Vzťahuje sa na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Pôvodný dátum publikovania: 4. decembra 2025

IDENTIFIKÁCIA DATABÁZY KB: 5073196

Tento článok obsahuje návod na: 

  • Organizácie, ktoré majú vlastné IT oddelenie, ktoré spravuje zariadenia a aktualizácie Windowsu.

Poznámka: Ak ste jednotlivec, ktorý vlastní osobné zariadenie s Windowsom, pozrite si článok Zariadenia s Windowsom určené pre domácich používateľov, podniky a školy s aktualizáciami spravovanými spoločnosťou Microsoft. ​​​​​​​

Dostupnosť tejto podpory

  • 11. novembra 2025: Verzie Windows 11 a Windows 10 stále podporované.

V tomto článku:

Úvod

Tento dokument popisuje podporu nasadenia, spravovania a monitorovania aktualizácií certifikátov zabezpečeného spustenia pomocou Microsoft Intune. Nastavenia pozostávajú z týchto:

  • Možnosť spustenia nasadenia v zariadení

  • Nastavenie prihlásenia alebo odhlásenia zo sektorov s vysokou spoľahlivosťou

  • Nastavenie explicitného nesúhlasu so spravovaním aktualizácií spoločnosťou Microsoft

metóda konfigurácie Microsoft Intune

Táto metóda ponúka nastavenie zabezpečeného spustenia pomocou Microsoft Intune, ktoré môžu správcovia domény nastaviť na nasadenie aktualizácií zabezpečeného spustenia do všetkých klientov Windowsu pripojených k doméne. Okrem toho je možné spravovať dve pomocné funkcie zabezpečeného spustenia s nastavením explicitného nesúhlasu alebo explicitného nesúhlasu.

V meste Microsoft Intune

  1. V časti Zariadenia > Spravovať zariadenia vyberte položku Konfigurácia.

  2. Vyberte položku Vytvoriť a vybrať položku Nová politika.

    • Prejdite na položku Vytvoriť profil na pravej table.

    • Vyplňte platformu pomocou Windows 10 a novších verzií.

  3. Vyberte katalóg nastavení v časti Typ profilu Pridaný obrázok

  4. Začnite vytvárať profil zadaním názvu profilu. V tomto príklade používame ako názov "Zabezpečené spustenie". Stlačte tlačidlo Ďalej.obrázok

  5. V časti Nastavenia konfigurácie vyberte položku Pridať nastavenia a pomocou výberu nastavení vyhľadajte nastavenia zabezpečeného spustenia vyhľadaním položky Zabezpečené spustenie. V kategórii Zabezpečené spustenie by sa mali zobraziť tri nastavenia. Ide o rovnaké nastavenia popísané v aktualizáciách kľúča databázy Registry pre zabezpečené spustenie: zariadenia s Windowsom s aktualizáciami spravovanými IT a metóda skupinová politika Objects (GPO) zabezpečeného spustenia pre zariadenia s Windowsom s dokumentmi s aktualizáciami spravovanými IT.

    • Predvolene je vybratá a povolená možnosť Povoliť certifikát Secureboot Aktualizácie.

    • Nastavenia explicitného nesúhlasu a explicitného nesúhlasu popísané nižšie možno nakonfigurovať tak, aby sa nakonfigurovali podľa potrieb prostredia a nasadenia.  Pridalo

  6. Dokončite profil zariadení, ktoré budú používať tieto nastavenia.

Popis nastavenia

Konfigurácia možnosti Prihláste sa na spravované služby Microsoft Update

Microsoft Intune názov nastavenia: Konfigurácia možnosti Prihláste sa spravovanej aktualizácie služby Microsoft Update

Popis: Táto politika umožňuje podnikom podieľať sa na riadenom zavádzaní funkcií aktualizácie certifikátu zabezpečeného spustenia spravovanej spoločnosťou Microsoft.

  • Povolené: Spoločnosť Microsoft pomáha s nasadením certifikátov v zariadeniach zaregistrovaných v uvedenom programe.

  • Zakázané (predvolené): Žiadna účasť na riadenom zavádzaní.

Požiadavky:

Konfigurácia Opt-Out vysokej spoľahlivosti

názov nastavenia Microsoft Intune: Konfigurácia Opt-Out vysokej spoľahlivosti

Popis: Táto politika určuje, či sa aktualizácie certifikátov zabezpečeného spustenia použijú automaticky prostredníctvom mesačných aktualizácií zabezpečenia windowsu a aktualizácií netýkajúce sa zabezpečenia. Zariadenia, ktoré spoločnosť Microsoft overila ako schopné spracovávať aktualizácie premenných zabezpečeného spustenia, dostanú tieto aktualizácie ako súčasť kumulatívnych mesačných aktualizácií a automaticky ich použijú. Keďže nie všetky kombinácie hardvéru a firmvéru je možné úplne overiť, spoločnosť Microsoft sa spolieha na cielené testovanie a diagnostické údaje na určenie pripravenosti zariadenia. S vysokou spoľahlivosťou možno považovať len zariadenia s dostatočnými diagnostickými údajmi. Ak diagnostické údaje nie sú pre dané zariadenie k dispozícii, nedajú sa klasifikovať s vysokou spoľahlivosťou.

  • Povolené: Automatické nasadenie prostredníctvom mesačných aktualizácií je zablokované.

  • Vypnuté (predvolené): Zariadenia, ktoré overili výsledky aktualizácie, automaticky získajú aktualizácie certifikátov ako súčasť mesačných aktualizácií.

Poznámky:

  • Určené zariadenia sú potvrdené, že úspešne spracúvajú aktualizácie.

  • Nakonfigurujte túto politiku na spravovanie automatického nasadenia prostredníctvom mesačných aktualizácií.

  • Zodpovedá kľúču databázy Registry HighConfidenceOptOut.

Povoliť Aktualizácie certifikátu SecureBoot

názov nastavenia Microsoft Intune: Povolenie certifikátu Secureboot Aktualizácie

Popis: Táto politika určuje, či Windows spustí proces nasadenia certifikátu zabezpečeného spustenia v zariadeniach.

  • Povolené: Windows automaticky začne nasadzovať aktualizované certifikáty zabezpečeného spustenia.

  • Zakázané (predvolené): Windows nenasadzuje certifikáty automaticky.

Poznámky:

  • Úloha, ktorá spracováva toto nastavenie, sa spúšťa každých 12 hodín. Niektoré aktualizácie môžu na bezpečné dokončenie vyžadovať reštartovanie.

  • Po použití certifikátov na firmvér nie je možné ich z Windowsu odstrániť. Vymazávanie certifikátov sa musí vykonať prostredníctvom rozhrania firmvéru.

  • Zodpovedá kľúču databázy Registry AvailableUpdates.

Zdroje

Pozrite tiež aktualizácie kľúčov databázy Registry pre zabezpečené spustenie: V zariadeniach s Windowsom s aktualizáciami spravovanými IT nájdete podrobnosti o kľúčoch UEFICA2023Status a UEFICA2023Error databázy Registry na monitorovanie výsledkov zariadení.

Udalosti užitočné pri pochopení stavu zariadení, atribútov zariadenia a ID sektora zariadenia nájdete v témach Secure Boot DB a DBX variable update events . Venujte osobitnú pozornosť udalostiam 1801 a 1808 uvedeným na stránke udalostí.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania