Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Вихідна дата публікації: 4 грудня 2025 р.

Ідентифікатор KB: 5073196

У цій статті наведено рекомендації щодо: 

  • Організації, які мають власний ІТ-відділ, який керує пристроями та оновленнями Windows.

Примітка. Якщо ви – особа, яка володіє особистим пристроєм Windows, див. статтю Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, які керуються корпорацією Майкрософт. ​​​​​​​

Доступність цієї підтримки

  • 11 листопада 2025 р.: версії Windows 11 та Windows 10 все ще підтримуються.

У цій статті:

Вступ

У цьому документі описано підтримку розгортання, керування та моніторингу оновлень сертифіката безпечного завантаження за допомогою Microsoft Intune. Параметри складаються з:

  • Можливість ініціювати розгортання на пристрої

  • Параметр, який дає змогу ввімкнути або відмовитися від сегментів високої достовірності

  • Параметр, який дає змогу вмикати й відмовлятися від керування оновленнями від корпорації Майкрософт

метод конфігурації Microsoft Intune

Цей метод забезпечує параметр безпечного завантаження за допомогою Microsoft Intune, які адміністратори домену можуть налаштувати на розгортання оновлень безпечного завантаження для всіх клієнтів Windows, підключених до домену. Крім того, двома помічниками із безпечного завантаження можна керувати за допомогою параметрів приєднання та відмови.

У Microsoft Intune

  1. У розділі Пристрої > Керування пристроями виберіть Конфігурація.

  2. Натисніть кнопку Створити , а потім – Нова політика.

    • Перейдіть до розділу Створення профілю в області праворуч.

    • Заповніть платформу за допомогою Windows 10 та пізніших версій.

  3. Виберіть каталог настройок у розділі Тип профілю Додано зображення

  4. Почніть створювати профіль, надавши йому ім'я. У цьому прикладі ми використовуємо "Безпечне завантаження" як ім'я. Натисніть кнопку Далі.зображення

  5. У розділі Настройки конфігурації виберіть елемент Додати настройки та скористайтеся засобом вибору настройок, щоб знайти параметри безпечного завантаження за допомогою пошуку параметра Безпечне завантаження. У категорії Безпечне завантаження має відобразитися три параметри. Ці параметри описано в оновленнях розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями під керуванням ІТ і методом Групова політика Objects (GPO) безпечного завантаження для пристроїв Windows із документами, керованими ІТ-оновленнями.

    • Увімкнути Оновлення сертифіката Secureboot вибрано за замовчуванням і ввімкнуто.

    • Параметри вибору та відмови, описані нижче, можна настроїти відповідно до потреб середовища та розгортання.  Додано

  6. Завершіть роботу з профілем для пристроїв, які використовуватимуть ці настройки.

Опис параметра

Настроювання керованої надбудови Microsoft Update

ім'я параметра Microsoft Intune: настроювання керованої opt in служби Microsoft Update

Опис: Ця політика дозволяє підприємствам брати участь у розгортанні керованих функцій оновлення сертифіката безпечного завантаження, керованого корпорацією Майкрософт.

  • Увімкнуто: корпорація Майкрософт допомагає розгортати сертифікати на пристроях, зареєстрованих у розгортанні.

  • Вимкнуто (за замовчуванням): немає участі в контрольованому розгортанні.

Вимоги:

Настроювання Opt-Out високої достовірності

ім'я параметра Microsoft Intune: настроювання Opt-Out високої достовірності

Опис: Ця політика визначає, чи автоматично застосовуються оновлення сертифіката безпечного завантаження через щомісячні оновлення системи безпеки Windows і оновлення, не призначені для системи безпеки. Пристрої, які корпорація Майкрософт перевіряла як здатні обробляти оновлення змінних безпечного завантаження, отримають ці оновлення в рамках сукупних щомісячних оновлень і застосуватимуть їх автоматично. Оскільки не всі комбінації апаратного та мікропрограми можуть бути вичерпно перевірені, корпорація Майкрософт використовує цільове тестування та діагностичні дані, щоб визначити готовність пристрою. З високою впевненістю можна вважати лише пристрої з достатніми діагностичними даними; якщо діагностичні дані недоступні для певного пристрою, їх не можна класифікувати з високою довірою.

  • Увімкнуто: автоматичне розгортання через щомісячні оновлення заблоковано.

  • Вимкнуто (за замовчуванням): пристрої, на яких перевірено результати оновлення, автоматично отримуватимуть оновлення сертифіката в рамках щомісячних оновлень.

Нотатки.

  • Призначені пристрої підтверджено для успішної обробки оновлень.

  • Настройте цю політику для керування автоматичним розгортанням за допомогою щомісячних оновлень.

  • Відповідає розділу реєстру HighConfidenceOptOut.

Увімкнути Оновлення сертифіката Secureboot

ім'я параметра Microsoft Intune: увімкнення сертифіката secureboot Оновлення

Опис: Ця політика визначає, чи ініціює Windows процес розгортання сертифіката безпечного завантаження на пристроях.

  • Увімкнуто: Windows автоматично починає розгортання оновлених сертифікатів безпечного завантаження.

  • Вимкнуто (за замовчуванням): Windows не розгортає сертифікати автоматично.

Нотатки.

  • Завдання, яке обробляє цей параметр, виконується кожні 12 годин. Для безпечного завершення деяких оновлень може знадобитися перезавантаження.

  • Після застосування сертифікатів до мікропрограми їх не можна видалити з Windows. Очищення сертифікатів має виконуватися в інтерфейсі мікропрограми.

  • Відповідає розділу реєстру AvailableUpdates.

Ресурси

Докладні відомості про UEFICA2023Status і UEFICA2023Загальні розділи реєстру для безпечного завантаження див. в статті Пристрої Windows з оновленнями, керованими ІТ-системами, для відстеження результатів роботи з пристроями.

Відомості про події, корисні для розуміння стану пристроїв, атрибутів пристрою та ідентифікаторів сегмента пристрою, див. в статті Події оновлення змінних DB та DBX . Зверніть особливу увагу на події 1801 і 1808, описані на сторінці подій.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей