Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data publikacji oryginalnej: 4 grudnia 2025 r.

Identyfikator BAZY WIEDZY: 5073196

Ten artykuł zawiera wskazówki dotyczące: 

  • Organizacje, które mają własny dział informatyczny zarządzający urządzeniami i aktualizacjami systemu Windows.

Uwaga: Jeśli jesteś osobą fizyczną, która jest właścicielem osobistego urządzenia z systemem Windows, zobacz artykuł Urządzenia z systemem Windows dla użytkowników domowych, firm i szkół z aktualizacjami zarządzanymi przez Firmę Microsoft. ​​​​​​​

Dostępność tej pomocy technicznej

  • 11 listopada 2025 r.: W przypadku wersji Windows 11 i Windows 10 nadal obsługiwane.

W tym artykule:

Wprowadzenie

W tym dokumencie opisano obsługę wdrażania aktualizacji certyfikatu bezpiecznego rozruchu oraz zarządzania nimi przy użyciu Microsoft Intune. Ustawienia składają się z następujących elementów:

  • Możliwość wyzwalania wdrożenia na urządzeniu

  • Ustawienie umożliwiające rezygnację z zasobników o dużej ufności

  • Ustawienie umożliwiające rezygnację z otrzymywania aktualizacji przez firmę Microsoft

metoda konfiguracji Microsoft Intune

Ta metoda oferuje ustawienie bezpiecznego rozruchu przy użyciu Microsoft Intune, które administratorzy domeny mogą skonfigurować do wdrażania aktualizacji bezpiecznego rozruchu we wszystkich klientach systemu Windows przyłączonych do domeny. Ponadto za pomocą ustawień opt-in/opt-out można zarządzać dwoma asystami bezpiecznego rozruchu.

W Microsoft Intune

  1. W obszarze Urządzenia > Zarządzaj urządzeniami wybierz pozycję Konfiguracja.

  2. Wybierz pozycję Utwórz i wybierz pozycję Nowe zasady.

    • Przejdź do pozycji Utwórz profil w okienku po prawej stronie.

    • Wypełnij platformę za pomocą Windows 10 i nowszych.

  3. Wybierz wykaz ustawień w obszarze Typ profilu Dodano obraz

  4. Rozpocznij tworzenie profilu, nadając profilowi nazwę. W tym przykładzie jako nazwy jest używany ciąg "Bezpieczny rozruch". Naciśnij przycisk Dalej.obraz

  5. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia i użyj selektora ustawień, aby znaleźć ustawienia bezpiecznego rozruchu, wyszukując pozycję Bezpieczny rozruch. W kategorii Bezpieczny rozruch powinny być widoczne trzy ustawienia. Są to te same ustawienia opisane w aktualizacjach klucza rejestru dla bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez DZIAŁ IT oraz metoda zasady grupy Objects (GPO) bezpiecznego rozruchu dla urządzeń z systemem Windows z dokumentami z aktualizacjami zarządzanymi przez DZIAŁ IT.

    • Włączanie Aktualizacje certyfikatu secureboot jest domyślnie zaznaczone i włączone.

    • Opisane poniżej ustawienia opt-in i rezygnacji można skonfigurować tak, aby spełniały twoje potrzeby w zakresie środowiska i wdrażania.  Dodane

  6. Dokończ profil urządzeń, na których będą używane te ustawienia.

Opis ustawienia

Konfigurowanie opcji zarządzanych przez usługę Microsoft Update

Microsoft Intune ustawienie nazwy: Konfigurowanie programu Microsoft Update Managed Opt In

Opis: Te zasady umożliwiają przedsiębiorstwom uczestniczenie w kontrolowanym wdrożeniu funkcji aktualizacji certyfikatu bezpiecznego rozruchu zarządzanej przez firmę Microsoft.

  • Włączone: Firma Microsoft pomaga we wdrażaniu certyfikatów na urządzeniach zarejestrowanych w wdrożeniu.

  • Wyłączone (domyślne): Brak uczestnictwa w kontrolowanym wdrożeniu.

Wymagania:

Konfigurowanie Opt-Out dużej pewności siebie

nazwa ustawienia Microsoft Intune: konfigurowanie Opt-Out dużej ufności

Opis: Te zasady sterują tym, czy aktualizacje certyfikatu bezpiecznego rozruchu są stosowane automatycznie za pośrednictwem comiesięcznych aktualizacji zabezpieczeń i niezwiązanych z zabezpieczeniami systemu Windows. Urządzenia, które firma Microsoft zweryfikowała jako zdolne do przetwarzania aktualizacji zmiennych bezpiecznego rozruchu, otrzymają te aktualizacje w ramach skumulowanych comiesięcznych aktualizacji i zastosują je automatycznie. Ponieważ nie wszystkie kombinacje sprzętu i oprogramowania układowego mogą być prawidłowo weryfikowane, firma Microsoft korzysta z testów ukierunkowanych i danych diagnostycznych w celu określenia gotowości urządzenia. Z dużą pewnością można rozważyć tylko urządzenia z wystarczającą ilością danych diagnostycznych; jeśli dane diagnostyczne są niedostępne dla danego urządzenia, nie można ich sklasyfikować z dużą pewnością siebie.

  • Włączone: Automatyczne wdrażanie za pośrednictwem comiesięcznych aktualizacji jest blokowane.

  • Wyłączone (domyślne): Urządzenia, które zweryfikowały wyniki aktualizacji, automatycznie otrzymują aktualizacje certyfikatów w ramach comiesięcznych aktualizacji.

Uwagi:

  • Zamierzone urządzenia są potwierdzone, aby pomyślnie przetwarzać aktualizacje.

  • Skonfiguruj te zasady, aby zarządzać automatycznym wdrażaniem za pośrednictwem comiesięcznych aktualizacji.

  • Odpowiada kluczowi rejestru HighConfidenceOptOut.

Włączanie Aktualizacje certyfikatu secureboot

nazwa ustawienia Microsoft Intune: Włączanie Aktualizacje certyfikatu secureboot

Opis: Te zasady sterują tym, czy system Windows inicjuje proces wdrażania certyfikatu bezpiecznego rozruchu na urządzeniach.

  • Włączone: System Windows automatycznie rozpoczyna wdrażanie zaktualizowanych certyfikatów bezpiecznego rozruchu.

  • Wyłączone (domyślne): System Windows nie wdraża certyfikatów automatycznie.

Uwagi:

  • Zadanie przetwarzające to ustawienie jest uruchamiane co 12 godzin. Niektóre aktualizacje mogą wymagać ponownego uruchomienia w celu ich bezpiecznego ukończenia.

  • Po zastosowaniu certyfikatów do oprogramowania układowego nie można ich usunąć z systemu Windows. Czyszczenie certyfikatów musi odbywać się za pośrednictwem interfejsu oprogramowania układowego.

  • Odpowiada kluczowi rejestru AvailableUpdates.

Zasoby

Zobacz też Aktualizacje klucza rejestru dla bezpiecznego rozruchu: Urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział it , aby uzyskać szczegółowe informacje na temat kluczy stanów UEFICA2023Status i UEFICA2023Error do monitorowania wyników urządzenia.

Zobacz zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu , aby uzyskać informacje o zdarzeniach przydatnych w zrozumieniu stanu urządzeń, atrybutów urządzenia i identyfikatorów zasobnika urządzenia. Zwróć szczególną uwagę na zdarzenia 1801 i 1808 opisane na stronie zdarzeń.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu