Windows 365のセキュア ブート証明書Updates
元の発行日: 2026 年 2 月 19 日
KB ID: 5080914
この記事には、次のガイダンスがあります。
-
クラウド PC を管理するWindows 365管理者。
-
Windows 365展開にセキュア ブート対応クラウド PC を使用している組織。
-
Windows 365展開にカスタム イメージを使用している組織。
この記事では、次の操作を行います。
概要
セキュア ブートは、デバイスのブート シーケンス中に信頼されたデジタル署名されたソフトウェアのみを確実に実行するのに役立つ UEFI ファームウェア セキュリティ機能です。 2011 年に発行された Microsoft セキュア ブート証明書は、2026 年 6 月に期限切れになります。 更新された 2023 証明書がないと、デバイスは新しく検出されたブート レベルの脆弱性に対する新しいセキュア ブートとブート マネージャーの保護または軽減策を受け取らなくなります。
Windows 365 サービスでプロビジョニングされたすべてのセキュア ブート対応クラウド PC と、それらをプロビジョニングするために使用されるカスタム イメージは、保護された状態を維持するために有効期限が切れる前に 2023 証明書に更新する必要があります。 Windows デバイスでセキュア ブート証明書の有効期限が切れるタイミングに関するページを参照してください。
これは私のWindows 365環境に適用されますか?
|
シナリオ |
セキュア ブートはアクティブですか? |
必要なアクション |
|
クラウド PC |
||
|
セキュア ブートが有効になっているクラウド PC |
はい |
クラウド PC 上の証明書を更新する |
|
セキュア ブートが無効になっているクラウド PC |
いいえ |
アクションは必要ありません |
|
画像 |
||
|
セキュア ブートが有効になっているコンピューティング ギャラリー イメージのAzure |
はい |
一般化する前にソース イメージの証明書を更新する |
|
信頼された起動なしでコンピューティング ギャラリー イメージをAzureする |
いいえ |
プロビジョニング後にクラウド PC で更新プログラムを適用する |
|
マネージド イメージ (信頼された起動はサポートされていません) |
いいえ |
プロビジョニング後にクラウド PC で更新プログラムを適用する |
完全な背景情報については、「セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス」を参照してください。
インベントリと監視
アクションを実行する前に、環境をインベントリして、更新が必要なデバイスを特定します。 自動展開方法に依存している場合でも、2026 年 6 月の期限前に証明書が適用されていることを確認するには、監視が不可欠です。 アクションを実行する必要があるかどうかを判断するオプションを次に示します。
オプション 1: Microsoft Intune修復
Microsoft Intuneに登録されているクラウド PC の場合は、Intune修復 (プロアクティブ修復) を使用して検出スクリプトをデプロイして、フリート全体でセキュア ブート証明書の状態を自動的に収集できます。 スクリプトは各デバイスでサイレントに実行され、セキュア ブートの状態、証明書の更新の進行状況、デバイスの詳細がIntune ポータルに報告されます。デバイスに変更は加えされません。 結果は、フリート全体の分析のために、Intune管理センターから直接 CSV に表示およびエクスポートできます。
検出スクリプトを展開する手順については、「Microsoft Intune修復によるセキュア ブート証明書の状態の監視」を参照してください。
オプション 2: Windows Autopatch Secure Boot Status Report
Windows Autopatch に登録されているクラウド PC の場合は、[管理センター Intune > レポート] > [Windows オートパッチ] > [Windows品質更新プログラム] > [レポート] タブ > [セキュア ブート状態] に移動します。 Windows Autopatch のセキュア ブート状態レポートに関するページを参照してください。
注: Windows 365で Windows Autopatch を使用するには、クラウド PC を Windows Autopatch サービスに登録する必要があります。 「Windows 365 Enterprise ワークロードの Windows Autopatch」を参照してください。
オプション 3: フリート監視のレジストリ キー
既存のデバイス管理ツールを使用して、フリート全体でこれらのレジストリ値を照会します。
|
レジストリ パス |
キー |
目的 |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
現在のデプロイの状態 |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
エラーを示します (存在しない必要があります) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
イベント ID を示します (存在しない必要があります) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
保留中の更新ビット |
レジストリ キーの詳細については、「Secure Boot のレジストリ キーの更新プログラム」を参照してください。
オプション 4: イベント ログの監視
既存のデバイス管理ツールを使用して、フリート全体のシステム イベント ログからこれらのイベント ID を収集して監視します。
|
イベント ID |
場所 |
意味 |
|
1808 |
System |
証明書が正常に適用されました |
|
1801 |
System |
状態またはエラーの詳細を更新する |
イベントの詳細の完全な一覧については、「Secure Boot DB および DBX 変数更新イベント」を参照してください。
オプション 5: PowerShell インベントリ スクリプト
Microsoft のサンプル セキュア ブート インベントリ データ収集スクリプトを実行して、セキュア ブート証明書の更新状態をチェックします。 このスクリプトでは、セキュア ブート状態、UEFI CA 2023 更新状態、ファームウェア バージョン、イベント ログ アクティビティなど、いくつかのデータ ポイントが収集されます。
展開
重要: 選択したデプロイ オプションに関係なく、デバイス フリートを監視して、2026 年 6 月の期限前に証明書が正常に適用されていることを確認することをお勧めします。 カスタム イメージについては、「カスタム イメージに関する考慮事項」を参照してください。
オプション 1: Windows Update (高信頼デバイス) からの自動Updates
Microsoft は、十分なテレメトリによって同様のハードウェア構成での展開が成功したことを確認すると、Windows の毎月の更新プログラムを通じてデバイスを自動的に更新します。
-
状態: 信頼度の高いデバイスに対して既定で有効
-
オプトアウトする場合を除き、アクションは必要ありません
|
レジストリ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
キー |
HighConfidenceOptOut = 1 でオプトアウト |
|
グループ ポリシー |
[コンピューターの構成] > [管理用テンプレート] > Windows コンポーネント > セキュア ブート > 証明書の自動展開Updates > [無効] に設定してオプトアウトする |
推奨事項: 自動更新が有効になっている場合でも、クラウド PC を監視して証明書が適用されていることを確認します。 すべてのデバイスが高信頼自動展開の対象となるわけではありません。
詳細については、「自動デプロイ支援」を参照してください。
オプション 2: IT-Initiated デプロイ
即時または制御されたロールアウトのために証明書の更新を手動でトリガーします。
|
方法/コマンド |
ドキュメント |
|
Microsoft Intune |
|
|
グループ ポリシー |
|
|
レジストリ キー |
|
|
WinCS CLI |
注:
-
IT によって開始される展開方法 (Intuneや GPO など) を同じデバイスに混在させないでください。同じレジストリ キーが制御され、競合する可能性があります。
-
証明書を完全に適用するには、約 48 時間と 1 回以上の再起動を許可します。
カスタム イメージに関する考慮事項
カスタム イメージは、organizationによって完全に管理されます。 セキュリティで保護されたブート証明書の更新プログラムをカスタム イメージに適用し、プロビジョニングに使用する前に再アップロードする必要があります。
ソース イメージへのセキュア ブート証明書の更新プログラムの適用は、信頼された起動とセキュア ブートをサポートAzureコンピューティング ギャラリー イメージ (プレビュー) でのみサポートされます。 マネージド イメージはセキュア ブートをサポートしていないため、証明書の更新をイメージ レベルで適用することはできません。 マネージド イメージからプロビジョニングされたクラウド PC の場合は、上記のいずれかのデプロイ方法を使用して、クラウド PC に直接更新プログラムを適用します。
新しいカスタム イメージを一般化する前に、証明書が更新されていることを確認します。
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
既知の問題
サービス レジストリ キーが存在しない
|
現象 |
パスが存在しない HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
原因 |
デバイスで証明書の更新が開始されていない |
|
解決方法 |
Windows Update経由で自動デプロイを待機するか、上記のいずれかの IT によって開始されたデプロイ方法を使用して手動で開始します |
長期間の "InProgresss" を示す状態
|
現象 |
UEFICA2023Status は、数日後も "InProgresss" のままです |
|
原因 |
更新プロセスを完了するには、デバイスの再起動が必要な場合があります |
|
解決方法 |
クラウド PC を再起動し、15 分後にもう一度状態をチェックします。 問題が解決しない場合は、トラブルシューティングのガイダンスについては、「Secure Boot DB および DBX 変数更新イベント」を参照してください。 |
UEFICA2023Error レジストリ キーが存在する
|
現象 |
UEFICA2023Error レジストリ キーが存在する |
|
原因 |
証明書の展開中にエラーが発生しました |
|
解決方法 |
詳細については、「システム イベント ログ」を参照してください。 トラブルシューティングガイダンスについては、「セキュア ブート DB および DBX 変数更新イベント」を参照してください |
リソース
ヘルプを表示
その他のオプションが必要ですか?
サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。
コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。
