Suojatun käynnistyksen varmenteen tilan valvonta Microsoft Intune korjausten avulla
Käytetään kohteeseen
Alkuperäinen julkaisupäivä: 18. helmikuuta 2026
KB-tunnus: 5080921
Tässä artikkelissa on ohjeita:
-
IT-järjestelmänvalvojat, jotka tarvitsevat näkyvyyttä suojatun käynnistyksen varmenteen päivityksen tilaan Intune rekisteröidyistä Windows-laitteistaan
-
Organisaatiot, jotka valmistautuvat kesäkuun 2026 suojatun käynnistyksen varmenteen vanhenemisen määräaikaan
-
Tiimit, jotka haluavat valvoa varmenteen käyttöönoton edistymistä Intune rekisteröityjen Windows-laitteidensa välillä
Tässä artikkelissa:
Johdanto
Microsoft secure boot certificates (2011 CAs) -varmenteet vanhentuvat kesäkuusta 2026 alkaen. Kaikki Windows-laitteet, joissa on suojattu käynnistys käytössä, on päivitettävä 2023-varmenteisiin ennen vanhenemista, jotta suojauspäivitysten tuki jatkuu.
Tässä oppaassa on vain seurantaa koskeva lähestymistapa Microsoft Intune korjausten (ennakoivat korjaustoiminnot) avulla. Tunnistuskomentosarja kerää suojatun käynnistyksen ja varmenteen tilan kustakin laitteesta ja raportoi sen takaisin Intune-portaaliin – laitteissa ei tehdä korjaustoimia. Tämä antaa järjestelmänvalvojille keskitetyn ja vietävän näkymän varmenteen päivityksen edistymisestä Intune rekisteröityjen Windows-laitteiden välillä.
Miksi tätä lähestymistapaa kannattaa käyttää?
|
Hyötyä |
Kuvaus |
|---|---|
|
Laitteen laajuinen näkyvyys |
Kaikkien Intune rekisteröityjen Windows-laitteiden varmenteen tilan tarkasteleminen yhdessä paikassa |
|
Vietävissä |
Tulosten vieminen CSV:hen suoraan Intune-portaalista |
|
Raw-rekisteriarvot |
Todellisten rekisteritietojen tarkasteleminen, ei pelkästään läpivienti/epäonnistuminen |
|
Laitteen konteksti |
Sisältää valmistajan, mallin, BIOS-version ja laiteohjelmistotyypin |
|
Tapahtumalokin telemetria |
Tallentaa suojatun käynnistyksen tapahtumatunnukset (1801/1808), säilötunnukset ja luottamustasot |
|
Ei kosketusta |
Toimii äänettömästi järjestelmänä – käyttäjän toimia ei tarvita |
Täydelliset taustatiedot varmenteiden päivityksistä ovat artikkelissa Suojatun käynnistyksen varmennepäivitykset: OHJEITA IT-ammattilaisille ja organisaatioille.
Edellytykset
Ennen kuin otat tunnistuskomentosarjan käyttöön, varmista, että ympäristösi täyttää tarvittavat vaatimukset.
Tämä ratkaisu hyödyntää korjauksia Microsoft Intune. Täydellinen luettelo edellytyksistä on artikkelissa Tukiongelmien havaitseminen ja korjaaminen korjausten avulla – Microsoft Intune.
Tunnistuskomentosarjat
Tunnistuskomentosarja on PowerShell-komentosarja, joka kerää kattavat suojatun käynnistyksen varastotiedot kustakin laitteesta ja lähettää ne JSON-merkkijonona. Komentosarja lukee seuraavista lähteistä:
Rekisteri – Suojatun käynnistyksen varmenteen päivityksen tila, ylläpitoavaimet, laitteen määritteet ja HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ja sen aliavaimet
WMI/CIM – käyttöjärjestelmän versio, viimeinen käynnistysaika ja peruslevyn laitteistotiedot
Tapahtumalokit – Järjestelmän tapahtumalokimerkinnät tapahtumatunnuksia 1801 ja 1808 varten (suojatun käynnistyksen päivitystapahtumat)
JSON-tulos näkyy Intune-portaalissa kohdassa Korjaukset > Monitor > Device status > "Pre-remediation detection output", ja se voidaan viedä CSV:hen analysoitavaksi.
Tärkeää: Tämä on vain tunnistuskomentosarja. Laitteeseen ei tehdä muutoksia. Korjauskomentosarjaa ei tarvita.
Komentosarjatiedoston luominen
-
Siirry suojatun käynnistyksen esimerkkitietokokoelman komentosarjaan (KB5072718)
-
Koko komentosarjan sisällön kopioiminen sivulta
-
Avaa tekstieditori (esimerkiksi Muistio, VS-koodi) ja liitä komentosarja
-
Tallenna tiedosto Detect-SecureBootCertUpdateStatus.ps1
Korjaustoiminnon luominen Intune
Näiden ohjeiden avulla voit ottaa tunnistuskomentosarjan käyttöön korjauspakettina (komentosarjapakettina) Microsoft Intune.
Vaihe 1: Komentosarjapaketin luominen
-
Kirjautuminen Microsoft Intune hallintakeskukseen
-
Siirry kohtaan Laitteet > korjaukset
-
Valitse + Luo komentosarjapaketti
Vaihe 2: Perusteet
-
Määritä seuraavat asetukset Perusteet-välilehdessä:
|
Asetus |
Arvo |
|---|---|
|
Nimi |
Suojatun käynnistyksen varmenteen tilan valvonta |
|
Kuvaus |
Valvoo suojatun käynnistyksen varmenteen päivityksen tilaa koko kalustossa. Vain tunnistaminen – korjaustoimia ei tehdä. |
|
Publisher |
(organisaatiosi nimi) |
-
Valitse Seuraava
Vaihe 3: Asetukset
-
Määritä seuraavat asetukset Asetukset-välilehdessä:
|
Asetus |
Arvo |
Huomautukset |
|---|---|---|
|
Tunnistuskomentosarjatiedosto |
Lataa Detect-SecureBootCertificateStatus.ps1 |
Edellisen osan komentosarja |
|
Korjauskomentosarjatiedosto |
(jätä tyhjäksi) |
Korjausta ei tarvita – tämä on vain seurantaa |
|
Suorita tämä komentosarja kirjautuneilla tunnistetiedoilla |
Ei |
Toimii järjestelmänä Confirm-SecureBootUEFI ja rekisterin käytön varmistamiseksi |
|
Komentosarjan allekirjoituksen tarkistuksen pakottaminen |
Ei |
Määritä arvoksi Kyllä, jos organisaatio edellyttää allekirjoitettuja komentosarjoja |
|
Komentosarjan suorittaminen 64-bittisessä PowerShellissä |
Kyllä |
Pakollinen Confirm-SecureBootUEFI cmdlet-komentoja ja tarkkoja rekisterilukuja varten |
-
Valitse Seuraava
Vaihe 4: Vaikutusalueen tunnisteet
-
Lisää organisaatiosi vaatimat laajuustunnisteet tai jätä ne oletukseksi
-
Valitse Seuraava
Vaihe 5: Tehtävät
|
Asetus |
Arvo |
Huomautukset |
|---|---|---|
|
Tehtävät |
Valitse valvottava laiteryhmät |
Käytä kaikkia laitteita koko kalustoa kattavaan valvontaan tai tiettyjä ryhmiä kohdennettuun valvontaan |
|
Aikataulu |
Määritä valvontatarpeisiin |
Suositus: Kerran päivässä aktiivisen käyttöönoton seurantaa varten tai kerran viikossa jatkuvaa seurantaa varten |
Huomautus: Korjaukset suoritetaan laitteen määrittämässä aikataulussa. Ensimmäinen suoritus voi kestää jopa 24 tuntia tehtävän jälkeen laitteen sisäänkuittausjakson mukaan.
Valitse Seuraava
Vaihe 6: Tarkista + Luo
-
Tarkista kaikki asetukset
-
Valitse Luo
Tulosten tarkasteleminen ja vieminen
Tulosten tarkasteleminen portaalissa
-
Siirry kohtaan Laitteet > korjaukset
-
Valitse Suojatun käynnistyksen varmenteen tilan valvonta (tai valitsemasi nimi)
-
Valitse Näyttö-välilehti
-
Valitse Laitteen tila
-
Valitse Sarakkeet ja lisää korjausta edeltävä tunnistustulos
Näkyviin tulee taulukko, jossa on seuraavat sarakkeet:
|
Sarake |
Kuvaus |
|---|---|
|
Laitteen nimi |
Laitteen nimi |
|
Käyttäjätunnus |
Laitteen ensisijainen käyttäjä |
|
Tunnistuksen tila |
Ongelmatonta (varmenteet päivitetty) tai ongelma (varmenteet eivät päivity) |
|
Korjausta edeltävän tunnistuksen tulos |
Koko JSON-tulos komentosarjasta |
|
Muokattu |
Kun komentosarja on viimeksi suoritettu laitteessa |
Vie CSV-tiedostoon
-
Napsauta Laitteen tila -sivullaVie-painiketta taulukon yläreunassa.
-
CSV-tiedosto lataa kaikki sarakkeet, mukaan lukien täydellisen JSON-tunnistuksen tulosteen jokaiselle laitteelle
-
Avaa Excelissä suodattaaksesi, lajitellaksesi ja analysoidaksesi minkä tahansa kentän mukaan
Vihje: Excelissä voit jäsentää tunnistustulos JSON:n erillisiin sarakkeisiin TEXTJOIN- tai JSON-funktioiden avulla.
Yleiskatsaus-välilehti
Korjaustoiminnon Yleiskatsaus-välilehdessä on yhteenvetonäkymä:
|
Metrinen |
Merkitys |
|---|---|
|
Laitteet, joissa on ongelmia |
Laitteet, joissa varmenteita ei ole vielä päivitetty |
|
Laitteet, joissa ei ole ongelmia |
Laitteet, joissa varmenteet ovat ajan tasalla |
|
Laitteet, joissa tunnistus epäonnistui |
Laitteet, joissa komentosarja kohtasi virheen |
Usein kysytyt kysymykset
Muuttaako tämä mitään laitteillani?
Et. Tämä on vain tunnistuskomentosarja. Rekisteriarvoja ei muuteta, päivityksiä ei käynnistetä eikä korjaustoimia tehdä. Komentosarja lukee vain arvot ja raportoi ne.
Mitä ongelmalla tarkoitetaan?
"Ongelma" tarkoittaa, että laitteessa ei ole vielä käytössä 2023:n suojatun käynnistyksen varmenteita ja 2023-allekirjoitettua käynnistyksen hallintaa. Tämä voi johtua siitä, että : - Varmennepäivitystä ei ole aloitettu - Päivitys on käynnissä ja saattaa edellyttää uudelleenkäynnistystä - Suojattu käynnistys ei ole käytössä laitteessa - Laite ei ole UEFI-pohjainen tai odottaa uudelleenkäynnistystä käynnistyksen hallinnan käyttöön ottamiseksi.
Mitä "ilman ongelmia" tarkoittaa?
"Ongelmatonta" tarkoittaa, että laitteessa on käytössä suojattu käynnistys ja UEFICA2023Status-rekisteriarvo päivitetään, mikä ilmaisee, että vuoden 2023 varmenteet on otettu onnistuneesti käyttöön.
Kuinka usein komentosarja suoritetaan?
Komentosarja suoritetaan tehtävässä määrittämässäsi aikataulussa. Aktiivisessa seurannassa käyttöönoton aikana suositellaan päivittäistä seurantaa. Jatkuva seuranta riittää viikkotarkkailuun.
Entä jos ylläpitorekisteriavainta ei ole olemassa?
Jos LAITTEESSA ei ole HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-näppäintä, UEFICA2023Status-kentässä näkyy NoValue. Tämä tarkoittaa yleensä sitä, että laitteessa ei ole aloitettu varmennepäivityksiä.
Mitä käyttöoikeuksia tarvitaan?
Korjaukset edellyttävät Windows 10/11 Enterprise E3/E5-, Education A3/A5- tai F3-käyttöoikeuksia. Jos laitteissasi on vain Business Premium- tai Pro-käyttöoikeudet, korjaukset eivät ole käytettävissä. Katso Korjausten edellytykset.
Resurssit
Suojatun käynnistyksen varmenteen päivityksen pelikirja
Suojatun käynnistyksen varmenne Päivitykset: IT-ammattilaisten ohjeet
Rekisteriavaimen Päivitykset suojattua käynnistystä varten
Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat
Tarvitsetko lisäohjeita?
Haluatko lisää vaihtoehtoja?
Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.
Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.
