Monitorování stavu certifikátu zabezpečeného spouštění s Microsoft Intune nápravami
Platí pro
Původní datum publikování: středa 18. února 2026
ID znalostní báze: 5080921
Tento článek obsahuje pokyny pro:
-
Správci IT, kteří potřebují vidět stav aktualizace certifikátu zabezpečeného spouštění ze svých Intune zaregistrovaných zařízení s Windows
-
Organizace, které se připravují na konečný termín vypršení platnosti certifikátu zabezpečeného spouštění v červnu 2026
-
Týmy, které chtějí monitorovat průběh zavádění certifikátů na Intune zaregistrovaných zařízeních s Windows
V tomto článku:
Úvod
Platnost certifikátů Microsoft Secure Boot (certifikační autority 2011) vyprší od června 2026. Všechna zařízení s Windows s povoleným zabezpečeným spouštěním musí být před vypršením platnosti aktualizována na certifikáty 2023, aby byla zajištěna trvalá podpora aktualizací zabezpečení.
Tato příručka poskytuje přístup založený pouze na monitorování s využitím Microsoft Intune náprav (proaktivní nápravy). Skript detekce shromažďuje stav zabezpečeného spouštění a certifikátů z každého zařízení a hlásí ho zpět na portál Intune – na zařízeních se neprovedou žádné nápravné akce. Správci tak mají centralizované exportovatelné zobrazení průběhu aktualizace certifikátů na Intune zaregistrovaných zařízeních s Windows.
Proč používat tento přístup?
|
Prospěch |
Popis |
|---|---|
|
Viditelnost v rámci celého zařízení |
Zobrazit stav certifikátu všech Intune zaregistrovaných zařízení s Windows na jednom místě |
|
Exportovatelný |
Export výsledků do SOUBORU CSV přímo z portálu Intune |
|
Nezpracované hodnoty registru |
Zobrazení skutečných dat registru, nejen předání nebo selhání |
|
Kontext zařízení |
Zahrnuje výrobce, model, verzi systému BIOS a typ firmwaru. |
|
Telemetrie protokolu událostí |
Zaznamenává ID událostí zabezpečeného spouštění (1801/1808), ID kontejnerů a úrovně spolehlivosti. |
|
Nulový dotyk |
Běží bezobslužně jako SYSTEM – nevyžaduje se žádná interakce uživatele. |
Úplné základní informace o aktualizacích certifikátů najdete v tématu Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace.
Předpoklady
Před nasazením skriptu detekce se ujistěte, že vaše prostředí splňuje nezbytné požadavky.
Toto řešení využívá nápravy v Microsoft Intune. Úplný seznam požadavků najdete v tématu Použití nápravy ke zjištění a opravě problémů s podporou – Microsoft Intune.
Skripty detekce
Skript detekce je skript PowerShellu, který shromažďuje komplexní data inventáře zabezpečeného spouštění z každého zařízení a vypíše je jako řetězec JSON. Skript čte z následujících zdrojů:
Registr – stav aktualizace certifikátu zabezpečeného spouštění, servisní klíče, atributy zařízení a nastavení výslovného souhlasu/odhlášení z HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot a jeho podklíčů
WMI/CIM – verze operačního systému, čas posledního spuštění a informace o hardwaru základní desky
Protokoly událostí – položky protokolu událostí systému pro ID událostí 1801 a 1808 (události aktualizace zabezpečeného spouštění)
Výstup JSON se zobrazí na portálu Intune v části Nápravy > Monitorování > stav zařízení > výstup detekce nápravy a dá se exportovat do souboru CSV pro účely analýzy.
Důležité: Jedná se o skript pouze pro detekci. V zařízení se neprovedou žádné změny. Není potřeba žádný skript pro nápravu.
Vytvoření souboru skriptu
DŮLEŽITÉ Následující článek obsahující ukázkový skript byl vyřazen. Pokud jste nainstalovali aktualizaci Windows vydanou 12. května 2026 nebo později, najdete ukázkový skript ve složce %systemroot%\SecureBoot\ExampleRolloutScripts na vašem zařízení.
-
Přejděte na ukázkový skript pro shromažďování dat inventáře zabezpečeného spouštění (KB5072718).
-
Zkopírování úplného obsahu skriptu ze stránky
-
Otevřete textový editor (např. Poznámkový blok, VS Code) a vložte skript.
-
Uložte soubor jako Detect-SecureBootCertUpdateStatus.ps1
Vytvoření nápravy v Intune
Pomocí těchto kroků nasaďte skript detekce jako nápravu (balíček skriptu) v Microsoft Intune.
Krok 1: Vytvoření balíčku skriptu
-
Přihlaste se do Centra pro správu Microsoft Intune.
-
Přejděte na zařízení > nápravy.
-
Klikněte na + Vytvořit balíček skriptu.
Krok 2: Základy
-
Na kartě Základy nakonfigurujte následující nastavení:
|
Nastavení |
Hodnota |
|---|---|
|
Název |
Monitorování stavu certifikátu zabezpečeného spouštění |
|
Popis |
Monitoruje stav aktualizace certifikátu zabezpečeného spouštění v celém vozovém parku. Pouze detekce – neprovedou se žádné nápravné akce. |
|
Publisher |
(název vaší organizace) |
-
Klikněte na Další.
Krok 3: Nastavení
-
Na kartě Nastavení nakonfigurujte následující nastavení:
|
Nastavení |
Hodnota |
Poznámky |
|---|---|---|
|
Soubor skriptu detekce |
Nahrát Detect-SecureBootCertificateStatus.ps1 |
Skript z předchozí části |
|
Soubor skriptu nápravy |
(ponechte prázdné) |
Není potřeba žádná náprava – jde jenom o monitorování. |
|
Spusťte tento skript pomocí přihlášených přihlašovacích údajů. |
Ne |
Spustí se jako SYSTÉM, aby se zajistil přístup k Confirm-SecureBootUEFI a registru. |
|
Vynucení kontroly podpisu skriptu |
Ne |
Nastavte na Ano, pokud vaše organizace vyžaduje podepsané skripty. |
|
Spuštění skriptu v 64bitovém PowerShellu |
Ano |
Vyžaduje se pro rutinu Confirm-SecureBootUEFI a přesné čtení registru. |
-
Klikněte na Další.
Krok 4: Značky oboru
-
Přidejte všechny značky oboru, které vaše organizace vyžaduje, nebo ponechte výchozí nastavení.
-
Klikněte na Další.
Krok 5: Přiřazení
|
Nastavení |
Hodnota |
Poznámky |
|---|---|---|
|
Přiřazení |
Vyberte skupiny zařízení, které chcete monitorovat. |
Použijte Všechna zařízení pro monitorování v rámci celého vozového parku nebo konkrétní skupiny pro cílené monitorování. |
|
Rozvrh |
Konfigurace podle vašich potřeb monitorování |
Doporučeno: Jednou denně pro sledování aktivního zavedení nebo jednou týdně pro průběžné monitorování |
Poznámka: Nápravy se spouštějí podle nakonfigurovaného plánu zařízení. První spuštění může trvat až 24 hodin po přiřazení v závislosti na cyklus ohlášení zařízení.
Klikněte na Další.
Krok 6: Kontrola a vytvoření
-
Kontrola všech nastavení
-
Klikněte na Vytvořit.
Zobrazení a export výsledků
Zobrazení výsledků na portálu
-
Přejděte na zařízení > nápravy.
-
Klikněte na Monitorování stavu certifikátu zabezpečeného spouštění (nebo na název, který jste zvolili).
-
Vyberte kartu Monitorování.
-
Klikněte na Stav zařízení.
-
Klikněte na Sloupce a přidejte výstup detekce nápravy.
Zobrazí se tabulka s následujícími sloupci:
|
Sloupec |
Popis |
|---|---|
|
Název zařízení |
Název zařízení |
|
Username |
Primární uživatel zařízení |
|
Stav detekce |
Bez problému (certifikáty se aktualizovaly) nebo s problémem (certifikáty se neaktualizovaly) |
|
Výstup detekce nápravy |
Úplný výstup JSON ze skriptu |
|
Naposledy změněno |
Kdy se skript na zařízení naposledy spustil |
Export do formátu CSV
-
Na stránce Stav zařízení klikněte na tlačítko Exportovat v horní části tabulky.
-
Soubor CSV stáhne všechny sloupce včetně úplného výstupu detekce JSON pro každé zařízení.
-
Otevření v Excelu pro filtrování, řazení a analýzu podle libovolného pole
Tip: V Excelu můžete pomocí funkcí TEXTJOIN nebo JSON parsovat kód JSON s výstupem detekce do samostatných sloupců, abyste si usnadnili analýzu.
Karta Přehled
Karta Přehled na nápravě poskytuje souhrnný řídicí panel:
|
Metrika |
Význam |
|---|---|
|
Zařízení s problémy |
Zařízení, na kterých se certifikáty ještě neaktualizovaly |
|
Zařízení bez problémů |
Zařízení, kde jsou certifikáty aktuální |
|
Zařízení s neúspěšnou detekcí |
Zařízení, na kterých skript zjistil chybu |
Nejčastější dotazy
Mění se tím něco na mých zařízeních?
Ne. Jedná se o skript pouze pro detekci. Nemění se žádné hodnoty registru, neaktivují se žádné aktualizace a neprovedou se žádné nápravné akce. Skript pouze čte hodnoty a hlásí je.
Co znamená "S problémem"?
"Problém" znamená, že zařízení ještě nemá použité certifikáty zabezpečeného spouštění z roku 2023 a správce spouštění podepsaného 2023. Důvodem může být následující: – Aktualizace certifikátu se neiniciovala – Aktualizace probíhá a k dokončení může vyžadovat restartování – Na zařízení není povolené zabezpečené spouštění – Zařízení není založené na rozhraní UEFI nebo čeká na restartování, aby se použil správce spouštění.
Co znamená "Bez problému"?
"Bez problému" znamená, že zařízení má povolené zabezpečené spouštění a hodnota registru UEFICA2023Status je aktualizovaná, což znamená, že se certifikáty 2023 úspěšně použily.
Jak často se skript spouští?
Skript se spustí podle plánu, který nakonfigurujete v přiřazení. Pro aktivní monitorování během zavádění se doporučuje každý den. Pro průběžné monitorování stačí týdenní.
Co když klíč registru pro údržbu neexistuje?
Pokud klíč HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing na zařízení neexistuje, zobrazí se v poli UEFICA2023Status hodnota NoValue. Obvykle to znamená, že na zařízení nebyly zahájeny aktualizace certifikátů.
Jaké licence se vyžadují?
Nápravy vyžadují licence Windows 10/11 Enterprise E3/E5, Education A3/A5 nebo F3. Pokud vaše zařízení mají jenom licence Business Premium nebo Pro, nápravy nebudou dostupné. Viz Požadavky na nápravu.
Zdroje informací
Playbook aktualizace certifikátu zabezpečeného spouštění
Aktualizace certifikátu zabezpečeného spouštění: Pokyny pro ODBORNÍKY v OBLASTI IT
Aktualizace klíče registru pro zabezpečené spouštění
Události aktualizace databáze zabezpečeného spouštění a proměnné DBX
Potřebujete další pomoc?
Chcete další možnosti?
Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.
Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.
