Áp dụng cho
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Ngày phát hành ban đầu: Ngày 4 tháng 12 năm 2025

ID KB: 5073196

Bài viết này có hướng dẫn về: 

  • Các tổ chức có bộ phận CNTT riêng của mình quản lý các thiết bị và bản cập nhật Windows.

Lưu ý: Nếu bạn là cá nhân sở hữu thiết bị Windows cá nhân, vui lòng xem bài viết Thiết bị Windows dành cho người dùng gia đình, doanh nghiệp và trường học có bản cập nhật do Microsoft quản lý. ​​​​​​​

Tính khả dụng của hỗ trợ này

  • Ngày 11 tháng 11 năm 2025: Đối với các phiên bản Windows 11 và Windows 10 vẫn được hỗ trợ.

Ngày Thay đổi

Thay đổi Mô tả

Ngày 17 tháng 12 năm 2025

Đã thêm phần Sự cố Đã biết

Trong Bài viết này:

Giới thiệu

Tài liệu này mô tả hỗ trợ cho việc triển khai, quản lý và giám sát các bản cập nhật chứng chỉ Khởi động An toàn bằng cách sử dụng Microsoft Intune. Cài đặt này bao gồm:

  • Khả năng kích hoạt triển khai trên thiết bị

  • Cài đặt để chọn/chọn không sử dụng bộ chứa có độ tin cậy cao

  • Cài đặt để chọn tham gia/chọn không tham gia quản lý bản cập nhật của Microsoft

Microsoft Intune cấu hình

Phương pháp này cung cấp cài đặt Khởi động An toàn bằng Microsoft Intune mà người quản trị miền có thể đặt để triển khai các bản cập nhật Khởi động An toàn cho tất cả các máy khách Windows đã tham gia miền. Ngoài ra, bạn có thể quản lý hai hỗ trợ Khởi động An toàn bằng cài đặt chọn tham gia/chọn không tham gia.

Trong Microsoft Intune,

  1. Trong Thiết bị> quản lý thiết bị, chọn Cấu hình.

  2. Chọn Tạo và chọn Chính sách Mới.

    • Đi tới Tạo hồ sơ trong ngăn bên phải.

    • Điền vào Nền tảng với các Windows 10 hơn.

  3. Chọn Danh mục Thiết đặt bên dưới Loại Hồ sơ Đã thêm ảnh

  4. Bắt đầu tạo hồ sơ bằng cách đặt tên cho hồ sơ. Trong ví dụ này, chúng tôi đang sử dụng tên "Khởi động An toàn". Nhấn Tiếp theo.ảnh

  5. Trong Cài đặt cấu hình, chọn Thêm cài đặt và sử dụng bộ chọn Cài đặt để tìm cài đặt Khởi động An toàn bằng cách tìm kiếm Khởi động An toàn. Bạn sẽ thấy ba cài đặt trong danh mục Khởi động An toàn. Đây là các cài đặt tương tự được mô tả trong các bản cập nhật Khóa đăng ký cho Khởi động An toàn: Các thiết bị Windows có các bản cập nhật được quản lý bởi CNTT và phương pháp Khởi động An toàn của Đối tượng chính sách nhóm (GPO) dành cho các thiết bị Windows có tài liệu cập nhật được quản lý bởi CNTT.

    • Bật Secureboot Certificate Cập nhật được chọn theo mặc định và được bật.

    • Bạn có thể đặt cấu hình cài đặt chọn tham gia và chọn không tham gia được mô tả bên dưới để phù hợp với nhu cầu triển khai và môi trường của bạn.  Thêm

  6. Hoàn tất hồ sơ cho các thiết bị sẽ sử dụng các cài đặt này.

Thiết đặt Mô tả

Đặt cấu hình Tùy chọn tham gia được Quản lý của Microsoft Update

Microsoft Intune đặt: Đặt cấu hình Cho phép Quản lý Microsoft Update

Mô tả: Chính sách này cho phép các doanh nghiệp tham gia vào việc triển khai Tính năng có Kiểm soát của bản cập nhật chứng chỉ Khởi động An toàn do Microsoft quản lý.

  • Đã bật: Microsoft hỗ trợ triển khai chứng chỉ cho các thiết bị đã đăng ký triển khai.

  • Đã tắt (mặc định): Không tham gia vào triển khai có kiểm soát.

Yêu cầu:

Đặt cấu hình cài đặt Độ tin Opt-Out

Microsoft Intune Thiết đặt: Cấu hình Thiết đặt Tin cậy Cao Opt-Out

Mô tả: Chính sách này kiểm soát việc các bản cập nhật chứng chỉ Khởi động An toàn có được áp dụng tự động thông qua các bản cập nhật bảo mật và không liên quan đến bảo mật hàng tháng của Windows hay không. Các thiết bị mà Microsoft đã xác thực là có khả năng xử lý các bản cập nhật biến Khởi động An toàn sẽ nhận được các bản cập nhật này như là một phần của bản cập nhật tích lũy hàng tháng và tự động áp dụng các bản cập nhật đó. Vì không phải tất cả các kết hợp phần cứng và vi chương trình đều có thể được xác thực đầy đủ, Microsoft dựa trên dữ liệu chẩn đoán và thử nghiệm mục tiêu để xác định tính sẵn sàng của thiết bị. Chỉ những thiết bị có đủ dữ liệu chẩn đoán mới có thể được xem xét với độ tin cậy cao; nếu dữ liệu chẩn đoán không có sẵn cho một thiết bị cụ thể, thì thiết bị đó sẽ không thể được phân loại với độ tin cậy cao.

  • Đã bật: Tự động triển khai thông qua cập nhật hàng tháng bị chặn.

  • Đã tắt (mặc định): Các thiết bị đã xác thực kết quả cập nhật sẽ tự động nhận các bản cập nhật chứng chỉ như một phần của bản cập nhật hàng tháng.

Lưu ý:

  • Thiết bị dự kiến được xác nhận để xử lý bản cập nhật thành công.

  • Đặt cấu hình cho chính sách này để quản lý triển khai tự động thông qua các bản cập nhật hàng tháng.

  • Tương ứng với khóa đăng ký HighConfidenceOptOut.

Bật Secureboot Certificate Cập nhật

Microsoft Intune Thiết đặt: Bật Secureboot Certificate Cập nhật

Mô tả: Chính sách này kiểm soát việc Windows có khởi tạo quy trình triển khai chứng chỉ Khởi động An toàn trên các thiết bị hay không.

  • Đã bật: Windows tự động bắt đầu triển khai chứng chỉ Khởi động An toàn đã cập nhật.

  • Đã tắt (mặc định): Windows không tự động triển khai chứng chỉ.

Lưu ý:

  • Tác vụ xử lý cài đặt này sẽ chạy 12 giờ một lần. Một số bản cập nhật có thể yêu cầu khởi động lại để hoàn tất an toàn.

  • Không thể loại bỏ chúng khỏi Windows sau khi chứng chỉ được áp dụng cho vi chương trình. Việc xóa chứng chỉ phải được thực hiện thông qua giao diện vi chương trình.

  • Tương ứng với khóa đăng ký AvailableUpdates.

Sự cố Đã biết

Dấu hiệu

Cài đặt cấu hình Khởi động An toàn được triển khai thông qua Microsoft Intune Mobile Quản lý thiết bị (MDM) hiện bị chặn trên các phiên bản Pro của Windows 10 và Windows 11.

  • Cố gắng áp dụng các chính sách này sẽ Microsoft Intune Bội số 65000

  • Nhật ký sự kiện có thể ghi POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, cho biết tính năng này không khả dụng trên phiên bản này.

Giải pháp

Sự cố đang được điều tra và thông tin bổ sung sẽ được chia sẻ ngay khi có.

Tài nguyên

Xem thêm Các bản cập nhật khóa đăng ký cho Khởi động An toàn: Các thiết bị Windows có các bản cập nhật do CNTT quản lý để biết chi tiết về khóa đăng ký UEFICA2023Status UEFICA2023Error để theo dõi kết quả của thiết bị.

Xem Các sự kiện cập nhật biến số Khởi động An toàn và DBX để biết các sự kiện hữu ích trong việc hiểu rõ trạng thái của thiết bị, thuộc tính thiết bị và ID bộ chứa thiết bị. Chú ý đặc biệt đến các sự kiện 1801 và 1808 được mô tả trên trang sự kiện.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng