Si applica a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Data di pubblicazione originale: 4 dicembre 2025

ID KB: 5073196

Questo articolo contiene indicazioni per: 

  • Organizzazioni che hanno un reparto IT che gestisce i dispositivi e gli aggiornamenti di Windows.

Nota: se sei un utente proprietario di un dispositivo Windows personale, vedi l'articolo Dispositivi Windows per utenti privati, aziende e istituti di istruzione con aggiornamenti gestiti da Microsoft. ​​​​​​​

Disponibilità di questo supporto

  • 11 novembre 2025: per le versioni di Windows 11 e Windows 10 ancora supportate.

Modifica data

Cambia descrizione

23 marzo 2026

Aggiornato il problema noto per Microsoft Intune Codice di errore 65000. 

9 marzo 2026

Rimosse le versioni non supportate di Windows 10 dalla sezione "Si applica a".

4 marzo 2026

Aggiunta Windows 11 versione 25H2 all'elenco "Si applica a"

4 febbraio 2026

Problema noto risolto

17 dicembre 2025

Sezione Problema noto aggiunta

In questo articolo:

Introduzione

Questo documento descrive il supporto per la distribuzione, la gestione e il monitoraggio degli aggiornamenti del certificato di avvio protetto tramite il Microsoft Intune. Le impostazioni sono costituite da:

  • Possibilità di attivare la distribuzione in un dispositivo

  • Impostazione per acconsentire esplicitamente o rifiutare esplicitamente i contenitori con alta probabilità

  • Impostazione per acconsentire esplicitamente o rifiutare esplicitamente la gestione degli aggiornamenti da parte di Microsoft

Microsoft Intune metodo di configurazione

Questo metodo offre l'impostazione Avvio protetto usando Microsoft Intune che gli amministratori del dominio possono impostare per distribuire gli aggiornamenti di avvio protetto in tutti i client Windows aggiunti a un dominio. Inoltre, due secure boot assist possono essere gestiti con impostazioni di consenso esplicito/rifiuto esplicito.

In Microsoft Intune,

  1. In Dispositivi > Gestisci dispositivi seleziona Configurazione.

  2. Selezionare Crea e selezionare Nuovi criteri.

    • Passare a Creare un profilo nel riquadro a destra.

    • Compila piattaforma con Windows 10 e versioni successive.

  3. Selezionare il Catalogo impostazioni in Tipo di profilo Immagine aggiunta

  4. Iniziare a creare un profilo assegnando un nome al profilo. In questo esempio viene usato il nome "Avvio protetto". Premere Avanti.foto

  5. In Impostazioni di configurazione seleziona Aggiungi impostazioni e usa selezione impostazioni per trovare le impostazioni di avvio protetto cercando Avvio protetto. Nella categoria Avvio protetto dovrebbero essere visualizzate tre impostazioni. Queste sono le stesse impostazioni descritte negli aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT e il metodo Criteri di gruppo Objects (GPO) di Avvio protetto per dispositivi Windows con documenti di aggiornamenti gestiti dall'IT.

    • Abilita certificato secureboot Aggiornamenti è selezionata per impostazione predefinita e abilitata.

    • Le impostazioni di consenso esplicito e rifiuto esplicito descritte di seguito possono essere configurate per soddisfare le esigenze di ambiente e distribuzione.  Aggiunto

  6. Completa il profilo per i dispositivi che useranno queste impostazioni.

Descrizione dell'impostazione

Configurare il consenso esplicito gestito di Microsoft Update

nome impostazione Microsoft Intune: configurare l'accesso gestito di Microsoft Update

Descrizione: Questo criterio consente alle aziende di partecipare all'implementazione di una funzionalità controllata dell'aggiornamento del certificato di avvio protetto gestito da Microsoft.

  • Abilitato: Microsoft assiste nella distribuzione dei certificati ai dispositivi registrati nell'implementazione.

  • Disabilitato (impostazione predefinita): nessuna partecipazione all'implementazione controllata.

Requisiti:

Configurare Opt-Out con attendibilità elevata

nome impostazione Microsoft Intune: Configurare Opt-Out con attendibilità elevata

Descrizione: Questo criterio controlla se gli aggiornamenti del certificato di avvio protetto vengono applicati automaticamente tramite gli aggiornamenti mensili della sicurezza e non relativi alla sicurezza di Windows. I dispositivi che Microsoft ha convalidato come in grado di elaborare gli aggiornamenti variabili di Avvio protetto riceveranno questi aggiornamenti nell'ambito degli aggiornamenti mensili cumulativi e li applicano automaticamente. Poiché non tutte le combinazioni di hardware e firmware possono essere convalidate in modo esaustivo, Microsoft si basa sui dati di diagnostica e test mirati per determinare la conformità del dispositivo. Solo i dispositivi con dati diagnostici sufficienti possono essere considerati con alta probabilità. Se i dati di diagnostica non sono disponibili per un determinato dispositivo, non possono essere classificati con alta probabilità.

  • Abilitato: la distribuzione automatica tramite aggiornamenti mensili è bloccata.

  • Disabilitato (impostazione predefinita): i dispositivi che hanno convalidato i risultati dell'aggiornamento riceveranno automaticamente gli aggiornamenti dei certificati nell'ambito degli aggiornamenti mensili.

Note:

  • È stato confermato che i dispositivi previsti eseguono correttamente l'elaborazione degli aggiornamenti.

  • Configurare questo criterio per gestire la distribuzione automatica tramite aggiornamenti mensili.

  • Corrisponde alla chiave del Registro di sistema HighConfidenceOptOut.

Abilita Aggiornamenti certificato secureboot

nome impostazione Microsoft Intune: Abilita Aggiornamenti certificato secureboot

Descrizione: Questo criterio controlla se Windows avvia il processo di distribuzione del certificato di avvio protetto nei dispositivi.

  • Abilitato: Windows inizia automaticamente la distribuzione dei certificati di avvio protetto aggiornati.

  • Disabilitato (impostazione predefinita): Windows non distribuisce automaticamente i certificati.

Note:

  • L'attività che elabora questa impostazione viene eseguita ogni 12 ore. Alcuni aggiornamenti potrebbero richiedere un riavvio per il completamento in modo sicuro.

  • Una volta applicati al firmware, i certificati non possono essere rimossi da Windows. La cancellazione dei certificati deve essere eseguita tramite l'interfaccia firmware.

  • Corrisponde alla chiave del Registro di sistema AvailableUpdates.

Problemi noti

Sintomi

Le impostazioni di configurazione di Avvio protetto distribuite tramite Microsoft Intune Mobile Gestione dispositivi (MDM) sono attualmente bloccate nelle edizioni Pro di Windows 10 e Windows 11.

  • I tentativi di applicare questi criteri determinano Microsoft Intune Codice di errore 65000

  • I registri eventi potrebbero registrare POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, a indicare che la caratteristica non è disponibile in questa edizione.

Risoluzione

Il servizio gestione licenze di Microsoft Intune è stato aggiornato il 27 gennaio 2026 per consentire la distribuzione delle impostazioni di configurazione dell'avvio protetto nelle edizioni Pro di Windows 10 e Windows 11.

Nota: Microsoft Intune Codice di errore 65000 potrebbe essere ancora presente nelle edizioni Pro di Windows 11, versione 23H2.  Una risoluzione di questo problema è prevista per il rilascio in un futuro aggiornamento di Windows.

I dispositivi che hanno ricevuto la licenza di Microsoft Intune prima di questa data dovranno rinnovare la licenza per risolvere il problema.  Le licenze vengono rinnovate automaticamente ogni mese, quindi questo problema verrà risolto per i dispositivi entro il 27 febbraio 2026 (ad eccezione di alcuni Windows 11, versione 23H2, come indicato in precedenza). Per rinnovare manualmente la licenza nel dispositivo, eseguire i comandi seguenti per conto dell'utente (nel contesto dell'utente):

  • ClipDLS.exe removesubscription

  • ClipRenew.exe

Risorse

Vedi anche Aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT per informazioni dettagliate su UEFICA2023Status e UEFICA2023Chiavi del Registro di sistema per il monitoraggio dei risultati del dispositivo.

Vedi Eventi di aggiornamento delle variabili DB e DBX di avvio protetto per gli eventi utili per comprendere lo stato di dispositivi, attributi del dispositivo e ID bucket di dispositivi. Presta particolare attenzione agli eventi 1801 e 1808 descritti nella pagina degli eventi.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità