Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data di pubblicazione originale: 4 dicembre 2025

ID KB: 5073196

Questo articolo contiene indicazioni per: 

  • Organizzazioni che hanno un reparto IT che gestisce i dispositivi e gli aggiornamenti di Windows.

Nota: se sei un utente proprietario di un dispositivo Windows personale, vedi l'articolo Dispositivi Windows per utenti privati, aziende e istituti di istruzione con aggiornamenti gestiti da Microsoft. ​​​​​​​

Disponibilità di questo supporto

  • 11 novembre 2025: per le versioni di Windows 11 e Windows 10 ancora supportate.

Modifica data

Cambia descrizione

17 dicembre 2025

Sezione Problema noto aggiunta

In questo articolo:

Introduzione

Questo documento descrive il supporto per la distribuzione, la gestione e il monitoraggio degli aggiornamenti del certificato di avvio protetto tramite il Microsoft Intune. Le impostazioni sono costituite da:

  • Possibilità di attivare la distribuzione in un dispositivo

  • Impostazione per acconsentire esplicitamente o rifiutare esplicitamente i contenitori con alta probabilità

  • Impostazione per acconsentire esplicitamente o rifiutare esplicitamente la gestione degli aggiornamenti da parte di Microsoft

Microsoft Intune metodo di configurazione

Questo metodo offre l'impostazione Avvio protetto usando Microsoft Intune che gli amministratori del dominio possono impostare per distribuire gli aggiornamenti di avvio protetto in tutti i client Windows aggiunti a un dominio. Inoltre, due secure boot assist possono essere gestiti con impostazioni di consenso esplicito/rifiuto esplicito.

In Microsoft Intune,

  1. In Dispositivi > Gestisci dispositivi seleziona Configurazione.

  2. Selezionare Crea e selezionare Nuovi criteri.

    • Passare a Creare un profilo nel riquadro a destra.

    • Compila piattaforma con Windows 10 e versioni successive.

  3. Selezionare il Catalogo impostazioni in Tipo di profilo Immagine aggiunta

  4. Iniziare a creare un profilo assegnando un nome al profilo. In questo esempio viene usato il nome "Avvio protetto". Premere Avanti.foto

  5. In Impostazioni di configurazione seleziona Aggiungi impostazioni e usa selezione impostazioni per trovare le impostazioni di avvio protetto cercando Avvio protetto. Nella categoria Avvio protetto dovrebbero essere visualizzate tre impostazioni. Queste sono le stesse impostazioni descritte negli aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT e il metodo Criteri di gruppo Objects (GPO) di Avvio protetto per dispositivi Windows con documenti di aggiornamenti gestiti dall'IT.

    • Abilita certificato secureboot Aggiornamenti è selezionata per impostazione predefinita e abilitata.

    • Le impostazioni di consenso esplicito e rifiuto esplicito descritte di seguito possono essere configurate per soddisfare le esigenze di ambiente e distribuzione.  Aggiunto

  6. Completa il profilo per i dispositivi che useranno queste impostazioni.

Descrizione dell'impostazione

Configurare il consenso esplicito gestito di Microsoft Update

nome impostazione Microsoft Intune: configurare l'accesso gestito di Microsoft Update

Descrizione: Questo criterio consente alle aziende di partecipare all'implementazione di una funzionalità controllata dell'aggiornamento del certificato di avvio protetto gestito da Microsoft.

  • Abilitato: Microsoft assiste nella distribuzione dei certificati ai dispositivi registrati nell'implementazione.

  • Disabilitato (impostazione predefinita): nessuna partecipazione all'implementazione controllata.

Requisiti:

Configurare Opt-Out con attendibilità elevata

nome impostazione Microsoft Intune: Configurare Opt-Out con attendibilità elevata

Descrizione: Questo criterio controlla se gli aggiornamenti del certificato di avvio protetto vengono applicati automaticamente tramite gli aggiornamenti mensili della sicurezza e non relativi alla sicurezza di Windows. I dispositivi che Microsoft ha convalidato come in grado di elaborare gli aggiornamenti variabili di Avvio protetto riceveranno questi aggiornamenti nell'ambito degli aggiornamenti mensili cumulativi e li applicano automaticamente. Poiché non tutte le combinazioni di hardware e firmware possono essere convalidate in modo esaustivo, Microsoft si basa sui dati di diagnostica e test mirati per determinare la conformità del dispositivo. Solo i dispositivi con dati diagnostici sufficienti possono essere considerati con alta probabilità. Se i dati di diagnostica non sono disponibili per un determinato dispositivo, non possono essere classificati con alta probabilità.

  • Abilitato: la distribuzione automatica tramite aggiornamenti mensili è bloccata.

  • Disabilitato (impostazione predefinita): i dispositivi che hanno convalidato i risultati dell'aggiornamento riceveranno automaticamente gli aggiornamenti dei certificati nell'ambito degli aggiornamenti mensili.

Note:

  • È stato confermato che i dispositivi previsti eseguono correttamente l'elaborazione degli aggiornamenti.

  • Configurare questo criterio per gestire la distribuzione automatica tramite aggiornamenti mensili.

  • Corrisponde alla chiave del Registro di sistema HighConfidenceOptOut.

Abilita Aggiornamenti certificato secureboot

nome impostazione Microsoft Intune: Abilita Aggiornamenti certificato secureboot

Descrizione: Questo criterio controlla se Windows avvia il processo di distribuzione del certificato di avvio protetto nei dispositivi.

  • Abilitato: Windows inizia automaticamente la distribuzione dei certificati di avvio protetto aggiornati.

  • Disabilitato (impostazione predefinita): Windows non distribuisce automaticamente i certificati.

Note:

  • L'attività che elabora questa impostazione viene eseguita ogni 12 ore. Alcuni aggiornamenti potrebbero richiedere un riavvio per il completamento in modo sicuro.

  • Una volta applicati al firmware, i certificati non possono essere rimossi da Windows. La cancellazione dei certificati deve essere eseguita tramite l'interfaccia firmware.

  • Corrisponde alla chiave del Registro di sistema AvailableUpdates.

Problemi noti

Sintomi

Le impostazioni di configurazione di Avvio protetto distribuite tramite Microsoft Intune Mobile Gestione dispositivi (MDM) sono attualmente bloccate nelle edizioni Pro di Windows 10 e Windows 11.

  • I tentativi di applicare questi criteri determinano Microsoft Intune Codice di errore 65000

  • I registri eventi potrebbero registrare POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, a indicare che la caratteristica non è disponibile in questa edizione.

Soluzione alternativa

Il problema è in fase di analisi e le informazioni aggiuntive verranno condivise non appena saranno disponibili.

Risorse

Vedi anche Aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT per informazioni dettagliate su UEFICA2023Status e UEFICA2023Chiavi del Registro di sistema per il monitoraggio dei risultati del dispositivo.

Vedi Eventi di aggiornamento delle variabili DB e DBX di avvio protetto per gli eventi utili per comprendere lo stato di dispositivi, attributi del dispositivo e ID bucket di dispositivi. Presta particolare attenzione agli eventi 1801 e 1808 descritti nella pagina degli eventi.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità