注意
- 原始发布日期: 2026 年 3 月 10 日
- KB ID: 5084490
本文提供了以下指南:
- IT 专业人员和Intune管理员,他们管理 Windows 设备、通过设置目录策略部署安全启动证书更新控制,以及监督更新工作流。
- 需要使用分配筛选器将部署定目标到特定硬件模型的团队。
本文内容:
简介
本指南可帮助 IT 管理员使用Microsoft Intune“设置”目录策略启用安全启动证书更新过程。 其中概述了如何配置启用证书更新过程的安全启动设置以及如何部署该配置。 它还重点介绍了如何使用 基于模型的分配筛选器 在已验证以成功处理更新的硬件上支持受控的分阶段推出。
先决条件
安全启动证书更新资格由 安全启动策略 CSP 和设备固件确定。 此范围并不总是与 Windows 服务 (即更新) 时间线或Intune注册要求一致。
Intune和策略先决条件
- 使用有权创建筛选器和创建/分配设置目录策略的帐户登录。
- 设备必须在Intune (分配筛选器中注册,该筛选器仅适用于) 的托管设备。
安全启动资格先决条件
- 支持 Windows 版本的列表在具有 IT 托管更新的 Windows 设备安全启动方法Microsoft Intune中提供。
- 设备必须已启用安全启动,并且应使用当前服务更新。
步骤 1 - 在Intune (设置目录) 配置安全启动证书更新设置
在此步骤中,将在 Microsoft Intune 中创建 Windows 设置目录设备配置文件。 还可以配置安全启动设置,以启用安全启动证书更新过程。
要创建的内容
启用安全启动证书汇报的 Windows 设置目录设备配置文件:
创建设置目录配置文件
转到 “设备>管理设备>配置”。
选择“ 创建新>策略”。
在 “创建配置文件”中:
平台:Windows 10及更高版本
配置文件类型: 设置目录
选择“创建”。
将配置文件命名 (例如 安全启动证书更新) ,添加可选说明,然后选择“ 下一步”。
在 “配置设置”上,选择“ 添加设置”。
在设置选取器中,搜索 “安全启动” ,然后在“ 按类别浏览”下选择它。
将“安全启动”类别中提供的三个设置中的“启用安全启动证书汇报”添加到配置文件。
注意
如果部署方案需要这些设置,可以采用相同的方式配置此类别中的其他安全启动设置。
将设置值配置为 Enabled。
选择“ 下一步 ”继续工作分配。 (将在步骤 3) 中应用筛选器。
步骤 2 - 为基于模型的目标创建分配筛选器
接下来,创建面向特定设备模型的Intune分配筛选器。 基于模型的目标允许将安全启动证书更新范围限定为所选硬件模型。 这种受控和暂存部署不需要额外的Microsoft Entra ID组。
为什么建议将基于模型的目标用于安全启动证书部署
- 固件可变性 - OEM 以不同的方式实现安全启动,因此模型级范围可减少意外行为。
- 先前验证 - 可以在广泛推出之前验证已知良好的硬件集上的证书更新。
要创建的内容
面向 (或排除) 特定设备模型的托管设备分配筛选器。
创建分配筛选器
转到 “租户管理>分配筛选器>”“创建”。
选择 “托管设备”。
在 “基本信息”中,设置:
- 筛选器名称 (描述性) 。
- 说明 (可选,但建议) 。
- 平台:Windows 10及更高版本。
选择“下一步”。
在 “规则”中,选择一种方法:
- (建议大多数管理员使用规则生成器)
- 手动表达式编辑) (规则语法
(规则生成器) 生成基于模型的规则
- 在 “规则生成器”中,选择 模型 属性。
- 选择运算符。
- 输入要匹配的模型字符串 () 。
- 选择“ 添加表达式” ,将其添加到规则。
- 如果需要,请使用 And/Or 将规则扩展到其他模型或基于其他可能的可筛选属性添加其他条件。
提示
使用 预览设备 验证筛选器是否与预期集匹配。 预览列表支持按设备名称、OS 版本、设备型号和设备制造商进行搜索。
预览并创建筛选器
- 选择 “预览设备 ”以确认哪些已注册的设备匹配。
- 选择“下一步”。
- (可选) 分配 作用域标记 (如果使用它们)。
- 选择“下一步”。
- 在 “查看 + 创建”中,选择“ 创建”。
步骤 3 - 使用分配筛选器分配策略
最后,将“设置”目录配置文件分配给设备或用户组,并应用分配筛选器。 这将确定在策略评估期间接收和处理安全启动证书更新设置的已注册设备。
你将执行的操作
将步骤 1 中的安全启动设置目录配置文件分配给组,然后在 “包含 ”或“ 排除” 模式下应用步骤 2 中的筛选器。
应用分配筛选器
在Microsoft Intune管理中心中,导航到“设备>管理设备>配置”。
选择在上面的步骤 1 中创建的设置目录配置文件。
打开 “属性>分配>编辑”。
将配置文件分配给相应的 用户组 或 设备组。
提示
如果没有任何其他限制目标的条件,请将此策略分配给 “所有设备 ”虚拟组。 使用步骤 2 中的设备模型分配筛选器来限定分配范围。 此组合足以满足大多数部署的需求。 内置了“所有设备”虚拟组,无需组维护,并且已针对规模进行优化。 然后,分配筛选器根据设备属性缩小设备检查的适用性,而无需额外的Microsoft Entra组。
选择 “编辑筛选器”。
选择一个:
- 在分配中包含筛选的设备:只有与筛选器匹配的设备才会收到策略。
- 排除分配中筛选的设备:与筛选器匹配的设备不会收到策略。
从步骤 2 中选择现有分配筛选器,然后选择 “选择”。
选择“查看 + 保存>”。
了解设备行为
- Intune会在设备注册时、每次签入时以及重新评估分配的策略时评估筛选器。
- 启用安全启动设置并不能保证立即证书应用程序。 对于触发更新过程的“安全启动”设置,Windows 安全启动任务每 12 小时运行一次。 某些更新可能需要重启。
常见问题
设备多久处理一次“启用安全启动证书汇报”设置?
处理设置的 Windows 安全启动任务每 12 小时运行一次。
我应该重启吗?
通过Intune启动更新不会导致重启,但可能需要重启才能完成更新。
是否可以在应用新证书后回滚或删除这些证书?
证书应用于固件后,Windows 无法删除它们。 必须通过固件接口清除证书。
为什么应在 2026 年 6 月之前执行此操作?
旧证书将于 2026 年 6 月开始过期。 未收到较新的 2023 证书的设备将无法接收新的提前启动安全保护, (例如安全启动数据库和) 吊销更新。
资源
- 设置定义和允许的值: SecureBoot Policy CSP
- 设置目录流和设置行为:Microsoft Intune具有 IT 托管更新的 Windows 设备安全启动方法
- 背景和时间线: Windows 安全启动证书过期和 CA 更新
- 创建、预览和应用筛选器:在 Microsoft Intune 中创建分配筛选器
- 支持的属性、运算符和语法: 赋值筛选器属性和运算符参考
- 总体推出规划和Intune建议选项:2026 年到期证书的安全启动 playbook
- 仅监视方法和Intune报告) :使用Microsoft Intune修正监视安全启动证书状态