Microsoft Intune วิธีการบูตแบบปลอดภัยสําหรับอุปกรณ์ Windows ด้วยการอัปเดตที่ IT จัดการ
นำไปใช้กับ
วันที่เผยแพร่ดั้งเดิม: วันที่ 4 ธันวาคม 2568
KB ID: 5073196
บทความนี้มีคําแนะนําสําหรับ:
-
องค์กรที่มีแผนก IT ของตนเองที่จัดการอุปกรณ์ Windows และการอัปเดต
หมายเหตุ: หากคุณเป็นเจ้าของอุปกรณ์ Windows ส่วนบุคคล โปรดดูบทความ อุปกรณ์ Windows สําหรับผู้ใช้ที่บ้าน ธุรกิจ และโรงเรียนที่มีการอัปเดตที่ได้รับการจัดการจาก Microsoft
ความพร้อมใช้งานของการสนับสนุนนี้
-
11 พฤศจิกายน 2025: สําหรับเวอร์ชันของ Windows 11 และ Windows 10 ยังคงอยู่ในการสนับสนุน
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|---|---|
|
วันที่ 9 มีนาคม 2569 |
เอาเวอร์ชันที่ไม่สนับสนุนของ Windows 10 ออกจากส่วน "นําไปใช้กับ" |
|
วันที่ 4 มีนาคม 2569 |
เพิ่ม Windows 11 เวอร์ชัน 25H2 ไปยังรายการ "นําไปใช้กับ" |
|
วันที่ 4 กุมภาพันธ์ 2026 |
ปัญหาที่ทราบแล้วได้รับการแก้ไขแล้ว |
|
วันที่ 17 ธันวาคม 2568 |
เพิ่มส่วนปัญหาที่ทราบแล้ว |
ในบทความนี้:
บทนำ
เอกสารนี้อธิบายการสนับสนุนสําหรับการปรับใช้ การจัดการ และการตรวจสอบการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยใช้ Microsoft Intune การตั้งค่าประกอบด้วย:
-
ความสามารถในการทริกเกอร์การปรับใช้บนอุปกรณ์
-
การตั้งค่าเพื่อเลือกรับ/ปฏิเสธเข้าร่วมกลุ่มที่มีความเชื่อมั่นสูง
-
การตั้งค่าเพื่อเลือกรับ/ปฏิเสธเข้าร่วม Microsoft ในการจัดการการอัปเดต
วิธีการตั้งค่าคอนฟิก Microsoft Intune
วิธีนี้มีการตั้งค่าการบูตแบบปลอดภัยโดยใช้ Microsoft Intune ที่ผู้ดูแลระบบโดเมนสามารถตั้งค่าให้ปรับใช้การอัปเดตการบูตแบบปลอดภัยกับไคลเอ็นต์ Windows ที่เข้าร่วมโดเมนทั้งหมดได้ นอกจากนี้ ตัวช่วยการบูตแบบปลอดภัยสองตัวสามารถจัดการได้ด้วยการตั้งค่าการเลือกรับ/ปฏิเสธเข้าร่วม
ใน Microsoft Intune
-
ภายใต้ อุปกรณ์ > จัดการอุปกรณ์ ให้เลือก การกําหนดค่า
-
เลือก สร้าง แล้วเลือก นโยบายใหม่
-
ไปที่ สร้างโปรไฟล์ ในบานหน้าต่างด้านขวา
-
กรอกแพลตฟอร์มด้วย Windows 10 และใหม่กว่า
-
-
เลือก แค็ตตาล็อกการตั้งค่า ภายใต้ ชนิดโปรไฟล์
-
เริ่มสร้างโปรไฟล์โดยการตั้งชื่อโปรไฟล์ ในตัวอย่างนี้ เราใช้ "การบูตแบบปลอดภัย" เป็นชื่อ กด ถัดไป
-
ภายใต้ การตั้งค่าการกําหนดค่า เลือก เพิ่มการตั้งค่า และใช้ตัวเลือก การตั้งค่า เพื่อค้นหาการตั้งค่าการบูตแบบปลอดภัยโดยค้นหา การบูตแบบปลอดภัย คุณควรเห็นการตั้งค่าสามรายการในประเภทการบูตแบบปลอดภัย การตั้งค่าเหล่านี้เป็นการตั้งค่าเดียวกันที่อธิบายไว้ในการอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย: อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT และวิธี นโยบายกลุ่ม Objects (GPO) ของการบูตแบบปลอดภัยสําหรับอุปกรณ์ Windows ด้วยเอกสารการอัปเดตที่จัดการโดย IT
-
เปิดใช้งาน Updates ใบรับรอง Secureboot จะถูกเลือกตามค่าเริ่มต้นและเปิดใช้งาน
-
คุณสามารถกําหนดค่าการตั้งค่าการเข้าร่วมและปฏิเสธเข้าร่วมที่อธิบายไว้ด้านล่างให้เหมาะสมกับความต้องการด้านสภาพแวดล้อมและการปรับใช้ของคุณได้
-
-
เสร็จสิ้นโพรไฟล์สําหรับอุปกรณ์ที่จะใช้การตั้งค่าเหล่านี้
คําอธิบายการตั้งค่า
กําหนดค่าการเข้าร่วมที่มีการจัดการของ Microsoft Update
ชื่อการตั้งค่า Microsoft Intune: กําหนดค่าการเข้าร่วมที่มีการจัดการของ Microsoft Update
รายละเอียด: นโยบายนี้ช่วยให้องค์กรสามารถเข้าร่วมในการ เปิดตัวฟีเจอร์ที่ควบคุม ของการอัปเดตใบรับรองการบูตแบบปลอดภัยที่จัดการโดย Microsoft
-
เปิดใช้งาน: Microsoft ช่วยเหลือเกี่ยวกับการปรับใช้ใบรับรองกับอุปกรณ์ที่ลงทะเบียนในการเปิดตัว
-
ปิดใช้งาน (ค่าเริ่มต้น): ไม่มีการเข้าร่วมในการเผยแพร่ที่ควบคุม
ข้อกําหนด:
-
อุปกรณ์ต้องส่งข้อมูลการวินิจฉัยที่จําเป็นไปยัง Microsoft สําหรับรายละเอียด โปรดดู กําหนดค่าข้อมูลการวินิจฉัย Windows ในองค์กรของคุณ - ความเป็นส่วนตัวของ Windows | การตั้งค่าความเป็นส่วนตัวของ Windows Microsoft Learn
-
สอดคล้องกับรีจิสทรีคีย์ MicrosoftUpdateManagedOptIn
กําหนดค่า Opt-Out ความเชื่อมั่นสูง
ชื่อการตั้งค่า Microsoft Intune: กําหนดค่า Opt-Out ความเชื่อมั่นสูง
รายละเอียด: นโยบายนี้ควบคุมว่าจะนําการอัปเดตใบรับรองการบูตแบบปลอดภัยไปใช้โดยอัตโนมัติผ่านการอัปเดตความปลอดภัยรายเดือนและการอัปเดตที่ไม่ใช่ด้านความปลอดภัยของ Windows หรือไม่ อุปกรณ์ที่ Microsoft ได้ตรวจสอบว่าสามารถประมวลผลการอัปเดตตัวแปร Secure Boot จะได้รับการอัปเดตเหล่านี้โดยเป็นส่วนหนึ่งของการอัปเดตรายเดือนแบบสะสม และใช้การอัปเดตดังกล่าวโดยอัตโนมัติ เนื่องจากชุดฮาร์ดแวร์และเฟิร์มแวร์บางส่วนไม่สามารถตรวจสอบได้อย่างครบถ้วน Microsoft จึงต้องอาศัยการทดสอบแบบกําหนดเป้าหมายและข้อมูลการวินิจฉัยเพื่อระบุความพร้อมของอุปกรณ์ เฉพาะอุปกรณ์ที่มีข้อมูลการวินิจฉัยที่เพียงพอเท่านั้นที่สามารถพิจารณาได้อย่างมั่นใจสูง หากข้อมูลการวินิจฉัยไม่พร้อมใช้งานสําหรับอุปกรณ์ที่ระบุ จะไม่สามารถจําแนกประเภทได้ด้วยความมั่นใจสูง
-
เปิดใช้งาน: การปรับใช้อัตโนมัติผ่านการอัปเดตรายเดือนจะถูกบล็อก
-
ปิดใช้งาน (ค่าเริ่มต้น): อุปกรณ์ที่ตรวจสอบความถูกต้องของผลลัพธ์การอัปเดตจะได้รับการอัปเดตใบรับรองโดยอัตโนมัติโดยเป็นส่วนหนึ่งของการอัปเดตรายเดือน
หมายเหตุ:
-
อุปกรณ์ที่ตั้งใจจะได้รับการยืนยันเพื่อประมวลผลการอัปเดตเสร็จเรียบร้อยแล้ว
-
กําหนดค่านโยบายนี้เพื่อจัดการการปรับใช้อัตโนมัติผ่านการอัปเดตรายเดือน
-
สอดคล้องกับรีจิสทรีคีย์ HighConfidenceOptOut
เปิดใช้งาน Updates ใบรับรอง Secureboot
ชื่อการตั้งค่า Microsoft Intune: เปิดใช้งาน Updates ใบรับรอง Secureboot
รายละเอียด: นโยบายนี้จะควบคุมว่า Windows จะเริ่มกระบวนการปรับใช้ใบรับรองการบูตแบบปลอดภัยบนอุปกรณ์หรือไม่
-
เปิดใช้งาน: Windows จะเริ่มปรับใช้ใบรับรองการบูตแบบปลอดภัยที่อัปเดตแล้วโดยอัตโนมัติ
-
ปิดใช้งาน (ค่าเริ่มต้น): Windows ไม่ปรับใช้ใบรับรองโดยอัตโนมัติ
หมายเหตุ:
-
งานที่ประมวลผลการตั้งค่านี้จะทํางานทุกๆ 12 ชั่วโมง การอัปเดตบางอย่างอาจต้องเริ่มระบบใหม่เพื่อให้เสร็จสมบูรณ์ได้อย่างปลอดภัย
-
เมื่อนําใบรับรองไปใช้กับเฟิร์มแวร์จะไม่สามารถลบออกจาก Windows ได้ การล้างใบรับรองจะต้องทําผ่านส่วนติดต่อเฟิร์มแวร์
-
สอดคล้องกับรีจิสทรีคีย์ AvailableUpdates
ปัญหาที่พบ
อาการ
การตั้งค่าการกําหนดค่าการบูตแบบปลอดภัยที่ปรับใช้ผ่าน Microsoft Intune Mobile การจัดการอุปกรณ์ (MDM) ถูกบล็อกในรุ่น Pro ของ Windows 10 และ Windows 11
-
ความพยายามที่จะนํานโยบายเหล่านี้ไปใช้จะส่งผลให้ Microsoft Intune รหัสข้อผิดพลาด 65000
-
บันทึกเหตุการณ์อาจบันทึก POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION ซึ่งระบุว่าฟีเจอร์นี้ไม่พร้อมใช้งานในรุ่นนี้
การแก้ไขปัญหา
บริการอนุญาตให้ใช้สิทธิ์ Microsoft Intune ได้รับการอัปเดตเมื่อวันที่ 27 มกราคม 2026 เพื่ออนุญาตการปรับใช้การตั้งค่าการกําหนดค่าการบูตแบบปลอดภัยในรุ่น Pro ของ Windows 10 และ Windows 11 อุปกรณ์ที่ได้รับสิทธิการใช้งาน Microsoft Intune ของพวกเขาก่อนวันที่นี้จะต้องต่ออายุสิทธิการใช้งานเพื่อแก้ไขปัญหานี้ สิทธิ์การใช้งานจะต่ออายุโดยอัตโนมัติทุกเดือน ดังนั้นปัญหานี้จะได้รับการแก้ไขสําหรับอุปกรณ์ทั้งหมดภายในวันที่ 27 กุมภาพันธ์ 2026 เมื่อต้องการแก้ไขปัญหานี้ทันที คุณสามารถต่ออายุสิทธิ์การใช้งานบนอุปกรณ์ของคุณโดยการเรียกใช้คําสั่งต่อไปนี้ในนามของผู้ใช้ (ภายใต้บริบทของผู้ใช้):
-
ClipDLS.exe เอาการสมัครรับข้อมูลออก
-
ClipRenew.exe
ทรัพยากร
ดูเพิ่มเติม ที่ การอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย: อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT สําหรับรายละเอียดเกี่ยวกับ รีจิสทรีคีย์ UEFICA2023Status และ UEFICA2023Error สําหรับผลการตรวจสอบผลลัพธ์ของอุปกรณ์
ดู เหตุการณ์การอัปเดตตัวแปร DB และ DBX แบบปลอดภัย สําหรับเหตุการณ์ที่มีประโยชน์ในการทําความเข้าใจสถานะของอุปกรณ์ แอตทริบิวต์ของอุปกรณ์ และรหัสบักเก็ตอุปกรณ์ ใส่ใจเป็นพิเศษกับกิจกรรม 1801 และ 1808 ที่อธิบายไว้ในหน้ากิจกรรม
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
