Megjegyzés
- Eredeti közzétételi dátum: Február 18, 2026
- Tudásbáziscikk azonosítója: 5080921
Ez a cikk a következőkre nyújt útmutatást:
- Rendszergazdák, akiknek rá kell látniuk a biztonságos rendszerindítási tanúsítvány frissítési állapotára az Intune-ban regisztrált windowsos eszközeikről
- A biztonságos rendszerindítási tanúsítvány 2026. júniusi lejárati határidejére felkészülő szervezetek
- Csapatok, amelyek figyelemmel kísérni szeretnék a tanúsítványok kibocsátásának előrehaladását az Intune-nal regisztrált windowsos eszközeiken
A cikk tartalma:
- Bevezetés
- Előfeltételek
- Észlelési parancsprogram
- Hozza létre a szervizelést az Intune-ban
- Eredmények megtekintése és exportálása
- Gyakori kérdések
- Források
Bevezetés
A Microsoft biztonságos rendszerindítási tanúsítványai (2011-es hitelesítésszolgáltatók) 2026 júniusától lejárnak. A biztonsági frissítések folyamatos támogatásának biztosítása érdekében minden engedélyezett Windows-eszközt frissíteni kell a 2023-as tanúsítványokra a lejárat előtt.
Ez az útmutató egy csak monitorozási megközelítést biztosít a Microsoft Intune szervizelésekkel (proaktív szervizelések). Az észlelési szkript összegyűjti a biztonságos rendszerindítást és a tanúsítvány állapotát az egyes eszközökről, és jelenti azt az Intune portálnak – az eszközökön nem történik szervizelési művelet. Így a rendszergazdák központosan, exportálhatóan tekinthetik meg a tanúsítványfrissítési folyamatot az Intune-nal regisztrált windowsos eszközeiken.
Miért érdemes ezt a módszert használni?
| Előny | Leírás: |
|---|---|
| Láthatóság az egész eszközön | Az összes Intune-nal regisztrált windowsos eszköz tanúsítványállapotának megtekintése egy helyen |
| Exportálható | Eredmények exportálása CSV-fájlba közvetlenül az Intune portálról |
| Nyers beállításazonosítók | A rendszerleíró adatbázis tényleges adatainak megtekintése, nem csak a sikeres/sikertelen adatok megtekintése |
| Eszközkörnyezet | Tartalmazza a gyártót, a modellt, a BIOS verzióját és a belső vezérlőprogram típusát |
| Eseménynapló telemetria | Rögzíti a biztonságos rendszerindítási eseményazonosítókat (1801/1808), a gyűjtőazonosítókat és a megbízhatósági szinteket |
| Érintésmentes | Csendesen SYSTEM néven fut – nincs szükség felhasználói beavatkozásra |
A tanúsítványfrissítésekkel kapcsolatos teljes háttérinformációkért lásd: Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakemberek és szervezetek számára.
Előfeltételek
Az észlelési szkript telepítése előtt győződjön meg arról, hogy a környezet megfelel a szükséges követelményeknek.
Ez a megoldás a Microsoft Intune szervizelését használja. Az előfeltételek teljes listáját lásd: Szervizelés használata a támogatási problémák észleléséhez és kijavításához – Microsoft Intune.
Észlelési parancsfájlok
Az észlelési szkript egy PowerShell-szkript, amely átfogó biztonságos rendszerindítási leltáradatokat gyűjt minden eszközről, és JSON-sztringként adja ki őket. A parancsprogram a következő forrásokból olvassa be a szöveget:
Beállításjegyzék – A biztonságos rendszerindítási tanúsítvány frissítési állapota, karbantartási kulcsai, eszközattribútumai és jóváhagyási/elutasítási beállításai innen: HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot és alkulcsai
WMI/CIM – operációs rendszer verziója, legutóbbi rendszerindítás időpontja és alaplap hardveradatai
Eseménynaplók – A rendszer eseménynaplójának bejegyzései az 1801-es és 1808-as azonosítójú eseményekhez (biztonságos rendszerindítási frissítési események)
A JSON kimenet az Intune portálon a Szervizelések > figyelése > Eszközállapot > "Szervizelés előtti észlelési kimenet" alatt jelenik meg, és elemzés céljából CSV-fájlba exportálható.
Fontos: Ez a parancsfájl csak észlelésre használható. Az eszközön nem történik módosítás. Nincs szükség szervizelési parancsfájlra.
A parancsfájl létrehozása
Megjegyzés
FONTOS A minta parancsprogramot tartalmazó következő cikk megszűnt. Ha 2026. május 12-én vagy azt követően kiadott Windows-frissítést telepített, a mintaszkript az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában található.
- Nyissa meg a biztonságos rendszerindítási leltár adatgyűjtési szkriptjét (KB5072718)
- Másolja a vágólapról a teljes szkripttartalmat
- Nyisson meg egy szövegszerkesztőt (például Jegyzettömböt, VS Code-ot), és illessze be a szkriptet
- Fájl mentése Detect-SecureBootCertUpdateStatus.ps1 néven
Hozza létre a szervizelést az Intune-ban
Az alábbi lépéseket követve telepítheti az észlelési szkriptet szervizelési parancsfájlként (szkriptcsomagként) a Microsoft Intune.
1. lépés: A parancsfájlcsomag létrehozása
- Bejelentkezés a Microsoft Intune Felügyeleti központba
- Navigáljon az eszközszervizeléshez >
- Kattintás + Parancsfájlcsomag létrehozása
2. lépés: Alapok
- Adja meg a következő beállításokat az Alapvető beállítások lapon:
| Beállítás | Érték |
|---|---|
| Név | Biztonságos rendszerindítási tanúsítvány állapotfigyelője |
| Leírás: | Figyeli a biztonságos rendszerindítási tanúsítvány frissítési állapotát a teljes flottában. Csak észlelés – nem történik szervizelési művelet. |
| Közzétevő: | (a szervezet neve) |
- Kattintson a Tovább gombra
3. lépés: Beállítások
- Konfigurálja a következő beállításokat a Beállítások lapon:
| Beállítás | Érték | Megjegyzések |
|---|---|---|
| Észlelési parancsfájl: | Feltöltés Detect-SecureBootCertificateStatus.ps1 | Az előző szakasz forgatókönyve |
| Szervizelési parancsfájl: | (hagyja üresen) | Nincs szükség szervizelésre – ez csak figyelés |
| Futtassa ezt a parancsfájlt a bejelentkezett hitelesítő adatokkal | Nem | SYSTEM rendszerként fut a Confirm-SecureBootUEFI és a beállításjegyzék eléréséhez |
| Parancsfájl aláírás-ellenőrzésének kikényszerítése | Nem | Állítsa Igen értékre, ha a szervezete megköveteli az aláírt parancsfájlok használatát |
| Parancsfájl futtatása 64 bites PowerShellben | Igen | A parancsmag Confirm-SecureBootUEFI és a beállításjegyzék pontos olvasásához szükséges |
- Kattintson a Tovább gombra
4. lépés: Hatókörcímkék
- Vegye fel a szervezet által igényelt hatókörcímkéket, vagy hagyja meg alapértelmezettként
- Kattintson a Tovább gombra
5. lépés: Feladatok
| Beállítás | Érték | Megjegyzések |
|---|---|---|
| Hozzárendelések | A figyelni kívánt eszközcsoportok kiválasztása | Az összes eszköz használata a teljes flottara kiterjedő monitorozáshoz, vagy adott csoportok használata a célzott monitorozáshoz |
| Ütemezés | Konfigurálás a monitorozási igényeinek megfelelően | Ajánlott: Naponta egyszer a bevezetés aktív nyomon követéséhez, vagy hetente egyszer a folyamatos monitorozáshoz |
Megjegyzés: A szervizelések az eszköz konfigurált ütemezése szerint futnak. Az első futtatás akár 24 órát is igénybe vehet a hozzárendelés után az eszköz bejelentkezési ciklusától függően.
Kattintson a Tovább gombra
6. lépés: Véleményezés + létrehozás
- Az összes beállítás áttekintése
- Kattintás a Create (Létrehozás) gombra
Eredmények megtekintése és exportálása
Az eredmények megtekintése a portálon
- Navigáljon az eszközszervizeléshez >
- Kattintson a Secure Boot Certificate Status Monitor (Biztonságos rendszerindítási tanúsítvány állapotfigyelője) elemre (vagy az Ön által választott névre)
- Válassza a Monitor fület
- Kattintson az Eszközállapot elemre
- Kattintson az Oszlopok elemre, és adja hozzá a szervizelés előtti észlelés kimenetét
Ekkor megjelenik egy táblázat az alábbi oszlopokkal:
| Oszlop | Leírás: |
|---|---|
| Eszköznév | Az eszköz neve |
| Felhasználónév | Az eszköz elsődleges felhasználója |
| Észlelés állapota | Probléma nélkül (a tanúsítványok frissítése) vagy problémával (a tanúsítványok nem frissülnek) |
| Szervizelés előtti észlelés kimenete | A szkript teljes JSON kimenete |
| Utolsó módosítás | A parancsfájl legutóbbi futtatása az eszközön |
Exportálás CSV-fájlba
- Az Eszközállapot lapon kattintson a táblázat tetején található Exportálás gombra
- A CSV-fájl letölti az összes oszlopot, beleértve az összes eszköz teljes JSON-észlelési kimenetét is
- Nyissa meg az Excel programban bármely mező szerinti szűréshez, rendezéshez és elemzéshez
Tipp: Az Excelben a TEXTJOIN vagy a JSON függvénnyel külön oszlopokba elemezheti az észlelés kimeneti JSON-ját a könnyebb elemzés érdekében.
Áttekintés lap
A Szervizelés alkalmazás Áttekintés lapja összefoglaló irányítópultot biztosít:
| Metrika | Jelentés |
|---|---|
| Problémás eszközök | Eszközök, amelyeknél a tanúsítványok még nincsenek frissítve |
| Probléma nélküli eszközök | Eszközök, amelyeknél a tanúsítványok naprakészek |
| Sikertelen észleléssel rendelkező eszközök | Eszközök, amelyeknél a parancsfájl hibát észlelt |
Gyakori kérdések
Megváltoztat ez valamit az eszközeimen?
Nem. Ez a parancsfájl csak észlelésre használható. Nem módosulnak a beállításértékek, nem indulnak frissítések, és nem történik szervizelési művelet. A parancsprogram csak beolvassa az értékeket, és jelenti azokat.
Mit jelent az, hogy "problémával"?
A "problémával" azt jelenti, hogy az eszközön még nincsenek alkalmazva a 2023-as biztonságos rendszerindítási tanúsítványok és a 2023-ban aláírt rendszerindítás-kezelő. Ennek okai a következők lehetnek: - A tanúsítvány frissítése nem kezdődött meg - A frissítés folyamatban van, és újraindítás szükséges lehet - A biztonságos rendszerindítás nincs engedélyezve az eszközön - Az eszköz nem UEFI-alapú, vagy újraindításra vár a rendszerindításkezelő alkalmazásához.
Mit jelent az, hogy "probléma nélkül"?
A "Probléma nélkül" azt jelenti, hogy az eszközön engedélyezve van a biztonságos rendszerindítás, és az UEFICA2023Status beállításazonosító frissítve van, ami azt jelzi, hogy a 2023-as tanúsítványokat sikeresen alkalmazta.
Milyen gyakran fut a parancsfájl?
A szkript a feladatban beállított ütemezés szerint fut. A bevezetés során történő aktív monitorozáshoz napi beállítás ajánlott. A folyamatos monitorozáshoz elegendő a hetente elvégezni a figyelmet.
Mi a teendő, ha a karbantartás beállításkulcsa nem létezik?
Ha a HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing kulcs nem létezik egy eszközön, az UEFICA2023Status mezőben a NoValue jelenik meg. Ez általában azt jelenti, hogy az eszközön még nem kezdeményeztek tanúsítványfrissítéseket.
Milyen licencek szükségesek?
A szervizeléshez Windows 10/11 Enterprise E3/E5, Education A3/A5 vagy F3 licenc szükséges. Ha az eszközei csak Business Premium vagy Pro licenccel rendelkeznek, a szervizelés nem érhető el. Lásd : A hibajavítások előfeltételei.
Források
Biztonságos rendszerindítási tanúsítvány frissítési forgatókönyve
Biztonságos rendszerindítási tanúsítvány Frissítések: Útmutató informatikai szakembereknek
Beállításkulcs-Frissítések a biztonságos rendszerindításhoz
Secure Boot DB és DBX változófrissítési események