Taikoma
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Pradinė publikavimo data: 2025 m. gruodžio 4 d.

KB ID: 5073196

Šiame straipsnyje pateikiamos rekomendacijos, skirtos: 

  • Organizacijos, kurios turi savo IT skyrių, valdantį "Windows" įrenginius ir naujinimus.

Pastaba: jei esate asmuo, kuriam priklauso asmeninis "Windows" įrenginys, žr. straipsnį Namų vartotojams, įmonėms ir mokymo įstaigoms skirti "Windows" įrenginiai su "Microsoft" valdomais naujinimais. ​​​​​​​

Šio palaikymo pasiekiamumas

  • 2025 m. lapkričio 11 d.: Windows 11 ir Windows 10 versijos vis dar palaikomos.

Keisti datą

Keisti aprašą

2025 m. gruodžio 17 d.

Įtraukta sekcija Žinomos problemos

Šiame straipsnyje:

Įvadas

Šiame dokumente aprašomas saugiosios įkrovos sertifikato naujinimų diegimo, valdymo ir stebėjimo naudojant „Microsoft Intune“ palaikymas. Parametrai sudaryti iš:

  • Galimybė inicijuoti diegimą įrenginyje

  • Didelio patikimumo talpyklų pasirinkimo / atsisakymo parametras

  • Parametras sutikti / atsisakyti "Microsoft" naujinimų valdymo

„Microsoft Intune“ konfigūravimo metodas

Šis metodas siūlo saugiosios įkrovos parametrą naudodamas „Microsoft Intune“ domeno administratoriai gali nustatyti diegti saugiosios įkrovos naujinimus visiems prie domeno prijungtiams "Windows" klientams. Be to, dvi saugiosios įkrovos pagalbinės programos gali būti valdomos naudojant sutikimo / atsisakymo parametrus.

"„Microsoft Intune“"

  1. Dalyje Įrenginiai > Valdyti įrenginius pasirinkite Konfigūracija.

  2. Pasirinkite Kurti ir pasirinkite Nauja strategija.

    • Eikite į Kurti profilį dešiniojoje srityje.

    • Užpildykite platformą naudodami Windows 10 ir naujesnes versijas.

  3. Pasirinkite parametrų katalogą dalyje Profilio tipas Įtrauktas paveikslėlis

  4. Pradėkite kurti profilį suteikdami profiliui pavadinimą. Šiame pavyzdyje kaip pavadinimą naudojame "Saugi įkrova". Paspauskite Pirmyn.paveikslėlis

  5. Dalyje Konfigūracijos parametrai pasirinkite Įtraukti parametrus ir naudodami parametrų parinkiklį raskite saugiosios įkrovos parametrus ieškodami Saugioji įkrova. Kategorijoje Saugi įkrova turėtumėte matyti tris parametrus. Tai yra tie patys parametrai, aprašyti saugiosios įkrovos registro rakto naujinimuose: "Windows" įrenginiai su IT valdomais naujinimais ir Grupės strategija objektų (GPO) saugiosios įkrovos metodas "Windows" įrenginiams su IT valdomais naujinimų dokumentais.

    • Įgalinti "Secureboot Certificate Naujinimai" pažymėta pagal numatytuosius nustatymus ir įgalinta.

    • Toliau aprašyti pasirinkimo ir atsisakymo parametrai gali būti sukonfigūruoti taip, kad atitiktų jūsų aplinkos ir diegimo poreikius.  Pridėta

  6. Baikite naudoti šiuos parametrus naudojančių įrenginių profilį.

Aprašo nustatymas

Konfigūruoti "Microsoft Update" valdomą pasirinkimą

„Microsoft Intune“ parametro pavadinimas: konfigūruoti "Microsoft Update" valdomą pasirinkimą

Aprašas: Ši strategija leidžia įmonėms dalyvauti "Microsoft" valdomame saugiosios įkrovos sertifikato naujinime, kurį valdo kontroliuojamas funkcijų diegimas .

  • Įgalinta: "Microsoft" padeda diegti sertifikatus įrenginiuose, užregistruotuose diegti.

  • Išjungta (numatytoji reikšmė): nėra dalyvavimo kontroliuojamas diegimas.

Reikalavimai:

Didelio patikimumo Opt-Out konfigūravimas

„Microsoft Intune“ parametro pavadinimas: didelio patikimumo Opt-Out konfigūravimas

Aprašas: Ši strategija kontroliuoja, ar saugiosios įkrovos sertifikato naujinimai taikomi automatiškai per "Windows" mėnesinius saugos ir ne saugos naujinimus. Įrenginiai, kuriuos "Microsoft" patvirtino kaip galinčius apdoroti apsaugotos įkrovos kintamųjų naujinimus, gaus šiuos naujinimus kaip kaupiamųjų mėnesinių naujinimų dalį ir pritaikys juos automatiškai. Ne visi aparatūros ir programinės-aparatinės įrangos deriniai gali būti išsamiai patikrinti, todėl "Microsoft" remiasi tiksliniais testavimo ir diagnostikos duomenimis, kad nustatytų įrenginių parengimą. Galima labai patikimai apsvarstyti tik tuos įrenginius, kuriuose yra pakankamai diagnostikos duomenų; jei tam tikram įrenginiui diagnostikos duomenų nėra, jie negali būti labai patikimai klasifikuojami.

  • Įjungta: automatinis diegimas per mėnesio naujinimus užblokuotas.

  • Išjungta (numatytoji reikšmė): įrenginiai, kurie patvirtino naujinimo rezultatus, automatiškai gaus sertifikato naujinimus kaip mėnesinių naujinimų dalį.

Pastabos:

  • Numatyti įrenginiai patvirtinami, kad būtų sėkmingai apdoroti naujinimai.

  • Konfigūruokite šią strategiją, kad valdytumėte automatinį diegimą naudodami mėnesio naujinimus.

  • Atitinka registro raktą HighConfidenceOptOut.

Įgalinti "Secureboot Certificate Naujinimai"

„Microsoft Intune“ parametro pavadinimas: įgalinti Secureboot sertifikato Naujinimai

Aprašas: Ši strategija kontroliuoja, ar "Windows" inicijuoja saugiosios įkrovos sertifikato diegimo procesą įrenginiuose.

  • Įgalinta: "Windows" automatiškai pradeda diegti atnaujintus saugiosios įkrovos sertifikatus.

  • Išjungta (numatytoji): "Windows" automatiškai neįdiegia sertifikatų.

Pastabos:

  • Šį parametrą apdorojanti užduotis vykdoma kas 12 valandų. Kai kuriems naujinimams gali reikėti paleisti iš naujo, kad būtų saugiai baigtas.

  • Pritaikę programinės-aparatinės įrangos sertifikatus, jų negalima pašalinti iš "Windows". Sertifikatus reikia išvalyti programinės-aparatinės įrangos sąsajoje.

  • Atitinka registro raktą AvailableUpdates.

Žinomos problemos

Požymiai

Saugiosios įkrovos konfigūracijos parametrai, įdiegti naudojant „Microsoft Intune“ Mobile Įrenginių valdymas (MDM), šiuo metu blokuojami Windows 10 ir Windows 11 "Pro" leidimuose.

  • Bandant taikyti šias strategijas gaunamas „Microsoft Intune“Klaidos kodas 65000

  • Įvykių žurnaluose gali būti įrašyti POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, nurodantys, kad funkcija šiame leidime negalima.

Sprendimas

Problema tiriama ir papildoma informacija bus dalijamasi, kai tik ji taps pasiekiama.

Išteklių

Taip pat žr. Registro rakto naujinimai, skirti saugiai įkrovai: "Windows" įrenginiai su IT valdomais naujinimais , jei reikia išsamios informacijos apie UEFICA2023Status ir UEFICA2023Klaidų registro raktus įrenginio rezultatams stebėti.

Žr . Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai įvykiams, kurie naudingi suprantant įrenginių būseną, įrenginio atributus ir įrenginio talpyklos ID. Atkreipkite ypatingą dėmesį į 1801 ir 1808 įvykius, aprašytus įvykių puslapyje.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras