套用到
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發佈日期:2025年10月30日

KB ID:5068198

本文提供以下指引: 

  • 組織擁有自己的 IT 部門,負責管理 Windows 裝置和更新。

注意:如果您是擁有個人 Windows 裝置的個人,請參閱「Windows 裝置適合家庭用戶、企業及學校,並使用Microsoft管理的更新」。 

此支援的可用性

  • 2025年10月14日:支援版本包括Windows 10、22H2及更新版本 (包括21H2 LTSC) ,所有支援的Windows 11版本,以及2022 Windows Server及以後版本。

  • 2025 年 11 月 11 日:針對仍支援中的 Windows 版本。

變更日期

變更說明

2025年11月11日

  • 客戶端連結在「資源」下從「https://www.microsoft.com/download/details.aspx?id=108394 」更新為 「www.microsoft.com/en-us/download/details.aspx?id=108428」。

  • 發布日期由 2025/9/29/2025 改為 10/27/27

2025年11月26日

  • 在「透過匯報自動部署憑證」下新增了備註。

  • 在「透過匯報自動部署憑證」中,將啟用與停用的定義互換了。

本文內容:

簡介

本文件說明使用安全開機群組原則物件來部署、管理及監控安全開機憑證更新的支援。 場景包括: 

  • 觸發裝置部署的能力

  • 一個可以選擇加入/退出高信心分類的設定

  • 一個可以選擇加入/退出 Microsoft 管理更新的設定

群組原則 物件 (GPO) 設定方法

此方法提供一個簡單的安全開機群組原則設定,網域管理員可設定以部署安全啟動更新至所有已加入網域的 Windows 用戶端與伺服器。 此外,還可透過選擇加入/退出設定管理兩個安全啟動輔助。 

若要取得包含安全啟動憑證更新政策的更新,請參閱下方的資源區塊。

此政策可在群組原則介面的以下路徑中找到: 

           電腦設定->管理範本->Windows 元件->安全開機 

重要: 安全開機更新會依裝置韌體而異,有些裝置可能會遇到相容性問題。 為確保安全推出:

  1. 在組織中每種裝置類型中,至少驗證一台代表性的裝置的更新政策

  2. 確認安全開機憑證已成功套用到 UEFI 資料庫KEK。 欲了解詳細步驟,請參閱安全啟動憑證更新:IT 專業人員與組織指引

  3. 驗證後,依桶雜湊分組裝置,並將政策套用於這些裝置,進行受控部署。

可用的設定設定 

影像

以下說明了三種安全開機憑證部署的設定。 這些設定對應於安全 開機登錄檔金鑰更新中描述的登錄檔鍵:Windows 裝置的 IT 管理更新。 

啟用安全開機憑證部署 

群組原則設定名稱:啟用安全開機憑證部署 

圖片

說明 此政策控制 Windows 是否會在裝置上啟動安全開機憑證部署程序。 

  • 啟用:Windows 會在安全啟動任務執行後自動開始部署更新的 Secure Boot 憑證。

  • 停用:Windows 不會自動部署憑證。

  • 未設定:預設行為適用 (沒有自動部署) 。

附註: 

  • 處理此設定的任務每 12 小時執行一次。 部分更新可能需要重新啟動才能安全完成。

  • 憑證一旦套用到韌體上,就無法從 Windows 中移除。 清除憑證必須透過韌體介面完成。

  • 此設定被視為偏好;若移除 GPO,登錄檔值仍保留。

  • 對應登錄檔金鑰 AvailableUpdates

透過匯報自動部署憑證 

群組原則設定名稱:透過匯報自動憑證部署 

影像。

說明 此政策控制安全開機憑證更新是否透過 Windows 每月的安全及非安全更新自動套用。 Microsoft 已驗證能處理安全開機變數更新的裝置,將作為累積服務的一部分接收這些更新並自動套用。 

附註: 啟用此政策會停用匯報自動憑證部署。 這相當於將 HighConfidenceOptOut 登錄檔金鑰設為 1。停用此政策會選擇加入透過匯報自動憑證部署,相當於將 HighConfidenceOptOut 設為 0。

  • 啟用:自動部署被阻擋;更新必須手動管理。

  • 停用:經過驗證更新結果的裝置在維修期間將自動收到憑證更新。

  • 未設定:自動部署預設為自動部署。

附註: 

  • 預期裝置已確認能成功處理更新。

  • 設定此政策以選擇自動部署。

  • 對應於註冊金鑰 HighConfidenceOptOut。

憑證部署透過受控功能推出 

群組原則設定名稱:透過受控功能推出的憑證部署 

圖片

說明 此政策允許企業參與由 Microsoft 管理的安全啟動憑證更新的 受控功能推廣

  • 啟用:Microsoft 協助將憑證部署至已註冊的裝置。

  • 停用或未設定:未參與受控推出。

要求: 

資源

另請參閱 安全開機登錄鍵更新:Windows 裝置與 IT 管理更新 ,以詳細說明 UEFICA2023Status UEFICA2023Error 登錄檔鍵以監控裝置結果。 

請參閱 安全開機資料庫與 DBX 變數更新事件 ,了解了解裝置狀態、裝置屬性及裝置桶 ID 的事件。 請特別注意事件頁面中描述的1801年與1808年事件。 

對於群組原則 MSI 及 GP 設定參考試算表,請使用以下連結,或確保您使用的管理範本是在表格中列出的日期或之後發布的。 

平台

已發表的MSI

已發表的 GP 設定參考試算表

Client

從Microsoft官方網站下載Windows 11 2025 更新 (.admx) (25H2) - V2.0 的管理範本

發布日期:2025/10/27

從Microsoft官方網站下載群組原則2025 Windows 11 25H2) - V2.0 更新 (設定參考試算表

發布日期:2025/10/2

伺服器

可於Microsoft官方網站下載2025 Windows Server (.admx) (10月25日發布)

發布日期:2025/10/27

群組原則 2025 Windows Server年 10 月 25 日) 發佈 (設定參考試算表可從官方網站下載Microsoft

發布日期:2025/10/27
Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心