Überwachen des status von Zertifikaten für den sicheren Start mit Microsoft Intune Korrekturen

In diesem Artikel:

Einführung
Voraussetzungen
Erkennungsskript
Erstellen der Wartung in Intune
Anzeigen und Exportieren von Ergebnissen
FAQ
Ressourcen

Einführung

Microsoft Secure Boot-Zertifikate (2011-Zertifizierungsstellen) laufen ab Juni 2026 ab. Alle Windows-Geräte mit aktiviertem sicheren Start müssen vor dem Ablauf auf die Zertifikate 2023 aktualisiert werden, um sicherzustellen, dass weiterhin Sicherheitsupdates unterstützt werden.

Dieser Leitfaden bietet einen reinen Überwachungsansatz mit Microsoft Intune Wartungen (proaktive Korrekturen). Das Erkennungsskript erfasst sichere Start- und Zertifikats-status von jedem Gerät und meldet es an das Intune-Portal zurück. Auf Geräten wird keine Korrekturaktion ausgeführt. Dadurch erhalten Administratoren eine zentralisierte, exportierbare Ansicht des Fortschritts von Zertifikatupdates auf ihren Intune registrierten Windows-Geräten.

Warum sollte dieser Ansatz verwendet werden?

Profitieren	Beschreibung
Geräteweite Sichtbarkeit	Anzeigen des Zertifikats jedes Intune registrierten Windows-Geräts status an einem Ort
Exportierbar	Ergebnisse direkt aus dem Intune-Portal in csv exportieren
Unformatierte Registrierungswerte	Anzeigen der tatsächlichen Registrierungsdaten, nicht nur pass/fail
Gerätekontext	Umfasst Hersteller, Modell, BIOS-Version und Firmwaretyp
Ereignisprotokolltelemetrie	Erfasst Ereignis-IDs für sicheren Start (1801/1808), Bucket-IDs und Konfidenzstufen
Ohne Eingriff	Wird im Hintergrund als SYSTEM ausgeführt – keine Benutzerinteraktion erforderlich

Vollständige Hintergrundinformationen zu den Zertifikatupdates finden Sie unter Zertifikatupdates für den sicheren Start: Leitfaden für IT-Experten und Organisationen.

Voraussetzungen

Stellen Sie vor der Bereitstellung des Erkennungsskripts sicher, dass Ihre Umgebung die erforderlichen Anforderungen erfüllt.

Diese Lösung nutzt Korrekturen in Microsoft Intune. Eine vollständige Liste der Voraussetzungen finden Sie unter Verwenden von Korrekturen zum Erkennen und Beheben von Supportproblemen – Microsoft Intune.

Erkennungsskripts

Das Erkennungsskript ist ein PowerShell-Skript, das umfassende Bestandsdaten für den sicheren Start von jedem Gerät sammelt und als JSON-Zeichenfolge ausgibt. Das Skript liest aus den folgenden Quellen:

Registrierung – Zertifikataktualisierung für den sicheren Start status, Wartungsschlüssel, Geräteattribute und Opt-In-/Opt-Out-Einstellungen von HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot und den zugehörigen Unterschlüsseln

WMI/CIM – Betriebssystemversion, zeitpunkt des letzten Starts und Hardwareinformationen für das Basisboard

Ereignisprotokolle – Systemereignisprotokolleinträge für Ereignis-IDs 1801 und 1808 (Updateereignisse für den sicheren Start)

Die JSON-Ausgabe wird im Intune-Portal unter Wartungen > Monitor > Gerät status > "Ausgabe der Erkennung vor der Wartung" angezeigt und kann zur Analyse in CSV exportiert werden.

Wichtig: Dies ist ein reines Erkennungsskript. Am Gerät werden keine Änderungen vorgenommen. Es ist kein Korrekturskript erforderlich.

Erstellen der Skriptdatei

Navigieren Sie zum Beispiel für das Datensammlungsskript für sichere Startinventur (KB5072718)
Kopieren des vollständigen Skriptinhalts von der Seite
Öffnen Sie einen Text-Editor (z. B. Editor, VS Code), und fügen Sie das Skript ein.
Speichern Sie die Datei als Detect-SecureBootCertUpdateStatus.ps1

Erstellen der Wartung in Intune

Führen Sie die folgenden Schritte aus, um das Erkennungsskript als Wartungspaket (Skriptpaket) in Microsoft Intune bereitzustellen.

Schritt 1: Erstellen des Skriptpakets

Melden Sie sich beim Microsoft Intune Admin Center an.
Navigieren Sie zu Geräte > Wartungen.
Klicken Sie auf + Skriptpaket erstellen.

Schritt 2: Grundlagen

Konfigurieren Sie die folgenden Einstellungen auf der Registerkarte Grundlagen:

Setting	Wert
Name	Statusmonitor des Zertifikats für den sicheren Start
Beschreibung	Überwacht die Aktualisierung von Zertifikaten für den sicheren Start status in der gesamten Flotte. Nur Erkennung – es wird keine Korrekturaktion ausgeführt.
Herausgeber	(Name Ihres organization)

Klicken Sie auf Weiter.

Schritt 3: Einstellungen

Konfigurieren Sie die folgenden Einstellungen auf der Registerkarte Einstellungen:

Setting	Wert	Notizen
Erkennungsskriptdatei	Detect-SecureBootCertificateStatus.ps1 hochladen	Das Skript aus dem vorherigen Abschnitt
Wartungsskriptdatei	(Leer lassen)	Es sind keine Korrekturen erforderlich– dies ist nur die Überwachung.
Ausführen dieses Skripts mit den anmeldegeschützten Anmeldeinformationen	Nein	Wird als SYSTEM ausgeführt, um den Zugriff auf Confirm-SecureBootUEFI und Registrierung sicherzustellen.
Erzwingen der Skriptsignaturprüfung	Nein	Legen Sie diese Einstellung auf Ja fest, wenn Für Ihre organization signierte Skripts erforderlich sind.
Ausführen eines Skripts in 64-Bit-PowerShell	Ja	Erforderlich für Confirm-SecureBootUEFI Cmdlets und genaue Registrierungslesevorgänge

Klicken Sie auf Weiter.

Schritt 4: Bereichstags

Fügen Sie alle bereichsbezogenen Tags hinzu, die für Ihre organization erforderlich sind, oder übernehmen Sie die Standardeinstellung.
Klicken Sie auf Weiter.

Schritt 5: Aufgaben

Setting	Wert	Notizen
Zuweisungen	Auswählen der zu überwachenden Gerätegruppen	Verwenden Sie alle Geräte für die flottenweite Überwachung oder bestimmte Gruppen für die gezielte Überwachung.
Zeitplan	Konfigurieren Für Ihre Überwachungsanforderungen	Empfohlen: Einmal täglich für die aktive Rolloutnachverfolgung oder einmal wöchentlich für die laufende Überwachung

Hinweis: Korrekturen werden nach dem konfigurierten Zeitplan des Geräts ausgeführt. Die erste Ausführung kann je nach Check-in-Zyklus des Geräts bis zu 24 Stunden nach der Zuweisung dauern.

Klicken Sie auf Weiter.

Schritt 6: Überprüfen + Erstellen

Überprüfen aller Einstellungen
Klicken Sie auf Erstellen.

Anzeigen und Exportieren von Ergebnissen

Anzeigen der Ergebnisse im Portal

Navigieren Sie zu Geräte > Wartungen.
Klicken Sie auf Secure Boot Certificate Status Monitor (oder auf den von Ihnen ausgewählten Namen).
Wählen Sie die Registerkarte Überwachen aus.
Klicken Sie auf Geräte status
Klicken Sie auf Spalten, und fügen Sie die Ausgabe der Erkennung vor der Wartung hinzu.

Statusmonitor

Es wird eine Tabelle mit den folgenden Spalten angezeigt:

Spalten	Beschreibung
Gerätename	Der Name des Geräts
Benutzername	Der primäre Benutzer des Geräts
Erkennungszustand	Ohne Problem (Zertifikate aktualisiert) oder mit Problem (Zertifikate nicht aktualisiert)
Ausgabe der Erkennung vor der Wartung	Die vollständige JSON-Ausgabe des Skripts
Letzte Änderung	Zeitpunkt der letzten Ausführung des Skripts auf dem Gerät

CSV-Export

Klicken Sie auf der Seite Device status oben in der Tabelle auf die Schaltfläche Exportieren.
Die CSV-Datei lädt alle Spalten einschließlich der vollständigen JSON-Erkennungsausgabe für jedes Gerät herunter.
Öffnen Sie in Excel, um nach einem beliebigen Feld zu filtern, zu sortieren und zu analysieren.

Tipp: In Excel können Sie die Funktionen TEXTJOIN oder JSON verwenden, um den JSON-Code der Erkennungsausgabe zur einfacheren Analyse in separate Spalten zu analysieren.

Registerkarte "Übersicht"

übersicht über Intune

Die Registerkarte Übersicht auf der Wartung enthält eine Zusammenfassung Dashboard:

Metrik:	Bedeutung
Geräte mit Problemen	Geräte, auf denen Zertifikate noch nicht aktualisiert wurden
Geräte ohne Probleme	Geräte, auf denen Zertifikate auf dem neuesten Stand sind
Geräte mit fehlerhafter Erkennung	Geräte, auf denen beim Skript ein Fehler aufgetreten ist

Häufig gestellte Fragen

Ändert sich dadurch etwas auf meinen Geräten?

Nein. Dies ist ein reines Erkennungsskript. Es werden keine Registrierungswerte geändert, keine Updates ausgelöst, und es wird keine Korrekturaktion ausgeführt. Das Skript liest nur Werte und meldet sie.

Was bedeutet "Mit Problem"?

"Mit Problem" bedeutet, dass auf dem Gerät noch nicht die Zertifikate für den sicheren Start 2023 und den 2023-signierten Start-Manager angewendet wurden. Dies kann darauf zurückzuführen sein: - Das Zertifikatupdate wurde nicht initiiert - Das Update wird ausgeführt und erfordert möglicherweise einen Neustart, um abgeschlossen zu werden - Sicherer Start ist auf dem Gerät nicht aktiviert - Das Gerät ist nicht UEFI-basiert oder wartet auf einen Neustart, um den Start-Manager anzuwenden.

Was bedeutet "Ohne Problem"?

"Ohne Problem" bedeutet, dass der sichere Start auf dem Gerät aktiviert ist und der Registrierungswert UEFICA2023Status aktualisiert ist, was angibt, dass die Zertifikate 2023 erfolgreich angewendet wurden.

Wie oft wird das Skript ausgeführt?

Das Skript wird nach dem Zeitplan ausgeführt, den Sie in der Zuweisung konfigurieren. Für die aktive Überwachung während eines Rollouts wird täglich empfohlen. Für die laufende Überwachung ist wöchentlich ausreichend.

Was geschieht, wenn der Wartungsregistrierungsschlüssel nicht vorhanden ist?

Wenn der Schlüssel HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing auf einem Gerät nicht vorhanden ist, wird im Feld UEFICA2023Status NoValue angezeigt. Dies bedeutet in der Regel, dass Zertifikatupdates auf dem Gerät nicht initiiert wurden.

Welche Lizenzen sind erforderlich?

Für Abhilfemaßnahmen sind Windows 10/11 Enterprise E3/E5-, Education A3/A5- oder F3-Lizenzen erforderlich. Wenn Ihre Geräte nur über Business Premium- oder Pro-Lizenzen verfügen, sind Korrekturen nicht verfügbar. Weitere Informationen finden Sie unter Voraussetzungen für Korrekturen.