Käytetään kohteeseen
Windows 11 version 23H2, all editions

Julkaisupäivämäärä:

12.5.2026

Versio:

Käyttöjärjestelmän koontiversio 22631.7079

Tämä Windows 11 version 23H2 (KB5087420) kumulatiivinen päivitys sisältää uusimmat suojauskorjaukset ja parannukset sekä ei-tietoturvapäivitykset viime kuun valinnaisesta esikatseluversiosta. Lisätietoja suojauspäivitysten, valinnaisten muiden kuin suojauspäivitysten, OOB-päivitysten ja jatkuvan innovaation välisistä eroista on ohjeaiheessa Windowsin kuukausipäivitykset. Lisätietoja Windows updaten terminologiasta on erityyppisissä Windows-ohjelmistopäivityksissä.

Voit tarkastella tämän julkaisun uusimpia päivityksiä Windowsin julkaisun kunnon koontinäytössä tai Windows 11:n version 23H2 päivityshistoriasivulla.

Vihje: Tämän kuun video on saatavilla Windows 11, versiossa 25H2 ja 24H2.

Ilmoitukset ja viestit

Tässä osassa on tähän julkaisuun liittyviä tärkeitä ilmoituksia, kuten ilmoituksia, muutoslokeja ja tuen päättymisilmoituksia.

Windowsin Secure Boot -sertifikaatin vanheneminen

Tärkeää: Useimpien Windows-laitteiden käyttämät suojatun käynnistyksen varmenteet vanhenevat kesäkuusta 2026 alkaen. Microsoft on päivittänyt näitä varmenteita kuluttaja- ja ei-hallituissa yrityslaitteissa viime kuukausien ajan. Laitteet, jotka eivät ole saaneet uudempia varmenteita , käynnistyvät ja toimivat normaalisti, ja Windowsin vakiopäivitykset asentuvat edelleen. Microsoft jatkaa uudempien varmenteiden asentamista Windows-päivitysten kautta tulevina kuukausina.

Voit tarkistaa tietokoneesi tilan Windowsin suojaus -sovelluksessa. Jos olet IT-järjestelmänvalvoja, noudata Windows-asiakkaiden ja Windows Serverin suojatun käynnistyksen käsikirjan ohjeita.​​​​​​​

Päivämäärän muuttaminen

Muuta kuvausta

9. kesäkuuta 2026

Tunnettu ongelman korjaus: Päivitetty vaihtoehtoinen menetelmä laitteille, joiden BitLocker-ryhmäkäytäntö määritys on ehkä pakollinen BitLocker-palautusavaimen syöttämiseen"

20. toukokuuta 2026

Korjattu Microsoft Update Catalog -linkki osoittamaan 12. toukokuuta 2026 julkaistuun päivitykseen 14. huhtikuuta 2026 julkaistun päivityksen sijaan.

13. toukokuuta 2026

Lisätty suojatun käynnistyksen julkaisuhuomautus: Tämä päivitys lisää uuden SecureBoot -kansion C:\Windowsvaatimukset täyttäville laitteille.

Parannuksia

Tämä päivitys korjaa Windows-käyttöjärjestelmän suojausongelmat. ​​​​​​​

Tärkeää: Päivitä Windows 11 versioon 23H2 KÄYTTÄMÄLLÄ EKB-KB5027397.

Tämä suojauspäivitys sisältää korjauksia ja laatuparannuksia KB5082052 (julkaistu 14. huhtikuuta 2026). Seuraavassa yhteenvedossa esitellään tämän päivityksen ratkaisemat keskeiset ongelmat. Mukana ovat myös käytettävissä olevat uudet ominaisuudet. Hakasulkeissa oleva lihavointi osoittaa muutoksen kohteen tai alueen.

  • [Suojattu käynnistys] 

    • Tämän päivityksen myötä Windowsin laatupäivitykset sisältävät lisää luotettavan laitteen kohdentamistietoja, mikä lisää niiden laitteiden kattavuutta, jotka ovat oikeutettuja vastaanottamaan automaattisesti uusia suojatun käynnistyksen varmenteita. Laitteet saavat uudet varmenteet vasta sen jälkeen, kun ne ovat osoittaneet riittävät onnistuneet päivityssignaalit ja säilyttäneet hallitun ja vaiheittaisen käyttöönoton. ​​​​​​​

    • Tämä päivitys lisää uuden SecureBoot-kansion vaatimukset täyttäville laitteille kohdassa C:\Windows. Kansio sisältää esimerkkikomentosarjat, jotka on tarkoitettu organisaatioille, joissa on IT-ammattilaisia ja jotka hallinnoivat päivityksiä aktiivisesti koko laitekalustossaan. Näiden komentosarjojen avulla voidaan tunnistaa suojatun käynnistyksen varmenteen päivityksen tila ja automatisoida käyttöönotto turvallisen käyttöönottomekanismin avulla Active Directory -ympäristössä. Lisätietoja on ohjeaiheessa Suojatun käynnistyksen E2E-automaation esimerkkiopas.

  • [Maa- ja operaattoriasetusten resurssi (COSA)]Tämä päivitys tuo profiilit ajan tasalle tietyille matkapuhelinoperaattoreille.

  • [Kesäaika (DST)] Tämä päivitys tukee Egyptin arabitasavallan vuoden 2023 DST-muutosta.

  • [Enterprise State Roaming (ESR)] ESR:ää voidaan nyt hallita organisaatiokäytäntöjen Windowsin varmuuskopiointi avulla. Tämä helpottaa it-järjestelmänvalvojien asennusta. Lisätietoja on artikkelissa Yrityksen tilan verkkovierailu.

  • [Microsoft Defender SmartScreen] Tämän päivityksen avulla Microsoft Defender SmartScreenin Windows-käyttöliittymässä lähettämään allekirjoittamattomien tiedostojen tiedostojen hajautuksia. Tämän tuen avulla SmartScreen voi käyttää uudempia mainemalleja ja parantaa sovellusten mainetarkistusten laatua.

  • Etätyöpöytä (tunnettu ongelma)] Korjattu: Tämä päivitys korjaa ongelman, joka vaikuttaa Etätyöpöytäyhteyden suojausvaroitus -valintaikkunaan. Valintaikkuna saattoi näkyä virheellisesti usean näytön skenaariossa, kun näyttöjen skaalaus oli erilainen. Tämä voi tapahtua huhtikuun 2026 (KB5082052) suojauspäivityksen asentamisen jälkeen. Lisätietoja on artikkelissa Suojausvaroitusten ymmärtäminen etätyöpöytätiedostoja avattaessa.

Jos olet jo asentanut aiemmat päivitykset, laitteesi lataa ja asentaa vain tähän pakettiin sisältyvät uudet päivitykset.

Lisätietoja tietoturva-aukoista on suojauspäivitysoppaassaja toukokuun 2026 suojauspäivityksessä.

Windows 11 ylläpitopinon päivitys (KB5086307) - 22621.6937

Tämä päivitys tekee laadullisia parannuksia ylläpitopinoon, joka on Windows-päivitykset asentava komponentti. Ylläpitopinon päivitykset (SSU) varmistavat, että käytössäsi on vankka ja luotettava ylläpitopino, jotta laitteesi voivat vastaanottaa ja asentaa Microsoft-päivityksiä. Lisätietoja SSU:ista on artikkelissa Ylläpitopinon päivitysten paikallisen käyttöönoton yksinkertaistaminen.

Tämän päivityksen tunnetut ongelmat

Ongelma

Joissakin laitteissa, joiden BitLocker-ryhmäkäytäntöasetukset eivät ole suositusten mukaiset, saatetaan joutua syöttämään BitLocker-palautusavain ensimmäisen uudelleenkäynnistyksen yhteydessä tämän päivityksen asentamisen jälkeen.

Tämä ongelma koskee vain rajoitettua määrää järjestelmiä, joissa KAIKKI seuraavista ehdoista täyttyvät. Näitä olosuhteita ei todennäköisesti esiinny henkilökohtaisissa laitteissa, joita IT-osastot eivät hallinnoi.

  1. BitLocker on otettu käyttöön käyttöjärjestelmäasemalla.

  2. Ryhmäkäytäntö Määritä TPM-alustan vahvistusprofiili alkuperäisille UEFI-laiteohjelmistokokoonpanoille on määritetty, ja PCR7 on sisällytetty vahvistusprofiiliin (tai vastaava rekisteriavain on määritetty manuaalisesti).

  3. Järjestelmätiedot (msinfo32.exe) ilmoittaa Secure Boot State PCR7 -sidonnan tilaksi Ei mahdollinen.

  4. Laitteen Secure Boot -allekirjoitustietokannassa (DB) on Windows UEFI CA 2023 -varmenne, minkä ansiosta laitteeseen voidaan asettaa oletukseksi 2023-allekirjoitettu Windowsin käynnistyksen hallintaohjelma.

  5. Laitteessa ei ole vielä käytössä vuonna 2023 allekirjoitettua Windowsin käynnistyksen hallintaohjelmaa.

Tässä tilanteessa BitLocker-palautusavain on syötettävä vain kerran – myöhemmät uudelleenkäynnistykset eivät avaa BitLocker-palautusnäyttöä, kunhan ryhmäkäytäntöasetukset pysyvät ennallaan. Lisätietoja BitLocker-palautusavaimen löytämisestä on artikkelissa BitLocker-palautusavaimen etsiminen.

Yrityksille suositellaan, että ne tarkistavat BitLocker-ryhmäkäytäntöjensä sisältävän nimenomaisen PCR7-määritteen ja tarkistavat msinfo32.exe-ohjelmalla PCR7-sidonnan tilan ennen tämän päivityksen asentamista. (Katso vaihtoehtoinen menetelmä alla.)

Vaihtoehtoinen menetelmä 

Tämä ongelma on korjattu KB5093998. Kun olet asentanut KB5093998,laitteet,  joissa on tämä yhteensopimaton ryhmäkäytäntömääritys, eivät voi asentaa 2023-allekirjoitettua Windowsin käynnistyksen hallintaa. Jos tämä vaikutti laitteeseesi, tapahtumatunnus 1032 näkyy Järjestelmän tapahtumalokissa, kun asennat Windows-päivityksiä: "Suojatun käynnistyksen päivityksen käynnistyksen hallintaa (2023) ei otettu käyttöön, koska bitlocker-määritysten tiedetään olevan ristiriidassa senhetkisen BitLocker-määrityksen kanssa."

Jos saat tapahtumatunnuksen 1032, Microsoft suosittelee vahvasti ryhmäkäytäntö määrityksen poistamista ennen päivitysten asentamista, jotta voit asentaa 2023-allekirjoitetun Windowsin käynnistyksen hallinnan ja saada uusimmat suojatun käynnistyksen suojaukset.

Ryhmäkäytäntö määrityksen poistaminen ennen päivityksen asentamista (suositus) 

  1. Avaa ryhmäkäytäntöeditori (gpedit.msc) tai ryhmäkäytäntöjen hallintakonsoli.

  2. Siirry kohtaan: Tietokoneen asetukset > Hallintamallit > Windows-komponentit > BitLocker-aseman salaus > Käyttöjärjestelmäasemat.

  3. Aseta asetus Määritä TPM-alustan vahvistusprofiili natiiveille UEFI-laiteohjelmistokokoonpanoille arvoon Ei määritetty.

  4. Suorita seuraava komento kyseisillä laitteilla, jotta käytäntömuutos otetaan käyttöön: gpupdate /force

  5. Keskeytä BitLocker suorittamalla seuraava komento (jos BitLocker on käytössä C:-asemassa): manage-bde -protectors -disable C:

  6. Suorita seuraava komento jatkaaksesi BitLockeria (jos BitLocker on käytössä C:-asemassa): manage-bde -protectors -enable C:

  7. Tämä päivittää BitLocker-sidonnat käyttämään Windowsin valitsemaa PCR-oletusprofiilia.

Jos et halua poistaa tätä ryhmäkäytäntö määritystä, voit asentaa uuden Windowsin käynnistyksen hallinnan keskeyttämällä BitLockerin tilapäisesti ja asentamalla suojatun käynnistyksen päivityksen. Toimi seuraavasti:

  1. Keskeytä BitLocker suorittamalla seuraava komento (jos BitLocker on käytössä C:-asemassa): manage-bde -protectors -disable C:

  2. Suorita seuraava komento: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Käynnistä laite uudelleen.

  4. Kun uusi Windowsin käynnistyksen hallinta on asennettu onnistuneesti, ota BitLocker käyttöön suorittamalla komento: manage-bde -protectors -enable C:

Tämän päivityksen hankkiminen

Ennen tämän päivityksen asentamista

Microsoft yhdistää käyttöjärjestelmäsi uusimman ylläpitopinon päivityksen (SSU) uusimpaan kumulatiiviseen päivitykseen (LCU). Yleisiä tietoja SSU:ista on ohjeaiheessa Ylläpitopinon päivitykset.

Asenna tämä päivitys

Asenna tämä päivitys jollakin seuraavista Windowsin ja Microsoftin julkaisukanavista.

Käytettävissä

Seuraava vaihe

Sisältyy

Tämä päivitys latautuu ja asentuu automaattisesti Windows Update ja Microsoft Updatesta.

Jos haluat poistaa tämän päivityksen

Ennen kuin päätät poistaa tämän päivityksen, katso lisätietoja riskeistä: Miksi suojauspäivitysten asennusta ei kannata poistaa.

Jos haluat poistaa LCU:n yhdistetyn SSU- ja LCU-paketin asentamisen jälkeen, käytä DISM/Remove-Package-komentorivivaihtoehtoa , jonka argumenttina on LCU-paketin nimi. Voit etsiä paketin nimen tämän komennon avulla: DISM /online /get-packages.

Windows Update erillisen asennusohjelman (wusa.exe) suorittaminen yhdistetyn paketin /uninstall-kytkimellä ei toimi, koska yhdistetty paketti sisältää SSU:n. SSU:ta ei voi poistaa järjestelmästä asennuksen jälkeen.

Tiedostojen tiedot

Saat luettelon tämän päivityksen tiedostoista lataamalla kumulatiivisen päivityksen tiedot 5087420.   

Saat luettelon ylläpitopinon päivityksen tiedostoista lataamalla SSU KB5086307-version 22621.6937 tiedostojen tiedot

Aiheeseen liittyvät artikkelit

Microsoft Storen yritysportaali ja koulutus Configuration Manager kanssa

Sovellusten ja pelien päivitysten hankkiminen Microsoft Storessa

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus