Secure Boot -varmenteen tilan seuranta Microsoft Intune -korjauksilla

Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Huomautus

  • Alkuperäinen julkaisupäivä: Helmikuu 18, 2026
  • KB-tunnus: 5080921

Tässä artikkelissa on seuraavat ohjeet:

  • IT-järjestelmänvalvojat, jotka tarvitsevat näkyvyyttä Secure Boot -varmenteen päivitystilaan Intune-rekisteröidyistä Windows-laitteistaan
  • Organisaatiot valmistautuvat kesäkuun 2026 Secure Boot -varmenteen vanhenemisen määräaikaan
  • Tiimit, jotka haluavat valvoa varmenteiden käyttöönoton edistymistä Intune-rekisteröidyissä Windows-laitteissaan

Artikkelin sisältö:

Johdanto

Microsoftin suojatun käynnistyksen varmenteet (2011 CA:t) vanhenevat kesäkuusta 2026 alkaen. Kaikki Windows-laitteet, joissa suojattu käynnistys on käytössä, on päivitettävä vuoden 2023 varmenteiksi ennen vanhenemista, jotta suojauspäivitysten tuki jatkuu.

Tämä opas sisältää vain valvontaan perustuvan lähestymistavan Microsoft Intune -korjausten (ennakoivien korjausten) avulla. Tunnistuskomentosarja kerää suojatun käynnistyksen ja varmenteen tilan jokaisesta laitteesta ja raportoi sen takaisin Intune-portaaliin – laitteille ei tehdä korjaustoimia. Tämä antaa järjestelmänvalvojille keskitetyn, vietävän näkymän varmenteen päivityksen edistymisestä Intune-rekisteröityjen Windows-laitteiden välillä.

Miksi tätä tapaa kannattaa käyttää?

Etu Kuvaus
Näkyvyys koko laitteessa Tarkastele jokaisen Intune-rekisteröityneen Windows-laitteen varmenteen tilaa yhdessä paikassa
Vietävissä Tulosten vieminen CSV-tiedostoon suoraan Intune-portaalista
Raakarekisteriarvot Nähdä todelliset rekisteritiedot, ei vain hyväksymistä/hylkäämistä
Laitekonteksti Sisältää valmistajan, mallin, BIOS-version ja laiteohjelmiston tyypin
Tapahtumalokin telemetria Sieppaa suojatun käynnistyksen tapahtumatunnukset (1801/1808), säilön tunnukset ja luottamustasot
Ei kosketusta Toimii äänettömästi JÄRJESTELMÄNÄ – käyttäjän toimia ei tarvita

Katso täydelliset taustatiedot varmennepäivityksistä artikkelista Secure Boot certificate updates: Guidance for IT professionals and organizations.

Edellytykset

Varmista ennen tunnistuskomentosarjan käyttöönottoa, että ympäristösi täyttää tarvittavat vaatimukset.

Tämä ratkaisu hyödyntää Microsoft Intune korjauksia. Täydellinen luettelo edellytyksistä on artikkelissa Tukiongelmien tunnistaminen ja korjaaminen korjausten avulla – Microsoft Intune.

Tunnistuskomentosarjat

Tunnistuskomentosarja on PowerShell-komentosarja, joka kerää kattavia suojatun käynnistyksen varastotietoja jokaisesta laitteesta ja tulostaa ne JSON-merkkijonona. Komentosarja on peräisin seuraavista lähteistä:

Rekisteri – suojatun käynnistyksen varmenteen päivityksen tila, ylläpitoavaimet, laitteen määritteet ja suostumus-/kieltäytymisasetukset kohteesta HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ja sen aliavaimista

WMI/CIM – käyttöjärjestelmäversio, edellinen käynnistysaika ja pohjalevyn laitteistotiedot

Tapahtumalokit – Järjestelmän tapahtumalokimerkinnät tapahtumatunnuksille 1801 ja 1808 (suojatun käynnistyksen päivitystapahtumat)

JSON-tulos näkyy Intune-portaalissa kohdassa Korjausten > valvonta > Laitteen tila > "Pre-remediation detection output", ja se voidaan viedä CSV-tiedostoon analysointia varten.

Tärkeää: Tämä on vain tunnistamista varten tarkoitettu komentosarja. Laitteeseen ei tehdä muutoksia. Korjauskomentosarjaa ei tarvita.

Komentosarjatiedoston luominen

Huomautus

TÄRKEÄÄ Seuraava esimerkkikomentosarjan sisältävä artikkeli on poistettu käytöstä. Jos olet asentanut Windows-päivityksen, joka on julkaistu 12. toukokuuta 2026 tai sen jälkeen, esimerkkikomentosarja löytyy laitteesi kansiosta %systemroot%\SecureBoot\ExampleRolloutScripts .

Korjauksen luominen Intune

Ota tunnistuskomentosarja käyttöön korjauspakettina (komentosarjapakettina) Microsoft Intune noudattamalla näitä ohjeita.

Vaihe 1: Komentosarjapaketin luominen

Vaihe 2: Perusteet

  • Määritä Perustiedot-välilehdessä seuraavat asetukset:
Asetus Arvo
Nimi Suojatun käynnistyksen varmenteen tilavalvonta
Kuvaus Valvoo suojatun käynnistyksen varmenteen päivitystilaa koko kalustossa. Vain tunnistus – mitään korjaustoimia ei tehdä.
Julkaisija (organisaatiosi nimi)
  • Valitse Seuraava.

Vaihe 3: Asetukset

  • Määritä Asetukset-välilehdessä seuraavat asetukset:
Asetus Arvo Huomautuksia
Tunnistamisen komentosarjatiedosto Lataa Detect-SecureBootCertificateStatus.ps1 Edellisen osion käsikirjoitus
Korjauskomentosarjatiedosto (jätä tyhjäksi) Korjausta ei tarvita – pelkkä valvonta
Suorita tämä komentosarja kirjautuneilla tunnistetiedoilla Ei Toimii JÄRJESTELMÄNÄ, jotta Confirm-SecureBootUEFI ja rekisterin käyttö varmistetaan
Komentosarjan allekirjoituksen tarkistuksen pakottaminen Ei Määritä arvoksi Kyllä , jos organisaatiosi edellyttää allekirjoitettuja komentosarjoja
Komentosarjan suorittaminen 64-bittisessä PowerShellissä Kyllä Vaaditaan cmdletConfirm-SecureBootUEFI komentoa ja tarkkaa rekisterin lukemista varten
  • Valitse Seuraava.

Vaihe 4: Laajuuden tunnisteet

  • Lisää organisaation edellyttämät laajuustunnisteet tai jätä ne oletuksiksi
  • Valitse Seuraava.

Vaihe 5: Tehtävät

Asetus Arvo Huomautuksia
Määritykset Valitse valvottavat laiteryhmät Käytä kaikkia laitteita koko kaluston laajuiseen valvontaan tai tiettyjä ryhmiä kohdennettuun valvontaan
Aikataulu Määritä valvontatarpeidesi mukaan Suositus: Kerran päivässä aktiivisen käyttöönoton seurantaa varten tai kerran viikossa jatkuvaa seurantaa varten

Huomautus: Korjaukset suoritetaan laitteen määritetyn aikataulun mukaisesti. Ensimmäinen käyttökerta voi kestää enintään 24 tuntia määrittämisestä laitteen sisäänkuittaustoiminnosta riippuen.

Valitse Seuraava.

Vaihe 6: Tarkista + luo

  • Tarkista kaikki asetukset
  • Valitse Luo

Tulosten tarkasteleminen ja vieminen

Tulosten tarkasteleminen portaalissa

  • Siirry kohtaan Laitekorjaukset >
  • Valitse suojatun käynnistyksen varmenteen tilavalvonta (tai valitsemasi nimi)
  • Valitse Näyttö-välilehti
  • Valitse Laitteen tila
  • Valitse Sarakkeet ja lisää korjausta edeltävän tunnistuksen tulos

Tilan valvonta

Näet taulukon, jossa on seuraavat sarakkeet:

Sarake Kuvaus
Laitteen nimi Laitteen nimi
Käyttäjänimi Laitteen ensisijainen käyttäjä
Tunnistuksen tila Ei ongelmia (varmenteet päivittyneet) tai ongelma (varmenteita ei päivitetty)
Korjausta edeltävän tunnistuksen tulos Komentosarjan täydellinen JSON-tulos
Viimeksi muokattu Milloin komentosarja suoritettiin laitteessa viimeksi

Vie CSV-tiedostoon

  • Napsauta Laitteen tila -sivulla taulukon yläreunassa olevaa Vie-painiketta
  • CSV-tiedosto lataa kaikki sarakkeet, mukaan lukien täyden JSON-tunnistustulosteen jokaiselle laitteelle
  • Avaa Excelissä, kun haluat suodattaa, lajitella ja analysoida tietoja minkä tahansa kentän perusteella

Vinkki: Excelissä voit TEXTJOIN- tai JSON-funktioiden avulla jäsentää tunnistuksen tulosteen JSON-tiedot erillisiin sarakkeisiin analysoinnin helpottamiseksi.

Yleiskatsaus-välilehti

Intune-yleiskatsaus

Korjauksen Yleiskatsaus-välilehti tarjoaa koontinäytön yhteenvedon:

Tilasto Merkitys
Laitteet, joissa on ongelmia Laitteet, joiden varmenteita ei ole vielä päivitetty
Laitteet, joissa ei ole ongelmia Laitteet, joissa varmenteet ovat ajan tasalla
Laitteet, joiden tunnistus epäonnistui Laitteet, joissa komentosarja kohtasi virheen

Usein kysytyt kysymykset

Muuttaako tämä mitään laitteissani?

Ei. Tämä on vain tunnistamista varten tarkoitettu komentosarja. Rekisteriarvoja ei muokata, päivityksiä ei käynnistetä eikä korjaustoimia tehdä. Komentosarja vain lukee arvot ja raportoi ne.

Mitä Ongelmallinen tarkoittaa?

"Ongelma" tarkoittaa, että laitteessa ei ole vielä käytössä vuoden 2023 suojatun käynnistyksen varmenteita ja vuoden 2023 allekirjoitettua käynnistyshallintaohjelmaa. Tämä voi johtua seuraavista syistä: - Varmenteen päivitystä ei ole aloitettu - Päivitys on käynnissä ja saattaa vaatia uudelleenkäynnistyksen - Suojattu käynnistys ei ole käytössä laitteessa - Laite ei ole UEFI-pohjainen tai odottaa uudelleenkäynnistystä käynnistyksen hallinnan käyttämiseksi.

Mitä "Ei ongelmaa" tarkoittaa?

"Ilman ongelmaa" tarkoittaa, että laitteessa on suojattu käynnistys käytössä ja UEFICA2023Status-rekisteriarvo on päivitetty, mikä ilmaisee, että vuoden 2023 varmenteet on otettu onnistuneesti käyttöön.

Kuinka usein komentosarja suoritetaan?

Komentosarja suoritetaan tehtävässä määrittämäsi aikataulun mukaan. Jos käytössä on aktiivinen seuranta käyttöönoton aikana, suosittelemme, että kuvakkeet määritetään päivittäin. Jatkuvaan seurantaan riittää viikoittainen.

Entä jos Servicing-rekisteriavainta ei ole?

Jos HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-avainta ei ole laitteessa, UEFICA2023Status-kentässä näkyy NoValue. Tämä tarkoittaa yleensä, että varmennepäivityksiä ei ole aloitettu laitteessa.

Mitä käyttöoikeuksia tarvitaan?

Korjaukset edellyttävät Windows 10/11 Enterprise E3/E5-, Education A3/A5- tai F3-käyttöoikeuksia. Jos laitteissa on vain Business Premium- tai Pro-käyttöoikeudet, korjaukset eivät ole käytettävissä. Katso korjaustoimien edellytykset.

Resurssit

Suojatun käynnistyksen varmenteen päivityksen käsikirja

Secure Boot -varmenteen Päivitykset: Ohjeita IT-ammattilaisille

Rekisteriavaimen päivitykset suojattua käynnistystä varten

Secure Boot DB- ja DBX-muuttujapäivitystapahtumat

Korjaukset Microsoft Intune

Korjaustoimien edellytykset