Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Původní datum publikování: úterý 4. prosince 2025

ID znalostní báze: 5073196

Tento článek obsahuje pokyny pro: 

  • Organizace, které mají vlastní IT oddělení, které spravuje zařízení a aktualizace s Windows.

Poznámka: Pokud jste osoba, která vlastní osobní zařízení s Windows, přečtěte si článek Zařízení s Windows pro domácí uživatele, firmy a školy s aktualizacemi spravovanými Microsoftem. ​​​​​​​

Dostupnost této podpory

  • 11. listopadu 2025: Pro verze Windows 11 a Windows 10 stále podporovány.

Změnit datum

Změnit popis

úterý 17. prosince 2025

Byl přidán oddíl Známý problém.

V tomto článku:

Úvod

Tento dokument popisuje podporu nasazení, správy a monitorování aktualizací certifikátů zabezpečeného spouštění pomocí Microsoft Intune. Nastavení se skládají z:

  • Možnost aktivovat nasazení na zařízení

  • Nastavení pro odhlášení nebo odhlášení z vysoce důvěryhodných kontejnerů

  • Nastavení pro výslovný nesouhlas se správou aktualizací microsoftem

metoda konfigurace Microsoft Intune

Tato metoda nabízí nastavení zabezpečeného spouštění pomocí Microsoft Intune, které můžou správci domény nastavit tak, aby nasadili aktualizace zabezpečeného spouštění do všech klientů Windows připojených k doméně. Kromě toho je možné spravovat dva pomocníky pro zabezpečené spouštění pomocí nastavení souhlasu a odhlášení.

V Microsoft Intune

  1. V části Zařízení > Spravovat zařízení vyberte Konfigurace.

  2. Vyberte Vytvořit a vyberte Nová zásada.

    • V pravém podokně přejděte na Vytvořit profil .

    • Vyplňte platformu pomocí Windows 10 a novějších.

  3. V části Typ profilu vyberte Katalog nastavení Přidaný obrázek

  4. Začněte vytvářet profil tím, že profil pojmenujte. V tomto příkladu používáme jako název "Zabezpečené spouštění". Stiskněte Další.obrázek

  5. V části Nastavení konfigurace vyberte Přidat nastavení a pomocí výběru Nastavení vyhledejte nastavení zabezpečeného spouštění tak, že vyhledáte Zabezpečené spouštění. V kategorii Zabezpečené spouštění byste měli vidět tři nastavení. Toto jsou stejná nastavení popsaná v tématu Aktualizace klíče registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT a metodou Zásady skupiny Objektů (GPO) v dokumentu Zabezpečené spouštění pro zařízení s Windows s aktualizacemi spravovanými IT.

    • Povolit certifikát Secureboot Aktualizace je ve výchozím nastavení vybraná a povolená.

    • Níže popsaná nastavení pro vyjádření souhlasu a odhlášení je možné nakonfigurovat tak, aby vyhovovala potřebám vašeho prostředí a nasazení.  Přidány

  6. Dokončete profil pro zařízení, která budou tato nastavení používat.

Popis nastavení

Konfigurace spravovaného souhlasu se službou Microsoft Update

název nastavení Microsoft Intune: Konfigurace spravovaného souhlasu se službou Microsoft Update

Popis: Tyto zásady umožňují podnikům účastnit se řízeného zavádění funkcí aktualizace certifikátu zabezpečeného spouštění spravované Microsoftem.

  • Povoleno: Microsoft pomáhá s nasazením certifikátů do zařízení zaregistrovaných v zavedení.

  • Zakázáno (výchozí): Žádná účast na řízeném zavedení.

Požadavky:

Konfigurace Opt-Out s vysokou spolehlivostí

název nastavení Microsoft Intune: Konfigurace Opt-Out s vysokou spolehlivostí

Popis: Tato zásada určuje, jestli se aktualizace certifikátů zabezpečeného spouštění automaticky použijí prostřednictvím měsíčních aktualizací zabezpečení Windows a aktualizací nesouvisecích se zabezpečením. Zařízení, u které Společnost Microsoft ověřila, že dokážou zpracovávat aktualizace proměnných zabezpečeného spouštění, obdrží tyto aktualizace jako součást kumulativních měsíčních aktualizací a automaticky je nainstalují. Vzhledem k tomu, že ne všechny kombinace hardwaru a firmwaru je možné ověřit vyčerpávajícím způsobem, spoléhá Microsoft při určování připravenosti zařízení na cílená testovací a diagnostická data. S vysokou spolehlivostí je možné uvažovat pouze o zařízeních s dostatečným počtem diagnostických dat. Pokud jsou diagnostická data pro dané zařízení nedostupná, nelze je klasifikovat s vysokou spolehlivostí.

  • Povoleno: Automatické nasazení prostřednictvím měsíčních aktualizací je blokované.

  • Zakázáno (výchozí): Zařízení, která ověřila výsledky aktualizací, automaticky získají aktualizace certifikátů v rámci měsíčních aktualizací.

Poznámky:

  • U zamýšlených zařízení se potvrdí úspěšné zpracování aktualizací.

  • Nakonfigurujte tuto zásadu pro správu automatického nasazení prostřednictvím měsíčních aktualizací.

  • Odpovídá klíči registru HighConfidenceOptOut.

Povolení Aktualizace certifikátu secureboot

název nastavení Microsoft Intune: Povolení Aktualizace certifikátu secureboot

Popis: Tato zásada určuje, jestli systém Windows zahájí proces nasazení certifikátu zabezpečeného spouštění na zařízeních.

  • Povoleno: Systém Windows automaticky začne nasazovat aktualizované certifikáty zabezpečeného spouštění.

  • Zakázáno (výchozí) : Systém Windows nenasazuje certifikáty automaticky.

Poznámky:

  • Úloha, která toto nastavení zpracovává, se spouští každých 12 hodin. Některé aktualizace můžou vyžadovat restartování, aby se bezpečně dokončily.

  • Jakmile se certifikáty použijí na firmware, nelze je ze systému Windows odebrat. Vymazání certifikátů se musí provádět prostřednictvím rozhraní firmwaru.

  • Odpovídá klíči registru AvailableUpdates.

Známé problémy

Příznaky

Nastavení konfigurace zabezpečeného spouštění nasazená prostřednictvím Microsoft Intune Mobile Správa zařízení (MDM) jsou aktuálně blokovaná v edicích Windows 10 a Windows 11 Pro.

  • Výsledkem pokusů o použití těchto zásad je kód Microsoft Intune chyba 65000

  • Protokoly událostí můžou zaznamenávat POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, což značí, že funkce není v této edici dostupná.

Alternativní řešení

Tento problém se zkoumá a další informace budou sdíleny, jakmile budou k dispozici.

Zdroje

Podrobnosti o UEFICA2023Status a UEFICA2023Chybí klíče registru pro monitorování výsledků zařízení najdete také v tématu Aktualizace klíčů registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT.

Události, které jsou užitečné při pochopení stavu zařízení, atributů zařízení a ID kontejnerů zařízení, najdete v tématu Události aktualizace databáze zabezpečeného spouštění a DBX proměnných. Zvláštní pozornost věnujte událostem 1801 a 1808 popsaným na stránce událostí.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti