HOWTO: 使用 Intune 执行设备安全启动证书更新

        距离6月所剩无几，回顾 gOxiA 之前的日志“HOWTO: 升级 Secure Boot 证书解决2026年到期问题”，可见关注该问题的用户还是比较多的。对于正在使用 Intune 现代管理技术的组织，可以借助 Intune 来轻松执行设备安全启动证书的更新任务，如果之前阅读过“HOWTO: 通过 Intune 修正脚本监视安全启动证书状态”并已实施监测，那应该会有可靠的数据支撑来执行更新工作。

        为了确保可靠高效的更新建议采用分步执行的策略，这里推荐使用 Intune 的分配筛选器创建不同的筛选策略来分配安全启动证书更新策略。例如计划先为 Microsoft Surface 品牌的设备执行安全证书更新，为此登录 Intune 管理中心转到“租户管理 - 分配筛选器 - 创建 - 托管设备”，之后跟随向导完成设置，主要的设置在“规则”配置中，可以根据不同属性创建表达式。

        表达式创建完毕后，即可转到“设备 - 管理设备 -配置”中创建安全启动证书更新策略，平台为“Windows 10 及更高版本”，配置文件类型为“设置目录”，跟随向导完成配置，其中配置设置里可搜索关键词“Secure”来找到“安全启动”配置，并勾选“启用安全启动证书更新”。

        因为我们计划此更新策略只先行在 Microsoft Surface 品牌的设备上执行，所以在“分配”配置页面中，对分配的条目添加“分配筛选器”，选择“在分配中包含已筛选的设备”，并选择我们前面添加的筛选即可。这表示只有符合过滤条件的设备才能获得策略！如果选择“在分配中排除已筛选的设备”，则匹配过滤器的设备不会收到该策略。

        完成上述配置后即可等待策略执行，需要注意的是安全启动设置并不会立即开始应用，为每 12小时运行一次。在应用了安全启动更新后并不会导致重启，但需要重启才能完成更新。

推荐官方文档：

Policy CSP - SecureBoot | Microsoft Learn