חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

תאריך פרסום מקורי: (יום שלישי 18 פברואר 2026)

מזהה KB: 5080921

מאמר זה כולל הדרכה עבור:

  • מנהלי IT הזדרושים ניראות למצב עדכון אישור אתחול מאובטח ממכשירי Intune רשומים של Windows

  • ארגונים המתכוננים לתאריך היעד לתפוגת אישור אתחול מאובטח ביוני 2026

  • צוותים שברצונך לנטר את התקדמות פריסת האישורים בכל מכשירי Windows Intune שלהם

במאמר זה:

מבוא

תוקפם של אישורי אתחול מאובטח של Microsoft (2011 CAs) עומד לפוג החל מיוני 2026. יש לעדכן את כל מכשירי Windows עם אתחול מאובטח לאישורי 2023 לפני פקיעת התוקף כדי להבטיח תמיכה מתמשכת של עדכוני אבטחה. 

מדריך זה מספק גישה לניטור בלבד באמצעות Microsoft Intune (תיקון פרואקטיבי). קובץ ה- Script לזיהוי אוסף מצב אתחול מאובטח ואישור מכל מכשיר ומדוחות אותו בחזרה לפורטל Intune - במכשירים לא ננקטת פעולת תיקון. פעולה זו מעניקה למנהלי מערכת תצוגה מרוכזת וניתנת לייצוא של התקדמות עדכון האישורים בכל מכשירי windows Intune שלהם. 

מדוע כדאי להשתמש בגישה זו?

תועלת

תיאור

ניראות ברחבי המכשיר 

ראה Intune האישור של מכשיר Windows הרשום במקום אחד

ניתן לייצוא 

ייצוא תוצאות לקובץ CSV ישירות מהפורטל Intune שלך

ערכי רישום גולמיים

ראה נתוני רישום בפועל, לא רק מעבר/כשל

הקשר מכשיר 

כולל יצרן, דגם, גירסת BIOS וסוג קושחה

מדידת שימוש ביומן אירועים 

לוכדת זהים של אירוע אתחול מאובטח (1801/1808), מזהה מיכלים לרמות ביטחון

מגע אפס

פועל באופן שקט כ- SYSTEM — לא נדרשת אינטראקציה עם המשתמש

לקבלת מידע רקע מלא על עדכוני האישורים, ראה עדכוני אישור אתחול מאובטח: הדרכה עבור מומחי IT וארגונים

דרישות מוקדמות

לפני פריסת קובץ ה- Script לזיהוי, ודא שהסביבה שלך עומדת בדרישות הנחוצות. 

פתרון זה ממנף תיקון ב- Microsoft Intune. לקבלת רשימה מלאה של דרישות מוקדמות, ראה שימוש בתיקון כדי לזהות ולפתור בעיות תמיכה - Microsoft Intune.

קבצי Script לזיהוי

קובץ ה- Script של הזיהוי הוא קובץ Script של PowerShell שאוסף נתוני מלאי מקיפים של אתחול מאובטח מכל מכשיר ופלט אותו כמחרוזת JSON. קובץ ה- Script מקריא מהמקורות הבאים: 

רישום – מצב עדכון אישור אתחול מאובטח, מפתחות שירות, תכונות מכשיר והגדרות הסכמת הצטרפות/ביטול הצטרפות מ- HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot וממפתחות המשנה שלו 

WMI/CIM — גירסת מערכת ההפעלה, זמן האתחול האחרון ופרטי החומרה של לוח הבסיס 

יומני אירועים — ערכי יומן אירועים של המערכת עבור מזהה אירוע 1801 ו- 1808 (אירועי עדכון אתחול מאובטח) 

פלט JSON מופיע בפורטל Intune תחת תיקון > Monitor > Device status > "Pre-remediation detection output" ובאפשרותך לייצא אותו לקובץ CSV לצורך ניתוח. 

חשוב: זהו קובץ Script לזיהוי בלבד. לא בוצעו שינויים במכשיר. אין צורך בקובץ Script לתיקון. 

יוצר את קובץ ה- Script 

צור את התיקון ב- Intune 

בצע שלבים אלה כדי לפרוס את קובץ ה- Script של הזיהוי כתיקון (חבילת Script) Microsoft Intune. 

שלב 1: יצירת חבילת ה- Script 

שלב 2: יסודות 

  • קבע את תצורת ההגדרות הבאות בכרטיסיה יסודות:

הגדרה

‏‏ערך

שם

צג מצב אישור אתחול מאובטח

תיאור

מנטר מצב עדכון של אישור אתחול מאובטח ברחבי הצי. זיהוי בלבד – לא ננקטת פעולת תיקון.

Publisher

(שם הארגון שלך)

  • לחץ על 'הבא'

שלב 3: הגדרות 

  • קבע את תצורת ההגדרות הבאות בכרטיסיה הגדרות:

הגדרה

‏‏ערך

הערות

קובץ Script של זיהוי 

העלה Detect-SecureBootCertificateStatus.ps1

קובץ ה- Script מהסעיף הקודם

קובץ Script לתיקון 

(השאר ריק)

אין צורך בתיקון - זהו ניטור בלבד

הפעל קובץ Script זה באמצעות אישורי הכניסה 

לא

פועל כ- SYSTEM כדי להבטיח גישה Confirm-SecureBootUEFI לרישום

אכוף בדיקת חתימת Script 

לא

הגדר לכן אם הארגון שלך דורש קבצי Script חתומים

הפעלת קובץ Script ב- PowerShell של 64 סיביות

כן

נדרש עבור Confirm-SecureBootUEFI cmdlet וקריאת רישום מדויקת

  • לחץ על 'הבא'

שלב 4: תגיות טווח 

  • הוסף תגיות טווח הדרושות לארגון שלך, או צא כברירת מחדל

  • לחץ על 'הבא'

שלב 5: מטלות 

הגדרה

‏‏ערך

הערות

הקצאות 

בחר את קבוצות המכשירים שברצונך לנטר

השתמש בכל המכשירים לניטור כלל הצי או לקבוצות ספציפיות לניטור ייעודי

תזמון 

קביעת תצורה עבור צרכי הניטור שלך

מומלץ: פעם ביום למעקב פעיל אחר הפריסה, או פעם בשבוע לניטור מתמשך

הערה: תיקון פועל בלוח הזמנים שתצורתו נקבעה על-ידי המכשיר. ההפעלה הראשונה עשויה להימשך עד 24 שעות ממחזור ההקצאה, בהתאם למחזור הכניסה של המכשיר. 

לחץ על 'הבא'

שלב 6: סקירה + יצירה 

  • סקור את כל ההגדרות

  • לחץ על 'צור'

הצגה וייצוא של תוצאות 

הצגת תוצאות בפורטל 

  • נווט אל > מכשירים

  • לחץ על צג מצב אישור אתחול מאובטח (או על השם שבחרת)

  • בחירת הכרטיסיה 'צג'

  • לחץ על 'מצב מכשיר'

  • לחץ על ' עמודות' והוסף פלט זיהוי קדם-תיקון

צג מצב

תראה טבלה עם העמודות הבאות: 

עמודה

תיאור

שם המכשיר

שם המכשיר

Username 

המשתמש הראשי של המכשיר

מצב זיהוי 

ללא בעיה (אישורים עודכנו) או עם בעיה (אישורים לא עודכנו)

פלט זיהוי לפני תיקון 

פלט JSON המלא מהקובץ ה- Script

השתנה לאחרונה 

כאשר קובץ ה- Script רץ לאחרונה במכשיר

ייצוא לקובץ CSV 

  • בדף מצב מכשיר, לחץ על לחצן יצא בחלק העליון של הטבלה

  • קובץ ה- CSV יוריד את כל העמודות, כולל פלט הזיהוי המלא של JSON עבור כל מכשיר

  • פתח ב- Excel כדי לסנן, למיין ולנתח לפי שדה כלשהו

עצה: ב- Excel, באפשרותך להשתמש בפונקציות TEXTJOIN או JSON כדי לנתח את מבנה הטקסט של פלט הזיהוי של JSON לעמודות נפרדות לצורך ניתוח קל יותר. 

הכרטיסיה 'מבט כולל'

Intune כולל

הכרטיסיה Overview בכרטיסיה Remediation מספקת לוח מחוונים של סיכום: 

מטרי

משמעות

מכשירים עם בעיות

מכשירים שבהם אישורים עדיין לא עודכנו 

מכשירים ללא בעיות

מכשירים שבהם אישורים מעודכנים

מכשירים עם זיהוי שנכשל

מכשירים שבהם קובץ ה- Script נתקל בשגיאה

שאלות נפוצות

האם פעולה זו משנה משהו במכשירים שלי? 

לא. זהו קובץ Script לזיהוי בלבד. לא השתנה ערכי רישום, לא מופעלים עדכונים ולא ננקטת פעולת תיקון. קובץ ה- Script מקריא ערכים ומדוחות עליהם בלבד. 

מה המשמעות של "עם בעיה"? 

"עם בעיה" פירושו שעדיין לא הוחלו על המכשיר אישורי האתחול המאובטח 2023 ואת מנהל האתחול החתום של 2023. ייתכן שהסיבה היא: - עדכון האישור לא הופעל - העדכון מתבצע וייתכן שיידרש אתחול מחדש - אתחול מאובטח אינו זמין במכשיר - ההתקן אינו מבוסס על UEFI או ממתין לאתחול מחדש כדי להחיל את מנהל האתחול. 

מה המשמעות של "ללא בעיה"? 

"ללא בעיה" פירושו שהאתחול המאובטח זמין במכשיר וערך הרישום UEFICA2023Status מתעדכן, המציין שהאישורים של 2023 הוחלו בהצלחה. 

באיזו תדירות פועל קובץ ה- Script? 

קובץ ה- Script פועל לפי לוח הזמנים שאתה קובע את תצורתו בהקצאה. לניטור פעיל במהלך פריסה, מומלץ להשתמש מדי יום. לניטור מתמשך, מדי שבוע מספיק. 

מה קורה אם מפתח הרישום של Servicing אינו קיים? 

אם המפתח HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing אינו קיים במכשיר, השדה UEFICA2023Status יציג NoValue. משמעות הדבר היא בדרך כלל עדכוני אישורים לא אותחלו במכשיר. 

אילו רשיונות נדרשים? 

תיקון דורש Windows 10/11 Enterprise E3/E5, Education A3/A5 או F3. אם למכשירים שלך יש רשיונות Business Premium או Pro בלבד, תיקון לא יהיה זמין. ראה דרישות מוקדמות לתיקון

משאבים 

Playbook של עדכון אישור אתחול מאובטח

אישור אתחול מאובטח עדכונים: הדרכה עבור מומחי IT

מפתח רישום עדכונים אתחול מאובטח

אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח

תיקון ב- Microsoft Intune 

דרישות מוקדמות לתיקון

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות