Gælder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Oprindelig udgivelsesdato: 18. februar 2026

KB-id: 5080921

Denne artikel indeholder en vejledning til:

  • It-administratorer, der har brug for indsigt i status for sikker bootstartcertifikatopdatering fra deres Intune tilmeldte Windows-enheder

  • Organisationer, der forbereder udløbsfrist for secure boot-certifikat fra juni 2026

  • Teams, der vil overvåge status for certifikatudrulning på tværs af deres Intune registrerede Windows-enheder

I denne artikel:

Introduktion

Microsoft Secure Boot-certifikater (2011 CAs) udløber fra juni 2026. Alle Windows-enheder, hvor Sikker bootstart er aktiveret, skal opdateres til 2023-certifikaterne før udløb for at sikre fortsat understøttelse af sikkerhedsopdateringer. 

Denne vejledning indeholder en tilgang, der kun skal overvåges ved hjælp af Microsoft Intune afhjælpninger (proaktive afhjælpninger). Registreringsscriptet indsamler sikker bootstart og certifikatstatus fra hver enhed og rapporterer den tilbage til Intune-portalen – der udføres ingen afhjælpningshandling på enheder. Dette giver administratorer en centraliseret visning af status for certifikatopdatering, der kan eksporteres, på tværs af deres Intune registrerede Windows-enheder. 

Hvorfor bruge denne fremgangsmåde?

Fordel

Beskrivelse

Synlighed for hele enheden 

Se alle Intune registrerede Windows-enheds certifikatstatus på ét sted

Eksporteres 

Eksportér resultater til CSV direkte fra Intune-portalen

Raw-registreringsdatabaseværdier

Se faktiske data i registreringsdatabasen, ikke kun bestået/mislykket

Enhedskontekst 

Omfatter producent, model, BIOS-version og firmwaretype

Telemetri for hændelseslog 

Registrerer hændelses-id'er for sikker bootstart (1801/1808), bucket-id'er og tillidsniveauer

Nul berøring

Kører automatisk som SYSTEM – der kræves ingen brugerinteraktion

Du kan finde komplette baggrundsoplysninger om certifikatopdateringerne under Opdateringer til certifikat til sikker bootstart: Vejledning til it-fagfolk og organisationer

Forudsætninger

Før du installerer registreringsscriptet, skal du sikre dig, at dit miljø opfylder de nødvendige krav. 

Denne løsning udnytter afhjælpning i Microsoft Intune. Du kan finde en komplet liste over forudsætninger under Brug afhjælpninger til at registrere og løse supportproblemer – Microsoft Intune.

Registreringsscripts

Registreringsscriptet er et PowerShell-script, der indsamler omfattende lagerdata for sikker bootstart fra hver enhed og angiver dem som en JSON-streng. Scriptet læses fra følgende kilder: 

Registreringsdatabase – Status for sikker bootstartcertifikatopdatering, vedligeholdelsesnøgler, enhedsattributter og fravalgsindstillinger fra HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot og dens undernøgler 

WMI/CIM – OS-version, sidste starttidspunkt og oplysninger om basisboardhardware 

Hændelseslogge – Poster i systemhændelsesloggen for hændelses-id'er 1801 og 1808 (opdateringshændelser for sikker bootstart) 

JSON-outputtet vises i Intune-portalen under Afhjælpning > Overvåg > Enhedsstatus > "Output til registrering af afhjælpning" og kan eksporteres til CSV til analyse. 

Vigtigt: Dette er et script, der kun kan registreres. Der foretages ingen ændringer på enheden. Der kræves ikke et afhjælpningsscript. 

Oprettelse af scriptfilen 

Opret afhjælpningen i Intune 

Følg disse trin for at installere registreringsscriptet som en afhjælpning (scriptpakke) i Microsoft Intune. 

Trin 1: Opret scriptpakken 

Trin 2: Grundlæggende oplysninger 

  • Konfigurer følgende indstillinger under fanen Grundlæggende:

Indstilling

Værdi

Navn

Overvågning af status for certifikat til sikker bootstart

Beskrivelse

Overvåger status for sikker bootstartcertifikatopdatering på tværs af flåden. Kun registrering – der udføres ingen afhjælpningshandling.

Publisher

(dit organisationsnavn)

  • Klik på Næste

Trin 3: Indstillinger 

  • Konfigurer følgende indstillinger under fanen Indstillinger:

Indstilling

Værdi

Noter

Registrering af scriptfil 

Upload Detect-SecureBootCertificateStatus.ps1

Scriptet fra forrige afsnit

Afhjælpningsscriptfil 

(lad være tom)

Ingen afhjælpning er nødvendig – dette er kun overvågning

Kør dette script ved hjælp af legitimationsoplysningerne, der er logget på 

Nej

Kører som SYSTEM for at sikre adgang til Confirm-SecureBootUEFI og registreringsdatabasen

Gennemtving kontrol af scriptsignatur 

Nej

Indstillet til Ja, hvis din organisation kræver signerede scripts

Kør script i 64-bit PowerShell

Ja

Påkrævet til Confirm-SecureBootUEFI cmdlet og nøjagtige oplæsninger i registreringsdatabasen

  • Klik på Næste

Trin 4: Omfangsmærker 

  • Tilføj eventuelle omfangsmærker, der kræves af din organisation, eller forlad som standard

  • Klik på Næste

Trin 5: Opgaver 

Indstilling

Værdi

Noter

Tildelinger 

Vælg de enhedsgrupper, der skal overvåges

Brug Alle enheder til overvågning i hele flåden eller specifikke grupper til målrettet overvågning

Tidsplan 

Konfigurer til dine overvågningsbehov

Anbefalet: En gang hver dag til aktiv sporing af udrulning eller én gang om ugen til løbende overvågning

Bemærk! Afhjælpninger kører efter enhedens konfigurerede tidsplan. Det første løb kan tage op til 24 timer efter opgaven, afhængigt af enhedens indtjekningscyklus. 

Klik på Næste

Trin 6: Gennemse + Opret 

  • Gennemse alle indstillinger

  • Klik på Opret

Få vist og eksportere resultater 

Få vist resultater på portalen 

  • Gå til Enheder > afhjælpning

  • Klik på Statusovervågning for certifikat for sikker bootstart (eller det navn, du har valgt)

  • Vælg fanen Skærm

  • Klik på Enhedsstatus

  • Klik på Kolonner , og tilføj output til registrering af afhjælpning på forhånd

Statusskærm

Du får vist en tabel med følgende kolonner: 

Kolonne

Beskrivelse

Enhedsnavn

Navnet på enheden

Brugernavn 

Den primære bruger af enheden

Registreringsstatus 

Uden problem (certifikater opdateret) eller med problem (certifikater ikke opdateret)

Output til registrering før afhjælpning 

Det fulde JSON-output fra scriptet

Senest ændret 

Da scriptet sidst kørte på enheden

Eksportér til CSV 

  • siden Enhedsstatus skal du klikke på knappen Eksportér øverst i tabellen

  • CSV-filen downloader alle kolonner, herunder det fulde JSON-registreringsoutput for hver enhed

  • Åbn i Excel for at filtrere, sortere og analysere efter et felt

Tip: I Excel kan du bruge funktionerne TEKST.KOMBINER eller JSON til at fortolke registreringsoutput JSON i separate kolonner for nemmere analyse. 

Fanen Oversigt

oversigt over Intune

Fanen Oversigt i Afhjælpning indeholder et oversigtsdashboard: 

Metriske

Betydning

Enheder med problemer

Enheder, hvor certifikater endnu ikke er opdateret 

Enheder uden problemer

Enheder, hvor certifikater er opdaterede

Enheder med mislykket registrering

Enheder, hvor scriptet stødte på en fejl

Ofte stillede spørgsmål

Ændrer dette noget på mine enheder? 

Nej. Dette er et script, der kun kan registreres. Ingen registreringsdatabaseværdier ændres, der udløses ingen opdateringer, og der udføres ingen afhjælpningshandling. Scriptet læser kun værdier og rapporterer dem. 

Hvad betyder "Med problem"? 

"Med problemet" betyder, at enheden endnu ikke har installeret 2023-certifikater til sikker bootstart og 2023-signeret bootstyring. Dette kan skyldes: - Certifikatopdateringen er ikke blevet startet – Opdateringen er i gang og kræver muligvis en genstart for at fuldføre – Sikker bootstart er ikke aktiveret på enheden – Enheden er ikke UEFI-baseret eller venter på en genstart for at anvende startstyringen. 

Hvad betyder "Uden problem"? 

"Uden problem" betyder, at enheden har sikker bootstart aktiveret, og at registreringsdatabaseværdien UEFICA2023Status er opdateret, hvilket angiver, at 2023-certifikater er blevet anvendt korrekt. 

Hvor ofte kører scriptet? 

Scriptet kører efter den tidsplan, du konfigurerer i opgaven. Til aktiv overvågning under en udrulning anbefales det dagligt. Til løbende overvågning er ugentligt tilstrækkeligt. 

Hvad nu, hvis registreringsdatabasenøglen Servicering ikke findes? 

Hvis nøglen HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ikke findes på en enhed, vises IngenVærdi i feltet UEFICA2023Status. Det betyder typisk, at certifikatopdateringer ikke er blevet startet på enheden. 

Hvilke licenser er påkrævet? 

Afhjælpning kræver licenser Windows 10/11 Enterprise E3/E5, Education A3/A5 eller F3. Hvis dine enheder kun har Business Premium- eller Pro-licenser, er afhjælpning ikke tilgængelig. Se Forudsætninger for afhjælpning

Ressourcer 

Afspilningsbog for sikker bootstartcertifikatopdatering

Sikker bootstartcertifikat Opdateringer: Vejledning til it-fagfolk

Registreringsdatabasenøgle Opdateringer til sikker bootstart

Secure Boot DB- og DBX Variable Update-hændelser

Afhjælpning i Microsoft Intune 

Forudsætninger for afhjælpning

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed