套用到
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

原始出版日期: 2026年3月10日

KB ID:5084490

本文有針對以下需求的指引

  • IT 專業人員及 Intune 管理員負責管理 Windows 裝置,透過設定目錄政策部署安全開機憑證更新控制,並監督更新工作流程。

  • 需要透過指派篩選器針對特定硬體模型進行部署的團隊。

本文內容:

簡介

本指南協助 IT 管理員使用 Microsoft Intune 設定目錄政策啟用安全開機憑證更新流程。 它說明如何設定啟用憑證更新流程的安全開機設定,以及如何部署該設定。 同時也強調如何利用基於模型指派過濾器,支持已驗證成功升級的硬體上的受控分階段部署。

必要條件

安全開機憑證更新的資格由安全開機政策 CSP 及裝置韌體決定 。 此範圍不一定與 Windows 服務的 ((即更新) 時程或Intune註冊要求)相符。

Intune 與政策前提

  • 請用擁有建立篩選器及建立/指派設定目錄政策權限的帳號登入。

  • 裝置必須註冊在Intune (指派過濾器僅適用於受管理裝置) 。

安全啟動資格的前提條件

步驟 1 - 在 Intune (設定目錄中設定安全開機憑證更新設定)

在此步驟中,你會在 Microsoft Intune 中建立 Windows 設定目錄裝置設定檔。 你也會設定安全開機設定,以啟用安全開機憑證更新流程。

你將創造的

一個 Windows 設定目錄中的裝置設定檔,能啟用安全開機憑證匯報

建立設定目錄設定檔

  1. 登入 Microsoft Intune 管理中心

  2. 裝置 > 管理裝置 > 設定

  3. 選擇 建立> 新保單

  4. 建立個人檔案時:

  5. 平台Windows 10 及以後版本

  6. 設定檔類型設定目錄

  7. 選取 [建立]。

  8. 請將設定檔命名為 (,例如「 安全開機憑證更新) 」,新增可選描述,然後選擇 「下一步」。

  9. 設定設定中,選擇 新增設定

  10. 在設定選擇器中搜尋 「Secure Boot 」,並在「 依類別瀏覽」中選擇它。

  11. 將安全開機類別中三個設定中的啟用安全開機憑證匯報設定加入設定檔。

    附註: 如果你的部署情境需要,也可以用同樣方式配置這個類別中的其他安全開機設定。

  12. 將設定值設為 啟用

  13. 選擇 「下一 頁」以繼續進入作業。 (你會在第三步的) 上加濾網。

步驟 2 - 建立基於模型的目標設定的指派篩選器

接著,你建立一個針對特定裝置型號的 Intune 指派過濾器。 基於模型的目標設定允許你將安全開機憑證更新範圍擴展到特定硬體型號。 這種受控且分階段的部署不需額外的 Microsoft Entra ID 群組。

為何建議以模型為基礎的目標鎖定來部署安全啟動憑證

  • 韌體變異 性——原廠(OEM)對安全開機的實作方式不同,因此模型層級的範圍限制能減少意外行為。

  • 事前驗證 ——你可以在公開推出前,驗證已知良好硬體的憑證更新。

你將創造的

一個針對 (或排除特定裝置型號) 的受管裝置指派過濾器。

建立指派篩選器

  1. 登入 Microsoft Intune 管理中心

  2. 請前往 租戶管理 > 分配篩選 器 > 建立

  3. 選擇 受管理裝置

  4. 基礎中,設定:

    • 篩選名稱 (描述性) 。

    • 說明 (可選,但建議) 。

    • 平台Windows 10 及以後版本。

  5. 選取 [下一步]

  6. 規則中,請選擇一種方法:

    • 大多數管理員 (推薦規則建構器)

    • 規則語法 (手動表達式編輯)

建立一個基於模型的規則 (規則建構器)

  1. 規則建構器中,選擇 模型 屬性。

  2. 選擇一位接線員。

  3. 輸入你想要匹配的 (模型串) 。

  4. 選擇 新增表達 式以將其加入規則中。

  5. 如有需要,可使用 And/Or 將規則擴展至更多模型,或根據其他可篩選屬性新增額外條件。

提示: 使用 預覽裝置 來驗證濾波器是否符合預期的集合。 預覽清單支援依裝置名稱、作業系統版本、裝置型號及裝置製造商搜尋。

預覽並建立篩選器

  1. 選擇 預覽裝置 以確認哪些已註冊的裝置符合。

  2. 選取 [下一步]

  3. (如果使用的話,可選的) 指派 範圍標籤

  4. 選取 [下一步]

  5. Review + 創建中,選擇 「建立」。

步驟 3 - 使用指派過濾器指派政策

最後,您將設定目錄設定檔指派給裝置或使用者群組,並套用指派篩選器。 這決定哪些已註冊的裝置在政策評估時會接收並處理安全開機憑證更新設定。

你將要做的事

你會將第一步的安全開機設定目錄設定檔指派到一個群組,然後在 包含排除 模式下套用第二步的篩選器。

套用指派過濾器

  1. Microsoft Intune管理中心,進入裝置 > > 設定管理裝置

  2. 選擇你在上方步驟 1 中建立的設定目錄設定檔。

  3. 開啟 屬性 > 指派 > 編輯

  4. 將設定檔指派給適當的 使用者群組裝置群組

    提示: 如果你沒有其他限制目標鎖定的條件,請將此政策指派到 「所有裝置 」虛擬群組。 請使用步驟 2 的裝置模型指派過濾器來設定指派範圍。 這種組合足以應付大多數部署。 所有裝置虛擬群組內建,無需群組維護,且已優化以擴展。 接著,指派篩選器會根據裝置屬性縮小適用範圍,無需額外使用 Microsoft Entra 群組。

  5. 選擇 編輯過濾器

  6. 請選擇其中一項:

    • 在指派中包含過濾裝置:只有符合篩選器的裝置才會收到該政策。

    • 在分配中排除被篩選的裝置:符合篩選器的裝置不會收到該政策。

  7. 從步驟2選擇你現有的分配篩選器,然後選擇選擇。

  8. 選擇 檢視 + 儲存 > 儲存

了解裝置行為

  • Intune 在裝置註冊、每次簽入時,以及重新評估分配政策時,都會評估該過濾器。

  • 啟用安全開機設定並不保證憑證會立即申請。 對於觸發更新程序的安全開機設定,Windows 的安全開機任務每 12 小時執行一次。 有些更新可能需要重新啟動。

常見問題集

處理該設定的 Windows 安全開機任務每 12 小時執行一次。

透過 Intune 啟動更新不會導致重新啟動,但完成更新可能需要重新啟動。

憑證套用到韌體後,Windows 無法移除它們。 清除憑證必須透過韌體介面完成。

較舊的證書將於2026年6月開始過期。 尚未收到較新的 2023 年憑證的裝置將失去獲得新的早期開機安全保護 (例如安全開機資料庫及撤銷更新) 的能力。

資源

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心