Примітка.
- Дата публікації оригіналу: 4 грудня 2025 р.
- Ідентифікатор бази знань: 5073196
Ця стаття містить рекомендації для:
- Організації, що мають власний ІТ-відділ, який керує пристроями Windows і оновленнями.
Примітка. Якщо ви фізична особа, яка володіє особистим пристроєм Windows, див. статтю Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, керованими корпорацією Майкрософт.
Примітка.
Доступність цієї підтримки
- 11 листопада 2025 р.: Для версій Windows 11Windows 11 та Windows 10Windows 10 триває підтримка.
Журнал змін
| Змінення дати | Змінити опис |
|---|---|
| 23 березня 2026 р. | Оновлено відому проблему з кодом помилки 65000 Microsoft IntuneMicrosoft Intune. |
| 9 березня 2026 р. | Видалено непідтримувані версії Windows 10Windows 10 з розділу "Застосовується до". |
| 4 березня 2026 р. | До списку "Застосовується до" додано Windows 11Windows 11 версії 25H2 |
| 4 лютого 2026 р. | Відому проблему вирішено |
| 17 грудня 2025 р. | Додано розділ відомостей про відому проблему |
У цій статті:
Вступ
У цьому документі описується підтримка розгортання оновлень сертифікатів безпечного завантаження, керування ними та моніторингу за допомогою Microsoft Intune. Параметри складаються з:
- можливість ініціювати розгортання на пристрої;
- параметр для приєднання або відмови від блоків високої достовірності.
- Настройка для приєднання або відмови від керування оновленнями корпорації Майкрософт
Microsoft IntuneMicrosoft Intune method
Цей метод пропонує налаштування безпечного завантаження за допомогою Microsoft IntuneMicrosoft Intune, яку адміністратори домену можуть налаштувати для розгортання оновлень безпечного завантаження для всіх клієнтів Windows, приєднаних до домену. Крім того, двома допоміжними засобами безпечного завантаження можна керувати за допомогою параметрів увімкнення/відмови.
In Microsoft IntuneMicrosoft Intune,
У розділі Керування пристроями> виберіть пункт "Конфігурація".
Виберіть "Створити", а потім – "Нова політика".
- Перейдіть до розділу "Створення профілю " в області праворуч.
- Заповніть платформуWindows 10 і пізнішої версії.
Виберіть каталог параметрів під типом профілю.
Почніть створювати профіль, надавши йому ім'я. У цьому прикладі використовується ім'я "Безпечне завантаження". Натисніть кнопку "Далі".
У розділі "Настройки конфігурації" виберіть пункт "Додати настройки " та за допомогою засобу вибору настройок знайдіть параметри безпечного завантаження за допомогою запиту "Безпечне завантаження". У категорії "Безпечне завантаження" мають відображатися три параметри. Це ті самі настройки, які описано в оновленнях розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-фахівцями та методом безпечного завантаження за допомогою об'єктів Групова політика (GPO), на пристроях Windows з документами про оновлення, керовані ІТ-фахівцями.
Параметр "Увімкнути сертифікат безпечного завантаження" Оновлення вибрано за замовчуванням і увімкнуто.
Параметри згоди та відмови, описані нижче, можна налаштувати відповідно до потреб середовища та розгортання.
Завершіть профіль для пристроїв, які використовуватимуть ці параметри.
Опис параметра
Настроювання керованої згоди служби Microsoft Update
Microsoft IntuneMicrosoft Intune Ім'я параметра: Настроювання керованої згоди служби Microsoft Update
Опис:
Ця політика дає змогу підприємствам брати участь у контрольованому розгортанні оновлення сертифіката безпечного завантаження під керуванням корпорації Майкрософт.
- Увімкнуто: корпорація Майкрософт допомагає розгорнути сертифікати на пристроях, зареєстрованих у розгортанні.
- Вимкнуто (за замовчуванням): немає участі в контрольованому розгортанні.
Вимоги:
- Пристрій має надсилати обов'язкові діагностичні дані до корпорації Майкрософт. Докладні відомості див. в статті "Налаштування діагностичних даних Windows у вашій організації": конфіденційність Windows | Microsoft Learn.
- Відповідає розділу реєстру MicrosoftUpdateManagedOptIn.
