套用到
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發佈日期:2025 年 10 月 30 日

KB 識別碼:5068198

本文提供以下方面的指引: 

  • 擁有自己的 IT 部門來管理 Windows 裝置和更新的組織。

附註: 如果您是擁有個人 Windows 裝置的個人,請參閱具有 Microsoft 管理更新的家用使用者、企業和學校的 Windows 裝置一文。 

此支援的可用性

  • 2025 年 10 月 14 日:支援的版本包括 Windows 10、22H2 版和更新版本 (包括 21H2 LTSC) 、所有支援的 Windows 11 版本以及 Windows Server 2022 及更新版本。

  • 2025 年 11 月 11 日:適用於仍支援的 Windows 版本。

本文內容:

簡介

本文檔介紹使用安全啟動群組原則對象部署、管理和監視安全啟動證書更新的支援。 設定包括: 

  • 在裝置上觸發部署的能力

  • 選擇加入/選擇退出高信賴度貯體的設定

  • 選擇加入/退出 Microsoft 管理更新的設定

群組原則 物件 (GPO) 設定方法

此方法提供簡單的安全開機群組原則設定,網域系統管理員可以設定該設定,以將安全開機更新部署至所有已加入網域的 Windows 用戶端和伺服器。 此外,可以使用選擇加入/選擇退出設定來管理兩個安全啟動輔助。 

若要取得包含部署安全開機憑證更新原則的更新,請參閱下方的資源一節。

您可以在群組原則 UI 的下列路徑下找到此原則: 

           電腦設定->系統管理範本->Windows 元件->安全開機 

重要: 安全啟動更新取決於裝置韌體,某些裝置可能會遇到相容性問題。 為確保安全推出:

  1. 針對組織中每種裝置類型,在至少一個代表性裝置上驗證更新原則

  2. 確認安全開機憑證已成功套用至 UEFI DB KEK。 如需詳細步驟,請瀏覽安全開機憑證更新:IT 專業人員和組織的指引

  3. 驗證之後,請依儲存貯體雜湊將裝置分組,並將原則套用至這些裝置,以進行受控的轉出。

可用的組態設定 

影像

這裡說明可用於安全開機憑證部署的三個設定。 這些設定會對應至 安全開機的登錄機碼更新:具有 IT 管理更新的 Windows 裝置中所述的登錄機碼。 

啟用安全開機憑證部署 

群組原則設定名稱:啟用安全開機憑證部署 

圖片

產品描述 此原則會控制 Windows 是否在裝置上起始安全開機憑證部署程式。 

  • 已啟用:一旦安全開機工作執行,Windows 就會自動開始部署更新的安全開機憑證。

  • 已停用:Windows 不會自動部署憑證。

  • 未設定:預設行為適用 (沒有自動部署) 。

附註: 

  • 處理此設定的工作每 12 小時執行一次。 某些更新可能需要重新啟動才能安全完成。

  • 將憑證套用至韌體之後,就無法從 Windows 中移除憑證。 清除憑證必須透過韌體介面完成。

  • 此設定會被視為偏好設定;如果移除 GPO,登錄值會保留。

  • 對應至登錄機碼 AvailableUpdates

透過匯報自動部署憑證 

群組原則設定名稱:透過匯報自動部署憑證 

圖像。

產品描述 此原則會控制是否透過 Windows 每月安全性和非安全性更新自動套用安全開機憑證更新。 Microsoft 已驗證為能夠處理安全開機變數更新的裝置,將會在累積服務中接收這些更新,並自動套用這些更新。 

  • 已啟用:具有已驗證更新結果的裝置將在服務期間自動收到憑證更新。

  • 已停用:自動部署被封鎖;必須手動管理更新。

  • 未設定:預設會發生自動部署。

附註: 

  • 預期裝置已確認已成功處理更新。

  • 設定此原則以選擇自動部署。

  • 對應至登錄機碼 HighConfidenceOptOut。

透過受控功能推出的憑證部署 

群組原則設定名稱:透過受控功能推出的憑證部署 

圖片

產品描述 此原則可讓企業參與 Microsoft 所管理的安全開機憑證更新的 受控功能推出

  • 已啟用:Microsoft 協助將憑證部署至已註冊到推出中的裝置。

  • 已停用或未設定:未參與受控推出。

要求: 

資源

另請參閱 安全開機的登錄機碼更新:具有 IT 管理更新的 Windows 裝置 ,以取得用於監視裝置結果的 UEFICA2023Status UEFICA2023Error 登錄機碼的詳細資訊。 

請參閱 安全開機資料庫和 DBX 變數更新事件 ,以取得有助於瞭解裝置狀態、裝置屬性和裝置儲存貯體識別碼的事件。 特別注意事件頁面上描述的事件 1801 和 1808。 

針對群組原則 MSI 和 GP 設定參考試算表,請使用下列連結,或確定您使用的系統管理範本是在表格中列出的日期或之後發佈。 

平台

已發佈的 MSI

已發佈的 GP 設定參考試算表

Client

從Microsoft官方網站下載適用於 2025 Windows 11 更新 (25H2) - V2.0 的管理模板 (.admx) 25H2 - V2.0

發佈時間:2025 年 9 月 29 日

從Microsoft官方網站下載群組原則 2025 Windows 11 Update (25H2) - V2.0 的設定參考電子表格

發佈時間:2025 年 10 月 2 日

伺服器

從官方Microsoft網站下載2025 Windows Server (10月25日發行) 的管理範本 (.admx)

發佈時間:2025 年 10 月 27 日

從官方網站下載群組原則 2025 Windows Server (10 月 25 日發行) 的設定參考試算表Microsoft官方網站

發佈時間:2025 年 10 月 27 日
Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心