Microsoft Intune זו של אתחול מאובטח עבור מכשירי Windows עם עדכונים המנוהלות על-ידי IT
חל על
תאריך פרסום מקורי: ה-4 בדצמבר 2025
מזהה KB: 5073196
מאמר זה כולל הדרכה עבור:
-
ארגונים שיש להם מחלקת IT משלהם, המנהלים מכשירים ועדכונים של Windows.
הערה: אם אתה אדם שב בעלותו של מכשיר Windows אישי, עיין במאמר מכשירי Windows עבור משתמשים ביתיים, עסקים ובתי ספר עם עדכונים המנוהלות על-ידי Microsoft.
הזמינות של תמיכה זו
-
11 בנובמבר 2025: עבור גירסאות Windows 11 ו Windows 10 עדיין תומכות.
|
שנה תאריך |
שינוי תיאור |
|---|---|
|
ה-9 במרץ 2026 |
הסרת את הגירסאות הלא נתמכות של Windows 10 'חל על'. |
|
ה-4 במרץ 2026 |
נוסף Windows 11, גירסה 25H2 לרשימה "חל על" |
|
ה-4 בפברואר 2026 |
בעיה ידועה נפתרה |
|
הפצה ב- 17 בדצמבר 2025 |
המקטע 'בעיה ידועה' נוסף |
במאמר זה:
מבוא
מסמך זה מתאר את התמיכה בפריסה, ניהול וניטור של עדכוני אישור האתחול המאובטח באמצעות Microsoft Intune. ההגדרות מורכבות מ:
-
היכולת להפעיל פריסה במכשיר
-
הגדרה להצטרפות/ביטול הצטרפות למיכלים בעלי רמת מהימנות גבוהה
-
הגדרה להצטרפות/ביטול הצטרפות לניהול עדכונים של Microsoft
Microsoft Intune תצורת המערכת
שיטה זו מציעה הגדרת אתחול מאובטח באמצעות Microsoft Intune שמנהלי תחום יכולים להגדיר לפרוס עדכוני אתחול מאובטח לכל לקוחות Windows המצורפים לתחום. בנוסף, ניתן לנהל שני מסייעי אתחול מאובטח באמצעות הגדרות הצטרפות/ביטול הצטרפות.
ב- Microsoft Intune,
-
תחת מכשירים >,בחר תצורה.
-
בחר צור ובחר מדיניות חדשה.
-
עבור אל יצירת פרופיל בחלונית השמאלית.
-
מלא את הפלטפורמה Windows 10 ואילך.
-
-
בחר את קטלוג ההגדרות תחת סוג הפרופיל.
-
התחל ליצור פרופיל על-ידי מתן שם לפרופיל. בדוגמה זו, אנו משתמשים בשם "אתחול מאובטח". לחץ על הבא.
-
תחת הגדרות תצורה, בחר הוסף הגדרות והשתמש ב'בורר ההגדרות' כדי למצוא את הגדרות האתחול המאובטח על-ידי חיפוש אתחול מאובטח. אתה אמור לראות שלוש הגדרות בקטגוריה אתחול מאובטח. אלה הן אותן הגדרות המתוארות בעדכונים של מפתח הרישום עבור אתחול מאובטח: מכשירי Windows עם עדכונים המנוהלי על-ידי IT ושיטה של אובייקטי מדיניות קבוצתית (GPO) של אתחול מאובטח עבור מכשירי Windows עם מסמכים עם עדכוני IT מנוהלים.
-
הפוך אישור Secureboot עדכונים נבחר כברירת מחדל וזמין.
-
ניתן לקבוע את התצורה של הגדרות הסכמת ההצטרפות וההצטרפות שמתוארות להלן כך שיתכללו בצרכים של הסביבה והפריסה שלך.
-
-
סיים את הפרופיל עבור המכשירים שישתתנו בהגדרות אלה.
תיאור הגדרה
קביעת תצורה של הסכמת הצטרפות מנוהלת של Microsoft Update
Microsoft Intune הגדרה: קביעת תצורה של הסכמת הצטרפות מנוהלת של Microsoft Update
תיאור תיאור: מדיניות זו מאפשרת לארגונים להשתתף בפריסת תכונות מבוקרת של עדכון אישור אתחול מאובטח המנוהל על-ידי Microsoft.
-
זמין: Microsoft מסייעת בפריסה של אישורים למכשירים הרשומים לפריסה.
-
לא זמין (ברירת מחדל): אין השתתפות בהפצה מבוקרת.
דרישות:
-
המכשיר חייב לשלוח נתוני אבחון נדרשים ל- Microsoft. לקבלת פרטים, ראה קביעת התצורה של נתוני אבחון של Windows בארגון שלך - פרטיות של Windows | Microsoft Learn.
-
מתאים למפתח הרישום MicrosoftUpdateManagedOptIn.
קביעת תצורה של רמת מהימנות Opt-Out
Microsoft Intune הגדרת הגדרות: קביעת תצורה של רמת Opt-Out
תיאור תיאור: מדיניות זו קובעת אם עדכוני אישור אתחול מאובטח מוחלים באופן אוטומטי באמצעות עדכוני אבטחה ועדכונים שאינם עדכוני אבטחה חודשיים של Windows. מכשירים ש- Microsoft אומתה כמסוגלים לעבד עדכונים משתנים של אתחול מאובטח יקבלו עדכונים אלה כחלק מעדכונים חודשיים מצטברים ויחילו אותם באופן אוטומטי. מאחר שלא כל שילובי החומרה וה קושחה יכולים להיות מאומתים בצורה ממצה, Microsoft מסתמכת על בדיקות ממוקדות בנתוני אבחון כדי לקבוע את מוכנות המכשיר. רק מכשירים עם נתוני אבחון מספיקים עשויים להיחשב ברמת מהימנות גבוהה; אם נתוני האבחון אינם זמינים עבור מכשיר נתון, לא ניתן לסווג אותם בביטחון גבוה.
-
זמין: פריסה אוטומטית באמצעות עדכונים חודשיים חסומה.
-
לא זמין (ברירת מחדל): מכשירים שאומתו את תוצאות העדכון שלהם יקבלו באופן אוטומטי עדכוני אישורים כחלק מהעדכונים החודשיים.
הערות:
-
המכשירים המיועדים מאושרים לעבד עדכונים בהצלחה.
-
קבע את התצורה של מדיניות זו לניהול פריסה אוטומטית באמצעות עדכונים חודשיים.
-
תואם למפתח הרישום HighConfidenceOptOut.
הפוך אישור Secureboot לזמין עדכונים
Microsoft Intune הגדרות אבטחה: הפיכת אישור Secureboot לזמין עדכונים
תיאור תיאור: מדיניות זו קובעת אם Windows יוזם את תהליך פריסת אישור האתחול המאובטח במכשירים.
-
זמין: Windows מתחיל באופן אוטומטי לפרוס אישורי אתחול מאובטח מעודכנים.
-
לא זמין (ברירת מחדל): Windows אינו פורס אישורים באופן אוטומטי.
הערות:
-
המשימה שמעבדת הגדרה זו פועלת כל 12 שעות. עדכונים מסוימים עשויים לדרוש הפעלה מחדש כדי להשלים בבטחה.
-
לאחר החלת האישורים על הקושחה, לא ניתן להסיר אותם מ- Windows. יש לבצע ניקוי אישורים באמצעות ממשק הקושחה.
-
מתאים למפתח הרישום AvailableUpdates.
בעיות מוכרות
תסמינים
הגדרות תצורת אתחול מאובטח שנפרסו באמצעות Microsoft Intune Mobile ניהול מכשירים (MDM) נחסמות כעת למהדורות Pro של Windows 10 ו- Windows 11.
-
ניסיונות להחיל פריטי מדיניות אלה התוצאה היא Microsoft Intune קוד שגיאה 65000.
-
יומני אירועים עשויים POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION רשומה, המציינת שהתכונה אינה זמינה במהדורה זו.
פתרון
שירות Microsoft Intune האבטחה עודכן ב- 27 בינואר 2026, כדי לאפשר פריסה של הגדרות תצורה של אתחול מאובטח למהדורות Pro של Windows 10 ו- Windows 11. מכשירים שקיבלו את Microsoft Intune שלהם לפני תאריך זה יצטרכו לחדש את הרשיון שלהם כדי לפתור בעיה זו. הרשיונות מתחדשים באופן אוטומטי מדי חודש, כך שבעיה זו תיפתר עבור כל המכשירים עד 27 בפברואר 2026. כדי לפתור בעיה זו באופן מיידי, באפשרותך לחדש את הרשיון במכשיר שלך על-ידי הפעלת הפקודות הבאות בשמו של המשתמש (תחת הקשר המשתמש):
-
ClipDLS.exe הסרת כתב
-
ClipRenew.exe
משאבים
ראה גם עדכוני מפתח רישום עבור אתחול מאובטח : מכשירי Windows עם עדכונים מנוהלי IT לקבלת פרטים על מפתחות הרישום UEFICA2023Status ו- UEFICA2023Error לניטור תוצאות המכשיר.
ראה אירועי עדכון משתני DB ו- DBX של אתחול מאובטח עבור אירועים שימושיים בהבנת המצב של מכשירים, תכונות מכשיר ומ זהות מיכל מכשיר. שים לב לאירועים 1801 ו- 1808 המתוארים בדף האירועים.
זקוק לעזרה נוספת?
מעוניין באפשרויות נוספות?
גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.
קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.
