Vzťahuje sa na
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Pôvodný dátum publikovania: 4. decembra 2025

IDENTIFIKÁCIA DATABÁZY KB: 5073196

Tento článok obsahuje návod na: 

  • Organizácie, ktoré majú vlastné IT oddelenie, ktoré spravuje zariadenia a aktualizácie Windowsu.

Poznámka: Ak ste jednotlivec, ktorý vlastní osobné zariadenie s Windowsom, pozrite si článok Zariadenia s Windowsom určené pre domácich používateľov, podniky a školy s aktualizáciami spravovanými spoločnosťou Microsoft. ​​​​​​​

Dostupnosť tejto podpory

  • 11. novembra 2025: Verzie Windows 11 a Windows 10 stále podporované.

Zmeniť dátum

Zmeniť popis

9. marca 2026

Z časti Vzťahuje sa na odstránili nepodporované verzie Windows 10.

4. marca 2026

Pridané Windows 11 verzie 25H2 do zoznamu Vzťahuje sa na

4. februára 2026

Vyriešený známy problém

17. decembra 2025

Pridaná časť Známy problém

V tomto článku:

Úvod

Tento dokument popisuje podporu nasadenia, spravovania a monitorovania aktualizácií certifikátov zabezpečeného spustenia pomocou Microsoft Intune. Nastavenia pozostávajú z týchto:

  • Možnosť spustenia nasadenia v zariadení

  • Nastavenie prihlásenia alebo odhlásenia zo sektorov s vysokou spoľahlivosťou

  • Nastavenie explicitného nesúhlasu so spravovaním aktualizácií spoločnosťou Microsoft

metóda konfigurácie Microsoft Intune

Táto metóda ponúka nastavenie zabezpečeného spustenia pomocou Microsoft Intune, ktoré môžu správcovia domény nastaviť na nasadenie aktualizácií zabezpečeného spustenia do všetkých klientov Windowsu pripojených k doméne. Okrem toho je možné spravovať dve pomocné funkcie zabezpečeného spustenia s nastavením explicitného nesúhlasu alebo explicitného nesúhlasu.

V meste Microsoft Intune

  1. V časti Zariadenia > Spravovať zariadenia vyberte položku Konfigurácia.

  2. Vyberte položku Vytvoriť a vybrať položku Nová politika.

    • Prejdite na položku Vytvoriť profil na pravej table.

    • Vyplňte platformu pomocou Windows 10 a novších verzií.

  3. Vyberte katalóg nastavení v časti Typ profilu Pridaný obrázok

  4. Začnite vytvárať profil zadaním názvu profilu. V tomto príklade používame ako názov "Zabezpečené spustenie". Stlačte tlačidlo Ďalej.obrázok

  5. V časti Nastavenia konfigurácie vyberte položku Pridať nastavenia a pomocou výberu nastavení vyhľadajte nastavenia zabezpečeného spustenia vyhľadaním položky Zabezpečené spustenie. V kategórii Zabezpečené spustenie by sa mali zobraziť tri nastavenia. Ide o rovnaké nastavenia popísané v aktualizáciách kľúča databázy Registry pre zabezpečené spustenie: zariadenia s Windowsom s aktualizáciami spravovanými IT a metóda skupinová politika Objects (GPO) zabezpečeného spustenia pre zariadenia s Windowsom s dokumentmi s aktualizáciami spravovanými IT.

    • Predvolene je vybratá a povolená možnosť Povoliť certifikát Secureboot Aktualizácie.

    • Nastavenia explicitného nesúhlasu a explicitného nesúhlasu popísané nižšie možno nakonfigurovať tak, aby sa nakonfigurovali podľa potrieb prostredia a nasadenia.  Pridalo

  6. Dokončite profil zariadení, ktoré budú používať tieto nastavenia.

Popis nastavenia

Konfigurácia možnosti Prihláste sa na spravované služby Microsoft Update

Microsoft Intune názov nastavenia: Konfigurácia možnosti Prihláste sa spravovanej aktualizácie služby Microsoft Update

Popis: Táto politika umožňuje podnikom podieľať sa na riadenom zavádzaní funkcií aktualizácie certifikátu zabezpečeného spustenia spravovanej spoločnosťou Microsoft.

  • Povolené: Spoločnosť Microsoft pomáha s nasadením certifikátov v zariadeniach zaregistrovaných v uvedenom programe.

  • Zakázané (predvolené): Žiadna účasť na riadenom zavádzaní.

Požiadavky:

Konfigurácia Opt-Out vysokej spoľahlivosti

názov nastavenia Microsoft Intune: Konfigurácia Opt-Out vysokej spoľahlivosti

Popis: Táto politika určuje, či sa aktualizácie certifikátov zabezpečeného spustenia použijú automaticky prostredníctvom mesačných aktualizácií zabezpečenia windowsu a aktualizácií netýkajúce sa zabezpečenia. Zariadenia, ktoré spoločnosť Microsoft overila ako schopné spracovávať aktualizácie premenných zabezpečeného spustenia, dostanú tieto aktualizácie ako súčasť kumulatívnych mesačných aktualizácií a automaticky ich použijú. Keďže nie všetky kombinácie hardvéru a firmvéru je možné úplne overiť, spoločnosť Microsoft sa spolieha na cielené testovanie a diagnostické údaje na určenie pripravenosti zariadenia. S vysokou spoľahlivosťou možno považovať len zariadenia s dostatočnými diagnostickými údajmi. Ak diagnostické údaje nie sú pre dané zariadenie k dispozícii, nedajú sa klasifikovať s vysokou spoľahlivosťou.

  • Povolené: Automatické nasadenie prostredníctvom mesačných aktualizácií je zablokované.

  • Vypnuté (predvolené): Zariadenia, ktoré overili výsledky aktualizácie, automaticky získajú aktualizácie certifikátov ako súčasť mesačných aktualizácií.

Poznámky:

  • Určené zariadenia sú potvrdené, že úspešne spracúvajú aktualizácie.

  • Nakonfigurujte túto politiku na spravovanie automatického nasadenia prostredníctvom mesačných aktualizácií.

  • Zodpovedá kľúču databázy Registry HighConfidenceOptOut.

Povoliť Aktualizácie certifikátu SecureBoot

názov nastavenia Microsoft Intune: Povolenie certifikátu Secureboot Aktualizácie

Popis: Táto politika určuje, či Windows spustí proces nasadenia certifikátu zabezpečeného spustenia v zariadeniach.

  • Povolené: Windows automaticky začne nasadzovať aktualizované certifikáty zabezpečeného spustenia.

  • Zakázané (predvolené): Windows nenasadzuje certifikáty automaticky.

Poznámky:

  • Úloha, ktorá spracováva toto nastavenie, sa spúšťa každých 12 hodín. Niektoré aktualizácie môžu na bezpečné dokončenie vyžadovať reštartovanie.

  • Po použití certifikátov na firmvér nie je možné ich z Windowsu odstrániť. Vymazávanie certifikátov sa musí vykonať prostredníctvom rozhrania firmvéru.

  • Zodpovedá kľúču databázy Registry AvailableUpdates.

Známe problémy

Príznaky

Nastavenia konfigurácie zabezpečeného spustenia nasadené prostredníctvom služby Microsoft Intune Mobile Správa zariadení (MDM) sú momentálne blokované vo vydaniach pro Windows 10 a Windows 11.

  • Pokusy o použitie týchto politík majú za následok Microsoft Intune Chyba kódu 65000

  • Denníky udalostí môžu zaznamenať POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, čo znamená, že funkcia nie je v tomto vydaní k dispozícii.

Riešenie

Licenčná služba Microsoft Intune bola aktualizovaná 27. januára 2026, aby umožnila nasadenie nastavení konfigurácie zabezpečeného spustenia vo vydaniach Pro Windows 10 a Windows 11. Zariadenia, ktoré dostali svoju Microsoft Intune licenciu pred týmto dátumom, budú musieť na vyriešenie tohto problému obnoviť svoju licenciu.  Licencie sa automaticky obnovujú každý mesiac, takže tento problém bude vyriešený pre všetky zariadenia do 27. februára 2026. Ak chcete tento problém vyriešiť okamžite, môžete obnoviť licenciu vo svojom zariadení spustením nasledujúcich príkazov v mene používateľa (v kontexte používateľa):

  • ClipDLS.exe removesubscription

  • ClipRenew.exe

Zdroje

Pozrite tiež aktualizácie kľúčov databázy Registry pre zabezpečené spustenie: V zariadeniach s Windowsom s aktualizáciami spravovanými IT nájdete podrobnosti o kľúčoch UEFICA2023Status a UEFICA2023Error databázy Registry na monitorovanie výsledkov zariadení.

Udalosti užitočné pri pochopení stavu zariadení, atribútov zariadenia a ID sektora zariadenia nájdete v témach Secure Boot DB a DBX variable update events . Venujte osobitnú pozornosť udalostiam 1801 a 1808 uvedeným na stránke udalostí.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania