Ryhmäkäytäntöobjekti (GPO) -menetelmä suojatun käynnistyksen menetelmiä Windows-laitteille IT-hallittujen päivitysten avulla

Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: 30. lokakuuta 2025
  • KB-tunnus: 5068198
Tässä artikkelissa on seuraavat ohjeet:

  • Organisaatiot, joilla on oma IT-osasto, joka hallitsee Windows-laitteita ja -päivityksiä.
Huomautus: Jos olet yksityishenkilö, jolla on henkilökohtainen Windows-laite, lue artikkeli Windows-laitteet kotikäyttäjille, yrityksille ja oppilaitoksille, joissa on Microsoftin hallinnoimat päivitykset.
Tämän tuen saatavuus
  • 11. marraskuuta 2025: Windows-versioille, joita tuetaan edelleen.
Muutosloki
Muuta päivämäärää Muutoksen kuvaus
Helmikuu 20, 2026
  • Päivitetty osio – "Tämän tuen saatavuus"
  • Päivitetty osio - "Johdanto"
  • Lisätty huomautus kohtaan"Resurssit" sekä asiakasohjelmaa että palvelinta varten.
11. marraskuuta 2025
  • Asiakaslinkki päivitettiin kohdassa "Resurssit" kohteesta - "https://www.microsoft.com/download/details.aspx?id=108394" kohteeseen "www.microsoft.com/en-us/download/details.aspx?id=108428."
  • Julkaisupäivä muutettiin 29.9.2025 muotoon 27.10.2025
Marraskuussa 26, 2025
  • Lisätty uusi huomautus kohtaan "Varmenteiden automaattinen käyttöönotto Päivitykset kautta".
  • Vaihdettu määritykset Käytössä ja Ei käytössä kohdassa "Varmenteiden automaattinen käyttöönotto Päivitykset kautta".

Artikkelin sisältö:

Johdanto

Tässä asiakirjassa kuvataan suojatun käynnistyksen varmennepäivitysten käyttöönoton, hallinnan ja valvonnan tuki suojatun käynnistyksen ryhmäkäytäntö-objektin avulla. Asetukset koostuvat seuraavista:

  • Mahdollisuus käynnistää käyttöönotto laitteessa
  • Asetus, jonka avulla voit ottaa suuren luotettavuuden säilöt käyttöön tai jättäytyä pois niistä.
  • Asetus, jolla Microsoftin päivitysten hallinta voidaan ottaa käyttöön tai estää

Huomautus: Hallintamallit (.admx) ja ryhmäkäytäntö on ladattava Microsoftin virallisesta sivustosta. Viittaa: Resurssit.

Ryhmäkäytännön objektin (GPO) määritystapa

Tämä menetelmä tarjoaa yksinkertaisen suojatun käynnistyksen ryhmäkäytännön, jonka toimialueen järjestelmänvalvojat voivat määrittää ottamaan käyttöön suojatun käynnistyksen päivitykset kaikissa toimialueeseen liitetyissä Windows-asiakkaissa ja palvelimissa. Lisäksi kahta suojatun käynnistyksen avustajaa voidaan hallita opt in/opt out -asetuksilla.

Jos haluat saada päivitykset, jotka sisältävät suojatun käynnistyksen varmennepäivitysten käyttöönottokäytännön, katso alla oleva Resurssit-osa.

Tämä käytäntö löytyy seuraavasta polusta ryhmäkäytännön käyttöliittymässä:

Tietokoneasetukset-Hallintamallit-Windowsin>> osat-Suojattu> käynnistys

Tärkeää

Suojatun käynnistyksen päivitykset riippuvat laitteen laiteohjelmistosta, ja joissakin laitteissa voi esiintyä yhteensopivuusongelmia. Turvallisen käyttöönoton varmistamiseksi:

  1. Vahvista päivityskäytäntö vähintään yhdessä edustavassa laitteessa kutakin organisaation laitetyyppiä kohden.
  2. Varmista, että suojatun käynnistyksen varmenteet on otettu käyttöön UEFI DB:ssä ja KEK:ssä. Yksityiskohtaiset ohjeet löydät artikkelista Secure Boot Certificate updates: Guidance for IT professionals and organizations (Ohjeita IT-ammattilaisille ja organisaatioille).
  3. Ryhmittele laitteet vahvistuksen jälkeen säilön hajautusarvon mukaan ja ota käytäntö käyttöön kyseisissä laitteissa hallittua käyttöönottoa varten.

Käytettävissä olevat määritysasetukset

Kuva

Tässä kuvataan suojatun käynnistyksen varmenteen käyttöönoton kolme asetusta. Nämä asetukset vastaavat rekisteriavaimia, jotka on kuvattu artikkelissa Rekisteriavaimen päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä.

Ota suojatun käynnistyksen varmenteen käyttöönotto käyttöön

Ryhmäkäytännön asetuksen nimi: Ota käyttöön suojatun käynnistyksen varmenteen käyttöönotto

kuvat

Kuvaus:
Tämä käytäntö määrittää, käynnistääkö Windows suojatun käynnistyksen varmenteen käyttöönottoprosessin laitteissa. 

  • Käytössä: Windows aloittaa päivitettyjen suojatun käynnistyksen varmenteiden käyttöönoton automaattisesti, kun suojatun käynnistyksen tehtävä suoritetaan.
  • Poissa käytöstä: Windows ei ota varmenteita käyttöön automaattisesti.
  • Ei määritetty: Oletustoiminta on käytössä (ei automaattista käyttöönottoa).

Huomautus

  • Tehtävä, joka käsittelee tämän asetuksen, suoritetaan 12 tunnin välein. Joidenkin päivitysten suorittaminen turvallisesti saattaa edellyttää uudelleenkäynnistystä.
  • Kun varmenteet on otettu käyttöön laiteohjelmistossa, niitä ei voi poistaa Windowsista. Varmenteet on tyhjennettävä laiteohjelmistoliittymän kautta.
  • Tätä asetusta pidetään asetuksena. Jos ryhmäkäytäntöobjekti poistetaan, rekisteriarvo säilyy.
  • Vastaa AvailableUpdates-rekisteriavainta.

Varmenteen automaattinen käyttöönotto Päivitykset-sovelluksen kautta

Ryhmäkäytännön asetuksen nimi: Varmenteen automaattinen käyttöönotto Päivitykset-toiminnon kautta

kuvia.

Kuvaus:
Tämä käytäntö määrittää, otetaanko suojatun käynnistyksen varmennepäivitykset automaattisesti käyttöön Windowsin kuukausittaisten suojauspäivitysten ja muiden kuin suojauspäivitysten kautta. Laitteet, joiden Microsoft on tarkistanut pystyvän käsittelemään suojatun käynnistyksen muuttujien päivityksiä, saavat nämä päivitykset osana kumulatiivista ylläpitoa ja ottavat ne käyttöön automaattisesti. 

Huomautus

Tämän käytännön ottaminen käyttöön poistaa käytöstä varmenteen automaattisen käyttöönoton Päivitykset-toiminnon kautta. Tämä vastaa HighConfidenceOptOut-rekisteriavaimen asettamista arvoon 1.
Tämän käytännön poistaminen käytöstä valitsee varmenteen automaattisen käyttöönoton Päivitykset-toiminnon kautta, mikä vastaa HighConfidenceOptOut-asetuksen asettamista arvoon 0.

  • Enabled: Automaattinen käyttöönotto on estetty; Päivityksiä on hallittava manuaalisesti.
  • Poissa käytöstä: Laitteet, joilla on varmennetut päivitystulokset, saavat varmennepäivitykset automaattisesti huollon aikana.
  • Ei määritetty: Automaattinen käyttöönotto tapahtuu oletusarvoisesti.

Huomautus

  • Tarkoitetut laitteet on vahvistettu käsittelemään päivitykset onnistuneesti.
  • Määritä tämä käytäntö valitsemaan automaattinen käyttöönotto.
  • Vastaa HighConfidenceOptout-rekisteriavainta.

Varmenteen käyttöönotto hallittujen ominaisuuksien käyttöönoton kautta

Ryhmäkäytännön asetuksen nimi: varmenteen käyttöönotto hallittujen ominaisuuksien käyttöönoton kautta

kuva

Kuvaus:
Tämän käytännön avulla yritykset voivat osallistua Microsoftin hallinnoiman suojatun käynnistyksen varmennepäivityksen hallittujen ominaisuuksien käyttöönottoon .

  • Käytössä: Microsoft avustaa varmenteiden käyttöönotossa laitteissa, jotka on rekisteröity käyttöönottoon.
  • Ei käytössä tai Ei määritetty: Ei osallistumista hallittuun käyttöönottoon.

Vaatimukset:

Resurssit

Katso myös Suojatun käynnistyksen rekisteriavainpäivitykset: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä, saadaksesi lisätietoja UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimista laitetulosten seurantaan.

Katso Secure Boot DB- ja DBX-muuttujapäivitystapahtumista tapahtumat, jotka ovat hyödyllisiä laitteiden tilan, laitemääritteiden ja laitesäilön tunnusten ymmärtämisessä. Kiinnitä erityistä huomiota tapahtumasivulla kuvattuihin tapahtumiin 1801 ja 1808.

Käytä ryhmäkäytännön MSI:tä ja GP-asetusten viitetaulukkoa varten alla olevia linkkejä tai varmista, että käyttämäsi hallintamallit on julkaistu taulukossa ilmoitettuina päivämäärinä tai niiden jälkeen.

Käyttöympäristö Julkaistu MSI Julkaistu GP-asetusten viitelaskentataulukko
Asiakas
Huomautus: Hallintamallit (.admx) ovat käyttöjärjestelmästä riippumattomia ja toimivat KAIKISSA tuetuissa käyttöjärjestelmissä.
Lataa hallintamallit (.admx) Windows 11 2025 -päivitykselle (25H2) – V2.0 Microsoftin viralliselta sivustolta
Julkaistu: 27.10.2025
Lataa Ryhmäkäytäntö-asetusten viitelaskentataulukko Windows 11 2025 -päivitykselle (25H2) - V2.0 Microsoftin virallisesta sivustosta
Julkaistu: 2.10.2025
Palvelin
Huomautus: Hallintamallit (.admx) ovat käyttöjärjestelmästä riippumattomia ja toimivat KAIKISSA tuetuissa käyttöjärjestelmissä.
Lataa Windows Server 2025:n hallintamallit (.admx) (julkaistu 25. lokakuuta) Microsoftin viralliselta sivustolta
Julkaistu: 27.10.2025
Lataa ryhmäkäytäntö-asetusten viitelaskentataulukko Windows Server 2025:lle (julkaistu 25. lokakuuta) Microsoftin viralliselta sivustolta
Julkaistu: 27.10.2025