Gilt für
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Ursprüngliches Veröffentlichungsdatum: Montag, 4. Dezember 2025

KB-ID: 5073196

Dieser Artikel enthält Anleitungen für: 

  • Organisationen, die über eine eigene IT-Abteilung verfügen, die Windows-Geräte und -Updates verwaltet.

Hinweis: Wenn Sie eine Person sind, die ein persönliches Windows-Gerät besitzt, lesen Sie den Artikel Windows-Geräte für Private Benutzer, Unternehmen und Schulen mit von Microsoft verwalteten Updates. ​​​​​​​

Verfügbarkeit dieser Unterstützung

  • 11. November 2025: Für Versionen von Windows 11 und Windows 10 noch unterstützt.

Datum ändern

Beschreibung ändern

9. März 2026

Die nicht unterstützten Versionen von Windows 10 wurden aus dem Abschnitt "Gilt für" entfernt.

4. März 2026

Hinzugefügt Windows 11 Version 25H2 zur Liste "Gilt für".

4. Februar 2026

Bekanntes Problem behoben

Montag, 17. Dezember 2025

Abschnitt "Bekanntes Problem" hinzugefügt

In diesem Artikel:

Einführung

In diesem Dokument wird die Unterstützung für die Bereitstellung, Verwaltung und Überwachung der Zertifikatupdates für den sicheren Start mithilfe des Microsoft Intune beschrieben. Die Einstellungen bestehen aus:

  • Die Möglichkeit, die Bereitstellung auf einem Gerät auszulösen

  • Eine Einstellung zum Abonnieren/Deaktivieren von Buckets mit hoher Zuverlässigkeit

  • Eine Einstellung zum Abonnieren/Deaktivieren der Verwaltung von Updates durch Microsoft

Microsoft Intune-Konfigurationsmethode

Diese Methode bietet eine Einstellung für den sicheren Start mit Microsoft Intune, die Domänenadministratoren festlegen können, um Updates für den sicheren Start auf allen in die Domäne eingebundenen Windows-Clients bereitzustellen. Darüber hinaus können zwei Unterstützungsassistenten für den sicheren Start mit Den Einstellungen zum Aktivieren/Deaktivieren verwaltet werden.

In Microsoft Intune

  1. Wählen Sie unter Geräte > Geräte verwalten die Option Konfiguration aus.

  2. Wählen Sie Erstellen und dann Neue Richtlinie aus.

    • Wechseln Sie im rechten Bereich zu Profil erstellen .

    • Füllen Sie Plattform mit Windows 10 und höher aus.

  3. Wählen Sie unter Profiltyp den Einstellungskatalog aus.  Bild hinzugefügt

  4. Beginnen Sie mit der Erstellung eines Profils, indem Sie dem Profil einen Namen geben. In diesem Beispiel verwenden wir "Sicherer Start" als Namen. Klicken Sie auf Weiter.Pic

  5. Wählen Sie unter Konfigurationseinstellungendie Option Einstellungen hinzufügen aus, und verwenden Sie die Einstellungsauswahl, um die Einstellungen für den sicheren Start zu finden, indem Sie nach Sicherer Start suchen. In der Kategorie Sicherer Start sollten drei Einstellungen angezeigt werden. Dies sind die gleichen Einstellungen, die in den Dokumenten "Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit IT-verwalteten Updates" und der "Gruppenrichtlinie Objects"-Methode (GPO) des sicheren Starts für Windows-Geräte mit von der IT verwalteten Updates beschrieben werden.

    • Secureboot Certificate aktivieren Updates standardmäßig ausgewählt und aktiviert ist.

    • Die unten beschriebenen Opt-In- und Opt-Out-Einstellungen können so konfiguriert werden, dass sie ihren Anforderungen an Ihre Umgebung und Bereitstellung entsprechen.  hinzugefügt

  6. Schließen Sie das Profil für die Geräte ab, die diese Einstellungen verwenden.

Einstellungsbeschreibung

Konfigurieren der von Microsoft Update verwalteten Anmeldung

Microsoft Intune Einstellungsname: Konfigurieren der verwalteten Anmeldung für Microsoft Update

Beschreibung: Diese Richtlinie ermöglicht Es Unternehmen, an einem kontrollierten Featurerollout des Von Microsoft verwalteten Zertifikatupdates für den sicheren Start teilzunehmen.

  • Aktiviert: Microsoft unterstützt Sie bei der Bereitstellung von Zertifikaten auf Geräten, die für den Rollout registriert sind.

  • Deaktiviert (Standard): Keine Teilnahme am kontrollierten Rollout.

