Huomautus
- Alkuperäinen julkaisupäivä: 4. joulukuuta 2025
- KB-tunnus: 5073196
Tässä artikkelissa on seuraavat ohjeet:
- Organisaatiot, joilla on oma IT-osasto, joka hallitsee Windows-laitteita ja -päivityksiä.
Huomautus: Jos olet yksityishenkilö, jolla on henkilökohtainen Windows-laite, lue artikkeli Windows-laitteet kotikäyttäjille, yrityksille ja oppilaitoksille, joissa on Microsoftin hallinnoimat päivitykset.
Huomautus
Tämän tuen saatavuus
- 11. marraskuuta 2025: Windows 11- ja Windows 10 -versioille, jotka ovat edelleen tuettuja.
Muutosloki
| Muuta päivämäärää | Muutoksen kuvaus |
|---|---|
| Maaliskuussa 23, 2026 | Päivitetty Microsoft Intune -virhekoodin 65000 tunnettu ongelma. |
| 9. maaliskuuta 2026 | Poistettu Windows 10:n ei-tuetut versiot Koskee seuraavia tuotteita -osasta. |
| 4. maaliskuuta 2026 | Lisätty Windows 11, versio 25H2 Koskee seuraavia tuotteita -luetteloon |
| Helmikuu 4, 2026 | Tunnettu ongelma ratkaistu |
| Joulukuu 17, 2025 | Tunnettu ongelma -osio lisätty |
Artikkelin sisältö:
Johdanto
Tässä asiakirjassa kuvataan suojatun käynnistyksen varmennepäivitysten käyttöönoton, hallinnan ja valvonnan tuki Microsoft Intune avulla. Asetukset koostuvat seuraavista:
- Mahdollisuus käynnistää käyttöönotto laitteessa
- Asetus, jonka avulla voit ottaa suuren luotettavuuden säilöt käyttöön tai jättäytyä pois niistä.
- Asetus, jolla Microsoftin päivitysten hallinta voidaan ottaa käyttöön tai estää
Microsoft Intune -määritystapa
Tämä menetelmä tarjoaa suojatun käynnistyksen asetuksen Microsoft Intune avulla, jonka toimialueen järjestelmänvalvojat voivat määrittää ottamaan käyttöön suojatun käynnistyksen päivitykset kaikissa toimialueeseen liitetyissä Windows-asiakasohjelmissa. Lisäksi kahta suojatun käynnistyksen avustajaa voidaan hallita opt in/opt out -asetuksilla.
Microsoft Intune:
Valitse Laitteiden>hallinta -kohdassa Määritykset.
Valitse Luo ja valitse Uusi käytäntö.
- Siirry oikeanpuoleisessa ruudussa kohtaan Luo profiili.
- Täytä Käyttöympäristö, jossa on Windows 10 tai uudempi.
Valitse Profiilityyppi-kohdanasetusluettelo.
Aloita profiilin luominen antamalla profiilille nimi. Tässä esimerkissä käytetään nimenä suojattua käynnistystä. Paina Seuraava.
Valitse Määritysasetukset-kohdassaLisää asetuksia ja etsi Asetusten valitsimen avulla suojatun käynnistyksen asetukset hakemalla suojattu käynnistys. Suojatun käynnistyksen luokassa pitäisi näkyä kolme asetusta. Nämä ovat samat asetukset, jotka on kuvattu suojatun käynnistyksen rekisteriavainpäivityksissä: Windows-laitteet, joissa on IT-hallittuja päivityksiä ja suojatun käynnistyksen ryhmäkäytäntö-objektimenetelmä (GPO) Windows-laitteissa, joissa on IT-hallittujen päivitysten asiakirjoja.
Ota käyttöön Secureboot-varmenteen Päivitykset on valittu oletusarvoisesti ja käytössä.
Alla kuvatut osallistumis- ja ulkopuolellejättöasetukset voidaan määrittää ympäristön ja käyttöönoton tarpeiden mukaan.
Viimeistele profiili laitteille, jotka käyttävät näitä asetuksia.
Asetuksen kuvaus
Määritä Microsoft Updaten hallittu suostumus
Microsoft Intune -asetuksen nimi: Määritä Microsoft Update Managed Opt In
Kuvaus:
Tämän käytännön avulla yritykset voivat osallistua Microsoftin hallinnoiman suojatun käynnistyksen varmennepäivityksen hallittujen ominaisuuksien käyttöönottoon .
- Käytössä: Microsoft avustaa varmenteiden käyttöönotossa laitteissa, jotka on rekisteröity käyttöönottoon.
- Ei käytössä (oletus): Ei osallistumista hallittuun käyttöönottoon.
Vaatimukset:
- Laitteen on lähetettävä pakolliset diagnostiikkatiedot Microsoftille. Lisätietoja on ohjeaiheessa Windowsin diagnostiikkatietojen määrittäminen organisaatiossa – Windowsin tietosuoja | Microsoft Learn.
- Vastaa rekisteriavainta MicrosoftUpdateManagedOptIn.
Määritä suuren luotettavuuden kieltäytyminen
Microsoft Intune Asetuksen nimi: Määritä suuren luottamuksen Opt-Out
Kuvaus:
Tämä käytäntö määrittää, otetaanko suojatun käynnistyksen varmennepäivitykset automaattisesti käyttöön Windowsin kuukausittaisten suojauspäivitysten ja muiden kuin suojauspäivitysten kautta. Laitteet, joiden Microsoft on tarkistanut pystyvän käsittelemään muuttujan Secure Boot -muuttujapäivityksiä, saavat nämä päivitykset osana kumulatiivisia kuukausipäivityksiä ja ottavat ne käyttöön automaattisesti. Koska kaikkia laitteiston ja laiteohjelmiston yhdistelmiä ei voida tarkentaa kattavasti, Microsoft luottaa kohdennettujen testaus- ja diagnostiikkatietojen avulla laitteen valmiuden määrittämiseen.
Vain laitteita, joilla on riittävästi diagnostiikkatietoja, voidaan tarkastella suurella luotettavuudella. Jos tietyn laitteen diagnostiikkatietoja ei ole saatavilla, niitä ei voida luokitella suurella luotettavuudella.
- Enabled: Automaattinen käyttöönotto kuukausittaisten päivitysten kautta on estetty.
- Ei käytössä (oletus): Laitteet, jotka ovat vahvistaneet päivitystuloksensa, saavat varmennepäivitykset automaattisesti osana kuukausittaisia päivityksiä.
Huomautuksia:
- Suunnitellut laitteet on vahvistettu käsittelemään päivitykset onnistuneesti.
- Määritä tämä käytäntö hallitsemaan automaattista käyttöönottoa kuukausittaisten päivitysten avulla.
- Vastaa HighConfidenceOptout-rekisteriavainta.
Ota käyttöön Secureboot-varmenteen Päivitykset
Microsoft Intune -asetuksen nimi: Ota käyttöön Secureboot-varmenteen päivitykset
Kuvaus:
Tämä käytäntö määrittää, käynnistääkö Windows suojatun käynnistyksen varmenteen käyttöönottoprosessin laitteissa.
- Käytössä: Windows alkaa automaattisesti ottaa käyttöön päivitettyjä suojatun käynnistyksen varmenteita.
- Ei käytössä (oletus): Windows ei ota varmenteita käyttöön automaattisesti.
Huomautuksia:
- Tehtävä, joka käsittelee tämän asetuksen, suoritetaan 12 tunnin välein. Joidenkin päivitysten suorittaminen turvallisesti saattaa edellyttää uudelleenkäynnistystä.
- Kun varmenteet on otettu käyttöön laiteohjelmistossa, niitä ei voi poistaa Windowsista. Varmenteet on tyhjennettävä laiteohjelmistoliittymän kautta.
- Vastaa AvailableUpdates-rekisteriavainta.
Tunnetut ongelmat
Microsoft Intune -virhekoodi 65000 Windowsin Pro-versioissa
Ongelman oireet
Microsoft Intune Mobile Laitteiden hallinta (MDM) kautta käyttöön otetut suojatun käynnistyksen määritysasetukset on tällä hetkellä estetty Windows 10:n ja Windows 11:n Pro-versioissa.
- Yritykset käyttää näitä käytäntöjä johtavat Microsoft Intune -virhekoodiin 65000.
- Tapahtumalokeihin voi kirjata POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, mikä tarkoittaa, että toiminto ei ole käytettävissä tässä versiossa.
Ratkaisu
Microsoft Intune -käyttöoikeuspalvelu päivitettiin 27. tammikuuta 2026 sallimaan suojatun käynnistyksen määritysasetusten käyttöönotto Windows 10:n ja Windows 11:n Pro-versioissa.
Huomautus
Microsoft Intune -virhekoodi 65000 saattaa edelleen ilmetä Windows 11:n version 23H2 Pro-versioissa. Tämän ongelman korjaus on tarkoitus julkaista tulevassa Windows-päivityksessä.
Laitteiden, jotka ovat saaneet Microsoft Intune -käyttöoikeudet ennen tätä päivämäärää, on uusittava käyttöoikeus ongelman ratkaisemiseksi. Käyttöoikeudet uusitaan automaattisesti joka kuukausi, joten tämä ongelma korjataan laitteissa 27. helmikuuta 2026 mennessä (lukuun ottamatta joitain Windows 11:n version 23H2 laitteita, kuten edellä mainittiin). Jos haluat uusia käyttöoikeuden laitteessasi manuaalisesti, suorita seuraavat komennot käyttäjän puolesta (käyttäjän kontekstissa):
- ClipDLS.exe poista tilaus
- ClipRenew.exe
Resurssit
Katso myös Suojatun käynnistyksen rekisteriavainpäivitykset: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä, saadaksesi lisätietoja UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimista laitetulosten seurantaan.
Katso Secure Boot DB- ja DBX-muuttujapäivitystapahtumista tapahtumat, jotka ovat hyödyllisiä laitteiden tilan, laitemääritteiden ja laitesäilön tunnusten ymmärtämisessä. Kiinnitä erityistä huomiota tapahtumasivulla kuvattuihin tapahtumiin 1801 ja 1808.