Microsoft Intunen suojatun käynnistyksen menetelmä Windows-laitteille IT-hallittujen päivitysten avulla

Käytetään kohteeseen
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Huomautus

  • Alkuperäinen julkaisupäivä: 4. joulukuuta 2025
  • KB-tunnus: 5073196

Tässä artikkelissa on seuraavat ohjeet:

  • Organisaatiot, joilla on oma IT-osasto, joka hallitsee Windows-laitteita ja -päivityksiä.

Huomautus: Jos olet yksityishenkilö, jolla on henkilökohtainen Windows-laite, lue artikkeli Windows-laitteet kotikäyttäjille, yrityksille ja oppilaitoksille, joissa on Microsoftin hallinnoimat päivitykset.

Huomautus

Tämän tuen saatavuus

  • 11. marraskuuta 2025: Windows 11- ja Windows 10 -versioille, jotka ovat edelleen tuettuja.
Muutosloki
Muuta päivämäärää Muutoksen kuvaus
Maaliskuussa 23, 2026 Päivitetty Microsoft Intune -virhekoodin 65000 tunnettu ongelma.
9. maaliskuuta 2026 Poistettu Windows 10:n ei-tuetut versiot Koskee seuraavia tuotteita -osasta.
4. maaliskuuta 2026 Lisätty Windows 11, versio 25H2 Koskee seuraavia tuotteita -luetteloon
Helmikuu 4, 2026 Tunnettu ongelma ratkaistu
Joulukuu 17, 2025 Tunnettu ongelma -osio lisätty

Artikkelin sisältö:

Johdanto

Tässä asiakirjassa kuvataan suojatun käynnistyksen varmennepäivitysten käyttöönoton, hallinnan ja valvonnan tuki Microsoft Intune avulla. Asetukset koostuvat seuraavista:

  • Mahdollisuus käynnistää käyttöönotto laitteessa
  • Asetus, jonka avulla voit ottaa suuren luotettavuuden säilöt käyttöön tai jättäytyä pois niistä.
  • Asetus, jolla Microsoftin päivitysten hallinta voidaan ottaa käyttöön tai estää

Microsoft Intune -määritystapa

Tämä menetelmä tarjoaa suojatun käynnistyksen asetuksen Microsoft Intune avulla, jonka toimialueen järjestelmänvalvojat voivat määrittää ottamaan käyttöön suojatun käynnistyksen päivitykset kaikissa toimialueeseen liitetyissä Windows-asiakasohjelmissa. Lisäksi kahta suojatun käynnistyksen avustajaa voidaan hallita opt in/opt out -asetuksilla.

Microsoft Intune:

  1. Valitse Laitteiden>hallinta -kohdassa Määritykset.

  2. Valitse Luo ja valitse Uusi käytäntö.

    • Siirry oikeanpuoleisessa ruudussa kohtaan Luo profiili.
    • Täytä Käyttöympäristö, jossa on Windows 10 tai uudempi.
  3. Valitse Profiilityyppi-kohdanasetusluettelo

    Lisätty kuva

  4. Aloita profiilin luominen antamalla profiilille nimi. Tässä esimerkissä käytetään nimenä suojattua käynnistystä. Paina Seuraava.
    kuva

  5. Valitse Määritysasetukset-kohdassaLisää asetuksia ja etsi Asetusten valitsimen avulla suojatun käynnistyksen asetukset hakemalla suojattu käynnistys. Suojatun käynnistyksen luokassa pitäisi näkyä kolme asetusta. Nämä ovat samat asetukset, jotka on kuvattu suojatun käynnistyksen rekisteriavainpäivityksissä: Windows-laitteet, joissa on IT-hallittuja päivityksiä ja suojatun käynnistyksen ryhmäkäytäntö-objektimenetelmä (GPO) Windows-laitteissa, joissa on IT-hallittujen päivitysten asiakirjoja.

    • Ota käyttöön Secureboot-varmenteen Päivitykset on valittu oletusarvoisesti ja käytössä.

    • Alla kuvatut osallistumis- ja ulkopuolellejättöasetukset voidaan määrittää ympäristön ja käyttöönoton tarpeiden mukaan. 

      lisätty

  6. Viimeistele profiili laitteille, jotka käyttävät näitä asetuksia.

Asetuksen kuvaus

Määritä Microsoft Updaten hallittu suostumus

Microsoft Intune -asetuksen nimi: Määritä Microsoft Update Managed Opt In

Kuvaus:
Tämän käytännön avulla yritykset voivat osallistua Microsoftin hallinnoiman suojatun käynnistyksen varmennepäivityksen hallittujen ominaisuuksien käyttöönottoon .

  • Käytössä: Microsoft avustaa varmenteiden käyttöönotossa laitteissa, jotka on rekisteröity käyttöönottoon.
  • Ei käytössä (oletus): Ei osallistumista hallittuun käyttöönottoon.

Vaatimukset:

Määritä suuren luotettavuuden kieltäytyminen

Microsoft Intune Asetuksen nimi: Määritä suuren luottamuksen Opt-Out

Kuvaus:
Tämä käytäntö määrittää, otetaanko suojatun käynnistyksen varmennepäivitykset automaattisesti käyttöön Windowsin kuukausittaisten suojauspäivitysten ja muiden kuin suojauspäivitysten kautta. Laitteet, joiden Microsoft on tarkistanut pystyvän käsittelemään muuttujan Secure Boot -muuttujapäivityksiä, saavat nämä päivitykset osana kumulatiivisia kuukausipäivityksiä ja ottavat ne käyttöön automaattisesti. Koska kaikkia laitteiston ja laiteohjelmiston yhdistelmiä ei voida tarkentaa kattavasti, Microsoft luottaa kohdennettujen testaus- ja diagnostiikkatietojen avulla laitteen valmiuden määrittämiseen. Vain laitteita, joilla on riittävästi diagnostiikkatietoja, voidaan tarkastella suurella luotettavuudella. Jos tietyn laitteen diagnostiikkatietoja ei ole saatavilla, niitä ei voida luokitella suurella luotettavuudella.

  • Enabled: Automaattinen käyttöönotto kuukausittaisten päivitysten kautta on estetty.
  • Ei käytössä (oletus): Laitteet, jotka ovat vahvistaneet päivitystuloksensa, saavat varmennepäivitykset automaattisesti osana kuukausittaisia päivityksiä.

Huomautuksia:

  • Suunnitellut laitteet on vahvistettu käsittelemään päivitykset onnistuneesti.
  • Määritä tämä käytäntö hallitsemaan automaattista käyttöönottoa kuukausittaisten päivitysten avulla.
  • Vastaa HighConfidenceOptout-rekisteriavainta.

Ota käyttöön Secureboot-varmenteen Päivitykset

Microsoft Intune -asetuksen nimi: Ota käyttöön Secureboot-varmenteen päivitykset

Kuvaus:
Tämä käytäntö määrittää, käynnistääkö Windows suojatun käynnistyksen varmenteen käyttöönottoprosessin laitteissa.

  • Käytössä: Windows alkaa automaattisesti ottaa käyttöön päivitettyjä suojatun käynnistyksen varmenteita.
  • Ei käytössä (oletus): Windows ei ota varmenteita käyttöön automaattisesti.

Huomautuksia:

  • Tehtävä, joka käsittelee tämän asetuksen, suoritetaan 12 tunnin välein. Joidenkin päivitysten suorittaminen turvallisesti saattaa edellyttää uudelleenkäynnistystä.
  • Kun varmenteet on otettu käyttöön laiteohjelmistossa, niitä ei voi poistaa Windowsista. Varmenteet on tyhjennettävä laiteohjelmistoliittymän kautta.
  • Vastaa AvailableUpdates-rekisteriavainta.

Tunnetut ongelmat

Microsoft Intune -virhekoodi 65000 Windowsin Pro-versioissa

Ongelman oireet

Microsoft Intune Mobile Laitteiden hallinta (MDM) kautta käyttöön otetut suojatun käynnistyksen määritysasetukset on tällä hetkellä estetty Windows 10:n ja Windows 11:n Pro-versioissa.

  • Yritykset käyttää näitä käytäntöjä johtavat Microsoft Intune -virhekoodiin 65000.
  • Tapahtumalokeihin voi kirjata POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, mikä tarkoittaa, että toiminto ei ole käytettävissä tässä versiossa.

Ratkaisu

Microsoft Intune -käyttöoikeuspalvelu päivitettiin 27. tammikuuta 2026 sallimaan suojatun käynnistyksen määritysasetusten käyttöönotto Windows 10:n ja Windows 11:n Pro-versioissa.

Huomautus

Microsoft Intune -virhekoodi 65000 saattaa edelleen ilmetä Windows 11:n version 23H2 Pro-versioissa. Tämän ongelman korjaus on tarkoitus julkaista tulevassa Windows-päivityksessä.

Laitteiden, jotka ovat saaneet Microsoft Intune -käyttöoikeudet ennen tätä päivämäärää, on uusittava käyttöoikeus ongelman ratkaisemiseksi.  Käyttöoikeudet uusitaan automaattisesti joka kuukausi, joten tämä ongelma korjataan laitteissa 27. helmikuuta 2026 mennessä (lukuun ottamatta joitain Windows 11:n version 23H2 laitteita, kuten edellä mainittiin). Jos haluat uusia käyttöoikeuden laitteessasi manuaalisesti, suorita seuraavat komennot käyttäjän puolesta (käyttäjän kontekstissa):

  • ClipDLS.exe poista tilaus
  • ClipRenew.exe

Resurssit

Katso myös Suojatun käynnistyksen rekisteriavainpäivitykset: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä, saadaksesi lisätietoja UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimista laitetulosten seurantaan.

Katso Secure Boot DB- ja DBX-muuttujapäivitystapahtumista tapahtumat, jotka ovat hyödyllisiä laitteiden tilan, laitemääritteiden ja laitesäilön tunnusten ymmärtämisessä. Kiinnitä erityistä huomiota tapahtumasivulla kuvattuihin tapahtumiin 1801 ja 1808.