Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Sākotnējais publicēšanas datums: 2025. gada 4. decembris

KB ID: 5073196

Šajā rakstā ir norādījumi: 

  • Organizācijas, kurām ir sava IT nodaļa, kas pārvalda Windows ierīces un atjauninājumus.

Piezīme. Ja esat persona, kurai pieder personiska Windows ierīce, lūdzu, skatiet rakstu Windows ierīces mājas lietotājiem, uzņēmumiem un mācību iestādēm, kurās tiek lietoti Microsoft pārvaldīti atjauninājumi. ​​​​​​​

Šī atbalsta pieejamība

  • 2025. gada 11. novembris. Windows 11 un Windows 10 joprojām tiek atbalstīti.

Datuma maiņa

Mainīt aprakstu

2025. gada 17. decembris

Pievienota sadaļa Zināmā problēma

Šajā rakstā:

Ievads

Šajā dokumentā ir aprakstīts atbalsts drošas sāknēšanas sertifikāta atjauninājumu izvietošanai, pārvaldībai un pārraudzībai, izmantojot Microsoft Intune. Iestatījumu sastāv no:

  • Iespēja aktivizēt izvietošanu ierīcē

  • Iestatījums, ar kuru var izvēlēties augstas ticamības intervālus/atteikties no tā

  • Iestatījums, kas ļauj korporācijai Microsoft izvēlēties atjauninājumu pārvaldību/nepieteikties no tās

Microsoft Intune konfigurācijas metode

Šī metode piedāvā drošas sāknēšanas iestatījumu Microsoft Intune ko domēna administratori var iestatīt, lai izvietotu drošās sāknēšanas atjauninājumus visiem domēnam pievienotajiem Windows klientiem. Turklāt divas drošās sāknēšanas palīgas var pārvaldīt ar atteikšanās/atteikšanās iestatījumiem.

Programmā Microsoft Intune

  1. Sadaļā Ierīces > ierīču pārvaldība atlasiet Konfigurācija.

  2. Atlasiet Izveidot un atlasiet Jauna politika.

    • Dodieties uz Izveidot profilu labajā rūtī.

    • Aizpildiet platformu ar Windows 10 un jaunākām versijām.

  3. Sadaļā Profila tips atlasietIestatījumu katalogs Pievienots attēls

  4. Sāciet veidot profilu, piešķirot profilam nosaukumu. Šajā piemērā kā nosaukums tiek izmantots "Secure Boot". Nospiediet Tālāk.attēls

  5. Sadaļā Konfigurācijas iestatījumi atlasiet Pievienot iestatījumus un izmantojiet iestatījumu atlasītāju, lai atrastu drošās sāknēšanas iestatījumus, meklējot drošas sāknēšanas programmu. Kategorijā Drošā sāknēšana vajadzētu būt redzamiem trim iestatījumiem. Šie ir tie paši iestatījumi, kas aprakstīti reģistra atslēgu atjauninājumos drošai sāknēšanai: Windows ierīces ar IT pārvaldītiem atjauninājumiem un grupas politika objekti (GPO) metodi drošai palaišanai Windows ierīcēm ar IT pārvaldītiem atjauninājumu dokumentiem.

    • Enable Secureboot Certificate Atjauninājumi is selected by default and enabled.

    • Iespēja izvēlēties un atteikties no iestatījumiem, kas aprakstīti tālāk, var tikt konfigurēta tā, lai atbilstu jūsu videi un izvietošanas vajadzībām.  pievienots

  6. Pabeidziet profilu ierīcēm, kas izmantos šos iestatījumus.

Iestatījuma apraksts

Konfigurēt Microsoft Update pārvaldīto pieteikšanu

Microsoft Intune nosaukums: Konfigurēt Microsoft Update pārvaldīto pieteikšanu

Apraksts: Šī politika sniedz uzņēmumiem iespēju piedalīties Microsoft pārvaldītā drošās sāknēšanas sertifikāta atjauninājuma kontrolētā līdzekļa izvēršenā.

  • Iespējots: Microsoft palīdz izvietot sertifikātus ierīcēs, kas ir reģistrētas ieviesot.

  • Atspējots (noklusējums): nav dalības kontrolētajā rollout.

Prasības:

Konfigurējiet augstas ticamības Opt-Out

Microsoft Intune iestatījuma nosaukums: konfigurējiet augstas ticamības Opt-Out

Apraksts: Šī politika nosaka, vai drošās sāknēšanas sertifikāta atjauninājumi tiek automātiski lietoti, izmantojot Windows ikmēneša drošības un ar drošību nesaistībām atjauninājumus. Ierīces, kuras Microsoft ir validētas kā drošas sāknēšanas mainīgo atjauninājumu apstrādes iespējas, saņems šos atjauninājumus kā daļu no kumulatīvajiem ikmēneša atjauninājumiem un lietos tos automātiski. Tā kā ne visas aparatūras un aparātprogrammatūras kombinācijas var būt visaptveroši validētas, Microsoft paļaujas uz mērķa testēšanu un diagnostikas datiem, lai noteiktu ierīces gatavību. Tikai tās ierīces, kurās ir pietiekami diagnostikas dati, var tikt uzskatītas par pietiekami ticamības līmeni; ja diagnostika attiecīgajā ierīcē nav pieejama, tos nevar klasificēt ar lielu pārliecību.

  • Iespējots: automātiskā izvietošana, izmantojot ikmēneša atjauninājumus, tiek bloķēta.

  • Atspējots (noklusējums): ierīces, kas ir validētas savu atjauninājumu rezultātus, automātiski saņem sertifikātu atjauninājumus kā daļu no ikmēneša atjauninājumiem.

Piezīmes:

  • Tiek apstiprinātas paredzētās ierīces, lai sekmīgi apstrādātu atjauninājumus.

  • Konfigurējiet šo politiku, lai pārvaldītu automātisko izvietošanu, izmantojot ikmēneša atjauninājumus.

  • Atbilst reģistra atslēgai HighConfidenceOptOut.

Secureboot sertifikāta iespējošana Atjauninājumi

Microsoft Intune nosaukums: Iespējot Secureboot sertifikāta Atjauninājumi

Apraksts: Šī politika nosaka, vai Windows iniciē drošās sāknēšanas sertifikāta izvietošanas procesu ierīcēs.

  • Iespējots: Windows automātiski sāk atjaunināto drošās sāknēšanas sertifikātu izvietošanu.

  • Atspējots (noklusējums): Windows automātiski neizvieto sertifikātus.

Piezīmes:

  • Uzdevums, kas apstrādā šo iestatījumu, darbojas ik pēc 12 stundām. Dažiem atjauninājumiem var būt nepieciešama restartēšana, lai tos droši pabeigtu.

  • Kad sertifikāti tiek lietoti aparātprogrammatūrai, tos nevar noņemt no Windows. Sertifikātu notīrīšanas darbības jāveic aparātprogrammatūras interfeisā.

  • Atbilst reģistra atslēgai AvailableUpdates.

Zināmās problēmas

Pazīmes

Drošās sāknēšanas konfigurācijas iestatījumi, kas izvietoti, Microsoft Intune Mobile Ierīču pārvaldība (MDM), pašlaik tiek bloķēti Windows 10 Windows 11.

  • Mēģinot lietot šīs politikas, tiek izraisīts Microsoft Intune Kļūda kods 65 000

  • Notikumu žurnāli var POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION ierakstus, norādot, ka šis līdzeklis šajā izdevumā nav pieejams.

Risinājums

Tiek izmeklēta problēma, un, tiklīdz tā būs pieejama, tiks kopīgota papildinformācija.

Resursi

Detalizētu informāciju par UEFICA2023Status un UEFICA2023Error atslēgu pārraudzību skatiet arī rakstā Drošās sāknēšanas reģistra atslēgu atjauninājumi: Windows ierīces ar IT pārvaldītiem atjauninājumiem.

Skatiet sadaļu Droša sāknēšanas DB un DBX mainīgā atjaunināšanas notikumi notikumiem, kas ir noderīgi, lai izprastu ierīču, ierīču atribūtu un ierīču kopuma ID statusu. Pievērsiet īpašu uzmanību notikumu lapā aprakstītajiem pasākumiem 1801 un 1808.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs