Aktualizace certifikátu zabezpečeného spouštění pro Azure Virtual Desktop
Platí pro
Původní datum publikování: středa 19. února 2026
ID znalostní báze: 5080931
Tento článek obsahuje pokyny pro:
-
správci Azure Virtual Desktopu spravující aktualizace hostitelů relací
-
Organizace používající virtuální počítače s povoleným zabezpečeným spouštěním pro nasazení Azure Virtual Desktop
-
Organizace používající vlastní image (zlaté image) pro nasazení Azure Virtual Desktopu
V tomto článku:
Úvod
Zabezpečené spouštění je funkce zabezpečení firmwaru UEFI, která pomáhá zajistit, aby během spouštěcí sekvence zařízení běžel jenom důvěryhodný digitálně podepsaný software. Platnost certifikátů Zabezpečeného spouštění Microsoftu vydaných v roce 2011 začne platit v červnu 2026. Bez aktualizovaných certifikátů 2023 už zařízení nebudou dostávat novou ochranu zabezpečeného spouštění a Správce spouštění nebo omezení rizik v případě nově zjištěných ohrožení zabezpečení na úrovni spouštění.
Všechny virtuální počítače s povoleným zabezpečeným spouštěním zaregistrované ve službě Azure Virtual Desktop a vlastní image použité k jejich zřízení musí být před vypršením platnosti aktualizovány na certifikáty 2023, aby zůstaly chráněné. Viz Vypršení platnosti certifikátů zabezpečeného spouštění na zařízeních s Windows.
Týká se to prostředí Azure Virtual Desktop?
|
Scénář |
Zabezpečené spouštění je aktivní? |
Vyžaduje se akce. |
|
Hostitelé relací |
||
|
Důvěryhodné spuštění virtuálního počítače s povoleným zabezpečeným spouštěním |
Ano |
Aktualizace certifikátů na hostiteli relace |
|
Virtuální počítač důvěryhodného spuštění se zakázaným zabezpečeným spouštěním |
Ne |
Nevyžaduje se žádná akce. |
|
Virtuální počítač typu Standardní zabezpečení |
Ne |
Nevyžaduje se žádná akce. |
|
Virtuální počítač 1. generace |
Nepodporováno |
Nevyžaduje se žádná akce. |
|
Zlaté obrázky |
||
|
Azure image Galerie výpočetních prostředků s povoleným zabezpečeným spouštěním |
Ano |
Aktualizace certifikátů ve zdrojové imagi |
|
Azure image Galerie výpočetních prostředků bez důvěryhodného spuštění |
Ne |
Použití aktualizací v hostiteli relace po nasazení |
|
Spravovaná image (nepodporuje důvěryhodné spuštění) |
Ne |
Použití aktualizací v hostiteli relace po nasazení |
Úplné základní informace najdete v tématu Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace.
Inventarizace a monitorování
Před provedením akce proveďte inventarizaci prostředí a identifikujte zařízení, která vyžadují aktualizace. Monitorování je nezbytné k ověření, že se certifikáty použijí před termínem v červnu 2026, i když se spoléháte na metody automatického nasazení. Níže jsou uvedené možnosti, jak určit, jestli je potřeba provést akci.
Možnost 1: Microsoft Intune nápravy
U hostitelů relací zaregistrovaných v Microsoft Intune můžete nasadit skript detekce pomocí Intune Náprav (proaktivní nápravy), který automaticky shromáždí stav certifikátu zabezpečeného spouštění v rámci vaší flotily. Skript běží bezobslužně na každém zařízení a hlásí stav zabezpečeného spouštění, průběh aktualizace certifikátu a podrobnosti o zařízení zpět na portál Intune – zařízení se neprovedou žádné změny. Výsledky je možné zobrazit a exportovat do souboru CSV přímo z centra pro správu Intune pro účely analýzy v rámci celého vozového parku.
Podrobné pokyny k nasazení skriptu detekce najdete v tématu Monitorování stavu certifikátu zabezpečeného spouštění pomocí Microsoft Intune náprav.
Možnost 2: Windows Autopatch Secure Boot Status Report
V případě hostitelů osobních trvalých relací zaregistrovaných pomocí funkce Automatické opravy Windows přejděte do Centra pro správu Intune > Sestavy > Automatické aktualizace windows > aktualizace pro zvýšení kvality Windows > karta Sestavy > stav zabezpečeného spouštění. Viz Zpráva o stavu zabezpečeného spouštění v automatickém opravování Windows.
Poznámka: Automatická aktualizace Windows podporuje pouze osobní trvalé virtuální počítače pro Azure Virtual Desktop. Hostitelé s více relacemi, virtuální počítače ve fondu a streamování vzdálených aplikací se nepodporují. Viz Automatická aktualizace Windows v úlohách Azure Virtual Desktopu.
Možnost 3: Klíče registru pro monitorování vozového parku
Pomocí stávajících nástrojů pro správu zařízení se můžete dotazovat na tyto hodnoty registru ve vašem vozovém parku.
|
Cesta registru |
Kód |
Účel |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuální stav nasazení |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
Chyba UEFICA2023 |
Označuje chyby (neměly by existovat) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Označuje ID události (nemělo by existovat) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bity čekající na aktualizaci |
Úplné podrobnosti o klíči registru najdete v tématu Aktualizace klíčů registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT.
Možnost 4: Monitorování protokolu událostí
Pomocí stávajících nástrojů pro správu zařízení shromážděte a monitorujte tato ID událostí z protokolu událostí systému ve vašem vozovém parku.
|
ID události |
Poloha |
Význam |
|
1808 |
Systém |
Certifikáty se úspěšně použily. |
|
1801 |
Systém |
Podrobnosti o stavu nebo chybě aktualizace |
Úplný seznam podrobností o událostech najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.
Možnost 5: Skript inventáře PowerShellu
Spusťte ukázkový skript microsoftu pro shromažďování dat inventáře zabezpečeného spouštění a zkontrolujte stav aktualizace certifikátu zabezpečeného spouštění. Skript shromažďuje několik datových bodů, včetně stavu zabezpečeného spouštění, stavu aktualizace ca UEFI 2023, verze firmwaru a aktivity protokolu událostí.
Nasazení
Důležité informace: Bez ohledu na to, kterou možnost nasazení zvolíte, doporučujeme monitorovat svoji řadu zařízení a ověřit, jestli se certifikáty úspěšně použily před termínem v červnu 2026. Informace o vlastních imagích najdete v tématu Aspekty zlatého obrázku.
Možnost 1: Automatické Aktualizace z služba Windows Update (vysoce důvěrná zařízení)
Microsoft automaticky aktualizuje zařízení prostřednictvím měsíčních aktualizací Windows, pokud dostatek telemetrie potvrdí úspěšné nasazení na podobných hardwarových konfiguracích.
-
Stav: Ve výchozím nastavení povoleno pro zařízení s vysokou spolehlivostí
-
Pokud se nechcete odhlásit, nevyžaduje se žádná akce.
|
Registru |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Kód |
HighConfidenceOptOut = 1 pro odhlášení |
|
Zásady skupiny |
Konfigurace počítače > Šablony pro správu > Součásti systému Windows > zabezpečené spouštění > automatické nasazení certifikátu prostřednictvím Aktualizace > Pokud chcete zakázat, odhlásit se. |
Doporučení: I když jsou povolené automatické aktualizace, monitorujte hostitele relací a ověřte použití certifikátů. Ne všechna zařízení můžou mít nárok na vysoce důvěryhodné automatické nasazení.
Další informace najdete v tématu Pomoc s automatizovaným nasazením.
Možnost 2: nasazení IT-Initiated
Ruční aktivace aktualizací certifikátů pro okamžité nebo řízené zavedení
|
Metoda |
Dokumentace |
|
Microsoft Intune |
|
|
Zásady skupiny |
|
|
Klíče registru |
|
|
Rozhraní příkazového řádku WinCS |
Poznámky:
-
Nekombinujte metody nasazení iniciované IT (např. Intune a objekt zásad skupiny) na stejném zařízení – řídí stejné klíče registru a můžou být v konfliktu.
-
Počkejte přibližně 48 hodin a jedno nebo více restartování, aby se certifikáty plně použily.
Aspekty zlatého obrázku
V prostředích Azure Virtual Desktop, která používají image Azure Compute Gallery s povoleným zabezpečeným spouštěním, použijte před zachycením zlaté image aktualizaci certifikátu zabezpečeného spouštění 2023. Použijte jednu z výše popsaných metod k instalaci aktualizace a před generalizací ověřte, že se certifikáty aktualizují:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Image bez povolené funkce Důvěryhodné spuštění nemůžou prostřednictvím image přijímat aktualizace certifikátu zabezpečeného spouštění. To zahrnuje spravované image, které nepodporují důvěryhodné spuštění, a Azure image galerie výpočetních prostředků, u kterých není povolené důvěryhodné spuštění. Pro zařízení zřízená z těchto imagí použijte aktualizace v hostovaném operačním systému pomocí jedné z výše uvedených metod.
Známé problémy
Klíč registru pro obsluhu neexistuje.
|
Příznak |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing cesta neexistuje |
|
Příčina |
Na zařízení nebyly zahájeny aktualizace certifikátů. |
|
Řešení |
Počkejte na automatické nasazení prostřednictvím služba Windows Update nebo ručně spusťte některou z metod nasazení iniciovaných IT uvedenými výše. |
Stav se zobrazuje jako Probíhající pro delší období.
|
Příznak |
UEFICA2023Status po několika dnech zůstává inProgress |
|
Příčina |
K dokončení procesu aktualizace může být potřeba zařízení restartovat. |
|
Řešení |
Restartujte hostitele relace a po 15 minutách znovu zkontrolujte stav. Pokud problém přetrvává, projděte si informace o událostech aktualizace databáze zabezpečeného spouštění a událostí aktualizace proměnných DBX, kde najdete pokyny k řešení potíží. |
UEFICA2023Error klíč registru existuje
|
Příznak |
UEFICA2023Chyba klíče registru je k dispozici |
|
Příčina |
Během nasazování certifikátu došlo k chybě. |
|
Řešení |
Podrobnosti najdete v protokolu událostí systému. Pokyny k řešení potíží najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnných DBX. |
Zdroje informací
Potřebujete další pomoc?
Chcete další možnosti?
Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.
Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.
