Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Първоначална дата на публикуване: 4 декември 2025 г.

ИД на КБ: 5073196

Тази статия има указания за: 

  • Организации, които имат собствен ИТ отдел, който управлява устройства и актуализации на Windows.

Забележка: Ако сте лице, което притежава лично устройство с Windows, вижте статията Устройства с Windows за домашни потребители, фирми и училища с актуализации, управлявани от Microsoft. ​​​​​​​

Наличност на тази поддръжка

  • 11 ноември 2025 г.: За версии на Windows 11 и Windows 10 все още се поддържат.

Промяна на дата

Промяна на описанието

17 декември 2025 г.

Добавен е разделът "Известен проблем"

В тази статия:

Въведение

Този документ описва поддръжката за разполагане, управление и наблюдение на актуализациите на сертификата за защитено стартиране с помощта на Microsoft Intune. Настройките се състоят от:

  • Възможността за активиране на разполагане на устройство

  • Настройка за отписване/отписване от набори с висока достоверност

  • Настройка за отписване/отписване от управлението на актуализации от Microsoft

метод за конфигуриране на Microsoft Intune

Този метод предлага настройка за защитено стартиране с помощта на Microsoft Intune, които администраторите на домейни могат да настроят за разполагане на актуализации на защитеното стартиране за всички клиенти на Windows, присъединени към домейна. Освен това два помощника за защитено стартиране могат да бъдат управлявани с настройки за отписване/отписване.

В Microsoft Intune

  1. Под Устройства > Управление на устройства изберете Конфигуриране.

  2. Изберете Създаване и изберете Нови правила.

    • Отидете на Създаване на профил в десния екран.

    • Попълнете Platform с Windows 10 и по-нови версии.

  3. Изберете Каталог с настройки под Тип профил.  Добавена е картина

  4. Започнете да създавате профил, като дадете име на профила. В този пример използваме "Защитено стартиране" като име. Натиснете Напред.снимка

  5. Под Настройки за конфигуриране изберете Добавяне на настройки и използвайте избирача на настройки, за да намерите настройките на защитеното стартиране чрез търсене на Защитено стартиране. Би трябвало да видите три настройки в категорията Защитено стартиране. Това са същите настройки, описани в актуализациите на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от ИТ, и метода на групови правила обекти (GPO) за защитено стартиране за устройства с Windows с документи, управлявани от ИТ актуализации.

    • Разрешаване на сертификат за защитено стартиране, Актуализации е избрано по подразбиране и разрешено.

    • Настройките за отписване и отписване, описани по-долу, могат да бъдат конфигурирани така, че да подхождат на вашата среда и нуждите от разполагане.  Добавя

  6. Завършете профила за устройствата, които ще използват тези настройки.

Описание на настройка

Конфигуриране на управлявано включване на Microsoft Update

Microsoft Intune име на настройка: Конфигуриране на управлявано включване на Microsoft Update

Описание: Тези правила позволяват на предприятията да участват в контролирано внедряване на функции на актуализация на сертификат за защитено стартиране, управлявана от Microsoft.

  • Разрешено: Microsoft помага за разполагането на сертификати за устройства, записани в внедряването.

  • Забранено (по подразбиране): Няма участие в контролирано внедряване.

Изисквания:

Конфигуриране на Opt-Out с висока достоверност

Име на настройка на Microsoft Intune: Конфигуриране на Opt-Out с висока достоверност

Описание: Тези правила контролират дали актуализациите на сертификата за защитено стартиране се прилагат автоматично чрез месечни актуализации на защитата и актуализации, които не са свързани със защитата на Windows. Устройства, които Microsoft е проверил като способни да обработват променливите актуализации на защитеното стартиране, ще получат тези актуализации като част от кумулативните месечни актуализации и ще ги прилагат автоматично. Тъй като не всички хардуерни и фърмуерни комбинации могат да бъдат изчерпателно проверени, Microsoft разчита на целевите тестови и диагностични данни, за да определи готовността на устройството. Само устройства с достатъчно диагностични данни могат да се разглеждат с висока достоверност; ако диагностичните данни не са налични за дадено устройство, те не могат да бъдат класифицирани с висока достоверност.

  • Разрешено: Автоматичното разполагане чрез месечни актуализации е блокирано.

  • Дезактивирано (по подразбиране): Устройства, които са проверили резултатите от актуализацията, автоматично ще получават актуализации на сертификата като част от месечните актуализации.

Бележки:

  • За планираните устройства се потвърждава, че обработват актуализациите успешно.

  • Конфигурирайте тези правила за управление на автоматичното разполагане чрез месечни актуализации.

  • Отговаря на ключа от системния регистър HighConfidenceOptOut.

Разрешаване на Актуализации на сертификат за защитено стартиране

име на настройка на Microsoft Intune: Разрешаване на Актуализации на сертификат за защитено стартиране

Описание: Тези правила контролират дали Windows започва процеса на разполагане на сертификат за защитено стартиране на устройства.

  • Разрешено: Windows автоматично започва разполагането на актуализирани сертификати за защитено стартиране.

  • Дезактивирано (по подразбиране): Windows не разполага сертификатите автоматично.

Бележки:

  • Задачата, която обработва тази настройка, се изпълнява на всеки 12 часа. Някои актуализации може да изискват рестартиране, за да завършите безопасно.

  • След като сертификатите бъдат приложени към фърмуера, те не могат да бъдат премахнати от Windows. Изчистването на сертификати трябва да се извърши чрез интерфейса на фърмуера.

  • Отговаря на ключа от системния регистър AvailableUpdates.

Известни проблеми

Симптоми

Конфигурационните настройки на защитеното стартиране, разположени чрез Microsoft Intune Mobile Управление на устройства (MDM), в момента са блокирани в изданията Pro на Windows 10 и Windows 11.

  • Опитите за прилагане на тези правила водят до Microsoft Intune Код на грешка 65000

  • Регистрите на събитията може да записват POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, което показва, че функцията не е налична в това издание.

Заобиколно решение

Проблемът е в процес на разследване и допълнителна информация ще бъде споделена веднага щом стане налична.

Ресурси

Вижте също актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от ИТ , за подробности относно UEFICA2023Status и UEFICA2023 Ключове от системния регистър на грешки за наблюдение на резултатите от устройството.

Вижте Събития за актуализация на DB и DBX променливи на защитено стартиране за събития, които са полезни за разбиране на състоянието на устройствата, атрибутите на устройството и ИД на набор от устройства. Обърнете специално внимание на събитията 1801 и 1808, описани на страницата със събития.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност