Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Původní datum publikování: středa 18. února 2026

ID znalostní báze: 5080921

Tento článek obsahuje pokyny pro:

  • Správci IT, kteří potřebují vidět stav aktualizace certifikátu zabezpečeného spouštění ze svých Intune zaregistrovaných zařízení s Windows

  • Organizace, které se připravují na konečný termín vypršení platnosti certifikátu zabezpečeného spouštění v červnu 2026

  • Týmy, které chtějí monitorovat průběh zavádění certifikátů na Intune zaregistrovaných zařízeních s Windows

V tomto článku:

Úvod

Platnost certifikátů Microsoft Secure Boot (certifikační autority 2011) vyprší od června 2026. Všechna zařízení s Windows s povoleným zabezpečeným spouštěním musí být před vypršením platnosti aktualizována na certifikáty 2023, aby byla zajištěna trvalá podpora aktualizací zabezpečení. 

Tato příručka poskytuje přístup založený pouze na monitorování s využitím Microsoft Intune náprav (proaktivní nápravy). Skript detekce shromažďuje stav zabezpečeného spouštění a certifikátů z každého zařízení a hlásí ho zpět na portál Intune – na zařízeních se neprovedou žádné nápravné akce. Správci tak mají centralizované exportovatelné zobrazení průběhu aktualizace certifikátů na Intune zaregistrovaných zařízeních s Windows. 

Proč používat tento přístup?

Prospěch

Popis

Viditelnost v rámci celého zařízení 

Zobrazit stav certifikátu všech Intune zaregistrovaných zařízení s Windows na jednom místě

Exportovatelný 

Export výsledků do SOUBORU CSV přímo z portálu Intune

Nezpracované hodnoty registru

Zobrazení skutečných dat registru, nejen předání nebo selhání

Kontext zařízení 

Zahrnuje výrobce, model, verzi systému BIOS a typ firmwaru.

Telemetrie protokolu událostí 

Zaznamenává ID událostí zabezpečeného spouštění (1801/1808), ID kontejnerů a úrovně spolehlivosti.

Nulový dotyk

Běží bezobslužně jako SYSTEM – nevyžaduje se žádná interakce uživatele.

Úplné základní informace o aktualizacích certifikátů najdete v tématu Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace

Předpoklady

Před nasazením skriptu detekce se ujistěte, že vaše prostředí splňuje nezbytné požadavky. 

Toto řešení využívá nápravy v Microsoft Intune. Úplný seznam požadavků najdete v tématu Použití nápravy ke zjištění a opravě problémů s podporou – Microsoft Intune.

Skripty detekce

Skript detekce je skript PowerShellu, který shromažďuje komplexní data inventáře zabezpečeného spouštění z každého zařízení a vypíše je jako řetězec JSON. Skript čte z následujících zdrojů: 

Registr – stav aktualizace certifikátu zabezpečeného spouštění, servisní klíče, atributy zařízení a nastavení výslovného souhlasu/odhlášení z HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot a jeho podklíčů 

WMI/CIM – verze operačního systému, čas posledního spuštění a informace o hardwaru základní desky 

Protokoly událostí – položky protokolu událostí systému pro ID událostí 1801 a 1808 (události aktualizace zabezpečeného spouštění) 

Výstup JSON se zobrazí na portálu Intune v části Nápravy > Monitorování > stav zařízení > výstup detekce nápravy a dá se exportovat do souboru CSV pro účely analýzy. 

Důležité: Jedná se o skript pouze pro detekci. V zařízení se neprovedou žádné změny. Není potřeba žádný skript pro nápravu. 

Vytvoření souboru skriptu 

Vytvoření nápravy v Intune 

Pomocí těchto kroků nasaďte skript detekce jako nápravu (balíček skriptu) v Microsoft Intune. 

Krok 1: Vytvoření balíčku skriptu 

Krok 2: Základy 

  • Na kartě Základy nakonfigurujte následující nastavení:

Nastavení

Hodnota

Název

Monitorování stavu certifikátu zabezpečeného spouštění

Popis

Monitoruje stav aktualizace certifikátu zabezpečeného spouštění v celém vozovém parku. Pouze detekce – neprovedou se žádné nápravné akce.

Publisher

(název vaší organizace)

  • Klikněte na Další.

Krok 3: Nastavení 

  • Na kartě Nastavení nakonfigurujte následující nastavení:

Nastavení

Hodnota

Poznámky

Soubor skriptu detekce 

Nahrát Detect-SecureBootCertificateStatus.ps1

Skript z předchozí části

Soubor skriptu nápravy 

(ponechte prázdné)

Není potřeba žádná náprava – jde jenom o monitorování.

Spusťte tento skript pomocí přihlášených přihlašovacích údajů. 

Ne

Spustí se jako SYSTÉM, aby se zajistil přístup k Confirm-SecureBootUEFI a registru.

Vynucení kontroly podpisu skriptu 

Ne

Nastavte na Ano, pokud vaše organizace vyžaduje podepsané skripty.

Spuštění skriptu v 64bitovém PowerShellu

Ano

Vyžaduje se pro rutinu Confirm-SecureBootUEFI a přesné čtení registru.

  • Klikněte na Další.

Krok 4: Značky oboru 

  • Přidejte všechny značky oboru, které vaše organizace vyžaduje, nebo ponechte výchozí nastavení.

  • Klikněte na Další.

Krok 5: Přiřazení 

Nastavení

Hodnota

Poznámky

Přiřazení 

Vyberte skupiny zařízení, které chcete monitorovat.

Použijte Všechna zařízení pro monitorování v rámci celého vozového parku nebo konkrétní skupiny pro cílené monitorování.

Rozvrh 

Konfigurace podle vašich potřeb monitorování

Doporučeno: Jednou denně pro sledování aktivního zavedení nebo jednou týdně pro průběžné monitorování

Poznámka: Nápravy se spouštějí podle nakonfigurovaného plánu zařízení. První spuštění může trvat až 24 hodin po přiřazení v závislosti na cyklus ohlášení zařízení. 

Klikněte na Další.

Krok 6: Kontrola a vytvoření 

  • Kontrola všech nastavení

  • Klikněte na Vytvořit.

Zobrazení a export výsledků 

Zobrazení výsledků na portálu 

  • Přejděte na zařízení > nápravy.

  • Klikněte na Monitorování stavu certifikátu zabezpečeného spouštění (nebo na název, který jste zvolili).

  • Vyberte kartu Monitorování.

  • Klikněte na Stav zařízení.

  • Klikněte na Sloupce a přidejte výstup detekce nápravy.

Monitorování stavu

Zobrazí se tabulka s následujícími sloupci: 

Sloupec

Popis

Název zařízení

Název zařízení

Username 

Primární uživatel zařízení

Stav detekce 

Bez problému (certifikáty se aktualizovaly) nebo s problémem (certifikáty se neaktualizovaly)

Výstup detekce nápravy 

Úplný výstup JSON ze skriptu

Naposledy změněno 

Kdy se skript na zařízení naposledy spustil

Export do formátu CSV 

  • Na stránce Stav zařízení klikněte na tlačítko Exportovat v horní části tabulky.

  • Soubor CSV stáhne všechny sloupce včetně úplného výstupu detekce JSON pro každé zařízení.

  • Otevření v Excelu pro filtrování, řazení a analýzu podle libovolného pole

Tip: V Excelu můžete pomocí funkcí TEXTJOIN nebo JSON parsovat kód JSON s výstupem detekce do samostatných sloupců, abyste si usnadnili analýzu. 

Karta Přehled

přehled Intune

Karta Přehled na nápravě poskytuje souhrnný řídicí panel: 

Metrika

Význam

Zařízení s problémy

Zařízení, na kterých se certifikáty ještě neaktualizovaly 

Zařízení bez problémů

Zařízení, kde jsou certifikáty aktuální

Zařízení s neúspěšnou detekcí

Zařízení, na kterých skript zjistil chybu

Nejčastější dotazy

Mění se tím něco na mých zařízeních? 

Ne. Jedná se o skript pouze pro detekci. Nemění se žádné hodnoty registru, neaktivují se žádné aktualizace a neprovedou se žádné nápravné akce. Skript pouze čte hodnoty a hlásí je. 

Co znamená "S problémem"? 

"Problém" znamená, že zařízení ještě nemá použité certifikáty zabezpečeného spouštění z roku 2023 a správce spouštění podepsaného 2023. Důvodem může být následující: – Aktualizace certifikátu se neiniciovala – Aktualizace probíhá a k dokončení může vyžadovat restartování – Na zařízení není povolené zabezpečené spouštění – Zařízení není založené na rozhraní UEFI nebo čeká na restartování, aby se použil správce spouštění. 

Co znamená "Bez problému"? 

"Bez problému" znamená, že zařízení má povolené zabezpečené spouštění a hodnota registru UEFICA2023Status je aktualizovaná, což znamená, že se certifikáty 2023 úspěšně použily. 

Jak často se skript spouští? 

Skript se spustí podle plánu, který nakonfigurujete v přiřazení. Pro aktivní monitorování během zavádění se doporučuje každý den. Pro průběžné monitorování stačí týdenní. 

Co když klíč registru pro údržbu neexistuje? 

Pokud klíč HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing na zařízení neexistuje, zobrazí se v poli UEFICA2023Status hodnota NoValue. Obvykle to znamená, že na zařízení nebyly zahájeny aktualizace certifikátů. 

Jaké licence se vyžadují? 

Nápravy vyžadují licence Windows 10/11 Enterprise E3/E5, Education A3/A5 nebo F3. Pokud vaše zařízení mají jenom licence Business Premium nebo Pro, nápravy nebudou dostupné. Viz Požadavky na nápravu

Zdroje informací 

Playbook aktualizace certifikátu zabezpečeného spouštění

Aktualizace certifikátu zabezpečeného spouštění: Pokyny pro ODBORNÍKY v OBLASTI IT

Aktualizace klíče registru pro zabezpečené spouštění

Události aktualizace databáze zabezpečeného spouštění a proměnné DBX

Nápravy v Microsoft Intune 

Požadavky na nápravu

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti