Se aplică la
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data inițială a publicării: 4 decembrie 2025

ID KB: 5073196

Acest articol conține instrucțiuni pentru: 

  • Organizațiile care au propriul departament IT care gestionează dispozitive și actualizări Windows.

Notă: dacă sunteți o persoană care deține un dispozitiv Windows personal, consultați articolul Dispozitive Windows pentru utilizatori la domiciliu, firme și școli cu actualizări gestionate de Microsoft. ​​​​​​​

Disponibilitatea acestei asistențe

  • 11 noiembrie 2025: Pentru versiunile de Windows 11 și Windows 10 încă în asistență.

Modificare dată

Modificare descriere

17 decembrie 2025

Secțiunea Problemă cunoscută adăugată

În acest articol:

Introducere

Acest document descrie suportul pentru implementarea, gestionarea și monitorizarea actualizărilor certificatului de bootare securizată utilizând Microsoft Intune. Setările constau din:

  • Capacitatea de a declanșa implementarea pe un dispozitiv

  • O setare pentru a renunța la bucketurile de mare încredere

  • O setare pentru a renunța la gestionarea actualizărilor de către Microsoft

Microsoft Intune metodă de configurare

Această metodă oferă setarea Bootare sigură utilizând Microsoft Intune pe care administratorii de domeniu o pot seta pentru a implementa actualizări secure Boot pentru toți clienții Windows asociați la domeniu. În plus, două asistență pentru Bootare sigură pot fi gestionate cu setările de optare/renunțare.

În Microsoft Intune,

  1. Sub Dispozitive > Gestionați dispozitivele, selectați Configurare.

  2. Selectați Creare și selectați Politică nouă.

    • Accesați Crearea unui profil în panoul din dreapta.

    • Completați Platformă cu Windows 10 și versiuni mai recente.

  3. Selectați Catalogul de setări de sub Tip profil Imagine adăugată

  4. Începeți să creați un profil, dând un nume profilului. În acest exemplu, folosim "Bootare sigură" ca nume. Apăsați pe Următorul.foto

  5. Sub Setări de configurare, selectați Adăugare setări și utilizați selectorul Setări pentru a găsi setările secure Boot căutând Bootare sigură. Ar trebui să vedeți trei setări în categoria Bootare sigură. Acestea sunt aceleași setări descrise în actualizările cheilor de registry pentru Bootare securizată: dispozitive Windows cu actualizări gestionate de IT și metoda Politică de grup Objects (GPO) de Bootare sigură pentru dispozitive Windows cu documente de actualizări gestionate de IT.

    • Activare Actualizări de certificate Secureboot este selectată în mod implicit și activată.

    • Setările de optare și renunțare descrise mai jos pot fi configurate pentru a vă adapta nevoile de mediu și de implementare.  Au adăugat

  6. Terminați profilul pentru dispozitivele care vor utiliza aceste setări.

Setare descriere

Configurarea opțiunii gestionate Microsoft Update

Microsoft Intune nume setare: Configurarea opțiunii gestionate Microsoft Update

Descriere: Această politică permite întreprinderilor să participe la o implementare controlată a caracteristicilor actualizării certificatului de bootare securizată gestionată de Microsoft.

  • Activat: Microsoft vă ajută să implementați certificate pe dispozitivele înscrise în implementare.

  • Dezactivat (implicit): Nicio participare la implementarea controlată.

Cerințe:

Configurare Opt-Out de încredere înaltă

Nume setare Microsoft Intune: Configurați Opt-Out de încredere maximă

Descriere: Această politică controlează dacă actualizările certificatelor de bootare securizată se aplică automat prin actualizări de securitate și non-securitate Windows lunare. Dispozitivele pe care Microsoft le-a validat ca capabile să proceseze actualizări variabile de bootare securizată vor primi aceste actualizări ca parte a actualizărilor lunare cumulative și le vor aplica automat. Deoarece nu toate combinațiile de hardware și firmware pot fi validate exhaustiv, Microsoft se bazează pe date de testare și diagnosticare pentru a determina gradul de pregătire al dispozitivului. Doar dispozitivele cu date de diagnosticare suficiente pot fi luate în considerare cu mare încredere; dacă datele de diagnosticare nu sunt disponibile pentru un anumit dispozitiv, acestea nu pot fi clasificate cu mare încredere.

  • Activat: Implementarea automată prin actualizări lunare este blocată.

  • Dezactivat (implicit): dispozitivele care au validat rezultatele actualizării vor primi automat actualizări de certificate ca parte a actualizărilor lunare.

Note:

  • Dispozitivele vizate sunt confirmate pentru procesarea cu succes a actualizărilor.

  • Configurați această politică pentru a gestiona implementarea automată prin actualizări lunare.

  • Corespunde cheii de registry HighConfidenceOptOut.

Activare Actualizări certificat Secureboot

Nume setare Microsoft Intune: activare Actualizări certificat Secureboot

Descriere: Această politică controlează dacă Windows inițiază procesul de implementare a certificatului de bootare securizată pe dispozitive.

  • Activat: Windows începe automat să implementeze certificate secure boot actualizate.

  • Dezactivat (implicit): Windows nu implementează certificate automat.

Note:

  • Activitatea care procesează această setare rulează la fiecare 12 ore. Unele actualizări pot necesita o repornire pentru a se finaliza în siguranță.

  • După ce certificatele sunt aplicate la firmware, acestea nu pot fi eliminate din Windows. Golirea certificatelor trebuie efectuată prin interfața firmware.

  • Corespunde cheii de registry AvailableUpdates.

Probleme cunoscute

Simptome

Setările de configurare secure boot implementate prin Microsoft Intune Mobile Management dispozitive (MDM) sunt blocate în prezent în edițiile Pro de Windows 10 și Windows 11.

  • Încercările de a aplica aceste politici au ca rezultat Microsoft Intune Codul de eroare 65000

  • Jurnalele de evenimente pot înregistra POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, indicând că această caracteristică nu este disponibilă în această ediție.

Soluție de evitare

Problema este în curs de investigare, iar informațiile suplimentare vor fi partajate imediat ce devin disponibile.

Resurse

Consultați și Actualizările cheilor de registry pentru Secure Boot: dispozitive Windows cu actualizări gestionate de IT pentru detalii despre cheile de registry UEFICA2023Status și UEFICA2023Error pentru monitorizarea rezultatelor dispozitivului.

Consultați Evenimentele de actualizare a variabilei Secure Boot DB și DBX pentru evenimente utile pentru înțelegerea stării dispozitivelor, atributelor dispozitivului și ID-urilor bucketului dispozitivului. Acordați o atenție deosebită evenimentelor 1801 și 1808 descrise pe pagina de evenimente.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate