Saugiosios įkrovos sertifikato būsenos stebėjimas naudojant „Microsoft Intune“ taisymus
Taikoma
Pradinė publikavimo data: 2026 m. vasario 18 d.
KB ID: 5080921
Šiame straipsnyje pateikiamos rekomendacijos, skirtos:
-
IT administratoriai, kuriems reikia stebėti saugiosios įkrovos sertifikato naujinimo būseną iš jų Intune užregistruotų "Windows" įrenginių
-
Organizacijos, ruošiasi 2026 m. birželio mėn. saugiosios įkrovos sertifikato galiojimo pabaigos terminui
-
Komandos, kurios nori stebėti sertifikatų diegimo eigą visuose Intune užregistruotuose "Windows" įrenginiuose
Šiame straipsnyje:
Įvadas
"Microsoft" saugiosios įkrovos sertifikatai (2011 M. CAs) baigiasi nuo 2026 m. birželio mėn. Visi "Windows" įrenginiai, kuriuose įgalinta saugi įkrova, turi būti atnaujinti į 2023 m. sertifikatus prieš galiojimo pabaigą, kad būtų užtikrintas nuolatinis saugos naujinimo palaikymas.
Šiame vadove pateikiamas tik stebėjimo metodas naudojant „Microsoft Intune“ taisymus (aktyvius taisymus). Aptikimo scenarijus renka saugiosios įkrovos ir sertifikato būseną iš kiekvieno įrenginio ir praneša apie jį Intune portale – įrenginiuose atkūrimo veiksmų neatlikta. Tai suteikia administratoriams centralizuotą, eksportuojamą sertifikato naujinimo eigos rodinį visuose Intune užregistruotuose "Windows" įrenginiuose.
Kodėl verta naudoti šį metodą?
|
Naudos |
Aprašas |
|---|---|
|
Matomumas visame įrenginyje |
Peržiūrėkite kiekvieną Intune užregistruotą "Windows" įrenginio sertifikato būseną vienoje vietoje |
|
Eksportuotinas |
Rezultatų eksportavimas į CSV tiesiogiai iš Intune portalo |
|
Neapdorotos registro reikšmės |
Peržiūrėkite faktinius registro duomenis, ne tik perdavimą / nesėkmę |
|
Įrenginio kontekstas |
Apima gamintoją, modelį, BIOS versiją ir programinės-aparatinės įrangos tipą |
|
Įvykių žurnalo telemetrija |
Fiksuoja saugiosios įkrovos įvykių ID (1801/1808), talpyklos ID ir patikimumo lygius |
|
Nulinis lietimas |
Veikia tyliai kaip SYSTEM – nereikia vartotojo sąveikos |
Visą pagrindinę informaciją apie sertifikatų naujinimus žr. Saugiosios įkrovos sertifikatų naujinimai: rekomendacijos IT specialistams ir organizacijoms.
Būtinosios sąlygos
Prieš diegdami aptikimo scenarijų įsitikinkite, kad jūsų aplinka atitinka reikiamus reikalavimus.
Šis sprendimas naudoja taisymo „Microsoft Intune“. Visą būtinųjų sąlygų sąrašą žr. Taisymo naudojimas palaikymo problemoms aptikti ir išspręsti – „Microsoft Intune“.
Aptikimo scenarijai
Aptikimo scenarijus yra "PowerShell" scenarijus, renkantis išsamius saugiosios įkrovos atsargų duomenis iš kiekvieno įrenginio ir išveda jį kaip JSON eilutę. Scenarijus nuskaito iš šių šaltinių:
Registras – saugiosios įkrovos sertifikato naujinimo būsena, priežiūros raktai, įrenginio atributai ir opt-in/opt-out parametrai iš HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ir jo daliniai raktai
WMI/CIM – OS versija, paskutinės įkrovos laikas ir bazinės lentos aparatūros informacija
Įvykių žurnalai – sistemos įvykių žurnalo įrašai, skirti įvykių ID 1801 ir 1808 (saugiosios įkrovos naujinimo įvykiai)
JSON išvestis rodoma Intune portale dalyje Taisymai > stebėjimas > įrenginio būsena > "Išankstinio taisymo aptikimo išvestis" ir gali būti eksportuojama į CSV analizei.
Svarbu: Tai tik aptikimo scenarijus. Įrenginys nekeičiamas. Taisymo scenarijaus nereikia.
Kuriamas scenarijaus failas
-
Pereikite prie pavyzdinio saugiosios įkrovos atsargų duomenų rinkimo scenarijaus (KB5072718)
-
Kopijuoti visą scenarijaus turinį iš puslapio
-
Atidarykite teksto rengyklę (pvz., Užrašinė, VS kodas) ir įklijuokite scenarijų
-
Įrašyti failą kaip Detect-SecureBootCertUpdateStatus.ps1
Taisymo kūrimas naudojant Intune
Atlikite šiuos veiksmus, kad įdiegtumėte aptikimo scenarijų kaip taisymo (scenarijaus paketą) programoje „Microsoft Intune“".
1 veiksmas: scenarijaus paketo kūrimas
-
Prisijungimas prie „Microsoft Intune“ administravimo centro
-
Eikite į įrenginių > taisymus
-
Click + Create script package
2 veiksmas: pagrindai
-
Konfigūruokite šiuos parametrus skirtuke Pagrindai:
|
Parametras |
Reikšmė |
|---|---|
|
Pavadinimas |
Saugiosios įkrovos sertifikato būsenos monitorius |
|
Aprašas |
Stebi saugiosios įkrovos sertifikato naujinimo būseną visame laivyne. Tik aptikimas – atkūrimo veiksmas neatliktas. |
|
Publisher |
(jūsų organizacijos pavadinimas) |
-
Spustelėkite Pirmyn
3 veiksmas: parametrai
-
Konfigūruokite šiuos parametrus skirtuke Parametrai:
|
Parametras |
Reikšmė |
Pastabos |
|---|---|---|
|
Aptikimo scenarijaus failas |
Nusiųsti Detect-SecureBootCertificateStatus.ps1 |
Ankstesnės sekcijos scenarijus |
|
Taisymo scenarijaus failas |
(palikite tuščią) |
Taisymo nereikia – stebėti tik |
|
Vykdyti šį scenarijų naudojant prisiregistravusio įėjimo kredencialus |
Ne |
Veikia kaip SISTEMA, kad užtikrintų prieigą prie Confirm-SecureBootUEFI ir registro |
|
Įgalinti scenarijaus parašo tikrinimą |
Ne |
Nustatykite į Taip, jei jūsų organizacija reikalauja pasirašytų scenarijų |
|
Scenarijaus vykdymas 64 bitų "PowerShell" |
Taip |
Būtina Confirm-SecureBootUEFI cmdlet ir tiksliam registro skaitiniams |
-
Spustelėkite Pirmyn
4 veiksmas: žymių aprėptis
-
Įtraukite bet kokias aprėpties žymes, kurių reikia jūsų organizacijai, arba palikite kaip numatytąsias
-
Spustelėkite Pirmyn
5 veiksmas: užduotys
|
Parametras |
Reikšmė |
Pastabos |
|---|---|---|
|
Priskyrimai. |
Pasirinkite įrenginių grupes, kurios bus stebios |
Naudoti visus transporto priemonių parko stebėsenos įrenginius arba tikslinei stebėsenai skirtas konkrečias grupes |
|
Suplanuoti |
Konfigūruokite pagal savo stebėjimo poreikius |
Rekomenduojama: vieną kartą per dieną aktyviam keitimų sekimui arba vieną kartą per savaitę vykdomam stebėjimui |
Pastaba: taisymai vykdomi įrenginio konfigūruotame grafike. Pirmasis paleidimas gali užtrukti iki 24 valandų po užduoties, atsižvelgiant į įrenginio įregistravimo ciklą.
Spustelėkite Pirmyn
6 veiksmas: peržiūra + kūrimas
-
Peržiūrėti visus parametrus
-
Spustelėkite Kurti
Rezultatų peržiūra ir eksportavimas
Peržiūrėti rezultatus portale
-
Eikite į įrenginių > taisymus
-
Spustelėkite saugiosios įkrovos sertifikato būsenos stebėjimo priemonę (arba pasirinktą pavadinimą)
-
Pasirinkite skirtuką Monitorius
-
Spustelėkite Įrenginio būsena
-
Spustelėkite Stulpeliai ir įtraukite išankstinio taisymo aptikimo išvestį
Matysite lentelę su šiais stulpeliais:
|
Stulpelio |
Aprašas |
|---|---|
|
Įrenginio pavadinimas |
Įrenginio pavadinimas |
|
Vartotojo vardą |
Pirminis įrenginio vartotojas |
|
Aptikimo būsena |
Be problemų (sertifikatų atnaujinti) arba problemų (sertifikatų neatnaujinta) |
|
Išankstinio taisymo aptikimo išvestis |
Visa JSON išvestis iš scenarijaus |
|
Paskutinį kartą modifikuota |
Kai scenarijus paskutinį kartą buvo įrenginyje |
Eksportuoti į CSV
-
Puslapyje Įrenginio būsena spustelėkite lentelės viršuje esantį mygtuką Eksportuoti
-
CSV failas atsisiųs visus stulpelius, įskaitant visą JSON aptikimo išvestį kiekvienam įrenginiui
-
Atidaryti naudojant "Excel", norint filtruoti, rūšiuoti ir analizuoti pagal bet kurį lauką
Patarimas: programoje "Excel" galite naudoti funkcijas TEXTJOIN arba JSON, kad išanalizuotumėte aptikimo išvestį JSON į atskirus stulpelius, kad būtų lengviau analizuoti.
Skirtukas Apžvalga
Skirtuke Apžvalga, esančiame dalyje Taisymas, pateikiama suvestinės ataskaitų sritis:
|
Metrinė |
Prasme |
|---|---|
|
Įrenginiai su problemomis |
Įrenginiai, kuriuose sertifikatai dar neatnaujinami |
|
Įrenginiai be problemų |
Įrenginiai, kuriuose atnaujinti sertifikatai |
|
Įrenginiai, kuriuose nepavyko aptikti |
Įrenginiai, kuriuose įvyko scenarijaus klaida |
Dažnai užduodami klausimai
Ar tai ką nors pakeis mano įrenginiuose?
Ne. Tai tik aptikimo scenarijus. Nėra modifikuotų registro reikšmių, neįjungtas joks naujinimas ir jokių atkūrimo veiksmų neatlikta. Scenarijus tik skaito reikšmes ir praneša apie jas.
Ką reiškia "Su problema"?
"Problema" reiškia, kad įrenginyje dar nėra pritaikytų 2023 m. saugiosios įkrovos sertifikatų ir 2023 m. pasirašyto paleidimo tvarkytuvo. Taip gali būti todėl, kad: – sertifikato naujinimas nebuvo inicijuotas – vykdomas naujinimas ir gali reikėti perkrauti įrenginį – saugi įkrova įrenginyje neįgalinta – įrenginys nėra pagrįstas UEFI arba laukia paleidimo iš naujo, kad būtų taikomas įkrovos tvarkytuvas.
Ką reiškia "Be problemų"?
"Be problemų" reiškia, kad įrenginyje įgalinta saugi įkrova ir UEFICA2023Status registro reikšmė yra Atnaujinta, nurodant, kad sėkmingai pritaikyti 2023 m. sertifikatai.
Kaip dažnai vykdomas scenarijus?
Scenarijus vykdomas pagal grafiką, kurį konfigūruojate užduotyje. Norint aktyviai stebėti diegimą, rekomenduojama kasdien. Norint vykdyti nuolatinę stebėseną, pakanka kas savaitę.
Ką daryti, jei nėra priežiūros registro rakto?
Jei įrenginyje nėra rakto HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing, lauke UEFICA2023Status bus rodoma NoValue. Tai paprastai reiškia, kad įrenginyje nebuvo inicijuoti sertifikato naujinimai.
Kokios licencijos reikalingos?
Taisymui reikia Windows 10/11 "Enterprise" E3/E5, "Education" A3/A5 arba F3 licencijų. Jei jūsų įrenginiai turi tik "Business Premium" arba "Pro" licencijas, taisymai nebus pasiekiami. Žr. Taisymo būtinosios sąlygos.
Ištekliai
Saugiosios įkrovos sertifikato naujinimo žaidimų knyga
Saugiosios įkrovos sertifikato Naujinimai: rekomendacijos IT specialistams
Saugiosios įkrovos registro rakto Naujinimai
Reikia daugiau pagalbos?
Norite daugiau parinkčių?
Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.
Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.
