suojatun käynnistyksen varmenteen Päivitykset Windows 365
Alkuperäinen julkaisupäivä: 19. helmikuuta 2026
KB-tunnus: 5080914
Tässä artikkelissa on ohjeita:
-
Windows 365 pilvitietokoneita hallinnoivat järjestelmänvalvojat.
-
Organisaatiot, jotka käyttävät suojattua käynnistystä, ovat käyttäneet pilvitietokoneita Windows 365 käyttöönotoissa.
-
Organisaatiot, jotka käyttävät mukautettuja näköistiedostoja Windows 365 käyttöönotoissa .
Tässä artikkelissa:
Johdanto
Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, joka auttaa varmistamaan, että vain luotetut, digitaalisesti allekirjoitetut ohjelmistot suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoft secure boot -varmenteet alkavat vanhentua kesäkuussa 2026. Ilman päivitettyjä 2023-varmenteita laitteet eivät enää saa uusia suojatun käynnistyksen ja käynnistyksen hallinnan suojauksia tai lievennyksiä äskettäin löydettyjen käynnistystason haavoittuvuuksien varalta.
Kaikki suojatun käynnistyksen käyttöönotetut pilvitietokoneet, jotka on valmisteltava Windows 365-palvelussa, ja niiden valmistelussa käytetyt mukautetut kuvat on päivitettävä 2023-varmenteisiin ennen vanhenemista, jotta ne pysyvät suojattuina. Katso Kohta Kun suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa.
Koskeeko tämä Windows 365 ympäristöäni?
|
Skenaario |
Suojattu käynnistys aktiivinen? |
Toiminto pakollinen |
|
Pilvitietokoneet |
||
|
Pilvitietokone, jossa suojattu käynnistys on käytössä |
Kyllä |
Varmenteiden päivittäminen pilvitietokoneessa |
|
Pilvitietokone, jossa suojattu käynnistys on poistettu käytöstä |
Ei |
Toimia ei tarvita |
|
Kuvat |
||
|
Azure-laskentavalikoiman kuva, jossa suojattu käynnistys on käytössä |
Kyllä |
Päivitä lähdekuvan varmenteet ennen yleistämistä |
|
Azure-laskentavalikoiman kuva ilman luotettua käynnistystä |
Ei |
Päivitysten ottaminen käyttöön pilvitietokoneessa valmistelun jälkeen |
|
Hallittu kuva (ei tue luotettua käynnistämistä) |
Ei |
Päivitysten ottaminen käyttöön pilvitietokoneessa valmistelun jälkeen |
Täydelliset taustatiedot ovat artikkelissa Suojatun käynnistyksen varmennepäivitykset: OHJEITA IT-ammattilaisille ja organisaatioille.
Varasto ja valvonta
Ennen kuin ryhdyt toimenpiteisiin, voit varastoida ympäristösi tunnistaaksesi laitteet, jotka vaativat päivityksiä. Valvonta on tärkeää varmenteiden käyttöönoton varmistamiseksi ennen kesäkuun 2026 määräaikaa , vaikka luottaisit automaattisiin käyttöönottomenetelmiin. Alla on vaihtoehtoja sen määrittämiseksi, onko toimia toteutettava.
Vaihtoehto 1: Microsoft Intune korjaukset
Microsoft Intune rekisteröityjen pilvitietokoneiden tunnistuskomentosarjan avulla voit ottaa käyttöön tunnistuskomentosarjan käyttämällä Intune korjauksia (ennakoivat korjaukset), jotta suojatun käynnistyksen varmenteen tila kerätään automaattisesti koko kalustoon. Komentosarja toimii äänettömästi jokaisessa laitteessa ja raportoi suojatun käynnistyksen tilasta, varmenteen päivityksen edistymisestä ja laitteen tiedoista takaisin Intune-portaaliin – laitteisiin ei tehdä muutoksia. Tuloksia voi tarkastella ja viedä CSV:hen suoraan Intune hallintakeskuksesta koko laivaston kattavaa analyysia varten.
Vaiheittaiset ohjeet tunnistuskomentosarjan käyttöönottoon ovat artikkelissa Suojatun käynnistysvarmenteen tilan valvominen Microsoft Intune korjausten avulla.
Vaihtoehto 2: Windowsin automaattisen suojatun käynnistyksen tilaraportti
Jos pilvitietokone on rekisteröity Windowsin automaattisella tallennustilalla, siirry Intune hallintakeskukseen > Raportit > Windowsin automaattisen korjauksen > Windowsin laatupäivitykset > Raportit-välilehtisuojatun käynnistyksen tilan >. Katso Suojatun käynnistyksen tilaraportti Windowsin automaattisessa paperissa.
Huomautus: Jos haluat käyttää Windowsin automaattitallennuksen käyttöä Windows 365 kanssa, pilvitietokoneet on rekisteröitävä Windowsin automaattisen ojennuksen palveluun. Katso Windowsin automaattinen tallennus Windows 365 Enterprise työkuormissa.
Vaihtoehto 3: Rekisteriavaimet kaluston valvontaa varten
Käytä olemassa olevia laitehallintatyökalujasi näiden rekisteriarvojen kyselyihin koko kalustossa.
|
Rekisteripolku |
Avain |
Tarkoitus |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Käyttöönoton nykyinen tila |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Virhe |
Osoittaa virheet (ei pitäisi olla olemassa) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Ilmaisee tapahtumatunnuksen (sitä ei pitäisi olla) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Käytettävissä Olevat versiot |
Odottavat päivitysbikit |
Lisätietoja rekisteriavaimesta on artikkelissa Rekisteriavaimen päivitykset suojattua käynnistystä varten.
Vaihtoehto 4: Tapahtumalokin valvonta
Olemassa olevien laitehallintatyökalujen avulla voit kerätä ja valvoa näitä tapahtumatunnuksia järjestelmän tapahtumalokista koko kalustossasi.
|
Tapahtumatunnus |
Sijainti |
Merkitys |
|
1808 |
Järjestelmä |
Varmenteiden lisääminen onnistui |
|
1801 |
Järjestelmä |
Päivityksen tila- tai virhetiedot |
Täydellinen luettelo tapahtuman tiedoista on artikkelissa Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.
Vaihtoehto 5: PowerShell Inventory Script
Tarkista suojatun käynnistyksen varmenteen päivityksen tila suorittamalla Microsoftin suojatun käynnistyksen inventaarion tietojen keräämisen esimerkkikomentosarja. Komentosarja kerää useita arvopisteitä, kuten suojatun käynnistyksen tilan, UEFI CA 2023 -päivityksen tilan, laiteohjelmistoversion ja tapahtumalokitoiminnan.
Käyttöönotto
Tärkeää: Riippumatta siitä, minkä käyttöönottovaihtoehdon valitset, suosittelemme valvomaan laitteen kalustoa sen varmistamiseksi, että varmenteet on otettu käyttöön onnistuneesti ennen kesäkuun 2026 määräaikaa. Lisätietoja mukautetuista kuvista on artikkelissa Mukautetut näköistiedostot.
Vaihtoehto 1: Automaattinen Päivitykset Windows Update (high-confidence Devices) -laitteista
Microsoft päivittää laitteet automaattisesti Windowsin kuukausipäivitysten kautta, kun riittävä telemetria vahvistaa onnistuneen käyttöönoton vastaavissa laitteistokokoonpanoissa.
-
Tila: Käytössä oletusarvoisesti korkean varmuuden laitteissa
-
Toimia ei tarvita, ellet halua kieltäytyä
|
Rekisterin |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Avain |
HighConfidenceOptOut = 1 jättäytyäksesi pois |
|
Ryhmäkäytäntö |
Tietokoneasetukset > hallintamallit > Windowsin osat > suojattu käynnistys > automaattinen varmenteiden käyttöönotto Päivitykset > Poista käytöstä |
Suositus: Vaikka automaattiset päivitykset ovat käytössä, valvo pilvitietokoneita varmenteiden soveltamisen varmistamiseksi. Kaikki laitteet eivät ehkä ole oikeutettuja luotettavaan automaattiseen käyttöönottoon.
Lisätietoja on artikkelissa Automaattisen käyttöönoton aputoiminnot.
Vaihtoehto 2: IT-Initiated käyttöönotto
Käynnistä varmenteiden päivitykset manuaalisesti välitöntä tai hallittua käyttöönottoa varten.
|
Menetelmä |
Dokumentaatio |
|
Microsoft Intune |
|
|
Ryhmäkäytäntö |
|
|
Rekisteriavaimet |
|
|
WinCS CLI |
Huomautukset:
-
Älä sekoita it-käynnistettyjä käyttöönottotapoja (esimerkiksi Intune ja ryhmäkäytäntöobjektia) samaan laitteeseen, sillä niissä hallitaan samoja rekisteriavaimia ja ne voivat olla ristiriidassa.
-
Salli noin 48 tunnin ja yhden tai useamman uudelleenkäynnistyksen, jotta varmenteet ovat täysin voimassa.
Mukautetut näköistiedostot
Organisaatiosi hallitsee täysin mukautettuja kuvia. Olet vastuussa suojatun käynnistyksen varmennepäivitysten käyttämisestä mukautettuun näköistiedostoon ja lataamisesta uudelleen ennen sen käyttämistä valmisteluun.
Suojatun käynnistyksen varmennepäivitysten käyttöönottoa lähdenäköistiedostossa tuetaan vain Azure laskentavalikoiman kuvilla (esikatselu), jotka tukevat luotettua käynnistystä ja suojattua käynnistystä. Hallitut kuvat eivät tue suojattua käynnistystä, joten varmennepäivityksiä ei voi käyttää näköistiedostotasolla. Jos pilvitietokone on valmistelty hallituista näköistiedostoista, ota päivitykset käyttöön suoraan pilvitietokoneessa käyttämällä jotakin yllä olevista käyttöönottotavoista.
Varmista ennen uuden mukautetun näköistiedoston yleistämistä, että varmenteet on päivitetty:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Tunnetut ongelmat
Rekisteriavaimen ylläpitoa ei ole
|
Oire |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing polkua ei ole |
|
Syy |
Laitteessa ei ole aloitettu varmennepäivityksiä |
|
Ratkaisu |
Odota automaattista käyttöönottoa Windows Update kautta tai aloita käyttö manuaalisesti jollakin yllä mainituista IT-käyttöönottotavoista |
Tilana näkyy "InProgress" pidennetyllä aikavälillä
|
Oire |
UEFICA2023Status pysyy InProgressina useiden päivien jälkeen |
|
Syy |
Laite saattaa tarvita uudelleenkäynnistyksen päivitysprosessin loppuunsaattamiseksi |
|
Ratkaisu |
Käynnistä pilvitietokone uudelleen ja tarkista tila uudelleen 15 minuutin kuluttua. Jos ongelma jatkuu, katso vianmääritysohjeet artikkelista Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat |
UEFICA2023Virheen rekisteriavain on olemassa
|
Oire |
UEFICA2023Error-rekisteriavain on käytössä |
|
Syy |
Varmenteen käyttöönoton aikana tapahtui virhe |
|
Ratkaisu |
Katso lisätietoja järjestelmän tapahtumalokista. Katso vianmääritysohjeet artikkelista Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat |
Resurssit
Tarvitsetko lisäohjeita?
Haluatko lisää vaihtoehtoja?
Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.
Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.
