مراقبة حالة شهادة التمهيد الآمن مع Microsoft Intune المعالجة
ينطبق على
تاريخ النشر الأصلي: 18 فبراير 2026
معرف KB: 5080921
تحتوي هذه المقالة على إرشادات حول:
-
مسؤولو تكنولوجيا المعلومات الذين يحتاجون إلى رؤية حالة تحديث شهادة التمهيد الآمن من أجهزة Windows المسجلة Intune
-
المؤسسات التي تستعد للموعد النهائي لانتهاء صلاحية شهادة التمهيد الآمن لشهر يونيو 2026
-
الفرق التي ترغب في مراقبة تقدم طرح الشهادات عبر أجهزة Windows المسجلة Intune
في هذه المقالة:
المقدمة
تنتهي صلاحية شهادات Microsoft Secure Boot (CAs 2011) بدءا من يونيو 2026. يجب تحديث جميع أجهزة Windows التي تم تمكين التمهيد الآمن لها إلى شهادات 2023 قبل انتهاء الصلاحية لضمان استمرار دعم تحديث الأمان.
يوفر هذا الدليل نهجا للمراقبة فقط باستخدام Microsoft Intune المعالجات (المعالجات الاستباقية). يجمع البرنامج النصي للكشف حالة التمهيد والشهادة الآمنة من كل جهاز ويبلغ عنها مرة أخرى إلى مدخل Intune — لا يتم اتخاذ أي إجراء معالجة على الأجهزة. يمنح هذا المسؤولين طريقة عرض مركزية وقابلة للتصدير للتقدم المحرز في تحديث الشهادة عبر أجهزة Windows المسجلة Intune.
لماذا تستخدم هذا النهج؟
|
الاستفاده |
الوصف |
|---|---|
|
الرؤية على مستوى الجهاز |
الاطلاع على كل Intune حالة شهادة جهاز Windows المسجلة في مكان واحد |
|
التصدير |
تصدير النتائج إلى CSV مباشرة من مدخل Intune |
|
قيم التسجيل الأولية |
راجع بيانات السجل الفعلية، وليس فقط التمرير/الفشل |
|
سياق الجهاز |
يتضمن الشركة المصنعة والطراز وإصدار BIOS ونوع البرنامج الثابت |
|
بيانات تتبع الاستخدام لسجل الأحداث |
يلتقط معرفات أحداث التمهيد الآمن (1801/1808) ومعرفات المستودع ومستويات الثقة |
|
لمسة صفرية |
يعمل بصمت كنظام - لا يلزم تفاعل المستخدم |
للحصول على معلومات خلفية كاملة حول تحديثات الشهادة، راجع تحديثات شهادة التمهيد الآمن: إرشادات لمتخصصي تكنولوجيا المعلومات والمؤسسات.
المتطلبات الأساسية
قبل نشر البرنامج النصي للكشف، تأكد من أن بيئتك تفي بالمتطلبات الضرورية.
يستفيد هذا الحل من المعالجات في Microsoft Intune. للحصول على قائمة كاملة بالمتطلبات الأساسية، راجع استخدام المعالجات للكشف عن مشكلات الدعم وإصلاحها - Microsoft Intune.
البرامج النصية للكشف
البرنامج النصي للكشف هو برنامج نصي PowerShell يجمع بيانات مخزون Secure Boot الشاملة من كل جهاز ويخرجها كسلسلة JSON. يقرأ البرنامج النصي من المصادر التالية:
التسجيل - حالة تحديث شهادة التمهيد الآمن ومفاتيح الخدمة وسمات الجهاز وإعدادات الاشتراك/إلغاء الاشتراك من HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ومفتاحه الفرعي
WMI/CIM — إصدار نظام التشغيل ووقت التمهيد الأخير ومعلومات أجهزة اللوحة الأساسية
سجلات الأحداث - إدخالات سجل أحداث النظام لمعرفي الأحداث 1801 و1808 (أحداث تحديث التمهيد الآمن)
يظهر إخراج JSON في مدخل Intune ضمن المعالجات > Monitor > حالة الجهاز > "إخراج الكشف عن المعالجة المسبقة" ويمكن تصديره إلى CSV للتحليل.
الهامه: هذا برنامج نصي للكشف فقط. لا يتم إجراء أي تغييرات على الجهاز. لا توجد حاجة إلى برنامج نصي للمعالجة.
إنشاء ملف البرنامج النصي
-
انتقل إلى البرنامج النصي لجمع بيانات مخزون Sample Secure Boot (KB5072718)
-
نسخ محتوى البرنامج النصي الكامل من الصفحة
-
افتح محرر نصوص (على سبيل المثال، المفكرة، VS Code) والصق البرنامج النصي
-
حفظ الملف ك Detect-SecureBootCertUpdateStatus.ps1
إنشاء المعالجة في Intune
اتبع هذه الخطوات لنشر البرنامج النصي للكشف كلمعالجة (حزمة البرنامج النصي) في Microsoft Intune.
الخطوة 1: إنشاء حزمة البرنامج النصي
-
تسجيل الدخول إلى مركز إدارة Microsoft Intune
-
انتقل إلى الأجهزة > المعالجات
-
انقر فوق + إنشاء حزمة البرنامج النصي
الخطوة 2: الأساسيات
-
قم بتكوين الإعدادات التالية في علامة التبويب Basics:
|
الإعداد |
القيمة |
|---|---|
|
الاسم |
مراقبة حالة شهادة التمهيد الآمن |
|
الوصف |
مراقبة حالة تحديث شهادة التمهيد الآمن عبر الأسطول. الكشف فقط — لا يتم اتخاذ أي إجراء معالجة. |
|
Publisher |
(اسم مؤسستك) |
-
انقر فوق التالي
الخطوة 3: الإعدادات
-
تكوين الإعدادات التالية في علامة التبويب الإعدادات:
|
الإعداد |
القيمة |
الملاحظات |
|---|---|---|
|
ملف البرنامج النصي للكشف |
تحميل Detect-SecureBootCertificateStatus.ps1 |
البرنامج النصي من القسم السابق |
|
ملف البرنامج النصي للمعالجة |
(اتركه فارغا) |
لا توجد حاجة إلى معالجة - هذه هي المراقبة فقط |
|
تشغيل هذا البرنامج النصي باستخدام بيانات الاعتماد المسجلة |
لا |
يعمل كنظام لضمان الوصول إلى Confirm-SecureBootUEFI والسجل |
|
فرض التحقق من توقيع البرنامج النصي |
لا |
تعيين إلى نعم إذا كانت مؤسستك تتطلب برامج نصية موقعة |
|
تشغيل البرنامج النصي في PowerShell 64 بت |
نعم |
مطلوب Confirm-SecureBootUEFI cmdlet وقراءة السجل الدقيقة |
-
انقر فوق التالي
الخطوة 4: علامات النطاق
-
أضف أي علامات نطاق مطلوبة من قبل مؤسستك، أو اتركها كافتراضية
-
انقر فوق التالي
الخطوة 5: التعيينات
|
الإعداد |
القيمة |
الملاحظات |
|---|---|---|
|
التخصيصات |
حدد مجموعات الأجهزة التي تريد مراقبتها |
استخدام جميع الأجهزة للمراقبة على مستوى الأسطول، أو مجموعات محددة للمراقبة المستهدفة |
|
جدول |
تكوين لاحتياجات المراقبة الخاصة بك |
مستحسن: مرة واحدة كل يوم لتعقب الإطلاق النشط، أو مرة واحدة كل أسبوع للمراقبة المستمرة |
ملاحظة: يتم تشغيل المعالجات على جدول الجهاز المكون. قد يستغرق التشغيل الأول ما يصل إلى 24 ساعة بعد التعيين اعتمادا على دورة تسجيل الدخول للجهاز.
انقر فوق التالي
الخطوة 6: مراجعة + إنشاء
-
مراجعة جميع الإعدادات
-
انقر فوق إنشاء
عرض النتائج وتصديرها
عرض النتائج في المدخل
-
انتقل إلى الأجهزة > المعالجات
-
انقر فوق Secure Boot Certificate Status Monitor (أو الاسم الذي اخترته)
-
حدد علامة التبويب Monitor
-
انقر فوق حالة الجهاز
-
انقر فوق أعمدة وأضف إخراج الكشف عن المعالجة المسبقة
سترى جدولا بالأعمدة التالية:
|
العمود |
الوصف |
|---|---|
|
اسم الجهاز |
اسم الجهاز |
|
المستخدم |
المستخدم الأساسي للجهاز |
|
حالة الكشف |
بدون مشكلة (تم تحديث الشهادات) أو مع المشكلة (لم يتم تحديث الشهادات) |
|
إخراج الكشف عن المعالجة المسبقة |
إخراج JSON الكامل من البرنامج النصي |
|
تاريخ التعديل الأخير |
عندما تم تشغيل البرنامج النصي آخر مرة على الجهاز |
التصدير إلى CSV
-
في صفحة حالة الجهاز، انقر فوق الزر تصدير في أعلى الجدول
-
سيقوم ملف CSV بتنزيل جميع الأعمدة بما في ذلك إخراج الكشف JSON الكامل لكل جهاز
-
فتح في Excel للتصفية والفرز والتحليل حسب أي حقل
تلميح: في Excel، يمكنك استخدام الدالتين TEXTJOIN أو JSON لتحليل إخراج الكشف JSON في أعمدة منفصلة لتسهيل التحليل.
علامة التبويب "نظرة عامة"
توفر علامة التبويب Overview في المعالجة لوحة معلومات ملخصة:
|
متري |
معني |
|---|---|
|
الأجهزة ذات المشكلات |
الأجهزة التي لم يتم تحديث الشهادات فيها بعد |
|
الأجهزة التي لا تواجه مشكلات |
الأجهزة التي تكون فيها الشهادات محدثة |
|
الأجهزة التي تم الكشف عن فشلها |
الأجهزة التي واجه فيها البرنامج النصي خطأ |
الأسئلة المتداولة
هل يغير هذا أي شيء على أجهزتي؟
لا. هذا برنامج نصي للكشف فقط. لا يتم تعديل قيم التسجيل، ولا يتم تشغيل أي تحديثات، ولا يتم اتخاذ أي إجراء معالجة. يقرأ البرنامج النصي القيم فقط ويبلغ عنها.
ماذا يعني "مع المشكلة"؟
يعني "مع المشكلة" أن الجهاز لا يحتوي بعد على شهادات التمهيد الآمن 2023 المطبقة ومدير التمهيد الموقع 2023 في مكانه. قد يكون ذلك بسبب: - لم يتم بدء تحديث الشهادة - التحديث قيد التقدم وقد يتطلب إعادة التشغيل لإكماله - لم يتم تمكين التمهيد الآمن على الجهاز - الجهاز ليس مستندا إلى UEFI أو ينتظر إعادة التشغيل لتطبيق مدير التمهيد.
ماذا يعني "بدون مشكلة"؟
يعني "بدون مشكلة" أن الجهاز قد تم تمكين التمهيد الآمن ويتم تحديث قيمة سجل UEFICA2023Status، مما يشير إلى أنه تم تطبيق شهادات 2023 بنجاح.
كم مرة يتم تشغيل البرنامج النصي؟
يتم تشغيل البرنامج النصي على الجدول الذي تقوم بتكوينه في التعيين. للمراقبة النشطة أثناء الإطلاق، يوصى يوميا. وللرصد المستمر، يكفي إجراء أسبوعي.
ماذا لو لم يكن مفتاح تسجيل الخدمة موجودا؟
إذا لم يكن مفتاح HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing موجودا على جهاز، فسيظهر حقل UEFICA2023Status NoValue. وهذا يعني عادة أنه لم يتم بدء تحديثات الشهادة على الجهاز.
ما هي التراخيص المطلوبة؟
تتطلب المعالجات تراخيص Windows 10/11 Enterprise E3/E5 أو Education A3/A5 أو F3. إذا كانت أجهزتك تحتوي على تراخيص Business Premium أو Pro فقط، فلن تتوفر المعالجات. راجع المتطلبات الأساسية للمعالجة.
الموارد
دليل مبادئ تحديث شهادة التمهيد الآمن
شهادة التمهيد الآمن التحديثات: إرشادات لمتخصصي تكنولوجيا المعلومات
التحديثات مفتاح التسجيل للتمهيد الآمن
هل تحتاج إلى مزيد من المساعدة؟
الخروج من الخيارات إضافية؟
استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.
تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.
