Метод безпечного завантаження за допомогою Microsoft Intune на пристроях Windows з оновленнями, керованими ІТ-фахівцями

Застосовується до
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Примітка.

  • Дата публікації оригіналу: 4 грудня 2025 р.
  • Ідентифікатор бази знань: 5073196

Ця стаття містить рекомендації для:

  • Організації, що мають власний ІТ-відділ, який керує пристроями Windows і оновленнями.

Примітка. Якщо ви фізична особа, яка володіє особистим пристроєм Windows, див. статтю Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, керованими корпорацією Майкрософт.

Примітка.

Доступність цієї підтримки

  • 11 листопада 2025 р.: Для версій Windows 11Windows 11 та Windows 10Windows 10 триває підтримка.
Журнал змін
Змінення дати Змінити опис
23 березня 2026 р. Оновлено відому проблему з кодом помилки 65000 Microsoft IntuneMicrosoft Intune.
9 березня 2026 р. Видалено непідтримувані версії Windows 10Windows 10 з розділу "Застосовується до".
4 березня 2026 р. До списку "Застосовується до" додано Windows 11Windows 11 версії 25H2
4 лютого 2026 р. Відому проблему вирішено
17 грудня 2025 р. Додано розділ відомостей про відому проблему

У цій статті:

Вступ

У цьому документі описується підтримка розгортання оновлень сертифікатів безпечного завантаження, керування ними та моніторингу за допомогою Microsoft Intune. Параметри складаються з:

  • можливість ініціювати розгортання на пристрої;
  • параметр для приєднання або відмови від блоків високої достовірності.
  • Настройка для приєднання або відмови від керування оновленнями корпорації Майкрософт

Microsoft IntuneMicrosoft Intune method

Цей метод пропонує налаштування безпечного завантаження за допомогою Microsoft IntuneMicrosoft Intune, яку адміністратори домену можуть налаштувати для розгортання оновлень безпечного завантаження для всіх клієнтів Windows, приєднаних до домену. Крім того, двома допоміжними засобами безпечного завантаження можна керувати за допомогою параметрів увімкнення/відмови.

In Microsoft IntuneMicrosoft Intune,

  1. У розділі Керування пристроями> виберіть пункт "Конфігурація".

  2. Виберіть "Створити", а потім – "Нова політика".

    • Перейдіть до розділу "Створення профілю " в області праворуч.
    • Заповніть платформуWindows 10 і пізнішої версії.
  3. Виберіть каталог параметрів під типом профілю

    Додано зображення

  4. Почніть створювати профіль, надавши йому ім'я. У цьому прикладі використовується ім'я "Безпечне завантаження". Натисніть кнопку "Далі".
    зображення

  5. У розділі "Настройки конфігурації" виберіть пункт "Додати настройки " та за допомогою засобу вибору настройок знайдіть параметри безпечного завантаження за допомогою запиту "Безпечне завантаження". У категорії "Безпечне завантаження" мають відображатися три параметри. Це ті самі настройки, які описано в оновленнях розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-фахівцями та методом безпечного завантаження за допомогою об'єктів Групова політика (GPO), на пристроях Windows з документами про оновлення, керовані ІТ-фахівцями.

    • Параметр "Увімкнути сертифікат безпечного завантаження" Оновлення вибрано за замовчуванням і увімкнуто.

    • Параметри згоди та відмови, описані нижче, можна налаштувати відповідно до потреб середовища та розгортання. 

      додано

  6. Завершіть профіль для пристроїв, які використовуватимуть ці параметри.

Опис параметра

Настроювання керованої згоди служби Microsoft Update

Microsoft IntuneMicrosoft Intune Ім'я параметра: Настроювання керованої згоди служби Microsoft Update

Опис:
Ця політика дає змогу підприємствам брати участь у контрольованому розгортанні оновлення сертифіката безпечного завантаження під керуванням корпорації Майкрософт.

  • Увімкнуто: корпорація Майкрософт допомагає розгорнути сертифікати на пристроях, зареєстрованих у розгортанні.
  • Вимкнуто (за замовчуванням): немає участі в контрольованому розгортанні.

Вимоги:

Настроювання відмови від конфіденційної інформації

Microsoft Intune Ім'я параметра: Настроювання високої достовірності Opt-Out

Опис:
Ця політика визначає, чи застосовуються автоматично оновлення сертифікатів безпечного завантаження за допомогою щомісячних оновлень системи безпеки Windows і оновлень, не пов'язаних із безпекою. Пристрої, які корпорація Майкрософт перевірила як здатні обробляти змінні оновлення безпечного завантаження, отримуватимуть їх у рамках сукупних щомісячних оновлень і застосовуватимуть їх автоматично. Оскільки не всі комбінації обладнання та мікропрограм можуть бути вичерпно перевірені, корпорація Майкрософт покладається на цільові дані тестування та діагностики для визначення готовності пристрою. З високою достовірністю можна розглядати лише пристрої з достатньою кількістю діагностичних даних; якщо діагностичні дані недоступні для певного пристрою, їх не можна класифікувати з високою достовірністю.

  • Увімкнуто: автоматичне розгортання за допомогою щомісячних оновлень заблоковано.
  • Вимкнуто (за замовчуванням): пристрої, які перевірили результати оновлення, автоматично отримуватимуть оновлення сертифікатів як частину щомісячних оновлень.

Нотатки.

  • Підтверджено, що призначені пристрої успішно обробляють оновлення.
  • Налаштуйте цю політику, щоб керувати автоматичним розгортанням за допомогою щомісячних оновлень.
  • Відповідає розділу реєстру HighConfidenceOptOut.

Активувати сертифікат Secureboot Оновлення

Microsoft IntuneMicrosoft Intune Ім'я параметра: Enable Secureboot Certificate UpdatesОновлення: Оновлення:

Опис:
Ця політика керує тим, чи ініціює Windows процес розгортання сертифіката безпечного завантаження на пристроях.

  • Увімкнуто: Windows автоматично починає розгортати оновлені сертифікати безпечного завантаження.
  • Disabled (default): Windows не розгортає сертифікати автоматично.

Нотатки.

  • Завдання, яке обробляє цей параметр, виконується кожні 12 годин. Для безпечного завершення деяких оновлень може знадобитися перезавантаження.
  • Після застосування сертифікатів до мікропрограми їх не можна видалити з Windows. Очищення сертифікатів повинно здійснюватися через інтерфейс прошивки.
  • Відповідає розділу реєстру AvailableUpdates.

Відомі проблеми

Microsoft IntuneКод помилки 65000 Microsoft Intune у випусках Windows Pro

Ознаки захворювання

Параметри конфігурації безпечного завантаження, розгорнуті через Microsoft Intune Mobile Керування пристроями (MDM), зараз заблоковано у випусках Pro Windows 10 та Windows 11.

  • Спроби застосувати ці політики призводять до помилки Microsoft Intune код 65000.
  • У журнали подій можуть записуватися POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, це означає, що ця функція недоступна в цьому випуску.

Спосіб усунення проблеми

Службу ліцензування Microsoft Intune оновлено 27 січня 2026 р., що дає змогу розгортати параметри конфігурації безпечного завантаження у випусках Windows 10 та Windows 11 Pro.

Примітка.

Microsoft Intune Помилка з кодом 65000 все ще може виникати у випусках Pro Windows 11 версії 23H2. Вирішення цієї проблеми планується випустити в майбутньому оновленні Windows.

Щоб вирішити цю проблему, на пристрої, які отримали ліцензію Microsoft Intune до цієї дати, потрібно поновити ліцензії.  Ліцензії автоматично поновлюються щомісяця, тому цю проблему буде вирішено для пристроїв до 27 лютого 2026 року (за винятком деяких пристроїв Windows 11 версії 23H2, як зазначено вище). Щоб поновити ліцензію на пристрої вручну, від імені користувача (в контексті користувача) виконайте наведені нижче команди.

  • ClipDLS.exe removesubscription
  • ClipRenew.exe

Ресурси

Див. також Оновлення розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-фахівцями, щоб дізнатися більше про UEFICA2023Status і UEFICA2023Error розділів реєстру для моніторингу результатів пристроїв.

Див. події оновлення змінних DB і DBX безпечного завантаження, щоб дізнатися про події, корисні для розуміння стану пристроїв, атрибутів пристроїв та ідентифікаторів блоків пристроїв. Особливу увагу приділіть подіям 1801 і 1808 років, описаним на сторінці подій.