Obs
- Ursprungligt publiceringsdatum: Den 4 december 2025
- KB-ID: 5073196
Den här artikeln innehåller vägledning för:
- Organisationer som har en egen IT-avdelning som hanterar Windows-enheter och uppdateringar.
Obs! Om du är en person som äger en personlig Windows-enhet kan du läsa artikeln Windows-enheter för hemanvändare, företag och skolor med Microsoft-hanterade uppdateringar.
Obs
Tillgänglighet för det här stödet
- 11 november 2025: För versioner av Windows 11 och Windows 10 som fortfarande stöds.
Ändringslogg
| Ändra datum | Ändra beskrivning |
|---|---|
| Senast uppdaterad: 23 mars 2026 | Uppdaterade det kända problemet för Microsoft Intune felkod 65000. |
| Senast uppdaterad: 9 mars 2026 | Tog bort versioner av Windows 10 som inte stöds från avsnittet "Gäller". |
| Senast uppdaterad: 4 mars 2026 | Windows 11, version 25H2 har lagts till i listan "Gäller för" |
| Den 4 februari 2026 | Känt problem löst |
| Den 17 december 2025 | Avsnittet Kända problem har lagts till |
I den här artikeln:
- Introduktion
- Konfigurationsmetod för Microsoft Intune
- Beskrivning av inställning
- Kända problem
- Resurser
Introduktion
I det här dokumentet beskrivs stödet för distribution, hantering och övervakning av certifikatuppdateringar för säker start med hjälp av Microsoft Intune. Inställningarna består av:
- Möjligheten att utlösa distribution på en enhet
- En inställning för att välja/välja bort buckets med hög konfidens
- En inställning för att anmäla sig till/avanmäla sig från Microsofts hantering av uppdateringar
Konfigurationsmetod för Microsoft Intune
Den här metoden erbjuder inställningen Säker start med Microsoft Intune som domänadministratörer kan ange för att distribuera uppdateringar av säker start till alla domänanslutna Windows-klienter. Dessutom kan två Säker start-assist hanteras med inställningar för anmälan/avanmälan.
I Microsoft Intune
Under Enheter>Hantera enheter väljer du Konfiguration.
Välj Skapa och välj Ny princip.
- Gå till Skapa en profil i det högra fönstret.
- Fyll i Plattform med Windows 10 och senare.
Välj inställningskatalogen under profiltypen.
Börja skapa en profil genom att ge profilen ett namn. I det här exemplet använder vi "Säker start" som namn. Tryck på Nästa.
Under Konfigurationsinställningar väljer du Lägg till inställningar och använder inställningsväljaren för att hitta inställningarna för säker start genom att söka efter säker start. Du bör se tre inställningar i kategorin Säker start. Det här är samma inställningar som beskrivs i registernyckeluppdateringarna för Säker start: Windows-enheter med IT-hanterade uppdateringar och metoden grupprincip Objects (GPO) för säker start för Windows-enheter med IT-hanterade uppdateringsdokument.
Aktivera Secureboot Certifikat Uppdateringar är markerat som standard och aktiverat.
Inställningarna för registrering och avanmälan som beskrivs nedan kan konfigureras för att passa din miljö och dina distributionsbehov.
Slutför profilen för de enheter som ska använda de här inställningarna.
Beskrivning av inställning
Konfigurera Microsoft Update Managed Opt In
Microsoft Intune inställningsnamn: Konfigurera Microsoft Update hanterad anmälan
Beskrivning:
Med den här principen kan företag delta i en kontrollerad funktionsdistribution av certifikatuppdateringen för säker start som hanteras av Microsoft.
- Aktiverad: Microsoft hjälper till med att distribuera certifikat till enheter som registrerats i distributionen.
- Inaktiverad (standard): Inget deltagande i kontrollerad distribution.
Förutsättningar:
- Enheten måste skicka nödvändiga diagnostikdata till Microsoft. Mer information finns i Konfigurera Windows-diagnostikdata i din organisation – Windows-sekretess | Microsoft Learn.
- Motsvarar registernyckeln MicrosoftUpdateManagedOptIn.
Konfigurera avanmälan med högt förtroende
Microsoft Intune inställningsnamn: Konfigurera Opt-Out med hög konfidens
Beskrivning:
Den här principen styr om uppdateringar av certifikat för säker start ska tillämpas automatiskt via Windows månatliga säkerhetsuppdateringar och icke-säkerhetsuppdateringar. Enheter som Microsoft har verifierat som kapabla att bearbeta variabeluppdateringar för säker start får dessa uppdateringar som en del av kumulativa månatliga uppdateringar och tillämpar dem automatiskt. Eftersom inte alla kombinationer av maskinvara och inbyggd programvara kan verifieras fullständigt förlitar sig Microsoft på riktade test- och diagnostikdata för att avgöra om enheten är redo.
Endast enheter med tillräckliga diagnosdata kan betraktas med hög konfidens. Om diagnostikdata inte är tillgängliga för en viss enhet kan den inte klassificeras med hög exakthet.
- Aktiverad: Automatisk distribution via månatliga uppdateringar blockeras.
- Inaktiverad (standard): Enheter som har verifierat sina uppdateringsresultat får automatiskt certifikatuppdateringar som en del av de månatliga uppdateringarna.
Anmärkningar:
- Avsedda enheter har bekräftats bearbeta uppdateringar.
- Konfigurera den här principen för att hantera automatisk distribution via månatliga uppdateringar.
- Motsvarar registernyckeln HighConfidenceOptOut.
Aktivera uppdateringar för säkra startcertifikat
Microsoft Intune inställningsnamn: Aktivera uppdateringar för certifikat för säker start
Beskrivning:
Den här principen styr om Windows initierar distributionsprocessen för certifikat för säker start på enheter.
- Aktiverad: Windows börjar automatiskt distribuera uppdaterade certifikat för säker start.
- Inaktiverad (standard): Certifikat distribueras inte automatiskt i Windows.
Anmärkningar:
- Aktiviteten som bearbetar den här inställningen körs var 12:e timme. Vissa uppdateringar kan kräva en omstart för att slutföras på ett säkert sätt.
- När certifikat har tillämpats på den inbyggda programvaran kan de inte tas bort från Windows. Rensning av certifikat måste göras via gränssnittet för den inbyggda programvaran.
- Motsvarar registernyckeln AvailableUpdates.
Kända problem
Microsoft Intune felkod 65000 på Pro-utgåvor av Windows
Symtom
Konfigurationsinställningar för säker start som distribueras via Microsoft Intune Mobile Enhetshantering (MDM) blockeras för närvarande på Pro-utgåvor av Windows 10 och Windows 11.
- Försök att tillämpa dessa principer resulterar i Microsoft Intune felkod 65000.
- Händelseloggar kan registrera POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, vilket indikerar att funktionen inte är tillgänglig i den här versionen.
Lösning
Microsoft Intune licenstjänsten uppdaterades den 27 januari 2026 för att tillåta distribution av konfigurationsinställningar för säker start på Pro-utgåvor av Windows 10 och Windows 11.
Obs
Microsoft Intune felkod 65000 kan fortfarande förekomma på Pro-utgåvor av Windows 11 version 23H2. En lösning på det här problemet planeras att släppas i en framtida Windows-uppdatering.
Enheter som fick sin Microsoft Intune licens före detta datum måste förnya licensen för att lösa problemet. Licenser förnyas automatiskt varje månad, så det här problemet kommer att lösas för enheter senast den 27 februari 2026 (exklusive vissa Windows 11 version 23H2-enheter, som anges ovan). Om du vill förnya licensen på enheten manuellt kör du följande kommandon för användarens räkning (i användarens kontext):
- ClipDLS.exe removesubscription
- ClipRenew.exe
Resurser
Se även Registernyckeluppdateringar för säker start: Windows-enheter med IT-hanterade uppdateringar för mer information om registernycklarna UEFICA2023Status och UEFICA2023Error för övervakning av enhetsresultat.
Se Uppdateringshändelser för säker start DB och DBX för händelser som är användbara för att förstå status för enheter, enhetsattribut och enhetsbucket-ID:n. Var särskilt uppmärksam på händelserna 1801 och 1808 som beskrivs på evenemangssidan.