoạn có kiểm soát trên phần cứng đã được xác thực để xử lý thành công bản cập nhật.

Điều kiện tiên quyết

Điều kiện tham gia cập nhật chứng chỉ Khởi động An toàn được xác định bởi CSP Chính sách Khởi động An toàn và vi chương trình thiết bị. Phạm vi này không luôn phù hợp với thời hạn cung cấp dịch vụ của Windows (nghĩa là các bản cập nhật) hoặc yêu cầu Intune ký dịch vụ.

Intune tiên quyết chính sách và chính sách

• Đăng nhập bằng tài khoản có quyền tạo bộ lọc và tạo/gán chính sách Danh mục Thiết đặt.

• Thiết bị phải được đăng ký tham Intune (bộ lọc bài tập chỉ áp dụng cho các thiết bị được quản lý).

Điều kiện tiên quyết để đủ điều kiện tham gia Khởi động An toàn

• Danh sách các phiên bản Windows được hỗ trợ có sẵn bằng Microsoft Intune khởi động an toàn cho các thiết bị Windows có các bản cập nhật do CNTT quản lý.

• Thiết bị phải bật Khởi động An toàn và phải đang sử dụng bản cập nhật cung cấp dịch vụ hiện tại.

Bước 1 - Đặt cấu hình cài đặt cập nhật chứng chỉ Khởi động An toàn trong Intune (danh mục Cài đặt)

Trong bước này, bạn tạo cấu hình thiết bị danh mục Cài đặt Windows Microsoft Intune. Bạn cũng cấu hình cài đặt Khởi động An toàn cho phép tiến trình cập nhật chứng chỉ Khởi động An toàn.

Những gì bạn sẽ tạo ra

Cấu hình thiết bị danh mục Cài đặt Windows cho phép bật cài đặt Chứng chỉ Khởi động An Cập nhật:

Tạo hồ sơ danh mục Cài đặt

1. Đăng nhập vào trung tâm quản Microsoft Intune trị viên của bạn.

2. Chuyển đến Thiết bị >quản lý thiết bị >cấu hình.

3. Chọn Tạo >sách Mới.

4. Trong Tạo hồ sơ:

5. Nền tảng: Windows 10 và mới hơn

6. Loại hồ sơ: Danh mục Cài đặt

7. Chọn Tạo.

8. Đặt tên cho cấu hình (ví dụ: Cập nhật Chứng chỉ Khởi động An toàn), thêm mô tả tùy chọn, rồi chọn Tiếp theo.

9. Trên cài đặt Cấu hình, chọn Thêm cài đặt.

10. Trong bộ chọn cài đặt, tìm kiếm Khởi động An toàn và chọn trong Duyệt theo danh mục.

11. Thêm cài đặt Bật Chứng chỉ Khởi động An Cập nhật từ ba cài đặt được trình bày trong danh mục Khởi động An toàn vào hồ sơ.

    Lưu ý: Bạn có thể đặt cấu hình cho các cài đặt Khởi động An toàn khác trong danh mục này theo cách tương tự nếu kịch bản triển khai của bạn yêu cầu chúng.

12. Cấu hình giá trị thiết đặt thành Đã bật.

13. Chọn Tiếp theo để tiếp tục đến bài tập. (Bạn sẽ áp dụng một bộ lọc ở Bước 3).

Bước 2 - Tạo bộ lọc bài tập cho nhắm mục tiêu theo mô hình

Tiếp theo, bạn tạo một bộ lọc Intune điểm của bài tập nhắm mục tiêu đến các kiểu thiết bị cụ thể. Nhắm mục tiêu theo mô hình cho phép bạn mở rộng phạm vi các bản cập nhật chứng chỉ Khởi động An toàn cho các mô hình phần cứng được chọn. Triển khai được kiểm soát và theo giai đoạn này không yêu cầu thêm các nhóm Microsoft Entra ID khác.

Tại sao nhắm mục tiêu theo mô hình được đề xuất cho triển khai chứng chỉ Khởi động An toàn

• Khả năng thay đổi vi chương trình - OEM triển khai Khởi động An toàn theo cách khác nhau, vì vậy phạm vi mức mô hình làm giảm hành vi không mong muốn.

• Xác thực trước đó - Bạn có thể xác thực các bản cập nhật chứng chỉ trên một bộ phần cứng tốt đã biết trước khi triển khai rộng rãi.

Những gì bạn sẽ tạo ra

Bộ lọc gán thiết bị được quản lý nhắm mục tiêu (hoặc loại trừ) các kiểu thiết bị cụ thể.

Tạo bộ lọc bài tập

1. Đăng nhập vào trung tâm quản Microsoft Intune trị viên của bạn.

2. Đi tới Quản trị đối tượng thuê > lọc Nhiệm > Tạo.

3. Chọn Thiết bị được quản lý.

4. Trong Thông tin cơ bản, đặt:

   • Tên bộ lọc (mang tính mô tả).

   • Mô tả (tùy chọn, nhưng được đề xuất).

   • Nền tảng: Windows 10 và mới hơn.

5. Chọn Tiếp theo.

6. Trong Quy tắc, chọn một phương pháp tiếp cận:

   • Bộ dựng quy tắc (được đề xuất cho hầu hết người quản trị)

   • Cú pháp quy tắc (chỉnh sửa biểu thức thủ công)

Xây dựng quy tắc dựa trên mô hình (bộ dựng quy tắc)

1. Trong Bộ dựng quy tắc, chọn thuộc tính mô hình.

2. Chọn toán tử.

3. Nhập (các) chuỗi mô hình bạn muốn khớp.

4. Chọn Thêm biểu thức để thêm biểu thức vào quy tắc.

5. Nếu cần, hãy sử dụng And/Or để mở rộng quy tắc sang các mô hình bổ sung hoặc thêm tiêu chí bổ sung dựa trên các thuộc tính có thể lọc khác.

Xem trước và tạo bộ lọc

1. Chọn Xem trước thiết bị để xác nhận thiết bị đã đăng ký nào khớp.

2. Chọn Tiếp theo.

3. (Tùy chọn) Gán thẻ Phạm vi nếu bạn sử dụng chúng.

4. Chọn Tiếp theo.

5. Trong Xem lại + tạo, chọn Tạo.

Bước 3 - Gán chính sách bằng cách sử dụng bộ lọc bài tập

Cuối cùng, bạn gán hồ sơ danh mục Cài đặt cho thiết bị hoặc nhóm người dùng và áp dụng bộ lọc bài tập. Thao tác này sẽ xác định những thiết bị đã đăng ký nhận và xử lý cài đặt cập nhật chứng chỉ Khởi động An toàn trong quá trình đánh giá chính sách.

Bạn sẽ làm gì

Bạn sẽ gán hồ sơ danh mục Cài đặt Khởi động An toàn từ Bước 1 cho một nhóm, sau đó áp dụng bộ lọc từ Bước 2 trong chế độ Bao gồm hoặc Loại trừ.

Áp dụng bộ lọc bài tập

1. Trong trung tâm quản Microsoft Intune quản trị, dẫn hướng đến Thiết bị và > quản lý thiết bị >cấu hình.

2. Chọn hồ sơ danh mục Cài đặt mà bạn đã tạo trong Bước 1 ở trên.

3. Mở Thuộc tính > Nhiệm vụ >Sửa.

4. Gán hồ sơ cho nhóm người dùng hoặc nhóm thiết bịthích hợp.

   Mẹo: Nếu bạn không có bất kỳ tiêu chí nào khác để giới hạn nhắm mục tiêu, hãy gán chính sách này cho nhóm ảo Tất cả thiết bị. Sử dụng bộ lọc phân công mô hình thiết bị từ Bước 2 để áp dụng phạm vi bài tập. Sự kết hợp này là đủ cho hầu hết các triển khai. Nhóm ảo Tất cả các thiết bị được tích hợp sẵn, không yêu cầu bảo trì nhóm và được tối ưu hóa cho quy mô. Sau đó, bộ lọc bài tập thu hẹp khả năng áp dụng khi đánh dấu thiết bị dựa trên thuộc tính thiết bị mà không yêu cầu thêm Microsoft Entra thiết bị.

5. Chọn Chỉnh sửa bộ lọc.

6. Chọn một tùy chọn:

   • Bao gồm các thiết bị đã lọc trong phần gán: chỉ những thiết bị khớp với bộ lọc mới nhận được chính sách.

   • Loại trừ các thiết bị đã lọc khi gán: các thiết bị phù hợp với bộ lọc không nhận được chính sách.

7. Chọn bộ lọc bài tập hiện có của bạn từ Bước 2 và chọn Chọn.

8. Chọn Xem lại + lưu > Lưu.

Hiểu về hành vi của thiết bị

• Intune đánh giá bộ lọc khi thiết bị đăng ký, mỗi lần kiểm nhập và bất cứ khi nào chính sách được gán được đánh giá lại.

• Việc bật cài đặt Khởi động An toàn không đảm bảo ứng dụng chứng chỉ ngay lập tức. Đối với cài đặt Khởi động An toàn kích hoạt quá trình cập nhật, tác vụ Khởi động An toàn của Windows chạy 12 giờ một lần. Một số bản cập nhật có thể yêu cầu khởi động lại.

Câu hỏi Thường Gặp

Tài nguyên

• Định nghĩa cài đặt và giá trị được phép: CSP Chính sách SecureBoot

• Luồng danh mục Cài đặt và hành vi cài đặt: Microsoft Intune phương pháp Khởi động An toàn cho các thiết bị Windows có bản cập nhật do CNTT quản lý

• Nền và đường thời gian: Chứng chỉ Khởi động An toàn của Windows hết hạn và các bản cập nhật CA

• Tạo, xem trước và áp dụng bộ lọc: Tạo bộ lọc bài tập trong Microsoft Intune

• Thuộc tính, toán tử và cú pháp được hỗ trợ: Thuộc tính bộ lọc nhiệm vụ và tham khảo toán tử

• Lập kế hoạch triển khai tổng thể và Intune gọi ra như một tùy chọn được đề xuất: Secure Boot playbook cho chứng chỉ hết hạn vào năm 2026

• Phương pháp tiếp cận và báo cáo Intune giám sát: Giám sát trạng thái chứng chỉ Khởi động An toàn Microsoft Intune khắc phục