適用先
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

発行日: 2025 年 10 月 14 日

KB ID: 5068202

この記事には、次のガイダンスがあります。  

  • IT 管理の Windows デバイスと更新プログラムを持つ組織。

このサポートの可用性:  

  • AvailableUpdatesUEFICA2023StatusUEFICA2023ErrorHighConfidenceOptOutMicrosoftUpdateManagedOptIn レジストリ キーは、次の日付以降にリリースされた更新プログラムに含まれます。

    • 2025 年 10 月 14 日: サポートされているバージョンには、Windows 10、バージョン 22H2 以降 (21H2 LTSC を含む)、サポートされているすべてのバージョンのWindows 11、および Windows Server 2022 以降が含まれます。

    • 2025 年 11 月 11 日: Windows のバージョンがまだサポートされています。

この資料の内容

概要

このドキュメントでは、Windows レジストリ キーを使用したセキュア ブート証明書の更新プログラムの展開、管理、監視のサポートについて説明します。 キーは次で構成されます。 

  • デバイス上の証明書とブート マネージャーのデプロイをトリガーする 1 つのキー。

  • デプロイの状態を監視するための 2 つのキー。

  • 使用可能な 2 つのデプロイのオプトイン/オプトアウト設定を管理するための 2 つのキーが役立ちます。

これらのレジストリ キーは、デバイス上で手動で設定することも、使用可能なフリート管理ソフトウェアを使用してリモートで設定することもできます。 グループ ポリシー、Intune、WinCS などのその他の展開方法については、IT で管理された更新プログラムを使用する企業や組織向けの Windows デバイスに関する記事を参照してください。  

セキュア ブート レジストリ キー

このセクションの内容

レジストリ キー

このドキュメントで説明するすべてのセキュア ブート レジストリ キーは、次のレジストリ パスの下にあります。 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

次の表では、各レジストリ値について説明します。 

レジストリ値

説明 & 使用法

AvailableUpdates

REG_DWORD (ビットマスク)

トリガー フラグを更新します。

デバイスで実行するセキュア ブート更新アクションを制御します。 ここで適切なビットフィールドを設定すると、新しいセキュア ブート証明書と関連する更新プログラムの展開が開始されます。 エンタープライズ展開の場合、これは 0x5944 (16 進数) に設定する必要があります。これは、関連するすべての更新を有効にする値です (新しい 2023 CA 証明書の追加、KEK の更新、新しいブート マネージャーのインストール)。 

  • 0 または未設定 - セキュア ブート キーの更新は実行されません。

  • 0x5944 – 必要なすべての証明書をデプロイし、署名されたブート マネージャーに更新PCA2023

UEFICA2023Status

REG_SZ (文字列)

デプロイ状態インジケーター。

デバイス上のセキュア ブート キー更新プログラムの現在の状態を反映します。 次のいずれかのテキスト値に設定されます。

  • NotStarted:更新プログラムはまだ実行されていません。

  • InProgress:更新プログラムはアクティブに進行中です。

  • 更新: 更新が正常に完了しました。

最初の状態は NotStarted です。 更新が開始されると InProgress に変わり、最後に、すべての新しいキーと新しいブート マネージャーが展開されると[ 更新済み]に変わります。 エラーが発生した場合、 UEFICA2023Error レジストリ値は 0 以外のコードに設定されます。

UEFICA2023Error

REG_DWORD (コード)

エラー コード (存在する場合)。

この値は成功しても 0 のままです。 更新プロセスでエラーが発生した場合、 UEFICA2023Error は、発生した最初のエラーに対応する 0 以外のエラー コードに設定されます。 ここでのエラーは、セキュア ブート更新プログラムが完全に成功しなかったことを意味し、そのデバイスで調査または修復が必要になる場合があります。  

たとえば、ファームウェアの問題が原因で DB (信頼できる署名のデータベース) の更新に失敗した場合、このレジストリ キーには、イベント ログにマップできるエラー コードや 、Secure Boot DB および DBX 変数更新イベントの文書化されたエラー ID が表示される場合があります。 

HighConfidenceOptOut

REG_DWORD

オプトアウト オプション。

LCU の一部として自動的に適用される高信頼バケットをオプトアウトする企業向け。

このキーを 0 以外の値に設定すると、信頼度の高いバケットからオプトアウトできます。 

設定 

  • 0 またはキーが存在しない - オプトイン

  • 1 – オプトイン

MicrosoftUpdateManagedOptIn

REG_DWORD

オプトイン オプション。

制御された機能ロールアウト (CFR) サービス (Microsoft Managed とも呼ばれます) にオプトインする企業向け。

このキーの設定に加えて、必要な診断データの送信を許可します (「organizationで Windows 診断データを構成する」を参照してください)。 

設定

  • 0 またはキーが存在しない - オプトアウト

  • 1 – オプトイン

これらのキーの連携方法

IT 管理者は AvailableUpdates レジストリ値を 0x5944 に構成します。これにより、Windows がセキュア ブート キーの更新とデバイスへのインストールを実行するように通知されます。

プロセスが実行されると、システムは UEFICA2023Status をNotStarted から InProgress に更新し、最後に成功すると 更新 されます。 0x5944の各ビットが正常に処理されると、クリアされます。

