Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Opprinnelig publisert dato: 4. desember 2025

KB-ID: 5073196

Denne artikkelen har veiledning for: 

  • Organisasjoner som har sin egen IT-avdeling som administrerer Windows-enheter og -oppdateringer.

Obs! Hvis du er en person som eier en personlig Windows-enhet, kan du se artikkelen Windows-enheter for hjemmebrukere, bedrifter og skoler med Microsoft-administrerte oppdateringer. ​​​​​​​

Tilgjengelighet for denne støtten

  • 11. november 2025: For versjoner av Windows 11 og Windows 10 fortsatt støttes.

Endre dato

Endre beskrivelse

17. desember 2025

Delen Kjent problem er lagt til

I denne artikkelen:

Innledning

Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av sertifikatoppdateringer for sikker oppstart ved hjelp av Microsoft Intune. Innstillingene består av:

  • Muligheten til å utløse distribusjon på en enhet

  • En innstilling for å melde deg på/velge bort samlinger med høy visshet

  • En innstilling for å melde deg på/melde deg ut av Microsoft-administrasjonsoppdateringer

Microsoft Intune konfigurasjonsmetode

Denne metoden tilbyr innstilling for sikker oppstart ved hjelp av Microsoft Intune som domeneadministratorer kan angi for å distribuere oppdateringer for sikker oppstart til alle domenetilknyttede Windows-klienter. I tillegg kan to sikre oppstartsassister administreres med opt-in/opt-out-innstillinger.

I Microsoft Intune

  1. Velg Konfigurasjon under Enheter > Administrere enheter.

  2. Velg Opprett , og velg Ny policy.

    • Gå til Opprett en profil i ruten til høyre.

    • Fyll ut plattform med Windows 10 og nyere.

  3. Velg innstillingskatalogen under profiltypen Lagt til bilde

  4. Begynn å opprette en profil ved å gi profilen et navn. I dette eksemplet bruker vi «Sikker oppstart» som navn. Trykk neste.pic

  5. Velg Legg til innstillinger under Konfigurasjonsinnstillinger, og bruk Innstillinger-velgeren til å finne innstillingene for sikker oppstart ved å søke etter Sikker oppstart. Du skal kunne se tre innstillinger i kategorien Sikker oppstart. Dette er de samme innstillingene som er beskrevet i registernøkkeloppdateringene for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer og gruppepolicy Objects (GPO)-metoden for sikker oppstart for Windows-enheter med IT-administrerte oppdateringsdokumenter.

    • Aktiver Secureboot-sertifikatet Oppdateringer er valgt som standard og aktivert.

    • Innstillingene som er beskrevet nedenfor, kan konfigureres til å pakke miljø- og distribusjonsbehovene dine.  Lagt

  6. Fullfør profilen for enhetene som skal bruke disse innstillingene.

Innstillingsbeskrivelse

Konfigurer administrert valg av Microsoft Update

Microsoft Intune innstillingsnavn: Konfigurer microsoft update managed opt in

Beskrivelse: Denne policyen gjør det mulig for virksomheter å delta i en kontrollert funksjonsutrulling av sikker oppstart sertifikatoppdatering administrert av Microsoft.

  • Aktivert: Microsoft bistår med distribusjon av sertifikater til enheter som er registrert i utrullingen.

  • Deaktivert (standard): Ingen deltakelse i kontrollert utrulling.

Krav:

Konfigurer Opt-Out med høy visshet

Microsoft Intune innstillingsnavn: Konfigurer Opt-Out med høy visshet

Beskrivelse: Denne policyen kontrollerer om oppdateringer av sertifikater for sikker oppstart brukes automatisk via månedlig sikkerhet og ikke-sikkerhetsrelaterte oppdateringer i Windows. Enheter som Microsoft har validert som i stand til å behandle variable oppdateringer for sikker oppstart, mottar disse oppdateringene som en del av kumulative månedlige oppdateringer og bruker dem automatisk. Siden ikke alle kombinasjoner av maskinvare og fastvare kan valideres fullstendig, er Microsoft avhengig av målrettet testing og diagnosedata for å bestemme enhetsberedskap. Bare enheter med tilstrekkelig diagnosedata kan vurderes med høy visshet. Hvis diagnosedata ikke er tilgjengelige for en gitt enhet, kan de ikke klassifiseres med høy visshet.

  • Aktivert: Automatisk distribusjon gjennom månedlige oppdateringer er blokkert.

  • Deaktivert (standard): Enheter som har validert oppdateringsresultatene, får automatisk sertifikatoppdateringer som en del av de månedlige oppdateringene.

Merknader:

  • Tiltenkte enheter bekreftes for å behandle oppdateringer.

  • Konfigurer denne policyen til å administrere automatisk distribusjon gjennom månedlige oppdateringer.

  • Tilsvarer registernøkkelen HighConfidenceOptOut.

Aktiver secureboot-sertifikat Oppdateringer

Microsoft Intune innstillingsnavn: Aktiver secureboot-sertifikat Oppdateringer

Beskrivelse: Denne policyen kontrollerer om Windows starter distribusjonsprosessen for sertifikat for sikker oppstart på enheter.

  • Aktivert: Windows begynner automatisk å distribuere oppdaterte sertifikater for sikker oppstart.

  • Deaktivert (standard): Windows distribuerer ikke sertifikater automatisk.

Merknader:

  • Oppgaven som behandler denne innstillingen, kjører hver 12. time. Noen oppdateringer kan kreve en omstart for å fullføres på en trygg vis.

  • Når sertifikater er brukt på fastvare, kan de ikke fjernes fra Windows. Fjerning av sertifikater må gjøres via fastvaregrensesnittet.

  • Tilsvarer registernøkkelen AvailableUpdates.

Kjente problemer

Symptomer

Konfigurasjonsinnstillinger for sikker oppstart som distribueres via Microsoft Intune mobile Enhetsbehandling (MDM), blokkeres for øyeblikket på Pro-utgaver av Windows 10 og Windows 11.

  • Forsøk på å bruke disse policyene resulterer i Microsoft Intune Feilkode 65000

  • Hendelseslogger kan registrere POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, noe som indikerer at funksjonen ikke er tilgjengelig i denne utgaven.

Løsning

Problemet er under etterforskning, og tilleggsinformasjon deles så snart den blir tilgjengelig.

Ressurser

Se også registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer for mer informasjon om UEFICA2023Status - og UEFICA2023Error-registernøkler for overvåking av enhetsresultater.

Se hendelser for variabel oppdatering av sikker oppstart og DBX for hendelser som er nyttige for å forstå statusen for enheter, enhetsattributter og enhetssamlings-ID-er. Vær spesielt oppmerksom på hendelser 1801 og 1808 beskrevet på hendelsessiden.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter