Применяется к
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Дата первоначальной публикации: 4 декабря 2025 г.

Идентификатор базы знаний: 5073196

В этой статье содержатся рекомендации по следующим вопросам: 

  • Организации, имеющие собственный ИТ-отдел, который управляет устройствами и обновлениями Windows.

Примечание. Если вы являетесь владельцем личного устройства Windows, см. статью Устройства Windows для домашних пользователей, предприятий и учебных заведений с обновлениями под управлением Майкрософт. ​​​​​​​

Доступность этой поддержки

  • 11 ноября 2025 г.: для версий Windows 11 и Windows 10 по-прежнему поддерживаются.

Дата изменения

Описание изменений

17 декабря 2025 г.

Добавлен раздел "Известная проблема"

В этой статье:

Введение

В этом документе описывается поддержка развертывания, администрирования и мониторинга обновлений сертификатов безопасной загрузки с помощью Microsoft Intune. Параметры состоят из следующих параметров:

  • Возможность запуска развертывания на устройстве

  • Параметр для согласия или отказа от контейнеров с высоким уровнем доверия

  • Параметр для согласия или отказа от использования обновлений для управления обновлениями майкрософт

метод конфигурации Microsoft Intune

Этот метод предлагает параметр безопасной загрузки с помощью Microsoft Intune, который администраторы домена могут настроить для развертывания обновлений безопасной загрузки для всех присоединенных к домену клиентов Windows. Кроме того, можно управлять двумя помощниками по безопасной загрузке с помощью параметров согласия или отказа.

В Microsoft Intune

  1. В разделе Устройства > Управление устройствами выберите Конфигурация.

  2. Выберите Создать , а затем — Создать политику.

    • Перейдите к разделу Создание профиля в правой области.

    • Укажите в поле Платформа Windows 10 и более поздних версий.

  3. Выберите каталог параметров в поле Тип профиля Добавлено изображение

  4. Начните создание профиля, присвоив ей имя. В этом примере в качестве имени используется "Безопасная загрузка". Нажмите кнопку Далее.фото

  5. В разделе Параметры конфигурации выберите Добавить параметры и используйте средство выбора параметров, чтобы найти параметры безопасной загрузки, выполнив поиск по запросу Безопасная загрузка. В категории Безопасная загрузка должны отобразиться три параметра. Эти же параметры описаны в разделе Обновления раздела реестра для безопасной загрузки: устройства Windows с управляемыми ИТ-службами обновления и метод групповая политика объектов (GPO) в документах безопасная загрузка для устройств Windows с управляемыми ИТ-клиентами обновлениями.

    • Включить Secureboot Certificate Обновления выбрано по умолчанию и включено.

    • Описанные ниже параметры согласия и отказа можно настроить для удовлетворения потребностей вашей среды и развертывания.  Добавили

  6. Завершите работу профиля для устройств, которые будут использовать эти параметры.

Описание параметра

Настройка управляемого согласия Центра обновления Майкрософт

имя параметра Microsoft Intune: настройка управляемого согласия Центра обновления Майкрософт

Описание: Эта политика позволяет предприятиям участвовать в управляемом выпуске компонента обновления сертификата безопасной загрузки, управляемого корпорацией Майкрософт.

  • Включено. Корпорация Майкрософт помогает развертывать сертификаты на устройствах, зарегистрированных в выпуске.

  • Отключено (по умолчанию): не участвует в управляемом выпуске.

Требования:

Настройка Opt-Out высокой достоверности

Имя параметра Microsoft Intune: настройка Opt-Out высокой достоверности

Описание: Эта политика определяет, применяются ли обновления сертификатов безопасной загрузки автоматически с помощью ежемесячных обновлений системы безопасности Windows и обновлений, не относящихся к системе безопасности. Устройства, которые корпорация Майкрософт проверила на возможность обработки обновлений переменных безопасной загрузки, будут получать эти обновления в составе накопительных ежемесячных обновлений и применять их автоматически. Так как не все сочетания оборудования и встроенного ПО можно проверить полностью, корпорация Майкрософт использует целевые данные тестирования и диагностики для определения готовности устройства. С высокой достоверностью можно рассматривать только устройства с достаточным количеством диагностических данных. Если диагностические данные недоступны для данного устройства, их нельзя классифицировать с высокой достоверностью.

  • Включено. Автоматическое развертывание через ежемесячные обновления блокируется.

  • Отключено (по умолчанию): устройства, которые проверили результаты обновления, будут автоматически получать обновления сертификатов в рамках ежемесячных обновлений.

Примечания.

  • Для предполагаемых устройств подтверждена успешная обработка обновлений.

  • Настройте эту политику для управления автоматическим развертыванием с помощью ежемесячных обновлений.

  • Соответствует разделу реестра HighConfidenceOptOut.

Включение Обновления сертификата Secureboot

имя параметра Microsoft Intune: включение Обновления сертификата Secureboot

Описание: Эта политика определяет, инициирует ли Windows процесс развертывания сертификата безопасной загрузки на устройствах.

  • Включено: Windows автоматически начинает развертывание обновленных сертификатов безопасной загрузки.

  • Отключено (по умолчанию): Windows не развертывает сертификаты автоматически.

Примечания.

  • Задача, обрабатывающая этот параметр, выполняется каждые 12 часов. Для безопасного завершения некоторых обновлений может потребоваться перезагрузка.

  • После применения сертификатов к встроенному ПО их нельзя удалить из Windows. Очистка сертификатов должна выполняться с помощью интерфейса встроенного ПО.

  • Соответствует разделу реестра AvailableUpdates.

Известные проблемы

Признаки

Параметры конфигурации безопасной загрузки, развернутые с помощью Microsoft Intune mobile Управление устройствами (MDM), в настоящее время заблокированы в выпусках Pro Windows 10 и Windows 11.

  • Попытки применить эти политики приводят к Microsoft Intune Error Code 65000

  • Журналы событий могут записывать POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, указывающие, что компонент недоступен в этом выпуске.

Временное решение

Проблема расследуется, и дополнительная информация будет предоставлена, как только она станет доступной.

Ресурсы

Дополнительные сведения о разделах реестра UEFICA2023Status и UEFICA20233Паралов реестра для мониторинга устройств см. также в разделе Обновления раздела реестра для безопасной загрузки: устройства Windows с управляемыми ИТ-клиентами обновлениями.

Сведения о событиях, полезных для понимания состояния устройств, атрибутов устройств и идентификаторов контейнеров устройств, см. в статье События обновления базы данных безопасной загрузки и переменных DBX . Обратите особое внимание на события 1801 и 1808, описанные на странице событий.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей