Biztonságos rendszerindítási tanúsítvány állapotának figyelése Microsoft Intune javításokkal

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Megjegyzés

  • Eredeti közzétételi dátum: Február 18, 2026
  • Tudásbáziscikk azonosítója: 5080921

Ez a cikk a következőkre nyújt útmutatást:

  • Rendszergazdák, akiknek rá kell látniuk a biztonságos rendszerindítási tanúsítvány frissítési állapotára az Intune-ban regisztrált windowsos eszközeikről
  • A biztonságos rendszerindítási tanúsítvány 2026. júniusi lejárati határidejére felkészülő szervezetek
  • Csapatok, amelyek figyelemmel kísérni szeretnék a tanúsítványok kibocsátásának előrehaladását az Intune-nal regisztrált windowsos eszközeiken

A cikk tartalma:

Bevezetés

A Microsoft biztonságos rendszerindítási tanúsítványai (2011-es hitelesítésszolgáltatók) 2026 júniusától lejárnak. A biztonsági frissítések folyamatos támogatásának biztosítása érdekében minden engedélyezett Windows-eszközt frissíteni kell a 2023-as tanúsítványokra a lejárat előtt.

Ez az útmutató egy csak monitorozási megközelítést biztosít a Microsoft Intune szervizelésekkel (proaktív szervizelések). Az észlelési szkript összegyűjti a biztonságos rendszerindítást és a tanúsítvány állapotát az egyes eszközökről, és jelenti azt az Intune portálnak – az eszközökön nem történik szervizelési művelet. Így a rendszergazdák központosan, exportálhatóan tekinthetik meg a tanúsítványfrissítési folyamatot az Intune-nal regisztrált windowsos eszközeiken.

Miért érdemes ezt a módszert használni?

Előny Leírás:
Láthatóság az egész eszközön Az összes Intune-nal regisztrált windowsos eszköz tanúsítványállapotának megtekintése egy helyen
Exportálható Eredmények exportálása CSV-fájlba közvetlenül az Intune portálról
Nyers beállításazonosítók A rendszerleíró adatbázis tényleges adatainak megtekintése, nem csak a sikeres/sikertelen adatok megtekintése
Eszközkörnyezet Tartalmazza a gyártót, a modellt, a BIOS verzióját és a belső vezérlőprogram típusát
Eseménynapló telemetria Rögzíti a biztonságos rendszerindítási eseményazonosítókat (1801/1808), a gyűjtőazonosítókat és a megbízhatósági szinteket
Érintésmentes Csendesen SYSTEM néven fut – nincs szükség felhasználói beavatkozásra

A tanúsítványfrissítésekkel kapcsolatos teljes háttérinformációkért lásd: Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakemberek és szervezetek számára.

Előfeltételek

Az észlelési szkript telepítése előtt győződjön meg arról, hogy a környezet megfelel a szükséges követelményeknek.

Ez a megoldás a Microsoft Intune szervizelését használja. Az előfeltételek teljes listáját lásd: Szervizelés használata a támogatási problémák észleléséhez és kijavításához – Microsoft Intune.

Észlelési parancsfájlok

Az észlelési szkript egy PowerShell-szkript, amely átfogó biztonságos rendszerindítási leltáradatokat gyűjt minden eszközről, és JSON-sztringként adja ki őket. A parancsprogram a következő forrásokból olvassa be a szöveget:

Beállításjegyzék – A biztonságos rendszerindítási tanúsítvány frissítési állapota, karbantartási kulcsai, eszközattribútumai és jóváhagyási/elutasítási beállításai innen: HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot és alkulcsai

WMI/CIM – operációs rendszer verziója, legutóbbi rendszerindítás időpontja és alaplap hardveradatai

Eseménynaplók – A rendszer eseménynaplójának bejegyzései az 1801-es és 1808-as azonosítójú eseményekhez (biztonságos rendszerindítási frissítési események)

A JSON kimenet az Intune portálon a Szervizelések > figyelése > Eszközállapot > "Szervizelés előtti észlelési kimenet" alatt jelenik meg, és elemzés céljából CSV-fájlba exportálható.

Fontos: Ez a parancsfájl csak észlelésre használható. Az eszközön nem történik módosítás. Nincs szükség szervizelési parancsfájlra.

A parancsfájl létrehozása

Megjegyzés

FONTOS A minta parancsprogramot tartalmazó következő cikk megszűnt. Ha 2026. május 12-én vagy azt követően kiadott Windows-frissítést telepített, a mintaszkript az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában található.

Hozza létre a szervizelést az Intune-ban

Az alábbi lépéseket követve telepítheti az észlelési szkriptet szervizelési parancsfájlként (szkriptcsomagként) a Microsoft Intune.

1. lépés: A parancsfájlcsomag létrehozása

2. lépés: Alapok

  • Adja meg a következő beállításokat az Alapvető beállítások lapon:
Beállítás Érték
Név Biztonságos rendszerindítási tanúsítvány állapotfigyelője
Leírás: Figyeli a biztonságos rendszerindítási tanúsítvány frissítési állapotát a teljes flottában. Csak észlelés – nem történik szervizelési művelet.
Közzétevő: (a szervezet neve)
  • Kattintson a Tovább gombra

3. lépés: Beállítások

  • Konfigurálja a következő beállításokat a Beállítások lapon:
Beállítás Érték Megjegyzések
Észlelési parancsfájl: Feltöltés Detect-SecureBootCertificateStatus.ps1 Az előző szakasz forgatókönyve
Szervizelési parancsfájl: (hagyja üresen) Nincs szükség szervizelésre – ez csak figyelés
Futtassa ezt a parancsfájlt a bejelentkezett hitelesítő adatokkal Nem SYSTEM rendszerként fut a Confirm-SecureBootUEFI és a beállításjegyzék eléréséhez
Parancsfájl aláírás-ellenőrzésének kikényszerítése Nem Állítsa Igen értékre, ha a szervezete megköveteli az aláírt parancsfájlok használatát
Parancsfájl futtatása 64 bites PowerShellben Igen A parancsmag Confirm-SecureBootUEFI és a beállításjegyzék pontos olvasásához szükséges
  • Kattintson a Tovább gombra

4. lépés: Hatókörcímkék

  • Vegye fel a szervezet által igényelt hatókörcímkéket, vagy hagyja meg alapértelmezettként
  • Kattintson a Tovább gombra

5. lépés: Feladatok

Beállítás Érték Megjegyzések
Hozzárendelések A figyelni kívánt eszközcsoportok kiválasztása Az összes eszköz használata a teljes flottara kiterjedő monitorozáshoz, vagy adott csoportok használata a célzott monitorozáshoz
Ütemezés Konfigurálás a monitorozási igényeinek megfelelően Ajánlott: Naponta egyszer a bevezetés aktív nyomon követéséhez, vagy hetente egyszer a folyamatos monitorozáshoz

Megjegyzés: A szervizelések az eszköz konfigurált ütemezése szerint futnak. Az első futtatás akár 24 órát is igénybe vehet a hozzárendelés után az eszköz bejelentkezési ciklusától függően.

Kattintson a Tovább gombra

6. lépés: Véleményezés + létrehozás

  • Az összes beállítás áttekintése
  • Kattintás a Create (Létrehozás) gombra

Eredmények megtekintése és exportálása

Az eredmények megtekintése a portálon

  • Navigáljon az eszközszervizeléshez >
  • Kattintson a Secure Boot Certificate Status Monitor (Biztonságos rendszerindítási tanúsítvány állapotfigyelője) elemre (vagy az Ön által választott névre)
  • Válassza a Monitor fület
  • Kattintson az Eszközállapot elemre
  • Kattintson az Oszlopok elemre, és adja hozzá a szervizelés előtti észlelés kimenetét

Állapotfigyelő

Ekkor megjelenik egy táblázat az alábbi oszlopokkal:

Oszlop Leírás:
Eszköznév Az eszköz neve
Felhasználónév Az eszköz elsődleges felhasználója
Észlelés állapota Probléma nélkül (a tanúsítványok frissítése) vagy problémával (a tanúsítványok nem frissülnek)
Szervizelés előtti észlelés kimenete A szkript teljes JSON kimenete
Utolsó módosítás A parancsfájl legutóbbi futtatása az eszközön

Exportálás CSV-fájlba

  • Az Eszközállapot lapon kattintson a táblázat tetején található Exportálás gombra
  • A CSV-fájl letölti az összes oszlopot, beleértve az összes eszköz teljes JSON-észlelési kimenetét is
  • Nyissa meg az Excel programban bármely mező szerinti szűréshez, rendezéshez és elemzéshez

Tipp: Az Excelben a TEXTJOIN vagy a JSON függvénnyel külön oszlopokba elemezheti az észlelés kimeneti JSON-ját a könnyebb elemzés érdekében.

Áttekintés lap

Az Intune áttekintése

A Szervizelés alkalmazás Áttekintés lapja összefoglaló irányítópultot biztosít:

Metrika Jelentés
Problémás eszközök Eszközök, amelyeknél a tanúsítványok még nincsenek frissítve
Probléma nélküli eszközök Eszközök, amelyeknél a tanúsítványok naprakészek
Sikertelen észleléssel rendelkező eszközök Eszközök, amelyeknél a parancsfájl hibát észlelt

Gyakori kérdések

Megváltoztat ez valamit az eszközeimen?

Nem. Ez a parancsfájl csak észlelésre használható. Nem módosulnak a beállításértékek, nem indulnak frissítések, és nem történik szervizelési művelet. A parancsprogram csak beolvassa az értékeket, és jelenti azokat.

Mit jelent az, hogy "problémával"?

A "problémával" azt jelenti, hogy az eszközön még nincsenek alkalmazva a 2023-as biztonságos rendszerindítási tanúsítványok és a 2023-ban aláírt rendszerindítás-kezelő. Ennek okai a következők lehetnek: - A tanúsítvány frissítése nem kezdődött meg - A frissítés folyamatban van, és újraindítás szükséges lehet - A biztonságos rendszerindítás nincs engedélyezve az eszközön - Az eszköz nem UEFI-alapú, vagy újraindításra vár a rendszerindításkezelő alkalmazásához.

Mit jelent az, hogy "probléma nélkül"?

A "Probléma nélkül" azt jelenti, hogy az eszközön engedélyezve van a biztonságos rendszerindítás, és az UEFICA2023Status beállításazonosító frissítve van, ami azt jelzi, hogy a 2023-as tanúsítványokat sikeresen alkalmazta.

Milyen gyakran fut a parancsfájl?

A szkript a feladatban beállított ütemezés szerint fut. A bevezetés során történő aktív monitorozáshoz napi beállítás ajánlott. A folyamatos monitorozáshoz elegendő a hetente elvégezni a figyelmet.

Mi a teendő, ha a karbantartás beállításkulcsa nem létezik?

Ha a HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing kulcs nem létezik egy eszközön, az UEFICA2023Status mezőben a NoValue jelenik meg. Ez általában azt jelenti, hogy az eszközön még nem kezdeményeztek tanúsítványfrissítéseket.

Milyen licencek szükségesek?

A szervizeléshez Windows 10/11 Enterprise E3/E5, Education A3/A5 vagy F3 licenc szükséges. Ha az eszközei csak Business Premium vagy Pro licenccel rendelkeznek, a szervizelés nem érhető el. Lásd : A hibajavítások előfeltételei.

Források

Biztonságos rendszerindítási tanúsítvány frissítési forgatókönyve

Biztonságos rendszerindítási tanúsítvány Frissítések: Útmutató informatikai szakembereknek

Beállításkulcs-Frissítések a biztonságos rendszerindításhoz

Secure Boot DB és DBX változófrissítési események

Szervizelés a Microsoft Intune-ban

A szervizelés előfeltételei