Aktualizace certifikátu zabezpečeného spouštění pro Windows 365
Původní datum publikování: středa 19. února 2026
ID znalostní báze: 5080914
Tento článek obsahuje pokyny pro:
-
Windows 365 správci spravující cloudové počítače.
-
Organizace používající cloudové počítače s povoleným zabezpečeným spouštěním pro nasazení Windows 365.
-
Organizace používající vlastní image pro nasazení Windows 365 .
V tomto článku:
Úvod
Zabezpečené spouštění je funkce zabezpečení firmwaru UEFI, která pomáhá zajistit, aby během spouštěcí sekvence zařízení běžel jenom důvěryhodný digitálně podepsaný software. Platnost certifikátů Zabezpečeného spouštění Microsoftu vydaných v roce 2011 začne platit v červnu 2026. Bez aktualizovaných certifikátů 2023 už zařízení nebudou dostávat novou ochranu zabezpečeného spouštění a Správce spouštění nebo omezení rizik v případě nově zjištěných ohrožení zabezpečení na úrovni spouštění.
Všechny cloudové počítače s povoleným zabezpečeným spouštěním zřízené ve službě Windows 365 a vlastní image použité k jejich zřízení musí být před vypršením platnosti aktualizovány na certifikáty 2023, aby zůstaly chráněné. Viz Vypršení platnosti certifikátů zabezpečeného spouštění na zařízeních s Windows.
Týká se to mého Windows 365 prostředí?
|
Scénář |
Zabezpečené spouštění je aktivní? |
Vyžaduje se akce. |
|
Cloudové počítače |
||
|
Cloud PC s povoleným zabezpečeným spouštěním |
Ano |
Aktualizace certifikátů na Cloud PC |
|
Cloud PC se zakázaným zabezpečeným spouštěním |
Ne |
Nevyžaduje se žádná akce. |
|
Obrázky |
||
|
Azure image Galerie výpočetních prostředků s povoleným zabezpečeným spouštěním |
Ano |
Aktualizace certifikátů ve zdrojové imagi před generalizací |
|
Azure image Galerie výpočetních prostředků bez důvěryhodného spuštění |
Ne |
Použití aktualizací v Cloud PC po zřízení |
|
Spravovaná image (nepodporuje důvěryhodné spuštění) |
Ne |
Použití aktualizací v Cloud PC po zřízení |
Úplné základní informace najdete v tématu Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace.
Inventarizace a monitorování
Před provedením akce proveďte inventarizaci prostředí a identifikujte zařízení, která vyžadují aktualizace. Monitorování je nezbytné k ověření, že se certifikáty použijí před termínem v červnu 2026, i když se spoléháte na metody automatického nasazení. Níže jsou uvedené možnosti, jak určit, jestli je potřeba provést akci.
Možnost 1: Microsoft Intune nápravy
U cloudových počítačů zaregistrovaných v Microsoft Intune můžete nasadit skript detekce pomocí Intune náprav (proaktivní nápravy), který automaticky shromáždí stav certifikátu zabezpečeného spouštění v rámci vaší flotily. Skript běží bezobslužně na každém zařízení a hlásí stav zabezpečeného spouštění, průběh aktualizace certifikátu a podrobnosti o zařízení zpět na portál Intune – zařízení se neprovedou žádné změny. Výsledky je možné zobrazit a exportovat do souboru CSV přímo z centra pro správu Intune pro účely analýzy v rámci celého vozového parku.
Podrobné pokyny k nasazení skriptu detekce najdete v tématu Monitorování stavu certifikátu zabezpečeného spouštění pomocí Microsoft Intune náprav.
Možnost 2: Windows Autopatch Secure Boot Status Report
V případě cloudových počítačů zaregistrovaných pomocí funkce Automatické opravy Windows přejděte do Centra pro správu Intune > Sestavy > Automatické aktualizace windows > aktualizace pro zvýšení kvality Windows > karta Sestavy > stav zabezpečeného spouštění. Viz Zpráva o stavu zabezpečeného spouštění v automatickém opravování Windows.
Poznámka: Pokud chcete používat funkci Automatické opravy Windows s Windows 365, musí být cloudové počítače zaregistrované ve službě Automatické opravy Windows. Viz Automatická aktualizace Windows na Windows 365 Enterprise úlohách.
Možnost 3: Klíče registru pro monitorování vozového parku
Pomocí stávajících nástrojů pro správu zařízení se můžete dotazovat na tyto hodnoty registru ve vašem vozovém parku.
|
Cesta registru |
Kód |
Účel |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuální stav nasazení |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
Chyba UEFICA2023 |
Označuje chyby (neměly by existovat) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Označuje ID události (nemělo by existovat) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bity čekající na aktualizaci |
Úplné podrobnosti o klíči registru najdete v tématu Aktualizace klíčů registru pro zabezpečené spouštění.
Možnost 4: Monitorování protokolu událostí
Pomocí stávajících nástrojů pro správu zařízení shromážděte a monitorujte tato ID událostí z protokolu událostí systému ve vašem vozovém parku.
|
ID události |
Poloha |
Význam |
|
1808 |
Systém |
Certifikáty se úspěšně použily. |
|
1801 |
Systém |
Podrobnosti o stavu nebo chybě aktualizace |
Úplný seznam podrobností o událostech najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.
Možnost 5: Skript inventáře PowerShellu
Spusťte ukázkový skript microsoftu pro shromažďování dat inventáře zabezpečeného spouštění a zkontrolujte stav aktualizace certifikátu zabezpečeného spouštění. Skript shromažďuje několik datových bodů, včetně stavu zabezpečeného spouštění, stavu aktualizace ca UEFI 2023, verze firmwaru a aktivity protokolu událostí.
Nasazení
Důležité informace: Bez ohledu na to, kterou možnost nasazení zvolíte, doporučujeme monitorovat svoji řadu zařízení a ověřit, jestli se certifikáty úspěšně použily před termínem v červnu 2026. Informace o vlastních imagích najdete v tématu Důležité informace o vlastních imagích.
Možnost 1: Automatické Aktualizace z služba Windows Update (vysoce důvěrná zařízení)
Microsoft automaticky aktualizuje zařízení prostřednictvím měsíčních aktualizací Windows, pokud dostatek telemetrie potvrdí úspěšné nasazení na podobných hardwarových konfiguracích.
-
Stav: Povoleno ve výchozím nastavení pro zařízení s vysokou spolehlivostí
-
Pokud se nechcete odhlásit, nevyžaduje se žádná akce.
|
Registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Kód |
HighConfidenceOptOut = 1 pro odhlášení |
|
Zásady skupiny |
Konfigurace počítače > Šablony pro správu > Součásti systému Windows > zabezpečené spouštění > automatické nasazení certifikátů prostřednictvím Aktualizace > pokud chcete zakázat, můžete se odhlásit. |
Doporučení: I s povolenými automatickými aktualizacemi monitorujte cloudové počítače a ověřte, jestli jsou certifikáty použité. Ne všechna zařízení můžou mít nárok na vysoce důvěryhodné automatické nasazení.
Další informace najdete v tématu Pomoc s automatizovaným nasazením.
Možnost 2: nasazení IT-Initiated
Ruční aktivace aktualizací certifikátů pro okamžité nebo řízené zavedení
|
Metoda |
Dokumentace |
|
Microsoft Intune |
|
|
Zásady skupiny |
|
|
Klíče registru |
|
|
Rozhraní příkazového řádku WinCS |
Poznámky:
-
Nekombinujte metody nasazení iniciované IT (např. Intune a objekt zásad skupiny) na stejném zařízení – řídí stejné klíče registru a můžou být v konfliktu.
-
Počkejte přibližně 48 hodin a jedno nebo více restartování, aby se certifikáty plně použily.
Důležité informace o vlastních imagích
Vlastní image plně spravuje vaše organizace. Zodpovídáte za použití aktualizací certifikátu zabezpečeného spouštění na vlastní image a opětovné nahrání před jejím použitím ke zřízení.
Použití aktualizací certifikátu zabezpečeného spouštění na zdrojovou image je podporováno pouze u imagí Azure Compute Gallery (Preview), které podporují důvěryhodné spuštění a zabezpečené spouštění. Spravované image nepodporují zabezpečené spouštění, takže aktualizace certifikátů nelze použít na úrovni bitové kopie. U cloudových počítačů zřízených ze spravovaných imagí použijte aktualizace přímo na cloudový počítač pomocí jedné z výše uvedených metod nasazení.
Před zobecněním nové vlastní image ověřte, že se certifikáty aktualizují:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Známé problémy
Klíč registru pro obsluhu neexistuje.
|
Příznak |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing cesta neexistuje |
|
Příčina |
Na zařízení nebyly zahájeny aktualizace certifikátů. |
|
Řešení |
Počkejte na automatické nasazení prostřednictvím služba Windows Update nebo ručně spusťte některou z metod nasazení iniciovaných IT uvedenými výše. |
Stav se zobrazuje jako Probíhající pro delší období.
|
Příznak |
UEFICA2023Status po několika dnech zůstává inProgress |
|
Příčina |
K dokončení procesu aktualizace může být potřeba zařízení restartovat. |
|
Řešení |
Restartujte Cloud PC a po 15 minutách znovu zkontrolujte stav. Pokud problém přetrvává, projděte si informace o událostech aktualizace databáze zabezpečeného spouštění a událostí aktualizace proměnných DBX, kde najdete pokyny k řešení potíží. |
UEFICA2023Error klíč registru existuje
|
Příznak |
UEFICA2023Chyba klíče registru je k dispozici |
|
Příčina |
Během nasazování certifikátu došlo k chybě. |
|
Řešení |
Podrobnosti najdete v protokolu událostí systému. Pokyny k řešení potíží najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnných DBX. |
Zdroje informací
Potřebujete další pomoc?
Chcete další možnosti?
Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.
Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.
