適用先
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

元の発行日: 2025 年 10 月 14 日

KB ID: 5068197

日付の変更

説明を変更する

4 月 16 日。 2026

  • 「WinCS でサポートされるプラットフォーム」セクションに情報が含まれているため、"このサポートの可用性" セクションが削除されました。

2026 年 4 月 10 日

  • Windows 10 1607/Windows Server 2016 の日付を「WinCS サポートされているプラットフォーム」セクションで更新しました。

  • WinCS でサポートされるプラットフォーム」セクションの下に、Windows Server 2012および Windows Server 2012 R2 (ESU) の新しいプラットフォーム サポートを追加しました。

2026 年 2 月 20 日

  • 新しいセクション 「セキュア ブート証明書がプラットフォームで更新された場合の最初のチェック」セクションを追加しました

2025 年 12 月 16 日

  • 正しくない文字が含まれていたため、「セキュア ブート構成を適用する方法」セクションのコマンド ラインを修正しました。To: /apply –-key "F33E0C8E002" を WinCsFlags.exe

  • 行の末尾にスペースが含まれているので、「セキュア ブート構成を監査する方法」セクションのコマンド ラインを修正しました。To: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • [このサポートの可用性] セクションでは、2025 年 11 月 11 日以降のリリースで、Windows 10、バージョン 21H2、22H2、Windows Server 2022 が追加されました。 さらに、他のバージョンの Windows のサポートは、2026 年の第 1 四半期にリリースされた更新プログラムに含まれます。

2025 年 12 月 11 日

  • 「セキュア ブート構成を監査する方法」セクションの手順 3 を変更しました:From: Secure Boot DB の更新が成功したことを確認するには、管理者として PowerShell プロンプトを開き、次のコマンドを実行します。To: Secure Boot DB の更新が成功した場合は、簡単なチェックとして、管理者として PowerShell プロンプトを開き、次のコマンドを実行します。

  • 「セキュア ブート構成を監査する方法」セクションに手順 4 を追加しました: すべての証明書が更新されていることを確認するには、「セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス」を参照し、「イベント ログの監視」セクションのガイダンスに従ってください。 このセクションでは 、イベント ID: 1801イベント ID: 1808 を示します。これは、証明書が更新されたことを監査する完全な方法です。

Windows 構成システム (WinCS) を使用したセキュア ブート CLI

目標: ドメイン管理者は、Windows OS 更新プログラムでリリースされた Windows 構成システム (WinCS) を使用して、ドメインに参加している Windows クライアントとサーバー間でセキュア ブート更新プログラムを展開することもできます。 これは、コマンド ライン インターフェイス (CLI) ユーティリティで構成され、セキュア ブート構成をコンピューターに対してローカルに照会して適用します。  

WinCS は、コマンド ライン ユーティリティで使用できる構成キーをオフにして、マシンのセキュア ブート構成状態を変更します。 適用されると、次にスケジュールされたセキュア ブートがキーに従ってアクションを実行します。 

プラットフォームでセキュア ブート証明書が更新される場合の最初のチェック 

Powershell コマンドを使用して、セキュア ブートの状態をチェックできます。

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status')。UEFICA2023Status

[状態] に "更新済み" と表示されている場合は、WinCS を実行する必要がなく、以下の手順をスキップできます。

証明書が 2023 バージョンに更新されない場合は、次の追加の手順が適用されます。

WinCS でサポートされているプラットフォーム

WinCS コマンド ライン ユーティリティは、Windows 10、バージョン 21H2、Windows 10、バージョン 22H2、Windows 10 1607、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 11、バージョン 23H2、Windows 11、バージョン 24H2、Windows 11、バージョン 25H2。

このユーティリティは、2025 年 10 月 28 日以降にリリースされた Windows 更新プログラムで、Windows 11、バージョン 24H2、Windows 11バージョン 23H2 で使用できます。

このユーティリティは、2025 年 11 月 11 日以降にリリースされた Windows 更新プログラムでも、Windows 10、バージョン 21H2、Windows 10、バージョン 22H2、Windows Server 2022 で利用できます。

Windows Server 2019 の場合、このユーティリティは 2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムに付属しています。 

Windows Server 2016、1607 Windows 10、このユーティリティは、2026 年 4 月 14 日以降にリリースされた Windows 更新プログラムに付属しています。

また、Windows Server 2012および Windows Server 2012 R2 (ESU) の場合、このユーティリティは 2026 年 4 月 14 日以降にリリースされた Windows 更新プログラムに付属しています。

ドメイン管理者が WinCS を介してデバイスにクエリを実行して適用するセキュア ブート構成機能キーを次に示します。 

機能名

WinCS キー

説明

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

このキーを有効にすると、次の Microsoft が提供するセキュア ブートの新しい証明書をデバイスにインストールできます。 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS キー値: 

  • F33E0C8E002 – セキュア ブート構成状態 = 有効

セキュア ブート構成のクエリを実行する方法 

セキュア ブート構成を照会するには、管理者としてコマンド プロンプトを開き、次のコマンドを実行します。

WinCsFlags.exe /query --key F33E0C8E002

これにより、(クリーン コンピューター上の) 次の情報が返されます。 

フラグ: F33E0C8E 

  現在の構成: F33E0C8E001

  状態: 無効

  保留中の構成: なし 

  保留中のアクション: なし  

  FwLink: https://aka.ms/getsecureboot 

  使用可能な構成: 

    F33E0C8E002 

    F33E0C8E001 

デバイスの現在の構成が F33E0C8E001されていることに注意してください。つまり、セキュア ブート キーが 無効 状態です。  

セキュア ブート構成を適用する方法  

セキュア ブート構成は、管理者としてコマンド プロンプトを開き、次のコマンドを実行することで適用できます。

WinCsFlags.exe /apply --key "F33E0C8E002"

キーを正常に適用すると、次の情報が返されます。 

フラグ: F33E0C8E 

  現在の構成: F33E0C8E002

  状態: 有効

  保留中の構成: なし 

  保留中のアクション: なし

  FwLink: https://aka.ms/getsecureboot 

 使用可能な構成: 

    F33E0C8E002 

    F33E0C8E001  

セキュア ブート構成を監査する方法  

セキュア ブート構成の状態を後で確認するには、管理者としてコマンド プロンプトを開いて最初のクエリ コマンドを再実行します。

WinCsFlags.exe /query --key F33E0C8E002

返される情報は、フラグの状態に応じて、次のようになります。 

フラグ: F33E0C8E 

  現在の構成: F33E0C8E002

  状態: 有効

  保留中の構成: なし 

  保留中のアクション: なし

  FwLink: https://aka.ms/getsecureboot 

  使用可能な構成: 

    F33E0C8E002 

    F33E0C8E001  

キーの状態が [有効] になり、現在の構成がF33E0C8E002されていることに注意してください。 

注: WinCS を介してセキュア ブート キーを適用しても、セキュア ブート証明書のインストール プロセスが開始されているか、完了したことを意味するものではありません。  これは、次に利用可能な機会にそのマシンでセキュア ブート サービス タスク (TPMTasks) が実行されたときに、マシンがセキュア ブート更新プログラムを続行することを示しているだけです。 TPMTasks はそのマシンで実行されると、0x5944を検出して更新を実行します。 設計上、Secure-Boot-Update スケジュールされたタスクは、このようなセキュア ブート更新フラグを処理するために 12 時間ごとに実行されます。 管理者は、タスクを手動で実行するか、必要に応じて再起動することで迅速化することもできます。  

次の手順に従って、セキュア ブート サービス タスクを手動でトリガーすることもできます。 

  1. 管理者として PowerShell プロンプトを開き、次のコマンドを実行します。

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. コマンドを実行した後、デバイスを 2 回 再起動して、信頼された署名 (DB) の更新されたデータベースでデバイスが起動していることを確認します。

  3. セキュア ブート DB の更新が成功した場合の簡単なチェックとして、管理者として PowerShell プロンプトを開き、次のコマンドを実行します。 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    ブート セキュア

    コマンドが True を返した場合、更新は成功しました。DB 更新プログラムの適用中にエラーが発生した場合は、「KB5016061: 脆弱なブート マネージャーと取り消されたブート マネージャーの対処」の記事を参照してください。

    注: これは、1 つの CA のみをチェックし、すべての CA をチェックしているわけではありません。

  4. すべての証明書が更新されていることを確認するには、「 セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス」を参照し、「イベント ログの監視」セクションのガイダンスに従ってください。 このセクションでは、 イベント ID: 1801イベント ID: 1808 を示します。これは、証明書が更新されたことを監査するより完全な方法です。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター