Suojatun käynnistyksen sertifikaattipäivitykset Windows 365:lle

Huomautus

  • Alkuperäinen julkaisupäivä: Helmikuu 19, 2026
  • KB-tunnus: 5080914

Huomautus

Tässä artikkelissa on seuraavat ohjeet:

  • Windows 365 -järjestelmänvalvojat, jotka hallitsevat pilvitietokoneita.

  • Organisaatiot, jotka käyttävät suojattua käynnistystä hyödyntäviä pilvitietokoneita Windows 365 -asennuksissa.

  • Organisaatiot, jotka käyttävät mukautettuja näköistiedostoja Windows 365 -käyttöönotoissa.

Artikkelin sisältö:

Johdanto

Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotettuja, digitaalisesti allekirjoitettuja ohjelmistoja suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026. Ilman päivitettyjä 2023 varmenteita laitteet eivät enää saa uusia suojatun käynnistyksen ja käynnistyksen hallinnan suojauksia tai lievennyksiä äskettäin löydettyihin käynnistystason haavoittuvuuksiin.

Kaikki Windows 365 -palvelussa valmistellut, suojatun käynnistyksen käytössä olevat pilvitietokoneet ja niiden valmisteluun käytetyt mukautetut näköistiedostot on päivitettävä vuoden 2023 varmenteiksi ennen vanhenemista, jotta ne pysyvät suojattuina. Katso , milloin suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa.

Koskeeko tämä Windows 365 -ympäristöäni?

Skenaario Suojattu käynnistys aktiivinen? Toimia tarvitaan
Pilvitietokoneet
Pilvitietokone, jossa on käytössä suojattu käynnistys Kyllä Varmenteiden päivittäminen pilvitietokoneessa
Pilvitietokone, jossa suojattu käynnistys on poistettu käytöstä Ei Toimia ei tarvita
Kuvat
Azure Compute Gallery -näköistiedosto, jossa on käytössä suojattu käynnistys Kyllä Varmenteiden päivittäminen lähdekuvassa ennen yleistämistä
Azure Compute Galleryn kuva ilman luotettua käynnistystä Ei Päivitysten käyttöönotto pilvitietokoneessa valmistelun jälkeen
Hallittu näköistiedosto (ei tue luotettua käynnistystä) Ei Päivitysten käyttöönotto pilvitietokoneessa valmistelun jälkeen

Katso täydelliset taustatiedot artikkelista Secure Boot -varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille.

Inventointi ja valvonta

Ennen kuin ryhdyt toimiin, inventoi ympäristösi ja tunnista laitteet, jotka vaativat päivityksiä. Valvonta on tärkeää, jotta varmenteet otetaan käyttöön ennen kesäkuun 2026 määräaikaa – vaikka käyttäisit automaattisia käyttöönottomenetelmiä. Alla on vaihtoehtoja määrittää, onko toimenpiteisiin ryhdyttävä.

Vaihtoehto 1: Microsoft Intune -korjaukset

Microsoft Intune -palveluun rekisteröidyissä pilvitietokoneissa voit ottaa käyttöön tunnistuskomentosarjan Intune-korjausten (ennakoivien korjausten) avulla, jotta voit kerätä automaattisesti Secure Boot -varmenteen tilan koko kalustostasi. Komentosarja suoritetaan äänettömästi jokaisessa laitteessa ja raportoi suojatun käynnistyksen tilan, varmenteen päivityksen edistymisen ja laitteen tiedot takaisin Intune-portaaliin – laitteisiin ei tehdä muutoksia. Tuloksia voi tarkastella ja viedä CSV-tiedostoon suoraan Intune-hallintakeskuksesta koko kalustoa koskevaa analyysia varten.

Katso vaiheittaiset ohjeet tunnistuskomentosarjan käyttöönottoon artikkelista Suojatun käynnistyksen varmenteen tilan valvonta Microsoft Intune -korjauksilla.

Vaihtoehto 2: Windows Autopatchin suojatun käynnistyksen tilaraportti

Siirry Windowsin automaattiseen päivitykseen rekisteröidyissä pilvitietokoneissa Intune-hallintakeskukseen>Raportit>Windowsin automaattinen korjaus>Windowsin laatupäivitykset>Raportit-välilehti>Suojatun käynnistyksen tila. Katso suojatun käynnistyksen tilaraportti Windowsin automaattisessa päivityksessä.

Huomautus: Jos haluat käyttää Windowsin automaattista päivitystä Windows 365:n kanssa, pilvitietokoneet on rekisteröitävä Windowsin automaattiseen korjauspalveluun. Katso Windowsin automaattinen päivitys Windows 365 Enterprise -kuormituksissa.

Vaihtoehto 3: Rekisteriavaimet ajoneuvojen valvontaa varten

Voit käyttää olemassa olevia laitehallintatyökaluja näiden rekisteriarvojen kyselyjen suorittamiseen koko kalustossa.

Rekisteripolku Näppäin Käyttötarkoitus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Tila Käyttöönoton nykyinen tila
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023-virhe Osoittaa virheitä (ei pitäisi olla)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Ilmaisee tapahtumatunnuksen (ei pitäisi olla olemassa)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Saatavilla olevat päivitykset Odottavat päivitykset

Rekisteriavaimen täydelliset tiedot löydät ohjeaiheesta Rekisteriavaimen päivitykset Secure Bootia varten.

Vaihtoehto 4: Tapahtumalokin valvonta

Voit käyttää olemassa olevia laitehallintatyökaluja näiden tapahtumatunnusten keräämiseen ja seuraamiseen järjestelmän tapahtumalokista koko kalustossa.

Tapahtumatunnus Sijainti Merkitys
1808 Järjestelmä Varmenteiden käyttöönotto onnistui
1801 Järjestelmä Päivityksen tila tai virhetiedot

Täydellinen luettelo tapahtumatiedoista on kohdassa Secure Boot DB- ja DBX-muuttujien päivitystapahtumat.

Vaihtoehto 5: PowerShell Inventory -komentosarja

Tarkista suojatun käynnistyksen varmenteen päivityksen tila suorittamalla Microsoftin Sample Secure Boot Inventory Data Collection -komentosarja . Komentosarja kerää useita datapisteitä, kuten suojatun käynnistyksen tilan, UEFI CA 2023 -päivityksen tilan, laiteohjelmistoversion ja tapahtumalokin toiminnan.

Käyttöönotto

Tärkeää

Valitsemastasi käyttöönottotavasta riippumatta suosittelemme valvomaan laitekantaasi varmistaaksesi, että varmenteet on otettu onnistuneesti käyttöön ennen kesäkuun 2026 määräaikaa. Lisätietoja mukautetuista kuvista on kohdassa Mukautettuja kuvia koskevia huomioita.

Vaihtoehto 1: Automaattiset Päivitykset Windows Update:sta (erittäin luotettavat laitteet)

Microsoft päivittää laitteet automaattisesti Windowsin kuukausittaisten päivitysten kautta, kun riittävät telemetriatiedot vahvistavat onnistuneen käyttöönoton samankaltaisissa laitteistokokoonpanoissa.

  • Tila: Käytössä oletusarvoisesti erittäin luotettavissa laitteissa
  • Toimenpiteitä ei tarvita, ellet halua jättäytyä ulkopuolelle
Rekisteri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Näppäin HighConfidenceOptOut = 1 , jos haluat jättäytyä ulkopuolelle
Ryhmäkäytäntö Tietokoneen määritykset>Hallintamallit>Windowsin osat>Suojattu käynnistys>Varmenteen automaattinen käyttöönotto Päivitykset-sovelluksen> kautta Asetuksen arvoksi Ei käytössä, jos haluat jättäytyä pois käytöstä

Huomautus

Suositus: Vaikka automaattiset päivitykset olisivat käytössä, varmista, että varmenteet otetaan käyttöön pilvitietokoneiden valvonnasta. Kaikki laitteet eivät välttämättä täytä luotettavan automaattisen käyttöönoton vaatimuksia.

Lisätietoja on artikkelissa Automaattiset käyttöönottoavustukset.

Vaihtoehto 2: IT-Initiated käyttöönotto

Varmennepäivitykset käynnistetään manuaalisesti välitöntä tai hallittua käyttöönottoa varten.

Menetelmä Dokumentaatio
Microsoft Intune Microsoft Intune -menetelmä
Ryhmäkäytäntö Ryhmäkäytäntöobjektimenetelmä
Rekisteriavaimet Rekisteriavaimen menetelmä
WinCS CLI WinCS-ohjelmointirajapinnat

Huomautus

  • Älä käytä samassa laitteessa usean IT-aloitteen käynnistämiä käyttöönottomenetelmiä (kuten Intune ja ryhmäkäytäntöobjekti), sillä ne hallitsevat samoja rekisteriavaimia ja voivat olla ristiriitaisia.
  • Varmenteiden käyttöönottoon kuluu noin 48 tuntia ja yksi tai useampi uudelleenkäynnistys.

Mukautettuja kuvia koskevia huomioita

Organisaatiosi hallitsee täysin mukautettuja kuvia. Olet vastuussa suojatun käynnistyksen varmennepäivitysten soveltamisesta mukautettuun näköistiedostoon ja sen lataamisesta uudelleen ennen sen käyttämistä valmisteluun.

Secure Boot -varmennepäivitysten käyttämistä lähdekuvassa tuetaan vain Azure Compute Galleryn kuvissa (esiversio), jotka tukevat luotettua käynnistystä ja suojattua käynnistystä. Hallitut näköistiedostot eivät tue suojattua käynnistystä, joten varmennepäivityksiä ei voi käyttää näköistiedostotasolla. Ota hallituista näköistiedostoista valmistelluissa pilvitietokoneissa päivitykset käyttöön suoraan pilvitietokoneessa jollakin yllä mainituista käyttöönottotavoista.

Ennen uuden mukautetun kuvan yleistämistä varmista, että varmenteet on päivitetty:

Huomautus

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Tunnetut ongelmat

Ylläpidon rekisteriavainta ei ole olemassa

Oire HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing polkua ei ole olemassa
Syy Varmennepäivityksiä ei ole aloitettu laitteessa
Ratkaisu Odota automaattista käyttöönottoa Windows Update kautta tai aloita manuaalinen käyttöönotto jollakin yllä mainituista IT-aloitetuista käyttöönottotavoista

Tilana on pitkä ajanjakso "Käynnissä"

Oire UEFICA2023Status remains "InProgress" useiden päivien jälkeen
Syy Laite on ehkä käynnistettävä uudelleen päivitysprosessin viimeistelemiseksi
Ratkaisu Käynnistä pilvitietokone uudelleen ja tarkista tila uudelleen 15 minuutin kuluttua. Jos ongelma jatkuu, katso vianmääritysohjeita kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat

UEFICA2023Virheen rekisteriavain on olemassa

Oire UEFICA2023Virheen rekisteriavain on läsnä
Syy Varmenteen käyttöönoton aikana tapahtui virhe
Ratkaisu Katso lisätietoja järjestelmän tapahtumalokista. Katso vianmääritysohjeet kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat

Resurssit