Berlaku Untuk
Azure Virtual Desktop

Tanggal penerbitan asli: 19 Februari 2026

ID KB: 5080931

Artikel ini memiliki panduan untuk:  

  • Azure administrator Desktop Virtual mengelola pembaruan host sesi

  • Organisasi yang menggunakan VM berkemampukan Boot Aman untuk penyebaran Desktop Virtual Azure

  • Organisasi menggunakan gambar kustom (gambar emas) untuk penyebaran Desktop Virtual Azure

Dalam artikel ini: 

Pendahuluan

Secure Boot adalah fitur keamanan firmware UEFI yang membantu memastikan hanya perangkat lunak tepercaya yang ditandatangani secara digital yang berjalan selama urutan boot perangkat. Sertifikat Boot Aman Microsoft yang diterbitkan pada tahun 2011 mulai kedaluwarsa pada Juni 2026. Tanpa sertifikat 2023 yang diperbarui, perangkat tidak akan lagi menerima perlindungan Atau mitigasi Secure Boot Manager baru untuk kerentanan tingkat boot yang baru ditemukan. ​​​​​​

Semua VM berkemampuan Boot Aman yang terdaftar dalam layanan Azure Virtual Desktop, dan gambar kustom yang digunakan untuk menyediakannya, harus diperbarui ke sertifikat 2023 sebelum kedaluwarsa agar tetap terlindungi. Lihat Kapan sertifikat Boot Aman kedaluwarsa di perangkat Windows

Apakah ini berlaku untuk lingkungan Desktop Virtual Azure saya?

Skenario 

Secure Boot Aktif? 

Tindakan Diperlukan 

Tuan Rumah Sesi 

VM Peluncuran Tepercaya dengan Boot Aman diaktifkan 

Ya 

Memperbarui sertifikat pada host sesi 

VM Peluncuran Tepercaya dengan Boot Aman dinonaktifkan 

Tidak 

Tidak ada tindakan yang diperlukan 

VM tipe keamanan standar 

Tidak 

Tidak ada tindakan yang diperlukan 

Generasi 1 VM 

Tidak didukung 

Tidak ada tindakan yang diperlukan 

Gambar Emas 

gambar Galeri Komputasi Azure dengan Boot Aman diaktifkan 

Ya 

Memperbarui sertifikat dalam gambar sumber 

gambar Galeri Komputasi Azure tanpa Peluncuran Tepercaya 

Tidak 

Menerapkan pembaruan dalam host sesi setelah penyebaran 

Gambar terkelola (tidak mendukung Peluncuran Tepercaya) 

Tidak 

Menerapkan pembaruan dalam host sesi setelah penyebaran

Untuk informasi latar belakang lengkap, lihat Pembaruan sertifikat Boot Aman: Panduan untuk profesional dan organisasi TI. ​​​​​​

Inventori dan Monitor

Sebelum mengambil tindakan, inventarsi lingkungan Anda untuk mengidentifikasi perangkat yang memerlukan pembaruan. Pemantauan sangat penting untuk mengonfirmasi sertifikat diterapkan sebelum tenggat waktu Juni 2026—bahkan jika Anda mengandalkan metode penyebaran otomatis.  Di bawah ini adalah opsi untuk menentukan apakah tindakan perlu dilakukan.

Opsi 1: Microsoft Intune Perbaikan

Untuk host sesi yang terdaftar di Microsoft Intune, Anda dapat menyebarkan skrip deteksi menggunakan Intune Remediasi (Remediasi Proaktif) untuk mengumpulkan status sertifikat Boot Aman secara otomatis di seluruh armada Anda. Skrip berjalan diam-diam di setiap perangkat dan melaporkan status Boot Aman, kemajuan pembaruan sertifikat, dan detail perangkat kembali ke portal Intune — tidak ada perubahan yang dilakukan pada perangkat. Hasil dapat dilihat dan diekspor ke CSV langsung dari pusat admin Intune untuk analisis tingkat armada. 

Untuk instruksi langkah demi langkah tentang penggunaan skrip deteksi, lihat Memantau Status Sertifikat Boot Aman dengan Microsoft Intune Perbaikan.

Opsi 2: Laporan Status Boot Aman Pengiriman Otomatis Windows

Untuk host sesi tetap pribadi yang terdaftar di Windows Autopatch, masuk ke pusat admin Intune > Laporan > Windows Autopatch > pembaruan kualitas Windows > tab Laporan > status Boot Aman. Lihat laporan status Boot Aman di Windows Autopatch. 

Catatan: Windows Autopatch hanya mendukung mesin virtual persisten pribadi untuk Azure Virtual Desktop. Host multi-sesi, mesin virtual non-persistent yang dikumpulkan, dan streaming aplikasi jarak jauh tidak didukung. Lihat Windows Autopatch di Azure beban kerja Desktop Virtual.

Opsi 3: Kunci Registri untuk Pemantauan Armada

Gunakan alat manajemen perangkat yang sudah ada untuk membuat kueri nilai registri ini di seluruh armada Anda.

Jalur Registri 

Kunci 

Tujuan 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023Status 

Status penyebaran saat ini 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023Error 

Menunjukkan kesalahan (seharusnya tidak ada) 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023ErrorEvent 

Menunjukkan ID Kejadian (seharusnya tidak ada) 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot 

AvailableUpdates 

Bit pembaruan tertunda 

Untuk detail kunci registri lengkap, lihat Pembaruan kunci registri untuk Boot Aman: Perangkat Windows dengan pembaruan yang dikelola TI. 

Opsi 4: Pemantauan Log Kejadian 

Gunakan alat manajemen perangkat anda yang sudah ada untuk mengumpulkan dan memantau ID kejadian ini dari log kejadian sistem di seluruh armada Anda.

ID Kejadian 

Lokasi 

Makna 

1808 

Sistem 

Sertifikat berhasil diterapkan 

1801 

Sistem 

Memperbarui status atau detail kesalahan

Untuk daftar lengkap detail acara, lihat Kejadian pembaruan variabel DB dan DBX Boot Aman.

Opsi 5: Skrip Inventori PowerShell

Jalankan sampel skrip Pengumpulan Data Inventaris Boot Aman Microsoft untuk memeriksa status pembaruan sertifikat Boot Aman. Skrip ini mengumpulkan beberapa poin data termasuk status Boot Aman, status pembaruan UEFI CA 2023, versi firmware, dan aktivitas log kejadian.

Penyebaran

Penting: Terlepas dari opsi penyebaran mana yang Anda pilih, sebaiknya pantau armada perangkat Anda untuk mengonfirmasi sertifikat berhasil diterapkan sebelum tenggat waktu Juni 2026. Untuk gambar kustom, lihat Pertimbangan Gambar Emas.

Opsi 1: Updates otomatis dari Windows Update (Perangkat Kepercayaan Tinggi)

Microsoft secara otomatis memperbarui perangkat melalui pembaruan bulanan Windows ketika telemetri yang memadai mengonfirmasi keberhasilan penyebaran pada konfigurasi perangkat keras yang serupa.

  • Status: Diaktifkan secara default untuk perangkat dengan kepercayaan tinggi

  • Tidak ada tindakan yang diperlukan kecuali Anda ingin menolak

Registri 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot 

Kunci 

HighConfidenceOptOut = 1 untuk menolak 

Kebijakan Grup 

Templat Administratif > Konfigurasi Komputer > Komponen Windows > Penyebaran Sertifikat Otomatis > Boot Aman melalui Updates > Atur ke Dinonaktifkan untuk menolak.

Rekomendasi: Bahkan dengan pembaruan otomatis diaktifkan, pantau host sesi Anda untuk memverifikasi sertifikat diterapkan. Tidak semua perangkat mungkin memenuhi syarat untuk penyebaran otomatis kepercayaan tinggi. ​​​​​​​

Untuk informasi selengkapnya, lihat Bantuan penyebaran otomatis.

Opsi 2: Penyebaran IT-Initiated

Memicu pembaruan sertifikat secara manual untuk peluncuran langsung atau terkontrol.

Metode 

Dokumentasi 

Microsoft Intune 

metode Microsoft Intune 

Kebijakan Grup 

metode objek Kebijakan Grup (GPO) 

Kunci Registri 

Metode kunci registri 

WinCS CLI 

API WinCS

Catatan: 

  • Jangan mencampur metode penyebaran yang dimulai TI (misalnya Intune dan GPO) pada perangkat yang sama—mereka mengontrol kunci registri yang sama dan mungkin berkonflik.

  • Izinkan sekitar 48 jam dan satu atau beberapa mulai ulang agar sertifikat dapat diterapkan sepenuhnya.

Pertimbangan Gambar Emas

Untuk lingkungan Desktop Virtual Azure menggunakan gambar Galeri Komputasi Azure dengan Boot Aman diaktifkan, terapkan pembaruan sertifikat Secure Boot 2023 ke gambar emas sebelum merekamnya. Gunakan salah satu metode yang dijelaskan di atas untuk menerapkan pembaruan, lalu verifikasi sertifikat diperbarui sebelum melakukan generalisasi:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Gambar tanpa Peluncuran Tepercaya diaktifkan tidak dapat menerima pembaruan sertifikat Boot Aman melalui gambar. Ini termasuk gambar terkelola, yang tidak mendukung Peluncuran Tepercaya, dan Azure gambar Galeri Komputasi di mana Peluncuran Tepercaya tidak diaktifkan. Untuk perangkat yang disediakan dari gambar ini, terapkan pembaruan di OS tamu menggunakan salah satu metode di atas.

Masalah umum

Kunci registri pelayanan tidak ada

Gangguan 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path tidak ada 

Penyebab 

Pembaruan sertifikat belum dimulai pada perangkat 

Resolusi 

Tunggu penyebaran otomatis melalui Windows Update, atau mulai secara manual menggunakan salah satu metode penyebaran yang dimulai TI di atas 

Status memperlihatkan "InProgress" untuk periode yang diperpanjang

Gangguan 

UEFICA2023Status tetap "InProgress" setelah beberapa hari 

Penyebab 

Perangkat mungkin memerlukan mulai ulang untuk menyelesaikan proses pembaruan 

Resolusi 

Mulai ulang host sesi dan periksa status lagi setelah 15 menit. Jika masalah berlanjut, lihat Kejadian pembaruan variabel DB boot aman dan DBX untuk panduan pemecahan masalah 

Kunci registri UEFICA2023Error ada

Gangguan 

Kunci registri UEFICA2023Error hadir 

Penyebab 

Terjadi kesalahan selama penyebaran sertifikat 

Resolusi 

Periksa Log kejadian sistem untuk detailnya. Lihat Kejadian pembaruan variabel DB Boot Aman dan DBX untuk panduan pemecahan masalah 

Sumber daya

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas