Secure Boot -varmenteen päivitykset Azure Virtual Desktopille

Käytetään kohteeseen
Azure Virtual Desktop

Huomautus

  • Alkuperäinen julkaisupäivä: Helmikuu 19, 2026
  • KB-tunnus: 5080931

Huomautus

Tässä artikkelissa on seuraavat ohjeet:

  • Azure-virtuaalityöpöydän järjestelmänvalvojat, jotka hallitsevat istunnon isäntäpäivityksiä

  • Organisaatiot, jotka käyttävät suojattua käynnistystä käyttäviä virtuaalikoneita Azure Virtual Desktopin käyttöönottoihin

  • Organisaatiot, jotka käyttävät mukautettuja kuvia (kultaisia kuvia) Azure Virtual Desktopin käyttöönottoihin

Artikkelin sisältö:

Johdanto

Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotettuja, digitaalisesti allekirjoitettuja ohjelmistoja suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026. Ilman päivitettyjä 2023 varmenteita laitteet eivät enää saa uusia suojatun käynnistyksen ja käynnistyksen hallinnan suojauksia tai lievennyksiä äskettäin löydettyihin käynnistystason haavoittuvuuksiin.

Kaikki suojattua käynnistystä käyttävät virtuaalikoneet, jotka on rekisteröity Azure-virtuaalityöpöytäpalveluun, ja niiden valmisteluun käytetyt mukautetut näköistiedostot on päivitettävä vuoden 2023 varmenteiksi ennen vanhenemista, jotta ne pysyvät suojattuina. Katso , milloin suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa

Koskeeko tämä Azure-virtuaalityöpöytäympäristöäni?

Skenaario Suojattu käynnistys aktiivinen? Toimia tarvitaan
Istunnon isännät
Luotetun käynnistyksen virtuaalikone, jossa on suojattu käynnistys käytössä Kyllä Varmenteiden päivittäminen istunnon isännässä
Luotetun käynnistyksen virtuaalikone, jonka suojattu käynnistys on poistettu käytöstä Ei Toimia ei tarvita
Standard-suojaustyyppi VM Ei Toimia ei tarvita
Sukupolven 1 virtuaalikone Ei tuettu Toimia ei tarvita
Kultaiset kuvat
Azure Compute Gallery -näköistiedosto, jossa on käytössä suojattu käynnistys Kyllä Varmenteiden päivittäminen lähdekuvassa
Azure Compute Galleryn kuva ilman luotettua käynnistystä Ei Päivitysten ottaminen käyttöön istunnon isännässä käyttöönoton jälkeen
Hallittu näköistiedosto (ei tue luotettua käynnistystä) Ei Päivitysten ottaminen käyttöön istunnon isännässä käyttöönoton jälkeen

Katso täydelliset taustatiedot artikkelista Secure Boot -varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille.

Inventointi ja valvonta

Ennen kuin ryhdyt toimiin, inventoi ympäristösi ja tunnista laitteet, jotka vaativat päivityksiä. Valvonta on tärkeää, jotta varmenteet otetaan käyttöön ennen kesäkuun 2026 määräaikaa – vaikka käyttäisit automaattisia käyttöönottomenetelmiä.  Alla on vaihtoehtoja määrittää, onko toimenpiteisiin ryhdyttävä.

Vaihtoehto 1: Microsoft Intune -korjaukset

Microsoft Intune rekisteröityjen istunnon isäntien kohdalla voit ottaa käyttöön tunnistuskomentosarjan käyttämällä Intune-korjauksia (ennakoivia korjauksia), jotka keräävät automaattisesti Secure Boot -varmenteen tilan koko kalustostasi. Komentosarja suoritetaan äänettömästi jokaisessa laitteessa ja raportoi suojatun käynnistyksen tilan, varmenteen päivityksen edistymisen ja laitteen tiedot takaisin Intune-portaaliin – laitteisiin ei tehdä muutoksia. Tuloksia voi tarkastella ja viedä CSV-tiedostoon suoraan Intune-hallintakeskuksesta koko kalustoa koskevaa analyysia varten.

Katso vaiheittaiset ohjeet tunnistuskomentosarjan käyttöönottoon artikkelista Suojatun käynnistyksen varmenteen tilan valvonta Microsoft Intune -korjauksilla.

Vaihtoehto 2: Windows Autopatchin suojatun käynnistyksen tilaraportti

Jos haluat henkilökohtaisia pysyviä istunnon isäntiä, jotka on rekisteröity Windows Autopatch -palveluun, siirry Intune-hallintakeskukseen> WindowsAutopatch-raportit>>Windowsin laatupäivitykset>Raportit-välilehti>Suojatun käynnistyksen tila. Katso suojatun käynnistyksen tilaraportti Windowsin automaattisessa päivityksessä.

Huomautus

Windowsin automaattinen päivitys tukee vain henkilökohtaisia pysyviä näennäiskoneita Azure Virtual Desktopille. Usean istunnon isäntiä, vartuja ei-pysyviä näennäiskoneita ja etäsovellusten suoratoistoa ei tueta. Katso Windows Autopatch Azure Virtual Desktop -kuormituksissa.

Vaihtoehto 3: Rekisteriavaimet ajoneuvojen valvontaa varten

Voit käyttää olemassa olevia laitehallintatyökaluja näiden rekisteriarvojen kyselyjen suorittamiseen koko kalustossa.

Rekisteripolku Näppäin Käyttötarkoitus
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Tila Käyttöönoton nykyinen tila
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023-virhe Osoittaa virheitä (ei pitäisi olla)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Ilmaisee tapahtumatunnuksen (ei pitäisi olla olemassa)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Saatavilla olevat päivitykset Odottavat päivitykset

Lisätietoja rekisteriavaimesta on kohdassa Rekisteriavaimen päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä.

Vaihtoehto 4: Tapahtumalokin valvonta

Voit käyttää olemassa olevia laitehallintatyökaluja näiden tapahtumatunnusten keräämiseen ja seuraamiseen järjestelmän tapahtumalokista koko kalustossa.

Tapahtumatunnus Sijainti Merkitys
1808 Järjestelmä Varmenteiden käyttöönotto onnistui
1801 Järjestelmä Päivityksen tila tai virhetiedot

Täydellinen luettelo tapahtumatiedoista on kohdassa Secure Boot DB- ja DBX-muuttujien päivitystapahtumat.

Vaihtoehto 5: PowerShell Inventory -komentosarja

Tarkista suojatun käynnistyksen varmenteen päivityksen tila suorittamalla Microsoftin Sample Secure Boot Inventory Data Collection -komentosarja . Komentosarja kerää useita datapisteitä, kuten suojatun käynnistyksen tilan, UEFI CA 2023 -päivityksen tilan, laiteohjelmistoversion ja tapahtumalokin toiminnan.

Käyttöönotto

Tärkeää

Valitsemastasi käyttöönottotavasta riippumatta suosittelemme valvomaan laitekantaasi varmistaaksesi, että varmenteet on otettu onnistuneesti käyttöön ennen kesäkuun 2026 määräaikaa. Mukautettujen kuvien osalta katso Golden Image (Kultainen kuva) -huomioita.

Vaihtoehto 1: Automaattiset Päivitykset Windows Update:sta (erittäin luotettavat laitteet)

Microsoft päivittää laitteet automaattisesti Windowsin kuukausittaisten päivitysten kautta, kun riittävät telemetriatiedot vahvistavat onnistuneen käyttöönoton samankaltaisissa laitteistokokoonpanoissa.

  • Tila: Käytössä oletusarvoisesti erittäin luotettavissa laitteissa
  • Toimenpiteitä ei tarvita, ellet halua jättäytyä ulkopuolelle
Rekisteri HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Näppäin HighConfidenceOptOut = 1 , jos haluat jättäytyä ulkopuolelle
Ryhmäkäytäntö Tietokoneen määritykset>Hallintamallit>Windowsin osat>Suojattu käynnistys>Varmenteen automaattinen käyttöönotto Päivitykset-sovelluksen> kautta Määritä tilaksi Ei käytössä, jos haluat jättäytyä pois.

Huomautus

Suositus: Vaikka automaattiset päivitykset olisivat käytössä, varmista istunnon isäntien avulla, että varmenteet otetaan käyttöön. Kaikki laitteet eivät välttämättä täytä luotettavan automaattisen käyttöönoton vaatimuksia.

Lisätietoja on artikkelissa Automaattiset käyttöönottoavustukset.

Vaihtoehto 2: IT-Initiated käyttöönotto

Varmennepäivitykset käynnistetään manuaalisesti välitöntä tai hallittua käyttöönottoa varten.

Menetelmä Dokumentaatio
Microsoft Intune Microsoft Intune -menetelmä
Ryhmäkäytäntö Ryhmäkäytäntö-objektimenetelmä
Rekisteriavaimet Rekisteriavaimen menetelmä
WinCS CLI WinCS-ohjelmointirajapinnat

Huomautus

  • Älä käytä samassa laitteessa usean IT-aloitteen käynnistämiä käyttöönottomenetelmiä (kuten Intune ja ryhmäkäytäntöobjekti), sillä ne hallitsevat samoja rekisteriavaimia ja voivat olla ristiriitaisia.
  • Varmenteiden käyttöönottoon kuluu noin 48 tuntia ja yksi tai useampi uudelleenkäynnistys.

Kultaista imagoa koskevia näkökohtia

Azure Virtual Desktop -ympäristöissä, joissa käytetään Azure Compute Gallery -kuvia, joissa suojattu käynnistys on käytössä, käytä Secure Boot 2023 -varmennepäivitystä kultaiseen näköistiedostoon ennen sen sieppaamista. Ota päivitys käyttöön jollakin yllä kuvatuista tavoista ja varmista sitten, että varmenteet on päivitetty ennen yleistämistä:

Huomautus

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Näköistiedostot, joiden luotettu käynnistys ei ole käytössä, eivät voi vastaanottaa suojatun käynnistyksen varmennepäivityksiä näköistiedoston kautta. Tämä sisältää hallitut näköistiedostot, jotka eivät tue luotettua käynnistystä, ja Azure Compute Galleryn näköistiedostot, joissa luotettu käynnistys ei ole käytössä. Ota näiden näköistiedostojen avulla valmisteltujen laitteiden päivitykset käyttöön vieraskäyttöjärjestelmässä jollakin yllä mainituista tavoista.

Tunnetut ongelmat

Ylläpidon rekisteriavainta ei ole olemassa

Oire HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Huoltopolkua ei ole olemassa
Syy Varmennepäivityksiä ei ole aloitettu laitteessa
Ratkaisu Odota automaattista käyttöönottoa Windows Update kautta tai aloita manuaalinen käyttöönotto jollakin yllä mainituista IT-aloitetuista käyttöönottotavoista

Tilana on pitkä ajanjakso "Käynnissä"

Oire UEFICA2023Status remains "InProgress" useiden päivien jälkeen
Syy Laite on ehkä käynnistettävä uudelleen päivitysprosessin viimeistelemiseksi
Ratkaisu Käynnistä istunnon isäntä uudelleen ja tarkista tila uudelleen 15 minuutin kuluttua. Jos ongelma jatkuu, katso vianmääritysohjeita kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat

UEFICA2023Virheen rekisteriavain on olemassa

Oire UEFICA2023Virheen rekisteriavain on läsnä
Syy Varmenteen käyttöönoton aikana tapahtui virhe
Ratkaisu Katso lisätietoja järjestelmän tapahtumalokista. Katso vianmääritysohjeet kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat

Resurssit