Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opprinnelig publisert dato: 30. oktober 2025

KB-ID: 5068198

Denne artikkelen har veiledning for: 

  • Organisasjoner som har sin egen IT-avdeling som administrerer Windows-enheter og -oppdateringer.

Obs! Hvis du er en person som eier en personlig Windows-enhet, kan du se artikkelen Windows-enheter for hjemmebrukere, bedrifter og skoler med Microsoft-administrerte oppdateringer

Tilgjengelighet for denne støtten

  • 14. oktober 2025: Støttede versjoner inkluderer Windows 10, versjon 22H2 og nyere versjoner (inkludert 21H2 LTSC), alle støttede versjoner av Windows 11 samt Windows Server 2022 og nyere.

  • 11. november 2025: For versjoner av Windows som fortsatt støttes.

I denne artikkelen:

Innledning

Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av sertifikatoppdateringer for sikker oppstart ved hjelp av objektet Secure Boot gruppepolicy. Innstillingene består av: 

  • Muligheten til å utløse distribusjon på en enhet

  • En innstilling for å melde deg på/velge bort samlinger med høy visshet

  • En innstilling for å melde deg på/melde deg ut av Microsoft-administrasjonsoppdateringer

konfigurasjonsmetode for gruppepolicy object (GPO)

Denne metoden tilbyr en enkel sikker oppstart gruppepolicy innstilling som domeneadministratorer kan angi for å distribuere oppdateringer for sikker oppstart til alle domenetilknyttede Windows-klienter og -servere. I tillegg kan to sikre oppstartsassister administreres med opt-in/opt-out-innstillinger. 

Hvis du vil ha oppdateringene som inkluderer policyen for distribusjon av sertifikatoppdateringer for sikker oppstart, kan du se delen Ressurser nedenfor.

Du finner denne policyen under følgende bane i brukergrensesnittet for gruppepolicy: 

           Datamaskinkonfigurasjon->Administrative maler->Windows-komponenter->sikker oppstart 

Viktig!: Sikker oppstart avhenger av fastvaren til enheten, og noen enheter kan oppleve kompatibilitetsproblemer. Slik sikrer du en sikker utrulling:

  1. Valider oppdateringspolicyen på minst én representativ enhet for hver enhetstype i organisasjonen.

  2. Bekreft at sertifikater for sikker oppstart er brukt på UEFI DB og KEK. Hvis du vil ha detaljerte instruksjoner, kan du gå til oppdateringer for sertifikat for sikker oppstart: Veiledning for IT-teknikere og organisasjoner.

  3. Etter validering grupperer du enheter etter hash-kode for samling og bruker policyen på disse enhetene for en kontrollert utrulling.

Tilgjengelige konfigurasjonsinnstillinger 

Bilde

De tre innstillingene som er tilgjengelige for distribusjon av sertifikat for sikker oppstart, er beskrevet her. Disse innstillingene tilsvarer registernøklene som er beskrevet i registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer

Aktiver distribusjon av sertifikat for sikker oppstart 

gruppepolicy innstillingsnavn: Aktiver distribusjon av sertifikat for sikker oppstart 

bilder

Beskrivelse: Denne policyen kontrollerer om Windows starter distribusjonsprosessen for sertifikat for sikker oppstart på enheter. 

  • Aktivert: Windows begynner automatisk å distribuere oppdaterte sertifikater for sikker oppstart når oppgaven for sikker oppstart kjøres.

  • Deaktivert: Windows distribuerer ikke sertifikater automatisk.

  • Ikke konfigurert: Standard virkemåte gjelder (ingen automatisk distribusjon).

Obs!: 

  • Oppgaven som behandler denne innstillingen, kjører hver 12. time. Noen oppdateringer kan kreve en omstart for å fullføres på en trygg vis.

  • Når sertifikater er brukt på fastvare, kan de ikke fjernes fra Windows. Fjerning av sertifikater må gjøres via fastvaregrensesnittet.

  • Denne innstillingen regnes som en innstilling. hvis gruppepolicyobjektet fjernes, beholdes registerverdien.

  • Tilsvarer registernøkkelen AvailableUpdates.

Automatisk sertifikatdistribusjon via Oppdateringer 

gruppepolicy innstillingsnavn: Automatisk sertifikatdistribusjon via Oppdateringer 

Bilder.

Beskrivelse: Denne policyen kontrollerer om oppdateringer av sertifikater for sikker oppstart brukes automatisk via månedlig sikkerhet og ikke-sikkerhetsrelaterte oppdateringer i Windows. Enheter som Microsoft har validert som i stand til å behandle variable oppdateringer for sikker oppstart, mottar disse oppdateringene som en del av kumulativ service og bruker dem automatisk. 

  • Aktivert: Enheter med validerte oppdateringsresultater mottar sertifikatoppdateringer automatisk under service.

  • Deaktivert: Automatisk distribusjon er blokkert. oppdateringer må administreres manuelt.

  • Ikke konfigurert: Automatisk distribusjon skjer som standard.

Obs!: 

  • Tiltenkte enheter bekreftet for å behandle oppdateringer.

  • Konfigurer denne policyen til å velge automatisk distribusjon.

  • Tilsvarer registernøkkelen HighConfidenceOptOut.

Sertifikatdistribusjon via kontrollert funksjonsutrulling 

gruppepolicy innstillingsnavn: Sertifikatdistribusjon via kontrollert funksjonsutrulling 

bilde

Beskrivelse: Denne policyen gjør det mulig for virksomheter å delta i en kontrollert funksjonsutrulling av sikker oppstart sertifikatoppdatering administrert av Microsoft.

  • Aktivert: Microsoft bistår med distribusjon av sertifikater til enheter som er registrert i utrullingen.

  • Deaktivert eller ikke konfigurert: Ingen deltakelse i kontrollert utrulling.

Krav

Ressurser

Se også registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer for mer informasjon om UEFICA2023Status - og UEFICA2023Error-registernøkler for overvåking av enhetsresultater. 

Se hendelser for variabel oppdatering av sikker oppstart og DBX for hendelser som er nyttige for å forstå statusen for enheter, enhetsattributter og enhetssamlings-ID-er. Vær spesielt oppmerksom på hendelser 1801 og 1808 beskrevet på hendelsessiden. 

Bruk koblingene nedenfor for gruppepolicy MSI-er og referanseregnearket for gp-innstillinger, eller kontroller at de administrative malene du bruker, publiseres på eller etter datoene som er oppført i tabellen. 

Plattform

Publisert MSI

Referanseregneark for publiserte GP-innstillinger

Klient

Last ned administrative maler (.admx) for Windows 11 2025-oppdatering (25H2) – V2.0 fra det offisielle Microsoft-nettstedet

Publisert: 29.09.2025

Last ned gruppepolicy Referanseregneark for innstillinger for Windows 11 2025-oppdatering (25H2) – V2.0 fra offisielt Microsoft-nettsted

Publisert: 02.10.2025

Server

Last ned administrative maler (.admx) for Windows Server 2025 (utgivelse 25. oktober) fra det offisielle Microsoft-nettstedet

Publisert: 27.10.2025

Last ned gruppepolicy Referanseregneark for innstillinger for Windows Server 2025 (utgivelse 25. oktober) fra offisielt Microsoft-nettsted

Publisert: 27.10.2025
Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter