Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: 30. října 2025

ID znalostní báze: 5068198

Tento článek obsahuje pokyny pro: 

  • Organizace, které mají vlastní IT oddělení, které spravuje zařízení a aktualizace s Windows.

Poznámka: Pokud jste osoba, která vlastní osobní zařízení s Windows, přečtěte si článek Zařízení s Windows pro domácí uživatele, firmy a školy s aktualizacemi spravovanými Microsoftem

Dostupnost této podpory

  • 14. října 2025: Mezi podporované verze patří verze Windows 10, verze 22H2 a novější (včetně 21H2 LTSC), všechny podporované verze Windows 11 a Windows Server 2022 a novější.

  • 11. listopadu 2025: Pro verze Windows, které jsou stále podporovány.

V tomto článku:

Úvod

Tento dokument popisuje podporu nasazení, správy a monitorování aktualizací certifikátů zabezpečeného spouštění pomocí objektu zabezpečeného spouštění Zásady skupiny. Nastavení se skládají z: 

  • Možnost aktivovat nasazení na zařízení

  • Nastavení pro odhlášení nebo odhlášení z vysoce důvěryhodných kontejnerů

  • Nastavení pro výslovný nesouhlas se správou aktualizací microsoftem

Metoda konfigurace objektu Zásady skupiny (GPO)

Tato metoda nabízí jednoduché nastavení zabezpečeného spouštění Zásady skupiny, které můžou správci domény nastavit tak, aby nasadili aktualizace zabezpečeného spouštění do všech klientů a serverů Windows připojených k doméně. Kromě toho je možné spravovat dva pomocníky pro zabezpečené spouštění pomocí nastavení souhlasu a odhlášení. 

Pokud chcete získat aktualizace, které zahrnují zásady pro nasazení aktualizací certifikátů zabezpečeného spouštění, podívejte se do části Zdroje informací níže.

Tuto zásadu najdete v uživatelském rozhraní Zásady skupiny pod následující cestou: 

           Konfigurace počítače >šablony pro správu >součásti systému Windows >zabezpečené spouštění 

Důležité informace: Aktualizace zabezpečeného spouštění závisí na firmwaru zařízení a u některých zařízení může docházet k problémům s kompatibilitou. Zajištění bezpečného zavedení:

  1. Ověřte zásady aktualizace alespoň na jednom reprezentativním zařízení pro každý typ zařízení ve vaší organizaci.

  2. Ověřte, že se certifikáty zabezpečeného spouštění úspěšně použily pro databázi UEFI a KEK. Podrobný postup najdete v článku Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace.

  3. Po ověření seskupte zařízení podle hodnoty hash kbelíku a použijte na ně zásady pro řízené zavedení.

Dostupná nastavení konfigurace 

Obrázek

Tři dostupná nastavení pro nasazení certifikátu zabezpečeného spouštění jsou popsána tady. Tato nastavení odpovídají klíčům registru popsaným v tématu Aktualizace klíčů registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT

Povolení nasazení certifikátu zabezpečeného spouštění 

název nastavení Zásady skupiny: Povolit nasazení certifikátu zabezpečeného spouštění 

obrazy

Popis: Tato zásada určuje, jestli systém Windows zahájí proces nasazení certifikátu zabezpečeného spouštění na zařízeních. 

  • Povoleno: Systém Windows automaticky začne nasazovat aktualizované certifikáty zabezpečeného spouštění po spuštění úlohy zabezpečeného spouštění.

  • Zakázáno: Systém Windows nenasazuje certifikáty automaticky.

  • Nenakonfigurováno: Platí výchozí chování (bez automatického nasazení).

Poznámky: 

  • Úloha, která toto nastavení zpracovává, se spouští každých 12 hodin. Některé aktualizace můžou vyžadovat restartování, aby se bezpečně dokončily.

  • Jakmile se certifikáty použijí na firmware, nelze je ze systému Windows odebrat. Vymazání certifikátů se musí provádět prostřednictvím rozhraní firmwaru.

  • Toto nastavení je považováno za předvolbu; Pokud se objekt zásad odebere, hodnota registru zůstane.

  • Odpovídá klíči registru AvailableUpdates.

Automatické nasazení certifikátu přes Aktualizace 

název nastavení Zásady skupiny: Automatické nasazení certifikátu prostřednictvím Aktualizace 

obrazy.

Popis: Tato zásada určuje, jestli se aktualizace certifikátů zabezpečeného spouštění automaticky použijí prostřednictvím měsíčních aktualizací zabezpečení Windows a aktualizací nesouvisecích se zabezpečením. Zařízení, u která Společnost Microsoft ověřila, že jsou schopná zpracovávat aktualizace proměnných zabezpečeného spouštění, obdrží tyto aktualizace v rámci kumulativní údržby a automaticky je použijí. 

  • Povoleno: Zařízení s ověřenými výsledky aktualizací obdrží aktualizace certifikátů během údržby automaticky.

  • Zakázáno: Automatické nasazení je blokováno; aktualizace musí být spravovány ručně.

  • Nenakonfigurováno: Automatické nasazení probíhá ve výchozím nastavení.

Poznámky: 

  • U zamýšlených zařízení se potvrdilo úspěšné zpracování aktualizací.

  • Nakonfigurujte tuto zásadu tak, aby se rozhodla pro automatické nasazení.

  • Odpovídá klíči registru HighConfidenceOptOut.

Nasazení certifikátů prostřednictvím zavedení řízené funkce 

název nastavení Zásady skupiny: Nasazení certifikátu prostřednictvím zavedení řízené funkce 

obrázek

Popis: Tyto zásady umožňují podnikům účastnit se řízeného zavádění funkcí aktualizace certifikátu zabezpečeného spouštění spravované Microsoftem.

  • Povoleno: Microsoft pomáhá s nasazením certifikátů do zařízení zaregistrovaných v zavedení.

  • Zakázáno nebo Není nakonfigurováno: Žádná účast na řízeném zavedení.

Požadavky

Zdroje informací

Podrobnosti o UEFICA2023Status a UEFICA2023Chybí klíče registru pro monitorování výsledků zařízení najdete také v tématu Aktualizace klíčů registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT

Události, které jsou užitečné při pochopení stavu zařízení, atributů zařízení a ID kontejnerů zařízení, najdete v tématu Události aktualizace databáze zabezpečeného spouštění a DBX proměnných. Zvláštní pozornost věnujte událostem 1801 a 1808 popsaným na stránce událostí. 

Pro Zásady skupiny rozhraní MSI a referenční tabulku nastavení zásad skupiny použijte následující odkazy nebo se ujistěte, že šablony pro správu, které používáte, jsou publikovány k datům uvedeným v tabulce nebo později. 

Platforma

Publikovaná msi

Publikovaná referenční tabulka nastavení GP

Klient

Stáhnout: Šablony pro správu (.admx) pro Windows 11 2025 Update (25H2) – V2.0 z oficiálního webu Microsoftu

Publikováno: 29. 9. 2025

Stáhnout Zásady skupiny Settings Reference Spreadsheet for Windows 11 2025 Update (25H2) – V2.0 from Official Microsoft Site

Publikováno: 2. 10. 2025

Server

Stáhnout: Šablony pro správu (.admx) pro Windows Server 2025 (verze z 25. října) z oficiálního webu Společnosti Microsoft

Publikováno: 27. 10. 2025

Stáhnout referenční tabulku nastavení Zásady skupiny pro Windows Server 2025 (vydání z 25. října) z oficiálního webu Společnosti Microsoft

Publikováno: 27. 10. 2025
Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti