التحديثات شهادة التمهيد الآمن لسطح المكتب الظاهري Azure
ينطبق على
تاريخ النشر الأصلي: 19 فبراير 2026
معرف KB: 5080931
تحتوي هذه المقالة على إرشادات حول:
-
Azure مسؤولي سطح المكتب الظاهري الذين يديرون تحديثات مضيف الجلسة
-
المؤسسات التي تستخدم الأجهزة الظاهرية الممكنة للتمهيد الآمن لعمليات توزيع Azure Virtual Desktop
-
المؤسسات التي تستخدم صور مخصصة (صور ذهبية) لعمليات توزيع Azure Virtual Desktop
في هذه المقالة:
المقدمة
Secure Boot هي ميزة أمان البرامج الثابتة UEFI التي تساعد على ضمان تشغيل البرامج الموثوق بها والموقعة رقميا فقط أثناء تسلسل تمهيد الجهاز. تبدأ صلاحية شهادات Microsoft Secure Boot الصادرة في عام 2011 في يونيو 2026. بدون شهادات 2023 المحدثة، لن تتلقى الأجهزة بعد الآن حماية أو تخفيفا جديدا للتمهيد الآمن وإدارة التمهيد للثغرات الأمنية المكتشفة حديثا على مستوى التمهيد.
يجب تحديث جميع الأجهزة الظاهرية الممكنة للتمهيد الآمن المسجلة في خدمة Azure Virtual Desktop والصور المخصصة المستخدمة لتوفيرها إلى شهادات 2023 قبل انتهاء الصلاحية للبقاء محمية. راجع متى تنتهي صلاحية شهادات التمهيد الآمن على أجهزة Windows
هل ينطبق هذا على بيئة سطح المكتب الظاهري Azure؟
|
السيناريو |
التمهيد الآمن نشط؟ |
الإجراء المطلوب |
|
مضيفو الجلسة |
||
|
جهاز ظاهري للتشغيل الموثوق به مع تمكين التمهيد الآمن |
نعم |
تحديث الشهادات على مضيف الجلسة |
|
جهاز ظاهري للتشغيل الموثوق به مع تعطيل التمهيد الآمن |
لا |
لا يلزم اتخاذ أي إجراء |
|
Standard نوع الأمان VM |
لا |
لا يلزم اتخاذ أي إجراء |
|
الجهاز الظاهري من الجيل 1 |
غير مدعوم |
لا يلزم اتخاذ أي إجراء |
|
صور ذهبية |
||
|
Azure صورة معرض الحوسبة مع تمكين التمهيد الآمن |
نعم |
تحديث الشهادات في الصورة المصدر |
|
Azure صورة معرض الحوسبة دون تشغيل موثوق به |
لا |
تطبيق التحديثات في مضيف الجلسة بعد التوزيع |
|
الصورة المدارة (لا تدعم التشغيل الموثوق به) |
لا |
تطبيق التحديثات في مضيف الجلسة بعد التوزيع |
للحصول على معلومات خلفية كاملة، راجع تحديثات شهادة التمهيد الآمن: إرشادات لمتخصصي تكنولوجيا المعلومات والمؤسسات.
المخزون والمراقبة
قبل اتخاذ إجراء، قم بجرد بيئتك لتحديد الأجهزة التي تتطلب تحديثات. تعد المراقبة ضرورية لتأكيد تطبيق الشهادات قبل الموعد النهائي لشهر يونيو 2026 - حتى إذا كنت تعتمد على أساليب التوزيع التلقائي. فيما يلي خيارات لتحديد ما إذا كان يجب اتخاذ إجراء.
الخيار 1: Microsoft Intune المعالجات
بالنسبة لمضيفي الجلسة المسجلين في Microsoft Intune، يمكنك نشر برنامج نصي للكشف باستخدام Intune المعالجات (المعالجات الاستباقية) لجمع حالة شهادة التمهيد الآمن تلقائيا عبر أسطولك. يعمل البرنامج النصي بصمت على كل جهاز ويبلغ عن حالة التمهيد الآمن وتقدم تحديث الشهادة وتفاصيل الجهاز مرة أخرى إلى مدخل Intune — لا يتم إجراء أي تغييرات على الأجهزة. يمكن عرض النتائج وتصديرها إلى CSV مباشرة من مركز إدارة Intune للتحليل على مستوى الأسطول.
للحصول على إرشادات خطوة بخطوة حول نشر البرنامج النصي للكشف، راجع مراقبة حالة شهادة التمهيد الآمن مع Microsoft Intune المعالجات.
الخيار 2: تقرير حالة التمهيد الآمن ل Windows Autopatch
بالنسبة لمضيفي الجلسة الدائمين الشخصيين المسجلين في Windows Autopatch، انتقل إلى مركز إدارة Intune > التقارير > Windows Autopatch > تحديثات جودة Windows > علامة التبويب تقارير > حالة التمهيد الآمن. راجع تقرير حالة التمهيد الآمن في Windows Autopatch.
ملاحظة: يدعم Windows Autopatch الأجهزة الظاهرية الشخصية الثابتة فقط لسطح المكتب الظاهري Azure. لا يتم دعم المضيفين متعددي الجلسات والأجهزة الظاهرية المجمعة غير المستمرة وتدفق التطبيقات عن بعد. راجع التشغيل التلقائي ل Windows على Azure أحمال عمل سطح المكتب الظاهري.
الخيار 3: مفاتيح التسجيل لمراقبة الأسطول
استخدم أدوات إدارة الجهاز الحالية للاستعلام عن قيم التسجيل هذه عبر أسطولك.
|
مسار التسجيل |
مفتاح |
الغرض |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
حالة التوزيع الحالية |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
يشير إلى أخطاء (يجب ألا تكون موجودة) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
يشير إلى معرف الحدث (يجب ألا يكون موجودا) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
التحديثات المتوفرة |
بتات التحديث المعلقة |
للحصول على تفاصيل مفتاح التسجيل الكامل، راجع تحديثات مفتاح التسجيل للتمهيد الآمن: أجهزة Windows مع التحديثات المدارة بواسطة تكنولوجيا المعلومات.
الخيار 4: مراقبة سجل الأحداث
استخدم أدوات إدارة الأجهزة الحالية لجمع ومراقبة معرفات الأحداث هذه من سجل أحداث النظام عبر أسطولك.
|
معرف الحدث |
الموقع |
معني |
|
1808 |
النظام |
تم تطبيق الشهادات بنجاح |
|
1801 |
النظام |
تحديث الحالة أو تفاصيل الخطأ |
للحصول على قائمة كاملة بتفاصيل الحدث، راجع أحداث تحديث متغير التمهيد الآمن DB وDBX.
الخيار 5: البرنامج النصي لمخزون PowerShell
قم بتشغيل البرنامج النصي لنموذج مجموعة بيانات مخزون التمهيد الآمن من Microsoft للتحقق من حالة تحديث شهادة التمهيد الآمن. يجمع البرنامج النصي عدة نقاط بيانات بما في ذلك حالة التمهيد الآمن وحالة تحديث UEFI CA 2023 وإصدار البرنامج الثابت ونشاط سجل الأحداث.
نشر
هام: بغض النظر عن خيار التوزيع الذي تختاره، نوصي بمراقبة أسطول جهازك لتأكيد تطبيق الشهادات بنجاح قبل الموعد النهائي لشهر يونيو 2026. للحصول على صور مخصصة، راجع اعتبارات الصورة الذهبية.
الخيار 1: التحديثات التلقائي من Windows Update (الأجهزة عالية الثقة)
تقوم Microsoft تلقائيا بتحديث الأجهزة من خلال تحديثات Windows الشهرية عندما تؤكد بيانات تتبع الاستخدام الكافية نجاح التوزيع على تكوينات الأجهزة المماثلة.
-
الحالة: ممكن بشكل افتراضي للأجهزة عالية الثقة
-
لا يلزم اتخاذ أي إجراء ما لم ترغب في إلغاء الاشتراك
|
التسجيل |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
مفتاح |
HighConfidenceOptOut = 1 لإلغاء الاشتراك |
|
نهج المجموعة |
تكوين الكمبيوتر > القوالب الإدارية > مكونات Windows > Secure Boot > التوزيع التلقائي للشهادة عبر التحديثات تعيين > إلى معطل لإلغاء الاشتراك. |
التوصيه: حتى مع تمكين التحديثات التلقائية، راقب مضيفي الجلسة للتحقق من تطبيق الشهادات. قد لا تكون جميع الأجهزة مؤهلة للتوزيع التلقائي عالي الثقة.
لمزيد من المعلومات، راجع مساعدة التوزيع التلقائي.
الخيار 2: IT-Initiated التوزيع
تشغيل تحديثات الشهادة يدويا للطرح الفوري أو الخاضع للرقابة.
|
طريقة |
الوثائق |
|
Microsoft Intune |
|
|
نهج المجموعة |
|
|
مفاتيح التسجيل |
|
|
WinCS CLI |
ملاحظات:
-
لا تخلط أساليب التوزيع التي تبدأها تكنولوجيا المعلومات (على سبيل المثال، Intune وGPO) على نفس الجهاز - فهي تتحكم في نفس مفاتيح التسجيل وقد تتعارض.
-
السماح بحوالي 48 ساعة وإعادة تشغيل واحدة أو أكثر للشهادات لتطبيقها بالكامل.
اعتبارات الصورة الذهبية
بالنسبة لبيئات سطح المكتب الظاهري Azure باستخدام Azure Compute Gallery مع تمكين Secure Boot، قم بتطبيق تحديث شهادة Secure Boot 2023 على الصورة الذهبية قبل التقاطها. استخدم إحدى الطرق الموضحة أعلاه لتطبيق التحديث، ثم تحقق من تحديث الشهادات قبل التعميم:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
يتعذر على الصور التي لم يتم تمكين التشغيل الموثوق بها تلقي تحديثات شهادة التمهيد الآمن من خلال الصورة. يتضمن ذلك الصور المدارة، والتي لا تدعم Trusted Launch، Azure Compute Gallery images حيث لا يتم تمكين Trusted Launch. بالنسبة للأجهزة المقدمة من هذه الصور، قم بتطبيق التحديثات في نظام التشغيل الضيف باستخدام إحدى الطرق المذكورة أعلاه.
المشاكل المعروفة
مفتاح تسجيل الخدمة غير موجود
|
العَرَض |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path not exist |
|
السبب |
لم يتم بدء تحديثات الشهادة على الجهاز |
|
الدقة |
انتظر التوزيع التلقائي عبر Windows Update، أو ابدأ يدويا باستخدام إحدى طرق التوزيع التي بدأتها تكنولوجيا المعلومات أعلاه |
تظهر الحالة "InProgress" للفترة الممتدة
|
العَرَض |
يبقى UEFICA2023Status "InProgress" بعد عدة أيام |
|
السبب |
قد يحتاج الجهاز إلى إعادة تشغيل لإكمال عملية التحديث |
|
الدقة |
أعد تشغيل مضيف الجلسة وتحقق من الحالة مرة أخرى بعد 15 دقيقة. إذا استمرت المشكلة، فراجع أحداث تحديث متغير التمهيد الآمن DB وDBX للحصول على إرشادات استكشاف الأخطاء وإصلاحها |
يوجد مفتاح تسجيل UEFICA2023Error
|
العَرَض |
مفتاح تسجيل UEFICA2023Error موجود |
|
السبب |
حدث خطأ أثناء نشر الشهادة |
|
الدقة |
تحقق من سجل أحداث النظام للحصول على التفاصيل. راجع أحداث تحديث متغير التمهيد الآمن DB وDBX للحصول على إرشادات استكشاف الأخطاء وإصلاحها |
الموارد
هل تحتاج إلى مزيد من المساعدة؟
الخروج من الخيارات إضافية؟
استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.
تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.
