Praćenje statusa certifikata sigurnog pokretanja sustava uz popravke servisa Microsoft Intune
Primjenjuje se na
Izvorni datum objave: Veljače 18, 2026
ID baze znanja: 5080921
Ovaj članak sadrži smjernice za:
-
IT administratori kojima je potreban uvid u status ažuriranja certifikata sigurnog pokretanja sustava sa uređaja sa sustavom Windows prijavljenih u Intune
-
Tvrtke ili ustanove koje se pripremaju za rok isteka certifikata za sigurno pokretanje sustava u lipnju 2026.
-
Timovi koji žele pratiti tijek uvođenja certifikata na svojim uređajima sa sustavom Windows prijavljenima u Intune
Sadržaj članka:
Uvod
Microsoftovi certifikati za sigurno pokretanje sustava (CAs 2011) istječu u lipnju 2026. Svi uređaji sa sustavom Windows s omogućenim sigurnim pokretanjem moraju se ažurirati na certifikate 2023 prije isteka kako bi se osigurala trajna podrška za sigurnosno ažuriranje.
U ovom se vodiču nudi pristup samo putem praćenja pomoću popravaka servisa Microsoft Intune (proaktivnih popravaka). Skripta otkrivanja prikuplja sigurno pokretanje sustava i status certifikata sa svakog uređaja i izvješćuje o tome na portal Intune – na uređajima se ne poduzima nikakva radnja vezana uz popravak. To administratorima omogućuje centralizirani prikaz tijeka ažuriranja certifikata koji se može izvesti na svim uređajima sa sustavom Windows prijavljenima u Intune.
Zašto koristiti ovaj pristup?
|
Pogodnost |
Opis |
|---|---|
|
Vidljivost na razini uređaja |
Pogledajte status certifikata svakog uređaja sa sustavom Windows prijavljenog za Intune na jednom mjestu |
|
Može se izvesti |
Izvoz rezultata u CSV izravno s portala Intune |
|
Neobrađene vrijednosti registra |
Pogledajte stvarne podatke u registru, a ne samo prolaz/neuspjeh |
|
Kontekst uređaja |
Obuhvaća proizvođača, model, verziju BIOS-a i vrstu opreme |
|
Telemetrija zapisnika događaja |
Bilježi ID-jeve događaja sigurnog pokretanja sustava (1801/1808), ID-ove grupe i razine pouzdanosti. |
|
Nulta dodira |
tiho se izvodi kao SUSTAV – nije potrebna interakcija korisnika |
Potpune informacije o ažuriranjima certifikata potražite u članku Ažuriranja certifikata sigurnog pokretanja sustava: smjernice za IT stručnjake i tvrtke ili ustanove.
Preduvjeti
Prije implementacije skripte otkrivanja provjerite ispunjava li vaše okruženje potrebne preduvjete.
Ovo rješenje koristi popravke u servisu Microsoft Intune. Cjelovit popis preduvjeta potražite u članku Otkrivanje i rješavanje problema s podrškom pomoću popravaka – Microsoft Intune.
Skripte otkrivanja
Skripta otkrivanja skripta je komponente PowerShell koja prikuplja sveobuhvatne podatke o inventaru sigurnog pokretanja sustava sa svakog uređaja i šalje ih kao JSON niz. Skripta se čita iz sljedećih izvora:
Registry – status ažuriranja certifikata sigurnog pokretanja, servisni ključevi, atributi uređaja i postavke pristanka/odustajanja iz HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot i njegovih potključeva
WMI/CIM – verzija OS-a, vrijeme zadnjeg pokretanja i informacije o hardveru matične ploče;
Zapisnici događaja – unosi zapisnika događaja u sustavu za ID-ove događaja 1801 i 1808 (događaji ažuriranja sigurnog pokretanja sustava)
JSON izlaz prikazuje se na portalu Intune u odjeljku Popravci > Nadzor > Status uređaja > "Izlaz otkrivanja prije popravka" i može se izvesti u CSV za analizu.
Važno: To je skripta samo za otkrivanje. Na uređaju nema promjena. Nije potrebna skripta popravka.
Stvaranje datoteke skripte
VAŽNO Sljedeći članak koji sadrži primjer skripte povučen je iz upotrebe. Ako ste instalirali ažuriranje sustava Windows objavljeno 12. svibnja 2026. ili kasnije, oglednu skriptu možete pronaći u mapi %systemroot%\SecureBoot\ExampleRolloutScripts na uređaju.
-
Idite na oglednu skriptu za prikupljanje podataka inventara sigurnog pokretanja sustava (KB5072718)
-
Kopiranje cijelog sadržaja skripte sa stranice
-
Otvorite uređivač teksta (npr. blok za pisanje, VS Code) i zalijepite skriptu
-
Spremanje datoteke u obliku Detect-SecureBootCertUpdateStatus.ps1
Stvaranje popravka u Intune
Slijedite ove korake da biste implementirali skriptu otkrivanja kao popravak (paket skripti) u Microsoft Intune.
Prvi korak: stvaranje paketa skripti
-
Navigacija do uređaja > popravcima
-
Kliknite + Stvori paket skripti
2. korak: Osnove
-
Na kartici Osnove konfigurirajte sljedeće postavke:
|
Postavka |
Vrijednost |
|---|---|
|
Naziv |
Nadzornik statusa certifikata sigurnog pokretanja sustava |
|
Opis |
Nadzire status ažuriranja certifikata sigurnog pokretanja sustava u cijeloj floti. Samo otkrivanje – ne poduzima se nikakva radnja vezana uz popravak. |
|
Publisher |
(naziv vaše tvrtke ili ustanove) |
-
Click Next
3. korak: Postavke
-
Na kartici Postavke konfigurirajte sljedeće postavke:
|
Postavka |
Vrijednost |
Napomene |
|---|---|---|
|
datoteka skripte otkrivanja |
Prijenos Detect-SecureBootCertificateStatus.ps1 |
Skripta iz prethodnog odjeljka |
|
Datoteka skripte popravka |
(ostavite prazno) |
Nije potreban nikakav popravak – ovo je samo nadzor |
|
Pokrenite skriptu pomoću prijavljenih vjerodajnica |
Ne |
Pokreće se kao SYSTEM da bi se osigurao pristup Confirm-SecureBootUEFI i registru |
|
Nametanje provjere potpisa skripte |
Ne |
Postavite na Da ako tvrtka ili ustanova zahtijeva potpisane skripte |
|
Pokretanje skripte u 64-bitnoj verziji komponente PowerShell |
Da |
Obavezno za Confirm-SecureBootUEFI cmdlet i točna očitavanja registra |
-
Click Next
Četvrti korak: Oznake opsega
-
Dodajte oznake opsega koje vaša tvrtka ili ustanova zahtijeva ili ih ostavite kao zadano
-
Click Next
Korak 5: Zadaci
|
Postavka |
Vrijednost |
Napomene |
|---|---|---|
|
Funkcija |
Odaberite grupe uređaja koje želite nadzirati |
Korištenje svih uređaja za nadzor cijelog voznog parka ili posebnih grupa za ciljani nadzor |
|
Zakazivanje |
Konfiguriranje u skladu s potrebama nadzora |
Preporučeno: Jednom svaki dan za aktivno praćenje uvođenja ili jednom tjedno za kontinuirano praćenje |
Napomena: popravci se izvode prema konfiguriranom rasporedu uređaja. Prvo pokretanje može potrajati do 24 sata nakon dodjele, ovisno o ciklusu prijave uređaja.
Click Next
Šesti korak: pregled + stvaranje
-
Pregled svih postavki
-
Kliknite Stvori
Prikaz i izvoz rezultata
Prikaz rezultata na portalu
-
Navigacija do uređaja > popravcima
-
Kliknite Nadzornik statusa certifikata sigurnog pokretanja sustava (ili naziv koji ste odabrali)
-
Odaberite karticu Monitor
-
Kliknite Status uređaja
-
Kliknite Stupci i dodajte izlaz otkrivanja prethodnog popravka
Vidjet ćete tablicu sa sljedećim stupcima:
|
Stupac |
Opis |
|---|---|
|
Naziv uređaja |
naziv uređaja |
|
Korisničko ime |
primarni korisnik uređaja |
|
Status otkrivanja |
Bez problema (certifikati su ažurirani) ili s problemom (certifikati nisu ažurirani) |
|
Izlazni rezultat otkrivanja prije popravka |
Puni JSON izlaz iz skripte |
|
Zadnja izmjena |
Prilikom zadnjeg pokretanja skripte na uređaju |
Izvoz u CSV
-
Na stranici Stanje uređaja kliknite gumb Izvezi pri vrhu tablice
-
CSV datoteka preuzet će sve stupce, uključujući cijeli izlaz za otkrivanje JSON-a za svaki uređaj
-
Otvorite program Excel da biste filtrirali, sortirali i analizirali po bilo kojem polju
Savjet: u programu Excel možete koristiti funkcije TEXTJOIN ili JSON da biste raščlanili JSON izlaza otkrivanja u zasebne stupce radi lakše analize.
Kartica Pregled
Kartica Pregled na stranici popravka sadrži nadzornu ploču sažetka:
|
Metrički podaci |
Značenje |
|---|---|
|
Uređaji s problemima |
Uređaji na kojima certifikati još nisu ažurirani |
|
Uređaji bez problema |
Uređaji na kojima su certifikati ažurni |
|
Uređaji s neuspjelim otkrivanjem |
Uređaji na kojima je skripta naišla na pogrešku |
Najčešća pitanja
Mijenja li to išta na mojim uređajima?
Ne. To je skripta samo za otkrivanje. Ne mijenjaju se vrijednosti registra, ne aktiviraju se ažuriranja niti se poduzimaju radnje vezane uz popravak. Skripta samo čita vrijednosti i izvješćuje o njima.
Što znači "s problemom"?
"S problemom" znači da uređaj još nema primijenjene certifikate za sigurno pokretanje sustava za 2023. i upravitelj pokretanja potpisan za 2023. To može biti iz sljedećih razloga: – ažuriranje certifikata nije pokrenuto – ažuriranje je u tijeku i može zahtijevati ponovno pokretanje da bi se dovršilo – Sigurno pokretanje nije omogućeno na uređaju – Uređaj nije utemeljen na UEFI-ju ili čeka ponovno pokretanje da bi primijenio upravitelj pokretanja.
Što znači "Bez problema"?
"Bez problema" znači da je na uređaju omogućeno sigurno pokretanje i da je vrijednost registra UEFICA2023Status ažurirana, što znači da su certifikati 2023 uspješno primijenjeni.
Koliko se često skripta pokreće?
Skripta se izvršava prema rasporedu koji ste konfigurirali u zadatku Za aktivno praćenje tijekom uvođenja preporučuje se svakodnevno. Za kontinuirano praćenje dovoljno je tjedno.
Što ako servisni ključ registra ne postoji?
Ako ključ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ne postoji na uređaju, polje UEFICA2023Status prikazat će NoValue. To obično znači da na uređaju nisu pokrenuta ažuriranja certifikata.
Koje su licence potrebne?
Za popravke su potrebne licence za Windows 10/11 Enterprise E3/E5, Education A3/A5 ili F3. Ako vaši uređaji imaju samo licence za Business Premium ili Pro, popravci neće biti dostupni. Pogledajte preduvjete za popravke.
Resursi
Proceduralni priručnik ažuriranja certifikata za sigurno pokretanje sustava
Ažuriranja certifikata za sigurno pokretanje: smjernice za IT profesionalce
Ažuriranja ključa registra za sigurno pokretanje
Sigurnosno pokretanje DB i DBX varijabilni događaji ažuriranja
Potrebna vam je dodatna pomoć?
Želite dodatne mogućnosti?
Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.
Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.
