Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Oorspronkelijke publicatiedatum: dinsdag 4 december 2025

KB-id: 5073196

Dit artikel bevat richtlijnen voor: 

  • Organisaties met een eigen IT-afdeling die Windows-apparaten en -updates beheert.

Opmerking: Als u een persoon bent die eigenaar bent van een persoonlijk Windows-apparaat, raadpleegt u het artikel Windows-apparaten voor thuisgebruikers, bedrijven en scholen met door Microsoft beheerde updates. ​​​​​​​

Beschikbaarheid van deze ondersteuning

  • 11 november 2025: voor versies van Windows 11 en Windows 10 nog steeds ondersteuning.

Datum wijzigen

Beschrijving wijzigen

dinsdag 17 december 2025

Sectie Bekend probleem toegevoegd

In dit artikel:

Inleiding

In dit document wordt de ondersteuning beschreven voor het implementeren, beheren en bewaken van de certificaatupdates voor beveiligd opstarten met behulp van de Microsoft Intune. De instellingen bestaan uit:

  • De mogelijkheid om implementatie op een apparaat te activeren

  • Een instelling voor het in-/afmelden van buckets met hoge betrouwbaarheid

  • Een instelling voor het in-/afmelden van Microsoft-beheer van updates

Microsoft Intune configuratiemethode

Deze methode biedt de instelling Beveiligd opstarten met behulp van Microsoft Intune die domeinbeheerders kunnen instellen om Secure Boot-updates te implementeren op alle Windows-clients die lid zijn van een domein. Daarnaast kunnen twee hulpmiddelen voor beveiligd opstarten worden beheerd met instellingen voor in- en afmelden.

In Microsoft Intune

  1. Selecteer onder Apparaten > Apparaten beherende optie Configuratie.

  2. Selecteer Maken en selecteer Nieuw beleid.

    • Ga naar Een profiel maken in het rechterdeelvenster.

    • Vul Platform in met Windows 10 en hoger.

  3. Selecteer de Instellingencatalogus onder Profieltype Afbeelding toegevoegd

  4. Begin met het maken van een profiel door het profiel een naam te geven. In dit voorbeeld gebruiken we 'Beveiligd opstarten' als de naam. Druk op Volgende.pic

  5. Selecteer onder Configuratie-instellingende optie Instellingen toevoegen en gebruik de kiezer Instellingen om de instellingen voor beveiligd opstarten te vinden door te zoeken naar Beveiligd opstarten. U ziet drie instellingen in de categorie Beveiligd opstarten. Dit zijn dezelfde instellingen die worden beschreven in de Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates en de methode groepsbeleid Objects (GPO) van Beveiligd opstarten voor Windows-apparaten met door IT beheerde updatesdocumenten.

    • Secureboot-certificaat inschakelen Updates standaard is geselecteerd en ingeschakeld.

    • De instellingen voor aanmelden en afmelden die hieronder worden beschreven, kunnen worden geconfigureerd om uw omgeving en implementatiebehoeften aan te passen.  Toegevoegd

  6. Voltooi het profiel voor de apparaten die deze instellingen gebruiken.

Beschrijving van instelling

Beheerde aanmelding voor Microsoft Update configureren

naam van Microsoft Intune-instelling: Door Microsoft Update beheerde aanmelding configureren

Beschrijving: Met dit beleid kunnen ondernemingen deelnemen aan de implementatie van een gecontroleerde functie van certificaatupdate beveiligd opstarten dat wordt beheerd door Microsoft.

  • Ingeschakeld: Microsoft helpt bij het implementeren van certificaten op apparaten die zijn ingeschreven bij de implementatie.

  • Uitgeschakeld (standaard): geen deelname aan gecontroleerde implementatie.

Vereisten:

Opt-Out met hoge betrouwbaarheid configureren

naam van Microsoft Intune-instelling: Opt-Out met hoge betrouwbaarheid configureren

Beschrijving: Dit beleid bepaalt of certificaatupdates voor beveiligd opstarten automatisch worden toegepast via maandelijkse windows-beveiligings- en niet-beveiligingsupdates. Apparaten die door Microsoft zijn gevalideerd als geschikt voor het verwerken van variabele updates voor Beveiligd opstarten, ontvangen deze updates als onderdeel van cumulatieve maandelijkse updates en passen deze automatisch toe. Omdat niet alle hardware- en firmwarecombinaties volledig kunnen worden gevalideerd, vertrouwt Microsoft op gerichte tests en diagnostische gegevens om de gereedheid van het apparaat te bepalen. Alleen apparaten met voldoende diagnostische gegevens kunnen met hoge betrouwbaarheid worden beschouwd. Als diagnostische gegevens niet beschikbaar zijn voor een bepaald apparaat, kunnen deze niet met hoge betrouwbaarheid worden geclassificeerd.

  • Ingeschakeld: Automatische implementatie via maandelijkse updates wordt geblokkeerd.

  • Uitgeschakeld (standaard): apparaten die hun updateresultaten hebben gevalideerd, ontvangen automatisch certificaatupdates als onderdeel van de maandelijkse updates.

Opmerkingen:

  • Beoogde apparaten worden bevestigd om updates te verwerken.

  • Configureer dit beleid om automatische implementatie te beheren via maandelijkse updates.

  • Komt overeen met de registersleutel HighConfidenceOptOut.

Secureboot-certificaat Updates inschakelen

naam van Microsoft Intune-instelling: Secureboot-certificaat inschakelen Updates

Beschrijving: Met dit beleid wordt bepaald of Windows het implementatieproces van het secure boot-certificaat op apparaten start.

  • Ingeschakeld: Windows begint automatisch met het implementeren van bijgewerkte Certificaten voor beveiligd opstarten.

  • Uitgeschakeld (standaard): Windows implementeert certificaten niet automatisch.

Opmerkingen:

  • De taak die deze instelling verwerkt, wordt elke 12 uur uitgevoerd. Sommige updates moeten mogelijk opnieuw worden opgestart om veilig te kunnen worden voltooid.

  • Zodra certificaten zijn toegepast op firmware, kunnen ze niet meer worden verwijderd uit Windows. Het wissen van certificaten moet worden uitgevoerd via de firmware-interface.

  • Komt overeen met de registersleutel AvailableUpdates.

Bekende problemen

Symptomen

Configuratie-instellingen voor beveiligd opstarten die zijn geïmplementeerd via Microsoft Intune Mobile Apparaatbeheer (MDM) worden momenteel geblokkeerd op Pro-edities van Windows 10 en Windows 11.

  • Pogingen om dit beleid toe te passen, resulteren in Microsoft Intune Foutcode 65000

  • Gebeurtenislogboeken kunnen POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION opnemen, wat aangeeft dat de functie niet beschikbaar is in deze editie.

Tijdelijke oplossing

Het probleem wordt onderzocht en er wordt aanvullende informatie gedeeld zodra deze beschikbaar is.

Middelen

Zie ook Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutelS UEFICA2023Status en UEFICA2023Error voor het bewaken van apparaatresultaten.

Zie Updategebeurtenissen voor Secure Boot DB en DBX-variabelen voor gebeurtenissen die nuttig zijn voor het begrijpen van de status van apparaten, apparaatkenmerken en apparaat-bucket-id's. Let vooral op gebeurtenissen 1801 en 1808 die worden beschreven op de gebeurtenispagina.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum