Huomautus
- Alkuperäinen julkaisupäivä: Helmikuu 18, 2026
- KB-tunnus: 5080921
Tässä artikkelissa on seuraavat ohjeet:
- IT-järjestelmänvalvojat, jotka tarvitsevat näkyvyyttä Secure Boot -varmenteen päivitystilaan Intune-rekisteröidyistä Windows-laitteistaan
- Organisaatiot valmistautuvat kesäkuun 2026 Secure Boot -varmenteen vanhenemisen määräaikaan
- Tiimit, jotka haluavat valvoa varmenteiden käyttöönoton edistymistä Intune-rekisteröidyissä Windows-laitteissaan
Artikkelin sisältö:
- Johdanto
- Edellytykset
- Tunnistuskomentosarja
- Korjauksen luominen Intune
- Tulosten tarkasteleminen ja vieminen
- Usein kysytyt kysymykset
- Resurssit
Johdanto
Microsoftin suojatun käynnistyksen varmenteet (2011 CA:t) vanhenevat kesäkuusta 2026 alkaen. Kaikki Windows-laitteet, joissa suojattu käynnistys on käytössä, on päivitettävä vuoden 2023 varmenteiksi ennen vanhenemista, jotta suojauspäivitysten tuki jatkuu.
Tämä opas sisältää vain valvontaan perustuvan lähestymistavan Microsoft Intune -korjausten (ennakoivien korjausten) avulla. Tunnistuskomentosarja kerää suojatun käynnistyksen ja varmenteen tilan jokaisesta laitteesta ja raportoi sen takaisin Intune-portaaliin – laitteille ei tehdä korjaustoimia. Tämä antaa järjestelmänvalvojille keskitetyn, vietävän näkymän varmenteen päivityksen edistymisestä Intune-rekisteröityjen Windows-laitteiden välillä.
Miksi tätä tapaa kannattaa käyttää?
| Etu | Kuvaus |
|---|---|
| Näkyvyys koko laitteessa | Tarkastele jokaisen Intune-rekisteröityneen Windows-laitteen varmenteen tilaa yhdessä paikassa |
| Vietävissä | Tulosten vieminen CSV-tiedostoon suoraan Intune-portaalista |
| Raakarekisteriarvot | Nähdä todelliset rekisteritiedot, ei vain hyväksymistä/hylkäämistä |
| Laitekonteksti | Sisältää valmistajan, mallin, BIOS-version ja laiteohjelmiston tyypin |
| Tapahtumalokin telemetria | Sieppaa suojatun käynnistyksen tapahtumatunnukset (1801/1808), säilön tunnukset ja luottamustasot |
| Ei kosketusta | Toimii äänettömästi JÄRJESTELMÄNÄ – käyttäjän toimia ei tarvita |
Katso täydelliset taustatiedot varmennepäivityksistä artikkelista Secure Boot certificate updates: Guidance for IT professionals and organizations.
Edellytykset
Varmista ennen tunnistuskomentosarjan käyttöönottoa, että ympäristösi täyttää tarvittavat vaatimukset.
Tämä ratkaisu hyödyntää Microsoft Intune korjauksia. Täydellinen luettelo edellytyksistä on artikkelissa Tukiongelmien tunnistaminen ja korjaaminen korjausten avulla – Microsoft Intune.
Tunnistuskomentosarjat
Tunnistuskomentosarja on PowerShell-komentosarja, joka kerää kattavia suojatun käynnistyksen varastotietoja jokaisesta laitteesta ja tulostaa ne JSON-merkkijonona. Komentosarja on peräisin seuraavista lähteistä:
Rekisteri – suojatun käynnistyksen varmenteen päivityksen tila, ylläpitoavaimet, laitteen määritteet ja suostumus-/kieltäytymisasetukset kohteesta HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ja sen aliavaimista
WMI/CIM – käyttöjärjestelmäversio, edellinen käynnistysaika ja pohjalevyn laitteistotiedot
Tapahtumalokit – Järjestelmän tapahtumalokimerkinnät tapahtumatunnuksille 1801 ja 1808 (suojatun käynnistyksen päivitystapahtumat)
JSON-tulos näkyy Intune-portaalissa kohdassa Korjausten > valvonta > Laitteen tila > "Pre-remediation detection output", ja se voidaan viedä CSV-tiedostoon analysointia varten.
Tärkeää: Tämä on vain tunnistamista varten tarkoitettu komentosarja. Laitteeseen ei tehdä muutoksia. Korjauskomentosarjaa ei tarvita.
Komentosarjatiedoston luominen
Huomautus
TÄRKEÄÄ Seuraava esimerkkikomentosarjan sisältävä artikkeli on poistettu käytöstä. Jos olet asentanut Windows-päivityksen, joka on julkaistu 12. toukokuuta 2026 tai sen jälkeen, esimerkkikomentosarja löytyy laitteesi kansiosta %systemroot%\SecureBoot\ExampleRolloutScripts .
- Siirry suojatun käynnistyksen varastotietojen keräyskomentosarjaan (KB5072718)
- Kopioi koko komentosarjan sisältö sivulta
- Avaa tekstieditori (esimerkiksi Muistio tai VS Code) ja liitä komentosarja
- Tallenna tiedosto Detect-SecureBootCertUpdateStatus.ps1
Korjauksen luominen Intune
Ota tunnistuskomentosarja käyttöön korjauspakettina (komentosarjapakettina) Microsoft Intune noudattamalla näitä ohjeita.
Vaihe 1: Komentosarjapaketin luominen
- Kirjautuminen Microsoft Intune -hallintakeskukseen
- Siirry kohtaan Laitekorjaukset >
- Valitse + Luo komentosarjapaketti
Vaihe 2: Perusteet
- Määritä Perustiedot-välilehdessä seuraavat asetukset:
| Asetus | Arvo |
|---|---|
| Nimi | Suojatun käynnistyksen varmenteen tilavalvonta |
| Kuvaus | Valvoo suojatun käynnistyksen varmenteen päivitystilaa koko kalustossa. Vain tunnistus – mitään korjaustoimia ei tehdä. |
| Julkaisija | (organisaatiosi nimi) |
- Valitse Seuraava.
Vaihe 3: Asetukset
- Määritä Asetukset-välilehdessä seuraavat asetukset:
| Asetus | Arvo | Huomautuksia |
|---|---|---|
| Tunnistamisen komentosarjatiedosto | Lataa Detect-SecureBootCertificateStatus.ps1 | Edellisen osion käsikirjoitus |
| Korjauskomentosarjatiedosto | (jätä tyhjäksi) | Korjausta ei tarvita – pelkkä valvonta |
| Suorita tämä komentosarja kirjautuneilla tunnistetiedoilla | Ei | Toimii JÄRJESTELMÄNÄ, jotta Confirm-SecureBootUEFI ja rekisterin käyttö varmistetaan |
| Komentosarjan allekirjoituksen tarkistuksen pakottaminen | Ei | Määritä arvoksi Kyllä , jos organisaatiosi edellyttää allekirjoitettuja komentosarjoja |
| Komentosarjan suorittaminen 64-bittisessä PowerShellissä | Kyllä | Vaaditaan cmdletConfirm-SecureBootUEFI komentoa ja tarkkaa rekisterin lukemista varten |
- Valitse Seuraava.
Vaihe 4: Laajuuden tunnisteet
- Lisää organisaation edellyttämät laajuustunnisteet tai jätä ne oletuksiksi
- Valitse Seuraava.
Vaihe 5: Tehtävät
| Asetus | Arvo | Huomautuksia |
|---|---|---|
| Määritykset | Valitse valvottavat laiteryhmät | Käytä kaikkia laitteita koko kaluston laajuiseen valvontaan tai tiettyjä ryhmiä kohdennettuun valvontaan |
| Aikataulu | Määritä valvontatarpeidesi mukaan | Suositus: Kerran päivässä aktiivisen käyttöönoton seurantaa varten tai kerran viikossa jatkuvaa seurantaa varten |
Huomautus: Korjaukset suoritetaan laitteen määritetyn aikataulun mukaisesti. Ensimmäinen käyttökerta voi kestää enintään 24 tuntia määrittämisestä laitteen sisäänkuittaustoiminnosta riippuen.
Valitse Seuraava.
Vaihe 6: Tarkista + luo
- Tarkista kaikki asetukset
- Valitse Luo
Tulosten tarkasteleminen ja vieminen
Tulosten tarkasteleminen portaalissa
- Siirry kohtaan Laitekorjaukset >
- Valitse suojatun käynnistyksen varmenteen tilavalvonta (tai valitsemasi nimi)
- Valitse Näyttö-välilehti
- Valitse Laitteen tila
- Valitse Sarakkeet ja lisää korjausta edeltävän tunnistuksen tulos
Näet taulukon, jossa on seuraavat sarakkeet:
| Sarake | Kuvaus |
|---|---|
| Laitteen nimi | Laitteen nimi |
| Käyttäjänimi | Laitteen ensisijainen käyttäjä |
| Tunnistuksen tila | Ei ongelmia (varmenteet päivittyneet) tai ongelma (varmenteita ei päivitetty) |
| Korjausta edeltävän tunnistuksen tulos | Komentosarjan täydellinen JSON-tulos |
| Viimeksi muokattu | Milloin komentosarja suoritettiin laitteessa viimeksi |
Vie CSV-tiedostoon
- Napsauta Laitteen tila -sivulla taulukon yläreunassa olevaa Vie-painiketta
- CSV-tiedosto lataa kaikki sarakkeet, mukaan lukien täyden JSON-tunnistustulosteen jokaiselle laitteelle
- Avaa Excelissä, kun haluat suodattaa, lajitella ja analysoida tietoja minkä tahansa kentän perusteella
Vinkki: Excelissä voit TEXTJOIN- tai JSON-funktioiden avulla jäsentää tunnistuksen tulosteen JSON-tiedot erillisiin sarakkeisiin analysoinnin helpottamiseksi.
Yleiskatsaus-välilehti
Korjauksen Yleiskatsaus-välilehti tarjoaa koontinäytön yhteenvedon:
| Tilasto | Merkitys |
|---|---|
| Laitteet, joissa on ongelmia | Laitteet, joiden varmenteita ei ole vielä päivitetty |
| Laitteet, joissa ei ole ongelmia | Laitteet, joissa varmenteet ovat ajan tasalla |
| Laitteet, joiden tunnistus epäonnistui | Laitteet, joissa komentosarja kohtasi virheen |
Usein kysytyt kysymykset
Muuttaako tämä mitään laitteissani?
Ei. Tämä on vain tunnistamista varten tarkoitettu komentosarja. Rekisteriarvoja ei muokata, päivityksiä ei käynnistetä eikä korjaustoimia tehdä. Komentosarja vain lukee arvot ja raportoi ne.
Mitä Ongelmallinen tarkoittaa?
"Ongelma" tarkoittaa, että laitteessa ei ole vielä käytössä vuoden 2023 suojatun käynnistyksen varmenteita ja vuoden 2023 allekirjoitettua käynnistyshallintaohjelmaa. Tämä voi johtua seuraavista syistä: - Varmenteen päivitystä ei ole aloitettu - Päivitys on käynnissä ja saattaa vaatia uudelleenkäynnistyksen - Suojattu käynnistys ei ole käytössä laitteessa - Laite ei ole UEFI-pohjainen tai odottaa uudelleenkäynnistystä käynnistyksen hallinnan käyttämiseksi.
Mitä "Ei ongelmaa" tarkoittaa?
"Ilman ongelmaa" tarkoittaa, että laitteessa on suojattu käynnistys käytössä ja UEFICA2023Status-rekisteriarvo on päivitetty, mikä ilmaisee, että vuoden 2023 varmenteet on otettu onnistuneesti käyttöön.
Kuinka usein komentosarja suoritetaan?
Komentosarja suoritetaan tehtävässä määrittämäsi aikataulun mukaan. Jos käytössä on aktiivinen seuranta käyttöönoton aikana, suosittelemme, että kuvakkeet määritetään päivittäin. Jatkuvaan seurantaan riittää viikoittainen.
Entä jos Servicing-rekisteriavainta ei ole?
Jos HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-avainta ei ole laitteessa, UEFICA2023Status-kentässä näkyy NoValue. Tämä tarkoittaa yleensä, että varmennepäivityksiä ei ole aloitettu laitteessa.
Mitä käyttöoikeuksia tarvitaan?
Korjaukset edellyttävät Windows 10/11 Enterprise E3/E5-, Education A3/A5- tai F3-käyttöoikeuksia. Jos laitteissa on vain Business Premium- tai Pro-käyttöoikeudet, korjaukset eivät ole käytettävissä. Katso korjaustoimien edellytykset.
Resurssit
Suojatun käynnistyksen varmenteen päivityksen käsikirja
Secure Boot -varmenteen Päivitykset: Ohjeita IT-ammattilaisille
Rekisteriavaimen päivitykset suojattua käynnistystä varten