Aggiornamenti secure boot certificate per Windows 365

Introduzione

Avvio protetto è una funzionalità di sicurezza del firmware UEFI che garantisce l'esecuzione solo di software attendibile con firma digitale durante una sequenza di avvio del dispositivo. I certificati di Avvio protetto Microsoft rilasciati nel 2011 iniziano a scadere a giugno 2026. Senza i certificati 2023 aggiornati, i dispositivi non riceveranno più le nuove protezioni o misure di prevenzione di Avvio protetto e Boot Manager per le vulnerabilità a livello di avvio individuate di recente.

Tutti i PC cloud abilitati per Avvio protetto di cui è stato eseguito il provisioning nel servizio Windows 365 e le immagini personalizzate utilizzate per eseguirne il provisioning devono essere aggiornati ai certificati 2023 prima della scadenza per rimanere protetti. Vedi Quando scadono i certificati di avvio protetto nei dispositivi Windows.

Questo vale per l'ambiente Windows 365?

Scenario	Avvio protetto attivo?	Azione richiesta
PC cloud
PC cloud con avvio protetto abilitato	Sì	Aggiornare i certificati nel PC cloud
PC cloud con avvio protetto disabilitato	No	Nessuna azione necessaria
Immagini
immagine Azure Compute Gallery con Avvio protetto abilitato	Sì	Aggiornare i certificati nell'immagine di origine prima di generalizzare
Azure Compute Gallery image without Trusted Launch	No	Applicare gli aggiornamenti nel PC cloud dopo il provisioning
Immagine gestita (non supporta Avvio attendibile)	No	Applicare gli aggiornamenti nel PC cloud dopo il provisioning

Per informazioni complete in background, vedi Aggiornamenti del certificato di avvio protetto: linee guida per professionisti IT e organizzazioni.

Inventario e monitoraggio

Prima di intervenire, creare un inventario dell'ambiente per identificare i dispositivi che richiedono aggiornamenti. Il monitoraggio è essenziale per verificare che i certificati vengano applicati prima della scadenza di giugno 2026, anche se si usano metodi di distribuzione automatica. Di seguito sono riportate le opzioni per determinare se è necessario eseguire un'azione.

Opzione 1: Microsoft Intune Correzioni

Per i PC cloud registrati in Microsoft Intune, puoi distribuire uno script di rilevamento usando Intune Correzioni (Correzioni proattive) per raccogliere automaticamente lo stato del certificato di avvio protetto nel tuo parco veicoli. Lo script viene eseguito automaticamente su ogni dispositivo e riporta lo stato di avvio protetto, l'avanzamento dell'aggiornamento del certificato e i dettagli del dispositivo al portale di Intune. Non vengono apportate modifiche ai dispositivi. I risultati possono essere visualizzati ed esportati in formato CSV direttamente dall'interfaccia di amministrazione di Intune per l'analisi a livello di flotta.

Per istruzioni dettagliate sulla distribuzione dello script di rilevamento, vedere Monitoraggio dello stato del certificato di avvio protetto con Microsoft Intune Correzioni.

Opzione 2: Report sullo stato dell'avvio protetto di Windows Autopatch

Per i PC cloud registrati con Windows Autopatch, vai a Intune interfaccia di amministrazione > Report > Windows Autopatch > aggiornamenti qualitativi di Windows > scheda Report > stato avvio protetto. Vedi Rapporto di stato di avvio protetto in Windows Autopatch.

Nota: per usare l'autopatch di Windows con Windows 365, i PC cloud devono essere registrati con il servizio di aggiunta automatica di Windows. Vedi Autopatch di Windows nei carichi di lavoro di Windows 365 Enterprise.

Opzione 3: Chiavi del Registro di sistema per il monitoraggio della flotta

Usa gli strumenti di gestione dei dispositivi esistenti per eseguire query su questi valori del Registro di sistema in tutta la tua flotta.

Percorso del Registro di sistema	Codice	Scopo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Stato di distribuzione corrente
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Errore	Indica errori (non dovrebbero esistere)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Indica l'ID evento (non dovrebbe esistere)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bit di aggiornamento in sospeso

Per informazioni dettagliate complete sulla chiave del Registro di sistema, vedi Aggiornamenti delle chiavi del Registro di sistema per l'avvio protetto.

Opzione 4: Monitoraggio del registro eventi

Usa gli strumenti di gestione dei dispositivi esistenti per raccogliere e monitorare questi ID evento dal registro eventi di sistema nell'intera flotta.

ID evento	Posizione	Significato
1808	Sistema	Certificati applicati correttamente
1801	Sistema	Aggiornare lo stato o i dettagli dell'errore

Per un elenco completo dei dettagli degli eventi, vedere Secure Boot DB e DBX variable update events.

Opzione 5: Script inventario di PowerShell

Esegui lo script di raccolta dati di esempio di Microsoft Secure Boot Inventory per controllare lo stato di aggiornamento del certificato di avvio protetto. Lo script raccoglie diversi punti dati, tra cui stato di avvio protetto, stato dell'aggiornamento UEFI CA 2023, versione del firmware e attività del registro eventi.

Distribuzione

Importante: Indipendentemente dall'opzione di distribuzione scelta, è consigliabile monitorare il parco dispositivi per verificare che i certificati vengano applicati correttamente prima della scadenza di giugno 2026. Per le immagini personalizzate, vedere Considerazioni sull'immagine personalizzata.

Opzione 1: Aggiornamenti automatico da Windows Update (dispositivi ad alta probabilità)

Microsoft aggiorna automaticamente i dispositivi tramite gli aggiornamenti mensili di Windows quando una telemetria sufficiente conferma il successo della distribuzione in configurazioni hardware simili.

Stato: Abilitato per impostazione predefinita per i dispositivi ad alta probabilità
Non è necessaria alcuna azione a meno che non si voglia rifiutare esplicitamente

Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Codice	HighConfidenceOptOut = 1 per rifiutare esplicitamente
Criteri di gruppo	Configurazione computer > modelli amministrativi > componenti di Windows > la distribuzione automatica dei certificati di avvio protetto > tramite Aggiornamenti > impostato su Disabilitato per rifiutare esplicitamente

Raccomandazione: Anche con gli aggiornamenti automatici abilitati, monitorare i PC cloud per verificare che i certificati vengano applicati. Non tutti i dispositivi possono essere idonei per la distribuzione automatica ad alta probabilità.

Per altre informazioni, vedere Assistenza alla distribuzione automatizzata.

Opzione 2: distribuzione IT-Initiated

Attivare manualmente gli aggiornamenti dei certificati per l'implementazione immediata o controllata.

Metodo	Documentazione
Microsoft Intune	metodo Microsoft Intune
Criteri di gruppo	Metodo oggetto Criteri di gruppo
Chiavi del Registro di sistema	Metodo della chiave del Registro di sistema
WinCS CLI	API WinCS

Note:

Non combinare metodi di distribuzione avviati dall'IT (ad esempio, Intune e gpo) nello stesso dispositivo, perché controllano le stesse chiavi del Registro di sistema e potrebbero essere in conflitto.
Attendere circa 48 ore e uno o più riavvii per l'applicazione completa dei certificati.

Considerazioni sull'immagine personalizzata

Le immagini personalizzate sono completamente gestite dall'organizzazione. L'utente è responsabile dell'applicazione degli aggiornamenti del certificato di avvio protetto all'immagine personalizzata e del ricaricarlo prima di usarlo per il provisioning.

L'applicazione degli aggiornamenti del certificato di avvio protetto all'immagine di origine è supportata solo con immagini di Azure Compute Gallery (anteprima), che supportano avvio attendibile e avvio protetto. Le immagini gestite non supportano l'avvio protetto, quindi gli aggiornamenti dei certificati non possono essere applicati a livello di immagine. Per i PC cloud di cui è stato eseguito il provisioning da immagini gestite, applicare gli aggiornamenti direttamente nel PC cloud usando uno dei metodi di distribuzione precedenti.

Prima di generalizzare una nuova immagine personalizzata, verificare che i certificati siano aggiornati:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problemi noti

La chiave del Registro di sistema di manutenzione non esiste

Sintomo	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing percorso non esiste
Causa	Gli aggiornamenti dei certificati non sono stati avviati nel dispositivo
Risoluzione	Attendere la distribuzione automatica tramite Windows Update o avviare manualmente uno dei metodi di distribuzione avviati dall'IT sopra

Lo stato mostra "In Progress" per il periodo prolungato

Sintomo	UEFICA2023Status rimane "InStatus" dopo più giorni
Causa	Potrebbe essere necessario un riavvio del dispositivo per completare il processo di aggiornamento
Risoluzione	Riavvia il PC cloud e controlla di nuovo lo stato dopo 15 minuti. Se il problema persiste, vedi Eventi di aggiornamento delle variabili DB e DBX di avvio protetto per indicazioni sulla risoluzione dei problemi

UEFICA2023Chiave del Registro di sistema esistente

Sintomo	UEFICA2023Chiave del Registro di sistema presente
Causa	Si è verificato un errore durante la distribuzione dei certificati
Risoluzione	Per informazioni dettagliate, controllare il registro eventi di sistema. Per informazioni sulla risoluzione dei problemi, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto