Sikker bootstartcertifikat Opdateringer til Windows 365
Oprindelig publiceringsdato: 19. februar 2026
KB-id: 5080914
Denne artikel indeholder en vejledning til:
-
Windows 365 administratorer, der administrerer cloud-pc'er.
-
Organisationer, der bruger Secure Boot-aktiverede cloud-pc'er til Windows 365-installationer.
-
Organisationer, der bruger brugerdefinerede afbildninger til Windows 365-installationer .
I denne artikel:
Introduktion
Sikker bootstart er en sikkerhedsfunktion til UEFI-firmware, der sikrer, at kun pålidelig, digitalt signeret software kører under en enhedsstartsekvens. De Microsoft Secure Boot-certifikater, der er udstedt i 2011, begynder at udløbe i juni 2026. Uden de opdaterede 2023-certifikater vil enheder ikke længere modtage ny beskyttelse mod sikker bootstart og Boot Manager eller afhjælpning af nyligt opdagede sårbarheder på startniveau.
Alle sikre bootstartaktiverede skybaserede pc'er, der er klargjort i Windows 365-tjenesten, og brugerdefinerede afbildninger, der bruges til at klargøre dem, skal opdateres til 2023-certifikaterne før udløb for at forblive beskyttet. Se Når certifikater til sikker bootstart udløber på Windows-enheder.
Gælder det for mit Windows 365 miljø?
|
Scenarie |
Sikker bootstart aktiv? |
Handling påkrævet |
|
Skybaserede pc'er |
||
|
Cloud-pc med sikker bootstart aktiveret |
Ja |
Opdater certifikater på cloud-pc'en |
|
Cloud-pc med sikker bootstart deaktiveret |
Nej |
Der kræves ingen handling |
|
Billeder |
||
|
Azure Compute Gallery-afbildning med Sikker bootstart aktiveret |
Ja |
Opdater certifikater i kildeafbildningen, før du generaliserer |
|
Azure Compute Gallery-billede uden pålidelig start |
Nej |
Anvend opdateringer i cloud-pc'en efter klargøring |
|
Administreret billede (understøtter ikke Pålidelig start) |
Nej |
Anvend opdateringer i cloud-pc'en efter klargøring |
Du kan finde komplette baggrundsoplysninger under Opdateringer til certifikat til sikker bootstart: Vejledning til it-fagfolk og organisationer.
Lager og overvågning
Før du udfører en handling, skal du holde styr på dit miljø for at identificere enheder, der kræver opdateringer. Overvågning er afgørende for at bekræfte, at certifikater anvendes inden fristen for juni 2026 – også selvom du er afhængig af automatiske installationsmetoder. Nedenfor finder du muligheder for at afgøre, om der skal udføres en handling.
Mulighed 1: Microsoft Intune afhjælpning
For skybaserede pc'er, der er tilmeldt Microsoft Intune, kan du installere et registreringsscript ved hjælp af Intune Afhjælpninger (Proaktiv afhjælpning) for automatisk at indsamle status for secure boot-certifikat på tværs af din flåde. Scriptet kører uovervåget på hver enhed og rapporterer status for sikker bootstart, status for certifikatopdatering og enhedsoplysninger tilbage til Intune portalen – der foretages ingen ændringer på enhederne. Resultaterne kan ses og eksporteres til CSV direkte fra Intune Administration til analyse for hele flåden.
Du kan finde en trinvis vejledning til installation af registreringsscriptet under Overvågning af status for certifikat til sikker bootstart med Microsoft Intune afhjælpninger.
Mulighed 2: Statusrapport for Windows Autopatch Secure Boot
For skybaserede pc'er, der er registreret med Windows Autopatch, skal du gå til Intune Administration > Rapporter > Windows Autopatch > windows-kvalitetsopdateringer > fanen Rapporter > status for sikker bootstart. Se statusrapporten for sikker bootstart i Windows Autopatch.
Bemærk! Hvis du vil bruge Windows Autopatch med Windows 365, skal cloud-pc'er være registreret hos Tjenesten Windows Autopatch. Se Windows Autopatch på Windows 365 Enterprise arbejdsbelastninger.
Mulighed 3: Registreringsdatabasenøgler til flådeovervågning
Brug dine eksisterende værktøjer til enhedshåndtering til at forespørge på disse registreringsdatabaseværdier på tværs af din flåde.
|
Sti til registreringsdatabase |
Nøgle |
Formål |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuel installationsstatus |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Angiver fejl (bør ikke findes) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Angiver hændelses-id (bør ikke findes) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Tilgængelige opdateringer |
Ventende opdateringsbit |
Du kan finde detaljerede oplysninger om registreringsdatabasenøgler under Opdateringer af registreringsdatabasenøgler til sikker bootstart.
Mulighed 4: Overvågning af hændelseslog
Brug dine eksisterende værktøjer til enhedshåndtering til at indsamle og overvåge disse hændelses-id'er fra systemhændelsesloggen på tværs af din flåde.
|
Hændelses-id |
Placering |
Betydning |
|
1808 |
System |
Certifikater blev anvendt |
|
1801 |
System |
Opdater status eller oplysninger om fejl |
Du kan finde en komplet liste over hændelsesoplysninger under Sikker bootstart DB- og DBX-variable opdateringshændelser.
Mulighed 5: PowerShell-lagerscript
Kør Microsofts eksempel på indsamling af data til sikker bootstart for at kontrollere status for sikker bootstartcertifikatopdatering. Scriptet indsamler flere datapunkter, herunder sikker bootstarttilstand, UEFI CA 2023-opdateringsstatus, firmwareversion og hændelseslogaktivitet.
Installation
Vigtigt!: Uanset hvilken installationsindstilling du vælger, anbefaler vi, at du overvåger din enhedsflåde for at bekræfte, at certifikater anvendes korrekt inden deadline for juni 2026. Hvis du vil se brugerdefinerede billeder, skal du se Overvejelser i forbindelse med brugerdefinerede billeder.
Mulighed 1: Automatiske Opdateringer fra Windows Update (enheder med høj pålidelighed)
Microsoft opdaterer automatisk enheder via månedlige Windows-opdateringer, når tilstrækkelig telemetri bekræfter en vellykket installation på lignende hardwarekonfigurationer.
-
Status: Aktiveret som standard for enheder med høj pålidelighed
-
Der kræves ingen handling, medmindre du vil fravælge
|
Registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Nøgle |
HighConfidenceOptOut = 1 for at fravælge |
|
Gruppepolitik |
Computerkonfiguration > administrative skabeloner > Windows-komponenter > sikker bootstart > automatisk certifikatinstallation via Opdateringer > Indstillet til Deaktiveret for at fravælge |
Henstilling: Selv med automatiske opdateringer aktiveret, skal du overvåge dine cloud-pc'er for at bekræfte, at certifikater anvendes. Det er ikke sikkert, at alle enheder er kvalificeret til automatisk installation med høj sikkerhed.
Du kan få mere at vide under Automatiserede installationshjælpehjælpe.
Mulighed 2: IT-Initiated installation
Udløs manuelt certifikatopdateringer til øjeblikkelig eller kontrolleret implementering.
|
Metode |
Dokumentation |
|
Microsoft Intune |
|
|
Gruppepolitik |
|
|
Registreringsdatabasenøgler |
|
|
WinCS CLI |
Bemærkninger!:
-
Bland ikke it-initierede installationsmetoder (f.eks. Intune og GPO) på den samme enhed – de styrer de samme registreringsdatabasenøgler og kan konflikte.
-
Tillad ca. 48 timer, og en eller flere genstarter, for at certifikater kan anvendes fuldt ud.
Overvejelser i forbindelse med brugerdefinerede billeder
Brugerdefinerede billeder administreres fuldt ud af din organisation. Du er ansvarlig for at anvende opdateringer af certifikatet til sikker bootstart på den brugerdefinerede afbildning og overføre det igen, før du bruger det til klargøring.
Anvendelse af certifikatopdateringer til sikker bootstart på kildeafbildningen understøttes kun med Azure Compute Gallery-afbildninger (eksempel), som understøtter Pålidelig start og Sikker bootstart. Administrerede afbildninger understøtter ikke sikker bootstart, så certifikatopdateringer kan ikke anvendes på afbildningsniveau. For cloud-pc'er, der er klargjort fra administrerede afbildninger, skal du anvende opdateringer direkte på cloud-pc'en ved hjælp af en af installationsmetoderne ovenfor.
Før du generaliserer et nyt brugerdefineret billede, skal du kontrollere, at certifikater er opdateret:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Kendte problemer
Registreringsdatabasenøgle for vedligeholdelse findes ikke
|
Symptom |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing sti findes ikke |
|
Årsag |
Certifikatopdateringer er ikke blevet startet på enheden |
|
Løsning |
Vent på automatisk installation via Windows Update, eller initier manuelt ved hjælp af en af de it-initierede installationsmetoder ovenfor |
Status viser "InProgress" for udvidet periode
|
Symptom |
UEFICA2023Status forbliver "InProgress" efter flere dage |
|
Årsag |
Enheden skal muligvis genstartes for at fuldføre opdateringsprocessen |
|
Løsning |
Genstart cloud-pc'en, og kontrollér status igen efter 15 minutter. Hvis problemet fortsætter, skal du se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få vejledning til fejlfinding |
Registreringsdatabasenøglen UEFICA2023Fejl findes
|
Symptom |
Registreringsdatabasenøglen UEFICA2023Error findes |
|
Årsag |
Der opstod en fejl under certifikatinstallation |
|
Løsning |
Se Systemhændelseslog for at få flere oplysninger. Se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få vejledning til fejlfinding |
Ressourcer
Har du brug for mere hjælp?
Vil du have flere indstillinger?
Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.
Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.
