Opmerking
- Oorspronkelijke publicatiedatum: 4 december 2025
- KB-id: 5073196
Dit artikel bevat richtlijnen voor:
- Organisaties met een eigen IT-afdeling die Windows-apparaten en -updates beheren.
Opmerking: als u een particulier bent die een persoonlijk Windows-apparaat bezit, raadpleegt u het artikel Windows-apparaten voor thuisgebruikers, bedrijven en scholen met door Microsoft beheerde updates.
Opmerking
Beschikbaarheid van deze ondersteuning
- 11 november 2025: Voor versies van Windows 11 en Windows 10 die nog steeds worden ondersteund.
Wijzigingenlogboek
| Datum wijzigen | Beschrijving wijzigen |
|---|---|
| 23 maart 2026 | Het bekende probleem voor Microsoft Intune-foutcode 65000 is bijgewerkt. |
| 9 maart 2026 | De niet-ondersteunde versies van Windows 10 zijn verwijderd uit de sectie 'Van toepassing op'. |
| 4 maart 2026 | Toegevoegd Windows 11, versie 25H2 aan de lijst "Van toepassing op" |
| 4 februari 2026 | Bekend probleem opgelost |
| dinsdag 17 december 2025 | Sectie Bekend probleem toegevoegd |
In dit artikel:
- Inleiding
- Microsoft Intune configuratiemethode
- Beschrijving van instelling
- Bekende problemen
- Bronnen
Inleiding
Dit document beschrijft de ondersteuning voor het implementeren, beheren en bewaken van de Secure Boot-certificaatupdates met behulp van de Microsoft Intune. De instellingen bestaan uit:
- De mogelijkheid om de implementatie op een apparaat te activeren
- Een instelling voor het in-/uitschakelen van buckets met een hoge betrouwbaarheid
- Een instelling om u aan of af te melden voor Microsoft beheren van updates
Microsoft Intune configuratiemethode
Deze methode biedt de instelling Beveiligd opstarten met behulp van Microsoft Intune die domeinbeheerders kunnen instellen om updates voor beveiligd opstarten te implementeren op alle Windows-clients die lid zijn van een domein. Bovendien kunnen twee Beveiligd opstart-assistenten worden beheerd met opt-in/opt-out-instellingen.
In Microsoft Intune,
Selecteer Configuratie onder Apparaten>beheren en Configuratie.
Selecteer Maken en selecteer Nieuw beleid.
- Ga naar Een profiel maken in het rechterdeelvenster.
- Vul het Platform in met Windows 10 en hoger.
Selecteer de Instellingencatalogus onder het Profieltype.
Begin met het maken van een profiel door het profiel een naam te geven. In dit voorbeeld gebruiken we 'Beveiligd opstarten' als de naam. Druk op Volgende.
Selecteer onder Configuratie-instellingende optie Instellingen toevoegen en gebruik de Instellingenkiezer om de instellingen voor beveiligd opstarten te vinden door te zoeken naar Beveiligd opstarten. Je ziet drie instellingen in de categorie Beveiligd opstarten. Dit zijn dezelfde instellingen die worden beschreven in de registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates en de GPO-methode (groepsbeleid objecten) van Beveiligd opstarten voor Windows-apparaten met documenten met door IT beheerde updates.
Secureboot-certificaat inschakelen Updates standaard is geselecteerd en ingeschakeld.
De instellingen voor in- en uitschakelen die hieronder worden beschreven, kunnen worden geconfigureerd om te voldoen aan uw omgeving en implementatiebehoeften.
Voltooi het profiel voor de apparaten die deze instellingen gebruiken.
Beschrijving van instelling
Managed Opt In van Microsoft Update configureren
Microsoft Intune Naam van instelling: Beheerde inschrijving van Microsoft Update configureren
Beschrijving:
Met dit beleid kunnen ondernemingen deelnemen aan een gecontroleerde functie-implementatie van een Secure Boot-certificaatupdate beheerd door Microsoft.
- Ingeschakeld: Microsoft helpt bij het implementeren van certificaten op apparaten die zijn geregistreerd bij de implementatie.
- Uitgeschakeld (standaard): Geen deelname aan gecontroleerde implementatie.
Vereisten:
- Het apparaat moet vereiste diagnostische gegevens verzenden naar Microsoft. Zie Diagnostische Windows-gegevens configureren in uw organisatie - Windows-privacy | Microsoft Learn.
- Komt overeen met de registersleutel MicrosoftUpdateManagedOptIn.
Opt-out met hoge betrouwbaarheid configureren
Naam van Microsoft Intune instelling: Hoge betrouwbaarheid configureren Opt-Out
Beschrijving:
Met dit beleid wordt bepaald of certificaatupdates voor beveiligd opstarten automatisch worden toegepast via maandelijkse beveiligings- en niet-beveiligingsupdates voor Windows. Apparaten die door Microsoft zijn gevalideerd als apparaten die variabel beveiligd opstarten kunnen verwerken, ontvangen deze updates als onderdeel van cumulatieve maandelijkse updates en passen deze automatisch toe. Omdat niet alle hardware- en firmwarecombinaties volledig kunnen worden gevalideerd, vertrouwt Microsoft op gerichte test- en diagnostische gegevens om de gereedheid van het apparaat te bepalen.
Alleen apparaten met voldoende diagnostische gegevens kunnen met hoge betrouwbaarheid worden beschouwd; als diagnostische gegevens niet beschikbaar zijn voor een bepaald apparaat, kunnen deze niet met hoge betrouwbaarheid worden geclassificeerd.
- Enabled: Automatische implementatie via maandelijkse updates is geblokkeerd.
- Uitgeschakeld (standaard): Apparaten waarop de updateresultaten zijn gevalideerd, ontvangen automatisch certificaatupdates als onderdeel van de maandelijkse updates.
Opmerkingen:
- Er is bevestigd dat de beoogde apparaten updates met succes verwerken.
- Configureer dit beleid voor het beheren van automatische implementatie via maandelijkse updates.
- Komt overeen met de registersleutel HighConfidenceOptOut.
Secureboot-certificaat inschakelen Updates
Naam van Microsoft Intune instelling: Secureboot-certificaat inschakelen Updates
Beschrijving:
Met dit beleid wordt bepaald of Windows het implementatieproces van het Secure Boot-certificaat op apparaten initieert.
- Ingeschakeld: Windows begint automatisch met het implementeren van bijgewerkte certificaten voor beveiligd opstarten.
- Uitgeschakeld (standaard): Windows implementeert certificaten niet automatisch.
Opmerkingen:
- De taak waarmee deze instelling wordt verwerkt, wordt elke 12 uur uitgevoerd. Sommige updates moeten mogelijk opnieuw worden opgestart om veilig te worden voltooid.
- Zodra certificaten zijn toegepast op firmware, kunnen deze niet meer uit Windows worden verwijderd. Het wissen van certificaten moet worden gedaan via de firmware-interface.
- Komt overeen met de registersleutel AvailableUpdates.
Bekende problemen
Microsoft Intune foutcode 65000 in Pro-edities van Windows
Symptomen
Configuratie-instellingen voor beveiligd opstarten die zijn geïmplementeerd via Microsoft Intune Mobile Apparaatbeheer (MDM) zijn momenteel geblokkeerd op Pro-edities van Windows 10 en Windows 11.
- Als u probeert deze beleidsregels toe te passen, wordt foutcode 65000 voor Microsoft Intune weergegeven.
- In gebeurtenislogboeken wordt mogelijk POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION vastgelegd, wat aangeeft dat de functie niet beschikbaar is in deze editie.
Oplossing
De licentieservice van Microsoft Intune is bijgewerkt op 27 januari 2026 om implementatie van configuratie-instellingen voor beveiligd opstarten op Pro-edities van Windows 10 en Windows 11 mogelijk te maken.
Opmerking
Microsoft Intune foutcode 65000 kan nog steeds optreden in Pro-edities van Windows 11 versie 23H2. Een oplossing voor dit probleem zal naar verwachting worden uitgebracht in een toekomstige Windows-update.
Apparaten die de Microsoft Intune-licentie vóór deze datum hebben ontvangen, moeten hun licentie verlengen om dit probleem op te lossen. Licenties worden elke maand automatisch verlengd, dus dit probleem is voor apparaten opgelost vóór 27 februari 2026 (met uitzondering van sommige apparaten met Windows 11, versie 23H2, zoals hierboven vermeld). Als u de licentie op uw apparaat handmatig wilt verlengen, voert u de volgende opdrachten uit namens de gebruiker (onder de context van de gebruiker):
- ClipDLS.exe removesubscription
- ClipRenew.exe
Bronnen
Zie ook Registersleutelupdates voor beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutels UEFICA2023Status en UEFICA2023Error voor het bewaken van apparaatresultaten.
Zie Gebeurtenissen voor variabele updates van Secure Boot DB en DBX voor gebeurtenissen die nuttig zijn om inzicht te krijgen in de status van apparaten, apparaatkenmerken en apparaatbucket-id's. Besteed speciale aandacht aan gebeurtenissen 1801 en 1808 die op de evenementenpagina worden beschreven.