Anforderungen:

Konfigurieren von high confidence Opt-Out

Microsoft Intune Einstellungsname: Konfigurieren von Opt-Out mit hoher Zuverlässigkeit

Beschreibung: Diese Richtlinie steuert, ob Zertifikatupdates für den sicheren Start automatisch über monatliche Windows-Sicherheitsupdates und nicht sicherheitsrelevante Updates angewendet werden. Geräte, die von Microsoft für die Verarbeitung von Variablenupdates für den sicheren Start überprüft wurden, erhalten diese Updates als Teil kumulativer monatlicher Updates und wenden sie automatisch an. Da nicht alle Hardware- und Firmwarekombinationen vollständig überprüft werden können, setzt Microsoft auf gezielte Tests und Diagnosedaten, um die Gerätebereitschaft zu bestimmen. Nur Geräte mit ausreichenden Diagnosedaten können mit hoher Zuverlässigkeit betrachtet werden. Wenn Diagnosedaten für ein bestimmtes Gerät nicht verfügbar sind, können sie nicht mit hoher Zuverlässigkeit klassifiziert werden.

  • Aktiviert: Die automatische Bereitstellung über monatliche Updates wird blockiert.

  • Deaktiviert (Standard): Geräte, die ihre Updateergebnisse überprüft haben, erhalten automatisch Zertifikatupdates als Teil der monatlichen Updates.

Hinweise:

  • Die beabsichtigten Geräte werden für die erfolgreiche Verarbeitung von Updates bestätigt.

  • Konfigurieren Sie diese Richtlinie, um die automatische Bereitstellung über monatliche Updates zu verwalten.

  • Entspricht dem Registrierungsschlüssel HighConfidenceOptOut.

Aktivieren von Secureboot Certificate Updates

Microsoft Intune Einstellungsname: Secureboot Certificate Updates aktivieren

Beschreibung: Diese Richtlinie steuert, ob Windows den Zertifikatbereitstellungsprozess für den sicheren Start auf Geräten initiiert.

  • Aktiviert: Windows beginnt automatisch mit der Bereitstellung aktualisierter Zertifikate für den sicheren Start.

  • Deaktiviert (Standard): Windows stellt Zertifikate nicht automatisch bereit.

Hinweise:

  • Die Aufgabe, die diese Einstellung verarbeitet, wird alle 12 Stunden ausgeführt. Einige Updates erfordern möglicherweise einen Neustart, um sicher abgeschlossen zu werden.

  • Sobald Zertifikate auf Firmware angewendet wurden, können sie nicht aus Windows entfernt werden. Das Löschen von Zertifikaten muss über die Firmwareschnittstelle erfolgen.

  • Entspricht dem Registrierungsschlüssel AvailableUpdates.

Bekannte Probleme

Symptome

Konfigurationseinstellungen für den sicheren Start, die über Microsoft Intune Mobile Geräteverwaltung (MDM) bereitgestellt werden, sind derzeit für Pro-Editionen von Windows 10 und Windows 11 blockiert.

  • Versuche, diese Richtlinien anzuwenden, führen zu Microsoft Intune Fehlercode 65000

  • Ereignisprotokolle können POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION aufzeichnen, was darauf hinweist, dass das Feature in dieser Edition nicht verfügbar ist.

Lösung

Der Microsoft Intune-Lizenzierungsdienst wurde am 27. Januar 2026 aktualisiert, um die Bereitstellung von Konfigurationseinstellungen für den sicheren Start in Pro-Editionen von Windows 10 und Windows 11 zu ermöglichen. Geräte, die ihre Microsoft Intune-Lizenz vor diesem Datum erhalten haben, müssen ihre Lizenz verlängern, um dieses Problem zu beheben.  Lizenzen werden jeden Monat automatisch verlängert, sodass dieses Problem für alle Geräte bis zum 27. Februar 2026 behoben wird. Um dieses Problem sofort zu beheben, können Sie die Lizenz auf Ihrem Gerät verlängern, indem Sie die folgenden Befehle im Namen des Benutzers (im Kontext des Benutzers) ausführen:

  • ClipDLS.exe entfernenabonnement

  • ClipRenew.exe

Ressourcen

Weitere Informationen zu den Registrierungsschlüsseln UEFICA2023Status und UEFICA2023Fehler zum Überwachen der Geräteergebnisse finden Sie unter Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit IT-verwalteten Updates.

Informationen zu Ereignissen, die hilfreich sind, um die status von Geräten, Geräteattributen und Gerätebucket-IDs zu verstehen, finden Sie unter Updateereignisse für Sichere Startdatenbanken und DBX-Variablen. Achten Sie besonders auf die Ereignisse 1801 und 1808, die auf der Ereignisseite beschrieben sind.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter