Huomautus
- Alkuperäinen julkaisupäivä: Helmikuu 19, 2026
- KB-tunnus: 5080914
Huomautus
Tässä artikkelissa on seuraavat ohjeet:
Windows 365 -järjestelmänvalvojat, jotka hallitsevat pilvitietokoneita.
Organisaatiot, jotka käyttävät suojattua käynnistystä hyödyntäviä pilvitietokoneita Windows 365 -asennuksissa.
Organisaatiot, jotka käyttävät mukautettuja näköistiedostoja Windows 365 -käyttöönotoissa.
Artikkelin sisältö:
Johdanto
Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotettuja, digitaalisesti allekirjoitettuja ohjelmistoja suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026. Ilman päivitettyjä 2023 varmenteita laitteet eivät enää saa uusia suojatun käynnistyksen ja käynnistyksen hallinnan suojauksia tai lievennyksiä äskettäin löydettyihin käynnistystason haavoittuvuuksiin.
Kaikki Windows 365 -palvelussa valmistellut, suojatun käynnistyksen käytössä olevat pilvitietokoneet ja niiden valmisteluun käytetyt mukautetut näköistiedostot on päivitettävä vuoden 2023 varmenteiksi ennen vanhenemista, jotta ne pysyvät suojattuina. Katso , milloin suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa.
Koskeeko tämä Windows 365 -ympäristöäni?
| Skenaario | Suojattu käynnistys aktiivinen? | Toimia tarvitaan |
|---|---|---|
| Pilvitietokoneet | ||
| Pilvitietokone, jossa on käytössä suojattu käynnistys | Kyllä | Varmenteiden päivittäminen pilvitietokoneessa |
| Pilvitietokone, jossa suojattu käynnistys on poistettu käytöstä | Ei | Toimia ei tarvita |
| Kuvat | ||
| Azure Compute Gallery -näköistiedosto, jossa on käytössä suojattu käynnistys | Kyllä | Varmenteiden päivittäminen lähdekuvassa ennen yleistämistä |
| Azure Compute Galleryn kuva ilman luotettua käynnistystä | Ei | Päivitysten käyttöönotto pilvitietokoneessa valmistelun jälkeen |
| Hallittu näköistiedosto (ei tue luotettua käynnistystä) | Ei | Päivitysten käyttöönotto pilvitietokoneessa valmistelun jälkeen |
Katso täydelliset taustatiedot artikkelista Secure Boot -varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille.
Inventointi ja valvonta
Ennen kuin ryhdyt toimiin, inventoi ympäristösi ja tunnista laitteet, jotka vaativat päivityksiä. Valvonta on tärkeää, jotta varmenteet otetaan käyttöön ennen kesäkuun 2026 määräaikaa – vaikka käyttäisit automaattisia käyttöönottomenetelmiä. Alla on vaihtoehtoja määrittää, onko toimenpiteisiin ryhdyttävä.
Vaihtoehto 1: Microsoft Intune -korjaukset
Microsoft Intune -palveluun rekisteröidyissä pilvitietokoneissa voit ottaa käyttöön tunnistuskomentosarjan Intune-korjausten (ennakoivien korjausten) avulla, jotta voit kerätä automaattisesti Secure Boot -varmenteen tilan koko kalustostasi. Komentosarja suoritetaan äänettömästi jokaisessa laitteessa ja raportoi suojatun käynnistyksen tilan, varmenteen päivityksen edistymisen ja laitteen tiedot takaisin Intune-portaaliin – laitteisiin ei tehdä muutoksia. Tuloksia voi tarkastella ja viedä CSV-tiedostoon suoraan Intune-hallintakeskuksesta koko kalustoa koskevaa analyysia varten.
Katso vaiheittaiset ohjeet tunnistuskomentosarjan käyttöönottoon artikkelista Suojatun käynnistyksen varmenteen tilan valvonta Microsoft Intune -korjauksilla.
Vaihtoehto 2: Windows Autopatchin suojatun käynnistyksen tilaraportti
Siirry Windowsin automaattiseen päivitykseen rekisteröidyissä pilvitietokoneissa Intune-hallintakeskukseen>Raportit>Windowsin automaattinen korjaus>Windowsin laatupäivitykset>Raportit-välilehti>Suojatun käynnistyksen tila. Katso suojatun käynnistyksen tilaraportti Windowsin automaattisessa päivityksessä.
Huomautus: Jos haluat käyttää Windowsin automaattista päivitystä Windows 365:n kanssa, pilvitietokoneet on rekisteröitävä Windowsin automaattiseen korjauspalveluun. Katso Windowsin automaattinen päivitys Windows 365 Enterprise -kuormituksissa.
Vaihtoehto 3: Rekisteriavaimet ajoneuvojen valvontaa varten
Voit käyttää olemassa olevia laitehallintatyökaluja näiden rekisteriarvojen kyselyjen suorittamiseen koko kalustossa.
| Rekisteripolku | Näppäin | Käyttötarkoitus |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Tila | Käyttöönoton nykyinen tila |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023-virhe | Osoittaa virheitä (ei pitäisi olla) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Ilmaisee tapahtumatunnuksen (ei pitäisi olla olemassa) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Saatavilla olevat päivitykset | Odottavat päivitykset |
Rekisteriavaimen täydelliset tiedot löydät ohjeaiheesta Rekisteriavaimen päivitykset Secure Bootia varten.
Vaihtoehto 4: Tapahtumalokin valvonta
Voit käyttää olemassa olevia laitehallintatyökaluja näiden tapahtumatunnusten keräämiseen ja seuraamiseen järjestelmän tapahtumalokista koko kalustossa.
| Tapahtumatunnus | Sijainti | Merkitys |
|---|---|---|
| 1808 | Järjestelmä | Varmenteiden käyttöönotto onnistui |
| 1801 | Järjestelmä | Päivityksen tila tai virhetiedot |
Täydellinen luettelo tapahtumatiedoista on kohdassa Secure Boot DB- ja DBX-muuttujien päivitystapahtumat.
Vaihtoehto 5: PowerShell Inventory -komentosarja
Tarkista suojatun käynnistyksen varmenteen päivityksen tila suorittamalla Microsoftin Sample Secure Boot Inventory Data Collection -komentosarja . Komentosarja kerää useita datapisteitä, kuten suojatun käynnistyksen tilan, UEFI CA 2023 -päivityksen tilan, laiteohjelmistoversion ja tapahtumalokin toiminnan.
Käyttöönotto
Tärkeää
Valitsemastasi käyttöönottotavasta riippumatta suosittelemme valvomaan laitekantaasi varmistaaksesi, että varmenteet on otettu onnistuneesti käyttöön ennen kesäkuun 2026 määräaikaa. Lisätietoja mukautetuista kuvista on kohdassa Mukautettuja kuvia koskevia huomioita.
Vaihtoehto 1: Automaattiset Päivitykset Windows Update:sta (erittäin luotettavat laitteet)
Microsoft päivittää laitteet automaattisesti Windowsin kuukausittaisten päivitysten kautta, kun riittävät telemetriatiedot vahvistavat onnistuneen käyttöönoton samankaltaisissa laitteistokokoonpanoissa.
- Tila: Käytössä oletusarvoisesti erittäin luotettavissa laitteissa
- Toimenpiteitä ei tarvita, ellet halua jättäytyä ulkopuolelle
| Rekisteri | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Näppäin | HighConfidenceOptOut = 1 , jos haluat jättäytyä ulkopuolelle |
| Ryhmäkäytäntö | Tietokoneen määritykset>Hallintamallit>Windowsin osat>Suojattu käynnistys>Varmenteen automaattinen käyttöönotto Päivitykset-sovelluksen> kautta Asetuksen arvoksi Ei käytössä, jos haluat jättäytyä pois käytöstä |
Huomautus
Suositus: Vaikka automaattiset päivitykset olisivat käytössä, varmista, että varmenteet otetaan käyttöön pilvitietokoneiden valvonnasta. Kaikki laitteet eivät välttämättä täytä luotettavan automaattisen käyttöönoton vaatimuksia.
Lisätietoja on artikkelissa Automaattiset käyttöönottoavustukset.
Vaihtoehto 2: IT-Initiated käyttöönotto
Varmennepäivitykset käynnistetään manuaalisesti välitöntä tai hallittua käyttöönottoa varten.
| Menetelmä | Dokumentaatio |
|---|---|
| Microsoft Intune | Microsoft Intune -menetelmä |
| Ryhmäkäytäntö | Ryhmäkäytäntöobjektimenetelmä |
| Rekisteriavaimet | Rekisteriavaimen menetelmä |
| WinCS CLI | WinCS-ohjelmointirajapinnat |
Huomautus
- Älä käytä samassa laitteessa usean IT-aloitteen käynnistämiä käyttöönottomenetelmiä (kuten Intune ja ryhmäkäytäntöobjekti), sillä ne hallitsevat samoja rekisteriavaimia ja voivat olla ristiriitaisia.
- Varmenteiden käyttöönottoon kuluu noin 48 tuntia ja yksi tai useampi uudelleenkäynnistys.
Mukautettuja kuvia koskevia huomioita
Organisaatiosi hallitsee täysin mukautettuja kuvia. Olet vastuussa suojatun käynnistyksen varmennepäivitysten soveltamisesta mukautettuun näköistiedostoon ja sen lataamisesta uudelleen ennen sen käyttämistä valmisteluun.
Secure Boot -varmennepäivitysten käyttämistä lähdekuvassa tuetaan vain Azure Compute Galleryn kuvissa (esiversio), jotka tukevat luotettua käynnistystä ja suojattua käynnistystä. Hallitut näköistiedostot eivät tue suojattua käynnistystä, joten varmennepäivityksiä ei voi käyttää näköistiedostotasolla. Ota hallituista näköistiedostoista valmistelluissa pilvitietokoneissa päivitykset käyttöön suoraan pilvitietokoneessa jollakin yllä mainituista käyttöönottotavoista.
Ennen uuden mukautetun kuvan yleistämistä varmista, että varmenteet on päivitetty:
Huomautus
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Tunnetut ongelmat
Ylläpidon rekisteriavainta ei ole olemassa
| Oire | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing polkua ei ole olemassa |
|---|---|
| Syy | Varmennepäivityksiä ei ole aloitettu laitteessa |
| Ratkaisu | Odota automaattista käyttöönottoa Windows Update kautta tai aloita manuaalinen käyttöönotto jollakin yllä mainituista IT-aloitetuista käyttöönottotavoista |
Tilana on pitkä ajanjakso "Käynnissä"
| Oire | UEFICA2023Status remains "InProgress" useiden päivien jälkeen |
|---|---|
| Syy | Laite on ehkä käynnistettävä uudelleen päivitysprosessin viimeistelemiseksi |
| Ratkaisu | Käynnistä pilvitietokone uudelleen ja tarkista tila uudelleen 15 minuutin kuluttua. Jos ongelma jatkuu, katso vianmääritysohjeita kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat |
UEFICA2023Virheen rekisteriavain on olemassa
| Oire | UEFICA2023Virheen rekisteriavain on läsnä |
|---|---|
| Syy | Varmenteen käyttöönoton aikana tapahtui virhe |
| Ratkaisu | Katso lisätietoja järjestelmän tapahtumalokista. Katso vianmääritysohjeet kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat |