Drošās palaišanas sertifikāta statusa uzraudzība ar Microsoft Intune koriģēšanas iespējām
Attiecas uz
Sākotnējais publicēšanas datums: 2026. gada 18. februāris
KB ID: 5080921
Šajā rakstā ir norādījumi par:
-
IT administratori, kuriem ir nepieciešama drošās palaišanas sertifikāta atjaunināšanas statusa redzamība no Intune reģistrētajām Windows ierīcēm
-
Organizācijas, kas gatavojas 2026. gada jūnija drošās palaišanas sertifikāta derīguma termiņam
-
Komandas, kas vēlas pārraudzīt sertifikātu ieviešanas norisi savās Intune reģistrētajās Windows ierīcēs
Šajā rakstā:
Ievads
Microsoft drošās palaišanas sertifikātu (2011 CA) derīguma termiņš beidzas no 2026. gada jūnija. Visas Windows ierīces, kurās ir iespējota drošā palaišana, pirms derīguma termiņa beigām ir jāatjaunina uz 2023. gada sertifikātiem, lai nodrošinātu nepārtrauktu drošības atjauninājumu atbalstu.
Šajā rokasgrāmatā ir aprakstīta tikai pārraudzības metode, izmantojot Microsoft Intune koriģēšanas (proaktīvās koriģēšanas). Noteikšanas skripts apkopo drošās palaišanas un sertifikāta statusu no katras ierīces un ziņo par to Intune portālam — ierīcēs netiek veiktas nekādas koriģēšanas darbības. Tādējādi administratori iegūst centralizētu, eksportējamu sertifikātu atjaunināšanas norises skatu visās Intune reģistrētajās Windows ierīcēs.
Kāpēc izmantot šo pieeju?
|
Priekšrocība |
Apraksts |
|---|---|
|
Redzamība visā ierīcē |
Skatiet visu Intune reģistrēto Windows ierīču sertifikāta statusu vienuviet |
|
Eksportējams |
Rezultātu eksportēšana CSV failā tieši no Intune portāla |
|
Neapstrādātas reģistra vērtības |
Skatīt faktiskos reģistra datus, ne tikai nokārtot/neizturēt |
|
Ierīces konteksts |
Norāda ražotāju, modeli, BIOS versiju un aparātprogrammatūras tipu |
|
Notikumu žurnāla telemetrija |
Tver drošās palaišanas notikuma ID (1801/1808), kopuma ID un ticamības līmeņus |
|
Nulles pieskāriens |
Darbojas klusi kā SISTĒMA — nav nepieciešama lietotāja mijiedarbība |
Pilnu pamatinformāciju par sertifikātu atjauninājumiem skatiet rakstā Drošās palaišanas sertifikātu atjauninājumi: norādījumi IT speciālistiem un organizācijām.
Priekšnosacījumi
Pirms noteikšanas skripta izvietošanas pārliecinieties, vai jūsu vide atbilst nepieciešamajām prasībām.
Šis risinājums izmanto koriģēšanas iespējas Microsoft Intune. Pilnu priekšnosacījumu sarakstu skatiet sadaļā Koriģēšanas līdzekļu izmantošana, lai noteiktu un novērstu atbalsta problēmas — Microsoft Intune.
Noteikšanas skripti
Noteikšanas skripts ir PowerShell skripts, kas apkopo visaptverošus drošās palaišanas krājumu datus no katras ierīces un izvada tos kā JSON virkni. Skripts lasāms no šādiem avotiem:
Reģistrs — drošās palaišanas sertifikāta atjaunināšanas statuss, apkopes atslēgas, ierīces atribūti un piekrišanas/atteikšanās iestatījumi no HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot un tā apakšatslēgām
WMI/CIM — OS versija, pēdējās palaišanas laiks un pamatplates aparatūras informācija
Notikumu žurnāli — sistēmas notikumu žurnāla ieraksti notikumu ID 1801 un 1808 (drošās palaišanas atjaunināšanas notikumi)
JSON izvade tiek parādīta Intune portāla sadaļā Koriģēšana > Pārraudzība > Ierīces statuss > "Pirmskoriģēšanas noteikšanas izvade", un to var eksportēt CSV faila veikšanai analīzei.
Svarīgi: Šis skripts ir paredzēts tikai atklāšanai. Ierīcē netiek veiktas nekādas izmaiņas. Nav nepieciešams labošanas skripts.
Skripta faila izveide
SVARĪGI Tālāk minētais raksts, kurā ir skripta paraugs, ir izņemts. Ja esat instalējis Windows atjauninājumu, kas izlaists 2026. gada 12. maijā vai vēlāk, skripta paraugs ir atrodams ierīces mapē %systemroot%\SecureBoot\ExampleRolloutScripts.
-
Naviģējiet uz drošās palaišanas inventarizācijas datu vākšanas skripta paraugu (KB5072718)
-
Nokopējiet pilnu skripta saturu no lapas
-
Atveriet teksta redaktoru (piemēram, Notepad, VS Code) un ielīmējiet skriptu
-
Saglabājiet failu Detect-SecureBootCertUpdateStatus.ps1 formātā
Koriģēšanas izveide pakalpojumā Intune
Izpildiet šīs darbības, lai izvietotu noteikšanas skriptu kā koriģēšanas (skripta pakotni) pakalpojumā Microsoft Intune.
1. darbība. Skripta pakotnes izveide
-
Pierakstīšanās Microsoft Intune administrēšanas centrā
-
Navigācija uz sadaļu Ierīces > koriģēšana
-
Noklikšķiniet + Izveidot skripta pakotni
2. darbība. Pamati
-
Konfigurējiet tālāk norādītos iestatījumus cilnē Pamati.
|
Iestatījums |
Vērtība |
|---|---|
|
Nosaukums |
Drošās palaišanas sertifikāta statusa pārraugs |
|
Apraksts |
Uzrauga drošās palaišanas sertifikāta atjaunināšanas statusu visā flotē. Tikai atklāšana — koriģēšanas darbības netiek veiktas. |
|
Publisher |
(jūsu organizācijas nosaukums) |
-
Noklikšķiniet uz Tālāk
3. darbība. Iestatījumi
-
Konfigurējiet tālāk norādītos iestatījumus cilnē Iestatījumi.
|
Iestatījums |
Vērtība |
Piezīmes |
|---|---|---|
|
Noteikšanas skripta fails |
Augšupielādēt Detect-SecureBootCertificateStatus.ps1 |
Iepriekšējās sadaļas skripts |
|
Labošanas skripta fails |
(atstājiet tukšu) |
Koriģēšana nav nepieciešama — tā ir tikai uzraudzība |
|
Palaist šo skriptu, izmantojot pieteikšanās akreditācijas datus |
Nē |
Darbojas kā SYSTEM, lai nodrošinātu piekļuvi Confirm-SecureBootUEFI un reģistram |
|
Skripta paraksta pārbaudes ieviešana |
Nē |
Iestatiet uz Jā, ja jūsu organizācija pieprasa parakstītus skriptus |
|
Skripta palaišana 64 bitu PowerShell versijā |
Jā |
Nepieciešams, lai Confirm-SecureBootUEFI cmdlet un precīzi nolasītu reģistru |
-
Noklikšķiniet uz Tālāk
4. darbība. Tvēruma atzīmes
-
Pievienojiet visus tvēruma tagus, kas nepieciešami jūsu organizācijai, vai atstājiet kā noklusējumu
-
Noklikšķiniet uz Tālāk
5. solis. Uzdevumi
|
Iestatījums |
Vērtība |
Piezīmes |
|---|---|---|
|
Uzdevumi |
Atlasiet pārraugāmo ierīču grupas |
Izmantojiet visas ierīces autoparka uzraudzībai vai noteiktas grupas mērķtiecīgai uzraudzībai |
|
Grafiks |
Konfigurējiet atbilstoši savām pārraudzības vajadzībām |
Ieteicams: reizi dienā aktīvai izsekošanai vai reizi nedēļā pastāvīgai pārraudzībai |
Piezīme. Koriģēšana tiek veikta pēc ierīces konfigurētā grafika. Pirmā palaišana var ilgt līdz pat 24 stundām pēc piešķires, atkarībā no ierīces reģistrēšanās cikla.
Noklikšķiniet uz Tālāk
6. darbība: pārskatīšana + izveide
-
Visu iestatījumu pārskatīšana
-
Noklikšķiniet uz Izveidot
Rezultātu skatīšana un eksportēšana
Rezultātu skatīšana portālā
-
Navigācija uz sadaļu Ierīces > koriģēšana
-
Noklikšķiniet uz Drošās palaišanas sertifikāta statusa pārraugs (vai uz izvēlēto nosaukumu)
-
Atlasīt cilni Monitors
-
Noklikšķiniet uz Ierīces statuss
-
Noklikšķiniet uz Kolonnas un pievienojiet pirmskoriģēšanas noteikšanas izvadi
Tiks parādīta tabula ar šādām kolonnām:
|
Kolonna |
Apraksts |
|---|---|
|
Ierīces nosaukums |
Ierīces nosaukums |
|
Lietotājvārds |
Ierīces primārais lietotājs |
|
Noteikšanas statuss |
Bez problēmas (sertifikāti atjaunināti) vai ar problēmu (sertifikāti nav atjaunināti) |
|
Pirmskoriģēšanas noteikšanas izvade |
Pilna JSON izvade no skripta |
|
Pēdējoreiz modificēts |
Kad skripts pēdējo reizi darbojās ierīcē |
Eksportēšana uz CSV failu
-
Ierīces statusa lapā noklikšķiniet uz pogas Eksportēt tabulas augšdaļā
-
CSV fails lejupielādēs visas kolonnas, ieskaitot pilno JSON noteikšanas izvadi katrai ierīcei
-
Atveriet programmā Excel, lai filtrētu, kārtotu un analizētu pēc jebkura lauka
Padoms. Programmā Excel varat izmantot funkcijas TEXTJOIN vai JSON, lai parsētu noteikšanas izvadi JSON atsevišķās kolonnās un atvieglotu analīzi.
Cilne Pārskats
Pārbaudes cilnē Koriģēšana sniegts kopsavilkuma informācijas panelis:
|
Metriskā funkcija. |
Nozīme |
|---|---|
|
Ierīces ar problēmām |
Ierīces, kurās sertifikāti vēl nav atjaunināti |
|
Ierīces bez problēmām |
Ierīces, kurās sertifikāti ir atjaunināti |
|
Ierīces ar nesekmīgu noteikšanu |
Ierīces, kurās skriptam radās kļūda |
Bieži uzdotie jautājumi
Vai tas kaut ko maina manās ierīcēs?
Nē. Šis skripts ir paredzēts tikai atklāšanai. Reģistra vērtības netiek modificētas, netiek izraisīti atjauninājumi un netiek veiktas koriģēšanas darbības. Skripts tikai nolasa vērtības un ziņo par tām.
Ko nozīmē "Ar problēmu"?
"Ar problēmu" nozīmē, ka ierīcē vēl nav lietoti 2023. gada drošās palaišanas sertifikāti un 2023. gada parakstītais palaišanas pārvaldnieks. Iemesls var būt šāds: - Sertifikāta atjaunināšana nav uzsākta - Atjaunināšana pašlaik notiek, un var būt nepieciešama atkārtota palaišana, - Ierīcē nav iespējota drošā palaišana, - Ierīce nav balstīta uz UEFI vai gaida atkārtotu palaišanu, lai lietotu palaišanas pārvaldnieku.
Ko nozīmē "Bez problēmas"?
"Bez problēmām" nozīmē, ka ierīcē ir iespējota drošā palaišana un UEFICA2023Status reģistra vērtība ir atjaunināta, kas norāda, ka 2023. gada sertifikāti ir sekmīgi lietoti.
Cik bieži skripts tiek izpildīts?
Skripts tiek izpildīts atbilstoši uzdevumam konfigurētajam grafikam. Aktīvai uzraudzībai ieviešanas laikā ieteicams lietot katru dienu. Pastāvīgai uzraudzībai pietiek ar katru nedēļu.
Kā rīkoties, ja apkalpošanas reģistra atslēga nepastāv?
Ja HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing atslēga ierīcē nepastāv, laukā UEFICA2023Status tiks parādīts NoValue. Parasti tas nozīmē, ka ierīcē nav uzsākta sertifikātu atjaunināšana.
Kādas licences ir nepieciešamas?
Koriģēšanai ir nepieciešama Windows 10/11 Enterprise E3/E5, Education A3/A5 vai F3 licence. Ja jūsu ierīcēm ir tikai Business Premium vai Pro licences, koriģēšana nebūs pieejama. Skatiet koriģēšanas priekšnosacījumus.
Resursi
Drošās palaišanas sertifikāta atjaunināšanas rokasgrāmata
Drošās palaišanas sertifikāta Atjauninājumi: norādes IT speciālistiem
Reģistra atslēgu Atjauninājumi drošai palaišanai
Drošās palaišanas DB un DBX mainīgo atjauninājumu notikumi
Nepieciešama papildu palīdzība?
Vēlaties vairāk opciju?
Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.
Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.
