適用先
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

発行日: 2025 年 10 月 14 日

KB ID: 5068202

この記事には、次のガイダンスがあります。  

  • IT 管理の Windows デバイスと更新プログラムを持つ組織。

このサポートの可用性:  

AvailableUpdatesUEFICA2023StatusUEFICA2023ErrorHighConfidenceOptOutMicrosoftUpdateManagedOptIn レジストリ キーは、次の日付以降にリリースされた更新プログラムに含まれます。

  • 2025 年 10 月 14 日: サポートされているバージョンには、Windows 10、バージョン 22H2 以降のバージョン (21H2 LTSC を含む)、サポートされているすべてのバージョンのWindows 11、および Windows Server 2022 以降が含まれます。

  • 2025 年 11 月 11 日: まだサポートされている Windows のバージョンの場合。

日付の変更

説明を変更する

2025 年 11 月 4 日

  • ページにもう 1 つのレジストリ キーを追加しました。

  • "たとえば、ファームウェアの問題によって DB (信頼された署名のデータベース) の更新に失敗した場合、このレジストリ キーには、イベント ログまたはドキュメント化されたエラー ID にマップできるエラー コードが表示される場合があります。 このレジストリ キーには、ファームウェアからのエラー コードが表示される場合があります。 このキーが存在し、0 以外の場合は、Windows イベント ログでセキュア ブート イベントを検索することをお勧めします。詳細については、「(リンク)」を参照してください。

  • レジストリ キーの 2 つの個別のパスを以下に追加しました

2025 年 11 月 11 日

  • レジストリ キーを使用したデバイス テストの段落を更新しました。次の情報が追加されました。"レジストリ キーはすぐに0x4100に変更されます。 タスクをもう一度再起動して実行すると、ブート マネージャーが更新され、AvailableUpdates が0x0100されます。 AvailableUpdates の動作の詳細については、「トラブルシューティング」を参照してください。

  • レジストリ キーを使用したデバイス テストの灰色のボックスのテキストを更新して、2 つの PowerShell コマンドを追加します

  • レジストリ キーの下で、レジストリ値 -MicrosoftUpdateManagedOptIn, が "1 - Opt in" から "1 または任意の 0 以外の値 – オプトイン" に変更されました

2025 年 11 月 16 日

[レジストリ キーを使用したデバイス テスト] のコンテンツを更新しました。 [使用可能な更新プログラム] の値が "0x0100" から "0x4000" に変更されました。

この資料の内容

概要

このドキュメントでは、Windows レジストリ キーを使用したセキュア ブート証明書の更新プログラムの展開、管理、監視のサポートについて説明します。 キーは次で構成されます。 

  • デバイス上の証明書とブート マネージャーのデプロイをトリガーする 1 つのキー。

  • デプロイの状態を監視するための 2 つのキー。

  • 2 つの利用可能なデプロイのオプトイン/オプトアウト設定を管理するための 2 つのキーが役立ちます。

これらのレジストリ キーは、デバイス上で手動で設定することも、使用可能なフリート管理ソフトウェアを使用してリモートで設定することもできます。 グループ ポリシー、Microsoft Intune、WinCS などのその他の展開方法については、IT で管理された更新プログラムを使用した企業や組織向けの Windows デバイスに関する記事を参照してください。  

セキュア ブート レジストリ キー

このセクションの内容

レジストリ キー

以下で説明するすべてのセキュア ブート レジストリ キーは、このレジストリ パスの下にあります。 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

次の表では、各レジストリ値について説明します。

レジストリ値

説明と使用法

AvailableUpdates

REG_DWORD (ビットマスク)

トリガー フラグを更新します。

デバイスで実行するセキュア ブート更新アクションを制御します。 ここで適切なビットフィールドを設定すると、新しいセキュア ブート証明書と関連する更新プログラムの展開が開始されます。 エンタープライズ展開の場合、これは 0x5944 (16 進数) に設定する必要があります。これは、関連するすべての更新を有効にする値です (新しい 2023 CA 証明書の追加、KEK の更新、新しいブート マネージャーのインストール)。 

設定

  • 0 または未設定 - セキュア ブート キーの更新は実行されません。

  • 0x5944 – 必要なすべての証明書をデプロイし、PCA2023署名されたブート マネージャーに更新します

HighConfidenceOptOut

REG_DWORD

オプトアウト オプション。

LCU の一部として自動的に適用される高信頼バケットをオプトアウトする企業向け。

このキーを 0 以外の値に設定すると、信頼度の高いバケットからオプトアウトできます。 

設定 

  • 0 またはキーが存在しない – オプトイン

  • 1 – オプトアウト

MicrosoftUpdateManagedOptIn

REG_DWORD

オプトイン オプション。

制御された機能ロールアウト (CFR) サービス (Microsoft Managed とも呼ばれます) にオプトインする企業向け。

このキーの設定に加えて、必要な診断データの送信を許可します (「organizationで Windows 診断データを構成する」を参照してください)。 

設定

  • 0 またはキーが存在しない - オプトアウト

  • 1 またはゼロ以外の値  – オプトイン

以下で説明するすべてのセキュア ブート レジストリ キーは、このレジストリ パスの下にあります。 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

次の表では、各レジストリ値について説明します。

レジストリ値

説明と使用法

UEFICA2023Status

REG_SZ (文字列)

デプロイ状態インジケーター。

デバイス上のセキュア ブート キー更新プログラムの現在の状態を反映します。 次のいずれかのテキスト値に設定されます。

  • NotStarted: 更新プログラムはまだ実行されていません。

  • InProgress: 更新プログラムはアクティブに進行中です。

  • 更新済み: 更新が正常に完了しました。

最初の状態は NotStarted です。 更新が開始されると InProgress に変わり、最後に、すべての新しいキーと新しいブート マネージャーが展開されると[ 更新済み]に変わります。 エラーが発生した場合、 UEFICA2023Error レジストリ値は 0 以外のコードに設定されます。

UEFICA2023Error

REG_DWORD (コード)

エラー コード (存在する場合)。

この値は成功しても 0 のままです。 更新プロセスでエラーが発生した場合、 UEFICA2023Error は、発生した最初のエラーに対応する 0 以外のエラー コードに設定されます。 ここでのエラーは、セキュア ブート更新プログラムが完全に成功しなかったことを意味し、そのデバイスで調査または修復が必要になる場合があります。  

たとえば、ファームウェアの問題が原因で DB (信頼された署名のデータベース) の更新に失敗した場合、このレジストリ キーにファームウェアからのエラー コードが表示される場合があります。 このキーが存在し、0 以外の場合は、Windows イベント ログでセキュア ブート イベントを検索することをお勧めします。詳細については、「Secure Boot DB および DBX 変数更新イベント」を参照してください。

WindowsUEFICA2023Capable

REG_DWORD (コード)

このレジストリ キーは、限定的な展開シナリオを対象としており、一般的な使用には推奨されません。 ほとんどの場合、代わりに UEFICA2023Status レジストリ キーを使用します。

有効な値:

0 – またはキーが存在しない - "Windows UEFI CA 2023" 証明書が DB にありません

1 - "Windows UEFI CA 2023" 証明書が DB にあります

2 - "Windows UEFI CA 2023" 証明書が DB にあり、システムは 2023 署名されたブート マネージャーから開始されています

これらのキーの連携方法

IT 管理者は AvailableUpdates レジストリ値を 0x5944 に構成します。これにより、Windows がセキュア ブート キーの更新とデバイスへのインストールを実行するように通知されます。

プロセスが実行されると、システムは UEFICA2023Status をNotStarted から InProgress に更新し、最後に成功すると 更新 されます。 0x5944の各ビットが正常に処理されると、クリアされます。

いずれかのステップが失敗した場合、エラー コードは UEFICA2023Error に記録されます (状態は InProgress のままです)。

このメカニズムにより、管理者はデバイスごとのロールアウトをトリガーして追跡する明確な方法が提供されます。 

レジストリ キーを使用したデプロイ 

デバイスのグループへの展開は、次の手順で構成されます。 

  1. AvailableUpdates レジストリ値を、更新する各デバイスで0x5944に設定します。

  2. UEFICA2023StatusUEFICA2023Error レジストリ キーを監視して、デバイスが進行していることを確認します。 これらの更新を処理するタスクは、12 時間ごとに実行されます。 再起動が発生するまで、ブート マネージャーの更新が発生しない可能性があることに注意してください。

  3. 問題が発生した場合は調査します。 デバイスで UEFICA2023Error が 0 以外の場合は、この問題に関連するイベントのイベント ログをチェックできます。 セキュア ブート イベントの完全な一覧については、「 セキュア ブート DB および DBX 変数更新イベント 」を参照してください。

再起動に関する注意事項: プロセスを完了するには再起動が必要な場合があります。ただし、セキュア ブート更新プログラムの展開を開始しても再起動は発生しません。 再起動が必要な場合、セキュア ブートの展開は、デバイスの通常の使用過程として発生する再起動に依存します。 

レジストリ キーを使用したデバイス テスト 

個々のデバイスをテストして、デバイスが更新プログラムを正しく処理することを確認する場合、レジストリ キーを簡単にテストできます。 

テストするには、管理者の PowerShell プロンプトとは別に、次の各コマンドを実行します。 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

AvailableUpdates が0x4100になったときにシステムを手動で再起動する

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

最初のコマンドは、デバイスでの証明書とブート マネージャーのデプロイを開始します。 2 番目のコマンドを実行すると、 AvailableUpdates レジストリ キーを処理するタスクがすぐに実行されます。 通常、タスクは 12 時間ごとに実行されます。 レジストリ キーはすぐに 0x4100 に変更されます。 タスクをもう一度再起動して実行すると、ブート マネージャーが更新され、AvailableUpdates が0x4000されます。 AvailableUpdates の動作の詳細については、「トラブルシューティング」を参照してください。

UEFICA2023StatusUEFICA2023Error レジストリ キーと、セキュア ブート DB および DBX 変数更新イベントの説明に従ってイベント ログを監視することで、結果を確認できます。 

アシストをオプトインしてオプトアウトする 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn レジストリ キーを使用して、IT で管理された更新プログラムを使用した Windows デバイスで説明されている 2 つの展開 "アシスト" を管理できます。 

  • HighConfidenceOptOut レジストリ キーは、累積的な更新プログラムを使用してデバイスの自動更新を制御します。 Microsoft が特定のデバイスの更新を正常に確認したデバイスの場合、デバイスは "高信頼" デバイスと見なされ、セキュア ブート証明書の更新が自動的に行われます。 既定の設定はオプトインです

  • MicrosoftUpdateManagedOptIn レジストリ キーを使用すると、IT 部門は Microsoft によって管理される自動デプロイにオプトインできます。 この設定は既定で無効になっており、1 つのオプトインに設定されています。 この設定では、デバイスがオプションの診断データを送信することも必要です。

サポートされているバージョンの Windows

この表では、レジストリ キーに基づいてサポートをさらに分解します。 

キー 

サポートされているバージョンの Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

セキュア ブート (Windows Server 2012 以降の Windows バージョン) をサポートするすべてのバージョンの Windows。  

注: 信頼度データは、Windows 10、バージョン LTSC、22H2 以降のバージョンの Windows で収集されますが、以前のバージョンの Windows で実行されているデバイスに適用できます。    

  • Windows 10、バージョン LTSC および 22H2

  • Windows 11、バージョン 22H2 および 23H2

  • Windows 11バージョン 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

セキュア ブート エラー イベント

​​​​​​​​​​​​​​エラー イベントには、セキュア ブートの状態と進行状況について通知する重要なレポート機能があります。  エラー イベントの詳細については、「Secure Boot DB および DBX 変数更新イベント」を参照してください。 エラー イベントは、Secure Boot の追加のイベント情報で更新されています。 

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター