Obs
- Ursprungligt publiceringsdatum: 30 oktober 2025
- KB-ID: 5068198
Den här artikeln innehåller vägledning för:
|
|---|
Tillgänglighet för det här stödet
|
Ändringslogg
| Ändra datum | Ändra beskrivning |
|---|---|
| Den 20 februari 2026 |
|
| Den 11 november 2025 |
|
| Den 26 november 2025 |
|
I den här artikeln:
- Introduktion
- Konfigurationsmetod för grupprincip Object (GPO)
- Tillgängliga konfigurationsinställningar
- Resurser
Introduktion
I det här dokumentet beskrivs stöd för distribution, hantering och övervakning av certifikatuppdateringar för säker start med hjälp av grupprincip för säker start. Inställningarna består av:
- Möjligheten att utlösa distribution på en enhet
- En inställning för att välja/välja bort buckets med hög konfidens
- En inställning för att anmäla sig till/avanmäla sig från Microsofts hantering av uppdateringar
Notera: Administrativa mallar (.admx) och grupprincip måste laddas ned från Microsofts officiella webbplats. Se: Resurser.
Konfigurationsmetod för grupprincip Object (GPO)
Den här metoden erbjuder en enkel inställning för grupprincip för säker start som domänadministratörer kan ange för att distribuera uppdateringar av säker start till alla domänanslutna Windows-klienter och servrar. Dessutom kan två Säker start-assist hanteras med inställningar för anmälan/avanmälan.
Information om hur du hämtar uppdateringarna som innehåller principen för distribution av certifikatuppdateringar för säker start finns i avsnittet Resurser nedan.
Den här principen finns under följande sökväg i användargränssnittet för grupprincip:
Datorkonfiguration-Administrativa mallar-Windows-komponenter-Säker>>> start
Viktigt!
Uppdateringar för säker start beror på enhetens inbyggda programvara och vissa enheter kan uppleva kompatibilitetsproblem. Så här säkerställer du en säker distribution:
- Verifiera uppdateringsprincipen på minst en representativ enhet för varje enhetstyp i organisationen.
- Bekräfta att certifikat för säker start har tillämpats på UEFI DB och KEK. Detaljerade anvisningar finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.
- Efter verifieringen grupperar du enheter efter bucket-hash och tillämpar principen på dessa enheter för en kontrollerad distribution.
Tillgängliga konfigurationsinställningar
De tre tillgängliga inställningarna för certifikatdistribution för säker start beskrivs här. De här inställningarna motsvarar registernycklarna som beskrivs i Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar.
Aktivera certifikatdistribution för säker start
Namn på grupprincip: Aktivera certifikatdistribution för säker start
Beskrivning:
Den här principen styr om Windows initierar distributionsprocessen för certifikat för säker start på enheter.
- Aktiverad: Windows börjar automatiskt distribuera uppdaterade certifikat för säker start när uppgiften för säker start körs.
- Inaktiverad: Windows distribuerar inte certifikat automatiskt.
- Inte konfigurerad: Standardbeteendet gäller (ingen automatisk distribution).
Obs
- Aktiviteten som bearbetar den här inställningen körs var 12:e timme. Vissa uppdateringar kan kräva en omstart för att slutföras på ett säkert sätt.
- När certifikat har tillämpats på den inbyggda programvaran kan de inte tas bort från Windows. Rensning av certifikat måste göras via gränssnittet för den inbyggda programvaran.
- Den här inställningen anses vara en inställning. Om GPO:t tas bort finns registervärdet kvar.
- Motsvarar registernyckeln AvailableUpdates.
Automatisk certifikatdistribution via uppdateringar
grupprincip inställningsnamn: Automatisk certifikatdistribution via Uppdateringar
Beskrivning:
Den här principen styr om uppdateringar av certifikat för säker start ska tillämpas automatiskt via Windows månatliga säkerhetsuppdateringar och icke-säkerhetsuppdateringar. Enheter som Microsoft har verifierat som kapabla att bearbeta variabeluppdateringar för säker start får dessa uppdateringar som en del av kumulativ service och tillämpar dem automatiskt.
Obs
Om du aktiverar den här principen inaktiveras automatisk certifikatdistribution via uppdateringar. Detta motsvarar att ställa in registernyckeln HighConfidenceOptOut till 1.
Om du inaktiverar den här principen väljer du automatisk certifikatdistribution via uppdateringar, vilket motsvarar att ställa in HighConfidenceOptOut till 0.
- Aktiverad: Automatisk distribution blockeras. Uppdateringar måste hanteras manuellt.
- Inaktiverad: Enheter med verifierade uppdateringsresultat får certifikatuppdateringar automatiskt under service.
- Inte konfigurerad: Automatisk distribution sker som standard.
Obs
- Avsedda enheter har bekräftats för att bearbeta uppdateringar.
- Konfigurera den här principen om du vill välja automatisk distribution.
- Motsvarar registernyckeln HighConfidenceOptOut.
Certifikatdistribution via kontrollerad funktionsdistribution
Namn på inställning av grupprincip: Certifikatdistribution via kontrollerad funktionsdistribution
Beskrivning:
Med den här principen kan företag delta i en kontrollerad funktionsdistribution av certifikatuppdateringen för säker start som hanteras av Microsoft.
- Aktiverad: Microsoft hjälper till med att distribuera certifikat till enheter som registrerats i distributionen.
- Inaktiverad eller inte konfigurerad: Inget deltagande i kontrollerad distribution.
Förutsättningar:
- Enheten måste skicka nödvändiga diagnostikdata till Microsoft. Mer information finns i Konfigurera Windows-diagnostikdata i din organisation – Windows-sekretess | Microsoft Learn.
- Motsvarar registernyckeln MicrosoftUpdateManagedOptIn.
Resurser
Se även Registernyckeluppdateringar för säker start: Windows-enheter med IT-hanterade uppdateringar för mer information om registernycklarna UEFICA2023Status och UEFICA2023Error för övervakning av enhetsresultat.
Se Uppdateringshändelser för säker start DB och DBX för händelser som är användbara för att förstå status för enheter, enhetsattribut och enhetsbucket-ID:n. Var särskilt uppmärksam på händelserna 1801 och 1808 som beskrivs på evenemangssidan.
För grupprincip MSI:er och referenskalkylbladet för GP-inställningar använder du länkarna nedan eller ser till att de administrativa mallar du använder publiceras på eller efter de datum som anges i tabellen.
| Plattform | Publicerad MSI | Publicerat referenskalkylblad för GP-inställningar |
|---|---|---|
|
Klient Notera: De administrativa mallarna (.admx) är OS-agnostiska och fungerar på ALLA operativsystem som stöds. |
Ladda ned administrativa mallar (.admx) för Windows 11 2025 Update (25H2) – v2.0 från Microsofts officiella webbplats Publicerad: 2025-10-27 |
Ladda ned inställningsreferenskalkylblad för Grupprincip för Windows 11 2025-uppdatering (25H2) – v2.0 från Microsofts officiella webbplats Publicerad: 2025-10-02 |
|
Server Notera: De administrativa mallarna (.admx) är OS-agnostiska och fungerar på ALLA operativsystem som stöds. |
Ladda ner administrativa mallar (.admx) för Windows Server 2025 (version från 25 oktober) från Microsofts officiella webbplats Publicerad: 2025-10-27 |
Ladda ned referenskalkylblad för grupprincip för Windows Server 2025 (25 oktober) från Microsofts officiella webbplats Publicerad: 2025-10-27 |