Secure Boot Certificate Opdateringer for Azure Virtual Desktop
Gælder for
Oprindelig publiceringsdato: 19. februar 2026
KB-id: 5080931
Denne artikel indeholder en vejledning til:
-
Azure administratorer af virtuelle skriveborde, der administrerer opdateringer til sessionsværter
-
Organisationer, der bruger virtuelle maskiner med sikker bootstart til Azure Virtual Desktop-installationer
-
Organisationer, der bruger brugerdefinerede billeder (gyldne billeder) til Azure Virtual Desktop-installationer
I denne artikel:
Introduktion
Sikker bootstart er en UEFI-firmwaresikkerhedsfunktion, der sikrer, at kun pålidelig, digitalt signeret software kører under en enhedsstartsekvens. De Microsoft Secure Boot-certifikater, der er udstedt i 2011, begynder at udløbe i juni 2026. Uden de opdaterede 2023-certifikater vil enheder ikke længere modtage ny beskyttelse mod sikker bootstart og Boot Manager eller afhjælpning af nyligt opdagede sårbarheder på startniveau.
Alle virtuelle maskiner med sikker bootstart, der er registreret i tjenesten Azure Virtual Desktop, og brugerdefinerede afbildninger, der bruges til at klargøre dem, skal opdateres til 2023-certifikaterne før udløb for at forblive beskyttet. Se Når certifikater til sikker bootstart udløber på Windows-enheder
Gælder det for mit Azure Virtual Desktop-miljø?
|
Scenarie |
Sikker bootstart aktiv? |
Handling påkrævet |
|
Sessionsværter |
||
|
Start VM, der er tillid til, med Sikker bootstart aktiveret |
Ja |
Opdater certifikater på sessionsværten |
|
Start VM, der er tillid til, med Sikker bootstart deaktiveret |
Nej |
Der kræves ingen handling |
|
vm-sikkerhedstypen Standard |
Nej |
Der kræves ingen handling |
|
Generation 1 VM |
Understøttes ikke |
Der kræves ingen handling |
|
Gyldne billeder |
||
|
Azure Compute Gallery-afbildning med Sikker bootstart aktiveret |
Ja |
Opdater certifikater i kildeafbildningen |
|
Azure Compute Gallery-billede uden pålidelig start |
Nej |
Anvend opdateringer i sessionsværten efter installation |
|
Administreret billede (understøtter ikke Pålidelig start) |
Nej |
Anvend opdateringer i sessionsværten efter installation |
Du kan finde komplette baggrundsoplysninger under Opdateringer til certifikat til sikker bootstart: Vejledning til it-fagfolk og organisationer.
Lager og overvågning
Før du udfører en handling, skal du holde styr på dit miljø for at identificere enheder, der kræver opdateringer. Overvågning er afgørende for at bekræfte, at certifikater anvendes inden fristen for juni 2026 – også selvom du er afhængig af automatiske installationsmetoder. Nedenfor finder du muligheder for at afgøre, om der skal udføres en handling.
Mulighed 1: Microsoft Intune afhjælpning
For sessionsværter, der er tilmeldt Microsoft Intune, kan du installere et registreringsscript ved hjælp af Intune Afhjælpninger (Proaktiv afhjælpning) for automatisk at indsamle status for certifikat til sikker bootstart på tværs af din flåde. Scriptet kører uovervåget på hver enhed og rapporterer status for sikker bootstart, status for certifikatopdatering og enhedsoplysninger tilbage til Intune portalen – der foretages ingen ændringer på enhederne. Resultaterne kan ses og eksporteres til CSV direkte fra Intune Administration til analyse for hele flåden.
Du kan finde en trinvis vejledning til installation af registreringsscriptet under Overvågning af status for certifikat til sikker bootstart med Microsoft Intune afhjælpninger.
Mulighed 2: Statusrapport for Windows Autopatch Secure Boot
For personlige faste sessionsværter, der er registreret med Windows Autopatch, skal du gå til Intune Administration > Rapporter > Windows Autopatch > Windows-kvalitetsopdateringer > fanen Rapporter > status for sikker bootstart. Se statusrapporten for sikker bootstart i Windows Autopatch.
Bemærk!: Windows Autopatch understøtter kun personlige faste virtuelle maskiner til Azure virtuelle skrivebord. Multisessionsværter, grupperede ikke-permanente virtuelle maskiner og ekstern appstreaming understøttes ikke. Se Windows Autopatch på Azure Virtual Desktop-arbejdsbelastninger.
Mulighed 3: Registreringsdatabasenøgler til flådeovervågning
Brug dine eksisterende værktøjer til enhedshåndtering til at forespørge på disse registreringsdatabaseværdier på tværs af din flåde.
|
Sti til registreringsdatabase |
Nøgle |
Formål |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuel installationsstatus |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Angiver fejl (bør ikke findes) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Angiver hændelses-id (bør ikke findes) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Tilgængelige opdateringer |
Ventende opdateringsbit |
Du kan finde detaljerede oplysninger om registreringsdatabasenøgler under Registreringsdatabasenøgleopdateringer til sikker bootstart: Windows-enheder med it-administrerede opdateringer.
Mulighed 4: Overvågning af hændelseslog
Brug dine eksisterende værktøjer til enhedshåndtering til at indsamle og overvåge disse hændelses-id'er fra systemhændelsesloggen på tværs af din flåde.
|
Hændelses-id |
Placering |
Betydning |
|
1808 |
System |
Certifikater blev anvendt |
|
1801 |
System |
Opdater status eller oplysninger om fejl |
Du kan finde en komplet liste over hændelsesoplysninger under Sikker bootstart DB- og DBX-variable opdateringshændelser.
Mulighed 5: PowerShell-lagerscript
Kør Microsofts eksempel på indsamling af data til sikker bootstart for at kontrollere status for sikker bootstartcertifikatopdatering. Scriptet indsamler flere datapunkter, herunder sikker bootstarttilstand, UEFI CA 2023-opdateringsstatus, firmwareversion og hændelseslogaktivitet.
Installation
Vigtigt!: Uanset hvilken installationsindstilling du vælger, anbefaler vi, at du overvåger din enhedsflåde for at bekræfte, at certifikater anvendes korrekt inden deadline for juni 2026. Hvis du vil se brugerdefinerede billeder, skal du se Overvejelser i forbindelse med gyldne billeder.
Mulighed 1: Automatiske Opdateringer fra Windows Update (enheder med høj pålidelighed)
Microsoft opdaterer automatisk enheder via månedlige Windows-opdateringer, når tilstrækkelig telemetri bekræfter en vellykket installation på lignende hardwarekonfigurationer.
-
Status: Aktiveret som standard for enheder med høj pålidelighed
-
Der kræves ingen handling, medmindre du vil fravælge
|
Registreringsdatabasen |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Nøgle |
HighConfidenceOptOut = 1 for at fravælge |
|
Gruppepolitik |
Computerkonfiguration > administrative skabeloner > Windows-komponenter > sikker bootstart > automatisk certifikatinstallation via Opdateringer > Indstillet til Deaktiveret for at fravælge. |
Henstilling: Selv når automatiske opdateringer er aktiveret, skal du overvåge dine sessionsværter for at bekræfte, at certifikater anvendes. Det er ikke sikkert, at alle enheder er kvalificeret til automatisk installation med høj sikkerhed.
Du kan få mere at vide under Automatiserede installationshjælpehjælpe.
Mulighed 2: IT-Initiated installation
Udløs manuelt certifikatopdateringer til øjeblikkelig eller kontrolleret implementering.
|
Metode |
Dokumentation |
|
Microsoft Intune |
|
|
Gruppepolitik |
|
|
Registreringsdatabasenøgler |
|
|
WinCS CLI |
Bemærkninger!:
-
Bland ikke it-initierede installationsmetoder (f.eks. Intune og GPO) på den samme enhed – de styrer de samme registreringsdatabasenøgler og kan konflikte.
-
Tillad ca. 48 timer, og en eller flere genstarter, for at certifikater kan anvendes fuldt ud.
Overvejelser i forbindelse med gyldent billede
For Azure Virtual Desktop-miljøer, der bruger Azure Compute Gallery-afbildninger med Sikker bootstart aktiveret, skal du anvende sikker bootstart 2023-certifikatopdatering til det gyldne billede, før du henter den. Brug en af de metoder, der er beskrevet ovenfor, til at anvende opdateringen, og bekræft derefter, at certifikater er opdateret, før du generaliserer:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Afbildninger uden aktiveret start, der er tillid til, kan ikke modtage opdateringer af certifikat til sikker bootstart via afbildningen. Dette omfatter administrerede billeder, som ikke understøtter Start, der er tillid til, og Azure Compute Gallery-billeder, hvor Pålidelig start ikke er aktiveret. På enheder, der er klargjort fra disse afbildninger, skal du anvende opdateringer i guest OS ved hjælp af en af metoderne ovenfor.
Kendte problemer
Registreringsdatabasenøgle for vedligeholdelse findes ikke
|
Symptom |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path findes ikke |
|
Årsag |
Certifikatopdateringer er ikke blevet startet på enheden |
|
Løsning |
Vent på automatisk installation via Windows Update, eller initier manuelt ved hjælp af en af de it-initierede installationsmetoder ovenfor |
Status viser "InProgress" for udvidet periode
|
Symptom |
UEFICA2023Status forbliver "InProgress" efter flere dage |
|
Årsag |
Enheden skal muligvis genstartes for at fuldføre opdateringsprocessen |
|
Løsning |
Genstart sessionsværten, og kontrollér status igen efter 15 minutter. Hvis problemet fortsætter, skal du se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få vejledning til fejlfinding |
Registreringsdatabasenøglen UEFICA2023Fejl findes
|
Symptom |
Registreringsdatabasenøglen UEFICA2023Error findes |
|
Årsag |
Der opstod en fejl under certifikatinstallation |
|
Løsning |
Se Systemhændelseslog for at få flere oplysninger. Se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få vejledning til fejlfinding |
Ressourcer
Har du brug for mere hjælp?
Vil du have flere indstillinger?
Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.
Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.