Настроювання відмови від конфіденційної інформації
Microsoft Intune Ім'я параметра: Настроювання високої достовірності Opt-Out
Опис:
Ця політика визначає, чи застосовуються автоматично оновлення сертифікатів безпечного завантаження за допомогою щомісячних оновлень системи безпеки Windows і оновлень, не пов'язаних із безпекою. Пристрої, які корпорація Майкрософт перевірила як здатні обробляти змінні оновлення безпечного завантаження, отримуватимуть їх у рамках сукупних щомісячних оновлень і застосовуватимуть їх автоматично. Оскільки не всі комбінації обладнання та мікропрограм можуть бути вичерпно перевірені, корпорація Майкрософт покладається на цільові дані тестування та діагностики для визначення готовності пристрою.
З високою достовірністю можна розглядати лише пристрої з достатньою кількістю діагностичних даних; якщо діагностичні дані недоступні для певного пристрою, їх не можна класифікувати з високою достовірністю.
- Увімкнуто: автоматичне розгортання за допомогою щомісячних оновлень заблоковано.
- Вимкнуто (за замовчуванням): пристрої, які перевірили результати оновлення, автоматично отримуватимуть оновлення сертифікатів як частину щомісячних оновлень.
Нотатки.
- Підтверджено, що призначені пристрої успішно обробляють оновлення.
- Налаштуйте цю політику, щоб керувати автоматичним розгортанням за допомогою щомісячних оновлень.
- Відповідає розділу реєстру HighConfidenceOptOut.
Активувати сертифікат Secureboot Оновлення
Microsoft IntuneMicrosoft Intune Ім'я параметра: Enable Secureboot Certificate UpdatesОновлення: Оновлення:
Опис:
Ця політика керує тим, чи ініціює Windows процес розгортання сертифіката безпечного завантаження на пристроях.
- Увімкнуто: Windows автоматично починає розгортати оновлені сертифікати безпечного завантаження.
- Disabled (default): Windows не розгортає сертифікати автоматично.
Нотатки.
- Завдання, яке обробляє цей параметр, виконується кожні 12 годин. Для безпечного завершення деяких оновлень може знадобитися перезавантаження.
- Після застосування сертифікатів до мікропрограми їх не можна видалити з Windows. Очищення сертифікатів повинно здійснюватися через інтерфейс прошивки.
- Відповідає розділу реєстру AvailableUpdates.
Відомі проблеми
Microsoft IntuneКод помилки 65000 Microsoft Intune у випусках Windows Pro
Ознаки захворювання
Параметри конфігурації безпечного завантаження, розгорнуті через Microsoft Intune Mobile Керування пристроями (MDM), зараз заблоковано у випусках Pro Windows 10 та Windows 11.
- Спроби застосувати ці політики призводять до помилки Microsoft Intune код 65000.
- У журнали подій можуть записуватися POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, це означає, що ця функція недоступна в цьому випуску.
Спосіб усунення проблеми
Службу ліцензування Microsoft Intune оновлено 27 січня 2026 р., що дає змогу розгортати параметри конфігурації безпечного завантаження у випусках Windows 10 та Windows 11 Pro.
Примітка.
Microsoft Intune Помилка з кодом 65000 все ще може виникати у випусках Pro Windows 11 версії 23H2. Вирішення цієї проблеми планується випустити в майбутньому оновленні Windows.
Щоб вирішити цю проблему, на пристрої, які отримали ліцензію Microsoft Intune до цієї дати, потрібно поновити ліцензії. Ліцензії автоматично поновлюються щомісяця, тому цю проблему буде вирішено для пристроїв до 27 лютого 2026 року (за винятком деяких пристроїв Windows 11 версії 23H2, як зазначено вище). Щоб поновити ліцензію на пристрої вручну, від імені користувача (в контексті користувача) виконайте наведені нижче команди.
- ClipDLS.exe removesubscription
- ClipRenew.exe
Ресурси
Див. також Оновлення розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-фахівцями, щоб дізнатися більше про UEFICA2023Status і UEFICA2023Error розділів реєстру для моніторингу результатів пристроїв.
Див. події оновлення змінних DB і DBX безпечного завантаження, щоб дізнатися про події, корисні для розуміння стану пристроїв, атрибутів пристроїв та ідентифікаторів блоків пристроїв. Особливу увагу приділіть подіям 1801 і 1808 років, описаним на сторінці подій.