Secure Booti serdi oleku jälgimine Microsoft Intune parandustega

Avaldamise algkuupäev: 18. veebruar 2026

KB ID: 5080921

Selles artiklis on toodud juhised järgmiseks.

IT-administraatorid, kes vajavad turvalise algkäivituse serdi värskendamise oleku nähtavust oma Intune registreeritud Windowsi seadmetest
Ettevõtted valmistuvad 2026. aasta juuni turvalise algkäivituse serdi aegumistähtajaks
Teams, kes soovivad jälgida sertide väljaandmise edenemist kõigis Intune registreeritud Windowsi seadmetes

Sissejuhatus

Microsofti turvalise algkäivituse serdid (2011 CAd) aeguvad alates 2026. aasta juunist. Turbevärskenduse toe jätkuva toe tagamiseks tuleb enne aegumist värskendada kõik Windowsi seadmed, kus on lubatud turvaline käivitamine.

Selles juhendis kasutatakse ainult seiremeetodit, kasutades Microsoft Intune parandusi (ennetavad parandused). Tuvastusskript kogub igast seadmest secure Booti ja serdi oleku ning teatab selle uuesti Intune portaalist – seadmetes ei tehta parandustoiminguid. See annab administraatoritele keskse ja eksporditava ülevaate serdi värskendamise edenemisest kõigis Intune registreeritud Windowsi seadmetes.

Miks kasutada seda lähenemist?

Kasu	Kirjeldus
Seadmeülene nähtavus	Vaadake iga Intune registreeritud Windows-seadme serdi olek ühes kohas
Eksporditav	Tulemite eksportimine CSV-faili otse Intune portaalist
Toorregistri väärtused	Tegelike registriandmete vaatamine, mitte ainult edastamine/nurjumine
Seadme kontekst	Hõlmab tootjat, mudelit, BIOS-i versiooni ja püsivara tüüpi
Sündmuselogi telemeetria	Jäädvustab turvalise algkäivituse sündmuse ID-d (1801/1808), salve ID-d ja usaldustasemed
Nullpuutefunktsioonid	Töötab vaikselt süsteemina – kasutaja sekkumist pole vaja

Täieliku taustateabe serdivärskenduste kohta leiate teemast Secure Booti serdi värskendused: juhised IT-spetsialistidele ja organisatsioonidele.

Eeldused

Enne tuvastamisskripti juurutamist veenduge, et teie keskkond vastaks vajalikele nõuetele.

See lahendus kasutab Microsoft Intune parandusi. Eeltingimuste täieliku loendi leiate teemast Paranduste kasutamine tugiprobleemide tuvastamiseks ja lahendamiseks – Microsoft Intune.

Tuvastusskriptid

Tuvastamisskript on PowerShelli skript, mis kogub igast seadmest põhjalikke Secure Booti inventuuriandmeid ja väljastab selle JSON-stringina. Skript loetakse ette järgmistest allikatest.

Registry – secure Boot serdi värskendamise olek, hooldusvõtmed, seadme atribuudid ja HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ja selle alamvõtmed

WMI/CIM – OS-i versioon, viimane algkäivitusaeg ja aluslaua riistvara teave

Sündmuselogid – süsteemi sündmuselogi kirjed sündmuse ID-de 1801 ja 1808 jaoks (secure boot update events)

JSON-väljund kuvatakse Intune portaalis jaotises Parandused > Monitor > seadme olek > "Paranduseelse tuvastamise väljund" ja seda saab analüüsimiseks CSV-sse eksportida.

Oluline: See on ainult tuvastamise skript. Seadmes muudatusi ei tehta. Parandusskripti pole vaja.

Skriptifaili loomine

Liikuge turvalise algkäivituse inventuuriandmete kogumise näidisskripti (KB5072718) juurde
Kogu skripti sisu kopeerimine lehelt
Avage tekstiredaktor (nt Notepad, VS-kood) ja kleepige skript
Faili salvestamine Detect-SecureBootCertUpdateStatus.ps1

Paranduse loomine Intune

Järgmiste juhiste abil saate juurutada tuvastusskripti Microsoft Intune paranduspaketina.

1. toiming: skriptipaketi loomine

Microsoft Intune halduskeskusesse sisselogimine
Seadmete > paranduste juurde liikumine
Click + Create script package

2. juhis: põhitõed

Konfigureerige vahekaardil Põhitõed järgmised sätted.

Säte	Väärtus
Nimi	Secure Boot Certificate Status Monitor
Kirjeldus	Jälgib secure Boot serdi värskendamise olekut kogu laevastiku ulatuses. Ainult tuvastamine – parandustoiminguid ei tehta.
Publisher	(teie ettevõtte nimi)

Klõpsake nuppu Edasi

3. juhis: sätted

Konfigureerige vahekaardil Sätted järgmised sätted.

Säte	Väärtus	Märkused.
Tuvastamisskripti fail	Detect-SecureBootCertificateStatus.ps1 üleslaadimine	Eelmise jaotise skript
Remediation script file	(jätke tühjaks)	Parandust pole vaja – see on ainult jälgimine
Käivitage see skript sisselogitud identimisteabe abil	Ei	Töötab süsteemina, et tagada juurdepääs Confirm-SecureBootUEFI ja registrile
Skripti allkirjakontrolli jõustamine	Ei	Kui teie asutuses on vaja allkirjastatud skripte, seadke väärtuseks Jah
Skripti käivitamine 64-bitises PowerShellis	Jah	Nõutav Confirm-SecureBootUEFI cmdlet-käsu ja täpsete registrilugemiste jaoks

Klõpsake nuppu Edasi

4. juhis: ulatuse sildid

Ettevõtte nõutavate ulatusesiltide lisamine või vaikesätteks jätmine
Klõpsake nuppu Edasi

5. juhis: ülesanded

Säte	Väärtus	Märkused.
Määrang	Jälgimiseks seadmerühmade valimine	Kasuta kõiki seadmeid kogu seadmestikuüleseks seireks või kindlaid rühmi sihipäraseks seireks
Ajastamine	Konfigureerige oma jälgimisvajadused	Soovitatav: aktiivse kasutuselevõtu jälgimise korral kord päevas või kord nädalas pidevaks jälgimiseks

Märkus. Parandused töötavad seadme konfigureeritud ajakavas. Olenevalt seadme sisseregistreerimise tsüklist võib esmakäivitus aega võtta kuni 24 tundi.

Klõpsake nuppu Edasi

6. juhis: läbivaatus + loomine

Kõigi sätete ülevaatamine
Klõpsake nuppu Loo

Tulemite vaatamine ja eksportimine

Tulemite kuvamine portaalis

Seadmete > paranduste juurde liikumine
Klõpsake nuppu Secure Boot Certificate Status Monitor (või valitud nimi)
Vahekaardi Kuvar valimine
Klõpsake valikut Seadme olek
Klõpsake nuppu Veerud ja lisage paranduseelse tuvastusväljundi

Olekumonitor

Kuvatakse järgmiste veergudega tabel.

Veeru	Kirjeldus
Seadme nimi	Seadme nimi
Kasutajanimi	Seadme esmane kasutaja
Tuvastamise olek	Ilma probleemita (serdid värskendatud) või probleemiga (serte ei värskendata)
Paranduseelse tuvastamise väljund	Skripti täielik JSON-väljund
Viimati muudetud	Kui skript viimati seadmes käivitati

Ekspordi CSV-faili

Klõpsake lehel Seadme olek tabeli ülaosas nuppu Ekspordi
CSV-fail laadib alla kõik veerud, sh JSON-i täieliku tuvastusväljundi iga seadme jaoks
Excelis avamine mis tahes välja alusel filtreerimiseks, sortimiseks ja analüüsimiseks

Näpunäide. Excelis saate funktsioonide TEXTJOIN või JSON abil sõeluda tuvastusväljundi JSON-i hõlpsamaks analüüsimiseks eraldi veergudesse.

Vahekaart Ülevaade

Intune ülevaade

Paranduse vahekaardil Ülevaade on kokkuvõtlik armatuurlaud.

Meetermõõdustiku	Tähendus
Probleemidega seadmed	Seadmed, kus serte veel ei värskendata
Probleemideta seadmed	Seadmed, kus serdid on ajakohased
Nurjunud tuvastamisega seadmed	Seadmed, kus skriptis ilmnes tõrge

Korduma kippuvad küsimused

Kas see muudab midagi minu seadmetes?

Ei. See on ainult tuvastamise skript. Registriväärtusi ei muudeta, värskendusi ei käivitata ja parandustoiminguid ei tehta. Skript loeb ainult väärtusi ja teatab need.

Mida tähendab "Probleemiga"?

"Probleemiga" tähendab, et seadmes pole veel rakendatud 2023 secure Booti serte ja 2023 allkirjastatud käivitushaldurit. Põhjus võib olla järgmine: - Serdi värskendamist pole algatatud . Värskendamine on pooleli ja võib nõuda taaskäivitamist lõpuleviimiseks – turvaline käivitamine pole seadmes lubatud - seade pole UEFI-põhine või ootab algkäivitushalduri rakendamiseks taaskäivitamist.

Mida tähendab "Probleemita"?

"Probleemita" tähendab, et seadmes on lubatud Secure Boot ja registriväärtus UEFICA2023Status on värskendatud, mis näitab, et 2023 serdid on edukalt rakendatud.

Kui sageli skript töötab?

Skript töötab määrangus konfigureeritud ajakava alusel. Väljalaske ajal aktiivseks jälgimiseks on soovitatav iga päev. Pidevaks seireks piisab iganädalastest kontrollidest.

Mida teha, kui teeninduse registrivõtit pole olemas?

Kui HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing võtit pole seadmes olemas, kuvatakse väljal UEFICA2023Status väärtus NoValue. See tähendab tavaliselt seda, et seadmes pole serdivärskendusi algatatud.

Millised litsentsid on nõutavad?

Paranduste jaoks on vaja Windows 10/11 Enterprise E3/E5, Education A3/A5 või F3 litsentse. Kui teie seadmetel on ainult Business Premiumi või Pro litsentsid, pole parandused saadaval. Vt paranduste eeltingimused.