Van toepassing op
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Oorspronkelijke publicatiedatum: dinsdag 4 december 2025

KB-id: 5073196

Dit artikel bevat richtlijnen voor: 

  • Organisaties met een eigen IT-afdeling die Windows-apparaten en -updates beheert.

Opmerking: Als u een persoon bent die eigenaar bent van een persoonlijk Windows-apparaat, raadpleegt u het artikel Windows-apparaten voor thuisgebruikers, bedrijven en scholen met door Microsoft beheerde updates. ​​​​​​​

Beschikbaarheid van deze ondersteuning

  • 11 november 2025: voor versies van Windows 11 en Windows 10 nog steeds ondersteuning.

Datum wijzigen

Beschrijving wijzigen

dinsdag 9 maart 2026

De niet-ondersteunde versies van Windows 10 verwijderd uit de sectie 'Van toepassing op'.

dinsdag 4 maart 2026

Windows 11 versie 25H2 toegevoegd aan de lijst 'Van toepassing op'

dinsdag 4 februari 2026

Bekend probleem opgelost

dinsdag 17 december 2025

Sectie Bekend probleem toegevoegd

In dit artikel:

Inleiding

In dit document wordt de ondersteuning beschreven voor het implementeren, beheren en bewaken van de certificaatupdates voor beveiligd opstarten met behulp van de Microsoft Intune. De instellingen bestaan uit:

  • De mogelijkheid om implementatie op een apparaat te activeren

  • Een instelling voor het in-/afmelden van buckets met hoge betrouwbaarheid

  • Een instelling voor het in-/afmelden van Microsoft-beheer van updates

Microsoft Intune configuratiemethode

Deze methode biedt de instelling Beveiligd opstarten met behulp van Microsoft Intune die domeinbeheerders kunnen instellen om Secure Boot-updates te implementeren op alle Windows-clients die lid zijn van een domein. Daarnaast kunnen twee hulpmiddelen voor beveiligd opstarten worden beheerd met instellingen voor in- en afmelden.

In Microsoft Intune

  1. Selecteer onder Apparaten > Apparaten beherende optie Configuratie.

  2. Selecteer Maken en selecteer Nieuw beleid.

    • Ga naar Een profiel maken in het rechterdeelvenster.

    • Vul Platform in met Windows 10 en hoger.

  3. Selecteer de Instellingencatalogus onder Profieltype Afbeelding toegevoegd

  4. Begin met het maken van een profiel door het profiel een naam te geven. In dit voorbeeld gebruiken we 'Beveiligd opstarten' als de naam. Druk op Volgende.pic

  5. Selecteer onder Configuratie-instellingende optie Instellingen toevoegen en gebruik de kiezer Instellingen om de instellingen voor beveiligd opstarten te vinden door te zoeken naar Beveiligd opstarten. U ziet drie instellingen in de categorie Beveiligd opstarten. Dit zijn dezelfde instellingen die worden beschreven in de Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates en de methode groepsbeleid Objects (GPO) van Beveiligd opstarten voor Windows-apparaten met door IT beheerde updatesdocumenten.

    • Secureboot-certificaat inschakelen Updates standaard is geselecteerd en ingeschakeld.

    • De instellingen voor aanmelden en afmelden die hieronder worden beschreven, kunnen worden geconfigureerd om uw omgeving en implementatiebehoeften aan te passen.  Toegevoegd

  6. Voltooi het profiel voor de apparaten die deze instellingen gebruiken.

Beschrijving van instelling

Beheerde aanmelding voor Microsoft Update configureren

naam van Microsoft Intune-instelling: Door Microsoft Update beheerde aanmelding configureren

Beschrijving: Met dit beleid kunnen ondernemingen deelnemen aan de implementatie van een gecontroleerde functie van certificaatupdate beveiligd opstarten dat wordt beheerd door Microsoft.

  • Ingeschakeld: Microsoft helpt bij het implementeren van certificaten op apparaten die zijn ingeschreven bij de implementatie.

  • Uitgeschakeld (standaard): geen deelname aan gecontroleerde implementatie.

Vereisten:

Opt-Out met hoge betrouwbaarheid configureren

naam van Microsoft Intune-instelling: Opt-Out met hoge betrouwbaarheid configureren

Beschrijving: Dit beleid bepaalt of certificaatupdates voor beveiligd opstarten automatisch worden toegepast via maandelijkse windows-beveiligings- en niet-beveiligingsupdates. Apparaten die door Microsoft zijn gevalideerd als geschikt voor het verwerken van variabele updates voor Beveiligd opstarten, ontvangen deze updates als onderdeel van cumulatieve maandelijkse updates en passen deze automatisch toe. Omdat niet alle hardware- en firmwarecombinaties volledig kunnen worden gevalideerd, vertrouwt Microsoft op gerichte tests en diagnostische gegevens om de gereedheid van het apparaat te bepalen. Alleen apparaten met voldoende diagnostische gegevens kunnen met hoge betrouwbaarheid worden beschouwd. Als diagnostische gegevens niet beschikbaar zijn voor een bepaald apparaat, kunnen deze niet met hoge betrouwbaarheid worden geclassificeerd.

  • Ingeschakeld: Automatische implementatie via maandelijkse updates wordt geblokkeerd.

  • Uitgeschakeld (standaard): apparaten die hun updateresultaten hebben gevalideerd, ontvangen automatisch certificaatupdates als onderdeel van de maandelijkse updates.

Opmerkingen:

  • Beoogde apparaten worden bevestigd om updates te verwerken.

  • Configureer dit beleid om automatische implementatie te beheren via maandelijkse updates.

  • Komt overeen met de registersleutel HighConfidenceOptOut.

Secureboot-certificaat Updates inschakelen

naam van Microsoft Intune-instelling: Secureboot-certificaat inschakelen Updates

Beschrijving: Met dit beleid wordt bepaald of Windows het implementatieproces van het secure boot-certificaat op apparaten start.

  • Ingeschakeld: Windows begint automatisch met het implementeren van bijgewerkte Certificaten voor beveiligd opstarten.

  • Uitgeschakeld (standaard): Windows implementeert certificaten niet automatisch.

Opmerkingen:

  • De taak die deze instelling verwerkt, wordt elke 12 uur uitgevoerd. Sommige updates moeten mogelijk opnieuw worden opgestart om veilig te kunnen worden voltooid.

  • Zodra certificaten zijn toegepast op firmware, kunnen ze niet meer worden verwijderd uit Windows. Het wissen van certificaten moet worden uitgevoerd via de firmware-interface.

  • Komt overeen met de registersleutel AvailableUpdates.

Bekende problemen

Symptomen

Configuratie-instellingen voor beveiligd opstarten die zijn geïmplementeerd via Microsoft Intune Mobile Apparaatbeheer (MDM) worden momenteel geblokkeerd op Pro-edities van Windows 10 en Windows 11.

  • Pogingen om dit beleid toe te passen, resulteren in Microsoft Intune Foutcode 65000

  • Gebeurtenislogboeken kunnen POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION opnemen, wat aangeeft dat de functie niet beschikbaar is in deze editie.

Oplossing

De Microsoft Intune licentieservice is op 27 januari 2026 bijgewerkt om implementatie van configuratie-instellingen voor Beveiligd opstarten toe te staan op Pro-edities van Windows 10 en Windows 11. Apparaten die vóór deze datum hun Microsoft Intune-licentie hebben ontvangen, moeten hun licentie verlengen om dit probleem op te lossen.  Licenties worden elke maand automatisch verlengd, dus dit probleem is opgelost voor alle apparaten op 27 februari 2026. U kunt dit probleem onmiddellijk oplossen door de licentie op uw apparaat te verlengen door namens de gebruiker de volgende opdrachten uit te voeren (in de context van de gebruiker):

  • ClipDLS.exe abonnement verwijderen

  • ClipRenew.exe

Middelen

Zie ook Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutelS UEFICA2023Status en UEFICA2023Error voor het bewaken van apparaatresultaten.

Zie Updategebeurtenissen voor Secure Boot DB en DBX-variabelen voor gebeurtenissen die nuttig zijn voor het begrijpen van de status van apparaten, apparaatkenmerken en apparaat-bucket-id's. Let vooral op gebeurtenissen 1801 en 1808 die worden beschreven op de gebeurtenispagina.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum