Azure Virtual Desktop 用のセキュア ブート証明書Updates
適用先
元の発行日: 2026 年 2 月 19 日
KB ID: 5080931
この記事には、次のガイダンスがあります。
-
セッション ホストの更新プログラムを管理する仮想デスクトップ管理者のAzure
-
AVD 展開にセキュア ブート対応 VM を使用している組織
-
AVD 展開にカスタム イメージ (ゴールデン イメージ) を使用している組織
この記事では、次の操作を行います。
概要
セキュア ブートは、デバイスのブート シーケンス中に信頼されたデジタル署名されたソフトウェアのみを実行するのに役立つ UEFI ファームウェア セキュリティ機能です。 2011 年に発行された Microsoft セキュア ブート証明書は、2026 年 6 月に期限切れになります。 更新された 2023 証明書がないと、デバイスは新しく検出されたブート レベルの脆弱性に対する新しいセキュア ブートとブート マネージャーの保護または軽減策を受け取らなくなります。
Azure Virtual Desktop サービスに登録されているすべてのセキュア ブート対応 VM と、それらをプロビジョニングするために使用されるカスタム イメージは、保護された状態を維持するために有効期限が切れる前に 2023 証明書に更新する必要があります。 「セキュア ブート証明書が Windows デバイスで期限切れになったとき」を参照してください
これは AVD 環境に適用されますか?
|
シナリオ |
セキュア ブートはアクティブですか? |
必要なアクション |
|
セッション ホスト |
||
|
セキュア ブートが有効なトラステッド起動 VM |
はい |
セッション ホスト上の証明書を更新する |
|
セキュア ブートが無効になっている信頼された起動 VM |
いいえ |
アクションは必要ありません |
|
Standardセキュリティの種類 VM |
いいえ |
アクションは必要ありません |
|
第 1 世代 VM |
非サポート |
アクションは必要ありません |
|
ゴールデン イメージ |
||
|
セキュア ブートが有効になっているコンピューティング ギャラリー イメージのAzure |
はい |
ソース イメージ内の証明書を更新する |
|
信頼された起動なしでコンピューティング ギャラリー イメージをAzureする |
いいえ |
デプロイ後にセッション ホストで更新プログラムを適用する |
|
マネージド イメージ (信頼された起動はサポートされていません) |
いいえ |
デプロイ後にセッション ホストで更新プログラムを適用する |
完全な背景情報については、「セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス」を参照してください。
インベントリと監視
アクションを実行する前に、環境をインベントリして、更新が必要なデバイスを特定します。 自動展開方法に依存している場合でも、2026 年 6 月の期限前に証明書が適用されていることを確認するには、監視が不可欠です。 アクションを実行する必要があるかどうかを判断するオプションを次に示します。
オプション 1: Microsoft Intune修復
Microsoft Intuneに登録されているセッション ホストの場合は、Intune修復 (プロアクティブ修復) を使用して検出スクリプトをデプロイして、フリート全体でセキュア ブート証明書の状態を自動的に収集できます。 スクリプトは各デバイスでサイレントに実行され、セキュア ブートの状態、証明書の更新の進行状況、デバイスの詳細がIntune ポータルに報告されます。デバイスに変更は加えされません。 結果は、フリート全体の分析のために、Intune管理センターから直接 CSV に表示およびエクスポートできます。
検出スクリプトを展開する手順については、「Microsoft Intune修復によるセキュア ブート証明書の状態の監視」を参照してください。
オプション 2: Windows Autopatch Secure Boot Status Report
Windows Autopatch に登録されている個人用の永続的なセッション ホストの場合は、管理センター Intune >レポート > Windows Autopatch > Windows品質更新プログラム > [レポート] タブ > [セキュア ブートの状態] に移動します。 Windows Autopatch のセキュア ブート状態レポートに関するページを参照してください。
注: Windows Autopatch では、AVD 用の個人用永続仮想マシンのみがサポートされます。 マルチセッション ホスト、プールされた非永続的仮想マシン、リモート アプリ ストリーミングはサポートされていません。 「Azure Virtual Desktop ワークロードでの Windows Autopatch」を参照してください。
オプション 3: フリート監視のレジストリ キー
既存のデバイス管理ツールを使用して、フリート全体でこれらのレジストリ値を照会します。
|
レジストリ パス |
キー |
目的 |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
現在のデプロイの状態 |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
エラーを示します (存在しない必要があります) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
イベント ID を示します (存在しない必要があります) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
保留中の更新ビット |
レジストリ キーの詳細については、「Secure Boot のレジストリ キー更新プログラム: IT で管理された更新プログラムを含む Windows デバイス」を参照してください。
オプション 4: イベント ログの監視
既存のデバイス管理ツールを使用して、フリート全体のシステム イベント ログからこれらのイベント ID を収集して監視します。
|
イベント ID |
場所 |
意味 |
|
1808 |
System |
証明書が正常に適用されました |
|
1801 |
System |
状態またはエラーの詳細を更新する |
イベントの詳細の完全な一覧については、「Secure Boot DB および DBX 変数更新イベント」を参照してください。
オプション 5: PowerShell インベントリ スクリプト
Microsoft のセキュア ブート インベントリ データ収集サンプル スクリプトを実行して、セキュア ブート証明書の更新状態をチェックします。 このスクリプトでは、セキュア ブート状態、UEFI CA 2023 更新状態、ファームウェア バージョン、イベント ログ アクティビティなど、いくつかのデータ ポイントが収集されます。
展開
重要: 選択したデプロイ オプションに関係なく、デバイス フリートを監視して、2026 年 6 月の期限前に証明書が正常に適用されていることを確認することをお勧めします。 カスタム イメージについては、「ゴールデン イメージに関する考慮事項」を参照してください。
オプション 1: Windows Update (高信頼デバイス) からの自動Updates
Microsoft は、十分なテレメトリによって同様のハードウェア構成での展開が成功したことを確認すると、Windows の毎月の更新プログラムを通じてデバイスを自動的に更新します。
-
ステータス: 信頼度の高いデバイスに対して既定で有効
-
オプトアウトする場合を除き、アクションは必要ありません
|
レジストリ |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
キー |
HighConfidenceOptOut = 1 でオプトアウト |
|
グループ ポリシー |
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [セキュア ブート] > [自動証明書の展開] をUpdates > [無効] に設定してオプトアウトします。 |
推奨事項: 自動更新が有効になっている場合でも、セッション ホストを監視して証明書が適用されていることを確認します。 すべてのデバイスが高信頼自動展開の対象となるわけではありません。
詳細については、「自動デプロイ支援」を参照してください。
オプション 2: IT-Initiated デプロイ
即時または制御されたロールアウトのために証明書の更新を手動でトリガーします。
|
方法/コマンド |
ドキュメント |
|
Microsoft Intune |
|
|
グループ ポリシー |
|
|
レジストリ キー |
|
|
WinCS CLI |
注:
-
IT によって開始される展開方法 (Intuneや GPO など) を同じデバイスに混在させないでください。同じレジストリ キーが制御され、競合する可能性があります。
-
証明書を完全に適用するには、約 48 時間と 1 回以上の再起動を許可します。
ゴールデン イメージに関する考慮事項
セキュア ブートが有効なAzureコンピューティング ギャラリー イメージを使用する AVD 環境の場合は、キャプチャする前に Secure Boot 2023 証明書の更新プログラムをゴールデン イメージに適用します。 上記のいずれかの方法を使用して更新プログラムを適用し、一般化する前に証明書が更新されていることを確認します。
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
信頼された起動が有効になっていないイメージは、イメージを介してセキュア ブート証明書の更新を受け取ることができません。 これには、信頼された起動をサポートしないマネージド イメージと、信頼された起動が有効になっていないコンピューティング ギャラリー イメージAzureが含まれます。 これらのイメージからプロビジョニングされたデバイスの場合は、上記のいずれかの方法を使用してゲスト OS で更新プログラムを適用します。
既知の問題
サービス レジストリ キーが存在しない
|
現象 |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path not exist |
|
原因 |
デバイスで証明書の更新が開始されていない |
|
解決方法 |
Windows Update経由で自動デプロイを待機するか、上記のいずれかの IT によって開始されたデプロイ方法を使用して手動で開始します |
長期間の "InProgresss" を示す状態
|
現象 |
UEFICA2023Status は、数日後も "InProgresss" のままです |
|
原因 |
更新プロセスを完了するには、デバイスの再起動が必要な場合があります |
|
解決方法 |
セッション ホストを再起動し、15 分後にもう一度状態をチェックします。 問題が解決しない場合は、トラブルシューティングのガイダンスについては、「Secure Boot DB および DBX 変数更新イベント」を参照してください。 |
UEFICA2023Error レジストリ キーが存在する
|
現象 |
UEFICA2023Error レジストリ キーが存在する |
|
原因 |
証明書の展開中にエラーが発生しました |
|
解決方法 |
詳細については、「システム イベント ログ」を参照してください。 トラブルシューティングガイダンスについては、「セキュア ブート DB および DBX 変数更新イベント」を参照してください |
リソース
ヘルプを表示
その他のオプションが必要ですか?
サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。
コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。