いずれかのステップが失敗した場合、エラー コードは UEFICA2023Error に記録されます (状態は InProgress のままです)。

このメカニズムにより、管理者はデバイスごとのロールアウトをトリガーして追跡する明確な方法が提供されます。 

レジストリ キーを使用したデプロイ 

デバイスのグループへの展開は、次の手順で構成されます。 

  1. AvailableUpdates レジストリ値を、更新する各デバイスで0x5944に設定します。

  2. UEFICA2023StatusUEFICA2023Error レジストリ キーを監視して、デバイスが進行していることを確認します。 これらの更新を処理するタスクは、12 時間ごとに実行されます。 再起動が発生するまで、ブート マネージャーの更新が発生しない可能性があることに注意してください。

  3. 問題が発生した場合は調査します。 デバイスで UEFICA2023Error が 0 以外の場合は、この問題に関連するイベントのイベント ログをチェックできます。 セキュア ブート イベントの完全な一覧については、「 セキュア ブート DB および DBX 変数更新イベント 」を参照してください。

再起動に関する注意事項: プロセスを完了するには再起動が必要な場合があります。ただし、セキュア ブート更新プログラムの展開を開始しても再起動は発生しません。 再起動が必要な場合、セキュア ブートの展開は、デバイスの通常の使用過程として発生する再起動に依存します。 

レジストリ キーを使用したデバイス テスト 

個々のデバイスをテストして、デバイスが更新プログラムを正しく処理することを確認する場合、レジストリ キーを簡単にテストできます。 

テストするには、管理者の PowerShell プロンプトとは別に、次の各コマンドを実行します。 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

最初のコマンドは、デバイスでの証明書とブート マネージャーのデプロイを開始します。 2 番目のコマンドを実行すると、 AvailableUpdates レジストリ キーを処理するタスクがすぐに実行されます。 通常、タスクは 12 時間ごとに実行されます。 

UEFICA2023StatusUEFICA2023Error レジストリ キーと、セキュア ブート DB および DBX 変数更新イベントの説明に従ってイベント ログを監視することで、結果を確認できます。 

アシストのオプトインとオプトアウト 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn レジストリ キーを使用して、IT で管理された更新プログラムを使用した Windows デバイスで説明されている 2 つの展開 "アシスト" を管理できます。 

  • HighConfidenceOptOut レジストリ キーは、累積的な更新プログラムを使用してデバイスの自動更新を制御します。 Microsoft が特定のデバイスの更新を正常に確認したデバイスの場合、デバイスは "高信頼" デバイスと見なされ、セキュア ブート証明書の更新が自動的に行われます。 この オプトインの既定の設定。

  • MicrosoftUpdateManagedOptIn レジストリ キーを使用すると、IT 部門は Microsoft によって管理される自動デプロイにオプトインできます。 この設定は既定で無効になっており、1 つのオプトインに設定されています。 この設定では、デバイスがオプションの診断データを送信することも必要です。

サポートされているバージョンの Windows

この表では、レジストリ キーに基づいてサポートをさらに分解します。 

キー 

サポートされているバージョンの Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

セキュア ブート (Windows Server 2012 以降の Windows バージョン) をサポートするすべてのバージョンの Windows。  

注: 信頼度データは、Windows 10、バージョン LTSC、22H2 以降のバージョンの Windows で収集されますが、以前のバージョンの Windows で実行されているデバイスに適用できます。    

  • Windows 10、バージョン LTSC および 22H2

  • Windows 11、バージョン 22H2 および 23H2

  • Windows 11バージョン 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

セキュア ブート エラー イベント

​​​​​​​​​​​​​​エラー イベントには、セキュア ブートの状態と進行状況について通知する重要なレポート機能があります。  エラー イベントの詳細については、「Secure Boot DB および DBX 変数更新イベント」を参照してください。 エラー イベントは、Secure Boot の追加のイベント情報で更新されています。 

セキュア ブートのその他のコンポーネントの変更 

このセクションの内容

TPMTasks の変更 

TPMTasks を変更して、デバイスの状態に更新されたセキュア ブート証明書があるかどうかを判断します。 現時点では、その決定を行うことができますが、CFR が更新用のマシンを選択した場合のみです。 その決定とその後のログ記録は、CFR に関係なく、すべてのブート セッションで発生する必要があります。 セキュア ブート証明書が完全に最新 でない 場合は、上記の 2 つのエラー イベントが生成されます。 証明書が最新の場合は、Information イベントが生成されます。 チェックされるセキュア ブート証明書は次のとおりです。  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 と Microsoft Option ROM UEFI CA 2023 – これら 2 つの CA は、Microsoft UEFI CA 2011 が存在する場合にのみ存在する必要があります。 Microsoft UEFI CA 2011 が存在しない場合は、チェックは必要ありません。

  • Microsoft Corporation KEK 2K CA 2023

マシン メタデータ イベント 

このイベントは、コンピューターのメタデータを収集し、次のイベントを発行します。

  • BucketId + Confidence Rating イベント   

このイベントでは、マシンのメタデータを使用して、マシンのデータベース内の対応するエントリ (バケット エントリ) を検索します。 マシンは、バケットに関する信頼情報と共に、このデータを使用してイベントをフォーマットして出力します。 ​​​​​​​ 

高い信頼性のデバイス アシスト 

信頼度の高いバケット内のデバイスの場合、セキュア ブート証明書と 2023 署名付きブート マネージャーが自動的に適用されます。   

2 つのエラー イベントが生成されると同時に更新がトリガーされ、BucketId + Confidence Rating イベントには高信頼度の評価が含まれます。   

オプトアウト

オプトアウトを希望するお客様は、次のように新しいレジストリ キーを使用できます。   

レジストリの場所

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

キー名

HighConfidenceOptOut

キーの種類

DWORD

DWORD 値

0 またはキーが存在しない - 高信頼アシストが有効になっています。    

1 – 高信頼アシストが無効   

その他の値は未定義です   

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター