Drošas sāknēšanas sertifikāta statusa Microsoft Intune ar Microsoft Intune labošanai
Attiecas uz
Sākotnējais publicēšanas datums: 2026. gada 18. februāris
KB ID: 5080921
Šajā rakstā ir norādījumi:
-
IT administratori, kuriem nepieciešams noteikt drošās sāknēšanas sertifikāta atjaunināšanas statusu Intune reģistrētajās Windows ierīcēs
-
Organizācijas, kas gatavojoties 2026. gada jūnija drošas sāknēšanas sertifikāta termiņam
-
Teams, kas vēlas pārraudzīt sertifikātu izvēršamību to Intune reģistrētajās Windows ierīcēs
Šajā rakstā:
Ievads
Microsoft Secure Boot sertifikātu (2011 CAS) derīguma termiņš beidzas no 2026. gada jūnija. Lai nodrošinātu nepārtrauktu drošības atjaunināšanas atbalstu, visas Windows ierīces ar iespējotu drošo sāknēšanas iespēju ir jāatjaunina uz 2023. gada sertifikātiem.
Šajā rokasgrāmatā ir pieejama tikai pārraudzībai paredzēta pieeja, Microsoft Intune koriģēšanu (proaktīvi koriģējošās darbības). Noteikšanas skripts apkopo drošās sāknēšanas un sertifikāta statusu no visām ierīcēm un ziņo par to atpakaļ Intune portālā — ierīcēs netiek veikti nekādi koriģējošas darbības. Tādējādi administratori var centralizēti, eksportējami skatīt sertifikātu atjaunināšanas norisi Intune reģistrētajās Windows ierīcēs.
Kāpēc izmantot šo metodi?
|
Priekšrocība |
Apraksts |
|---|---|
|
Ierīces redzamība |
Skatiet Intune ierīces sertifikāta statusu vienuviet |
|
Eksportējams |
Rezultātu eksportēšana CSV failā tieši no Intune portāla |
|
Neapstrādātas reģistra vērtības |
Skatīt faktiskos reģistra datus, nevis tikai ieejas/kļūmi |
|
Ierīces konteksts |
Ietilpst ražotājs, modelis, BIOS versija un aparātprogrammatūras tips |
|
Notikumu žurnāla telemetrija |
Tver drošās sāknēšanas notikuma ID (1801/1808), intervāla ID un ticamības līmeņus |
|
Nulles skāriens |
Darbojas bez brīdinājuma kā SYSTEM — lietotāja mijiedarbība nav nepieciešama |
Pilnīgu fona informāciju par sertifikātu atjauninājumiem skatiet rakstā Drošas sāknēšanas sertifikāta atjauninājumi: norādījumi IT speciālistiem un organizācijām.
Priekšnosacījumi
Pirms noteikšanas skripta izvietošanas pārliecinieties, vai jūsu vide atbilst nepieciešamajām prasībām.
Šis risinājums izmanto līdzekļus Darbības Microsoft Intune. Pilnu priekšnosacījumu sarakstu skatiet rakstā Koriģējošo darbību izmantošana, lai noteiktu un izlabotu atbalsta problēmas — Microsoft Intune.
Skriptu noteikšana
Noteikšanas skripts ir PowerShell skripts, kas apkopo visaptverošus drošās sāknēšanas krājumu datus no katras ierīces un izvada to kā JSON virkni. Skripts ir nolasīts no šādiem avotiem:
Reģistrs — drošās sāknēšanas sertifikāta atjaunināšanas statuss, apkalpošanas atslēgas, ierīces atribūti un atteikšanās/nepieteikšanas iestatījumi HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot un tās apakšatslēgās
WMI/CIM — OS versija, informācija par pēdējās palaišanas laiku un bāzes tāfeles aparatūras informāciju
Notikumu žurnāli — sistēmas notikumu žurnāla ieraksti notikuma ID 1801 un 1808 (drošās sāknēšanas atjaunināšanas notikumi)
JSON izvade tiek parādīta Intune portālā sadaļā Labošana, lai pārraudzītu > > ierīces statusu > "Pirmslabošanas noteikšanas izvade", un to var eksportēt CSV failā, lai to analizētu.
Svarīgi! Šis ir tikai noteikšanas skripts. Ierīcē netiek veiktas izmaiņas. Nav jāveic labošanas skripts.
Skripta faila izveide
-
Naviģējiet uz parauga drošās palaišanas krājumu datu kolekcijas skriptu (KB5072718)
-
Pilna skripta satura kopēšana no lapas
-
Atveriet teksta redaktoru (piemēram, Piezīmjbloks, VS kods) un ielīmējiet skriptu
-
Saglabājiet failu kā Detect-SecureBootCertUpdateStatus.ps1
Labošanas izveidošana programmā Intune
Izpildiet šos norādījumus, lai izvietotu noteikšanas skriptu kā koriģēšanu (skripta pakotni) programmā Microsoft Intune.
1. darbība. Skripta pakotnes izveide
-
Pierakstīšanās Microsoft Intune centrā
-
Navigācija uz > Labošana
-
Noklikšķiniet uz + Izveidot skripta pakotni
2. darbība. Pamati
-
Cilnē Pamati konfigurējiet tālāk norādītos iestatījumus.
|
Iestatījums |
Vērtība |
|---|---|
|
Nosaukums |
Droša sāknēšanas sertifikāta statusa pārraugs |
|
Apraksts |
Pārrauga drošas sāknēšanas sertifikāta atjaunināšanas statusu serverī. Tikai noteikšana — nekādi koriģējošās darbības netiek veikti. |
|
Publisher |
(jūsu organizācijas nosaukums) |
-
Noklikšķiniet uz Tālāk
3. darbība. Iestatījumi
-
Cilnē Iestatījumi konfigurējiet tālāk norādītos iestatījumus.
|
Iestatījums |
Vērtība |
Piezīmes |
|---|---|---|
|
Skripta faila noteikšana |
Augšupielāde Detect-SecureBootCertificateStatus.ps1 |
Skripts no iepriekšējās sadaļas |
|
Skripta faila labošana |
(atstājiet tukšu) |
Nekādas labošanas nav nepieciešama — tā notiek tikai pārraudzība |
|
Izpildiet šo skriptu, izmantojot pieteikšanās akreditācijas datus |
Nē |
Darbojas kā SYSTEM, lai nodrošinātu piekļuvi Confirm-SecureBootUEFI un reģistram |
|
Skripta paraksta piespīdēšanas pārbaude |
Nē |
Iestatīt uz Jā, ja jūsu organizācijai ir nepieciešami parakstīti skripti |
|
Skripta palaišana 64 bitu PowerShell versijā |
Jā |
Obligāti, lai Confirm-SecureBootUEFI cmdlet un precīzu reģistra lasīšanu |
-
Noklikšķiniet uz Tālāk
4. darbība. Tvēruma atzīmes
-
Pievienojiet tvēruma atzīmes, kas nepieciešamas jūsu organizācijai, vai atstājiet to kā noklusējumu
-
Noklikšķiniet uz Tālāk
5. darbība. Uzdevumi
|
Iestatījums |
Vērtība |
Piezīmes |
|---|---|---|
|
Uzdevumi |
Pārraudzīto ierīču grupu atlase |
Izmantot visas ierīces ar mērķi pārraudzīt vai noteiktas grupas atlasītai pārraudzībai |
|
Grafiks |
Konfigurējiet savas pārraudzības vajadzības |
Ieteicams: vienreiz dienā aktīvai izsekošanu izsekošanu vai vienu reizi nedēļā pastāvīgai pārraudzībai |
Piezīme. Koriģējošās darbības tiek palaistas ierīces konfigurētajā grafikā. Pirmā palaišana var ilgt līdz pat 24 stundām pēc uzdevuma atkarībā no ierīces atd piešķiršanas cikla.
Noklikšķiniet uz Tālāk
6. darbība. Pārskatīšana+ izveide
-
Visu iestatījumu pārskatīšana
-
Noklikšķiniet uz Izveidot
Rezultātu skatīšana un eksportēšana
Rezultātu skatīšana portālā
-
Navigācija uz > Labošana
-
Noklikšķiniet uz drošās sāknēšanas sertifikāta statusa pārrauga (vai atlasītā nosaukuma)
-
Atlasīt cilni Monitors
-
Noklikšķiniet uz Ierīces statuss
-
Noklikšķiniet uz Kolonnas un pievienojiet pirmslabošanas noteikšanas izvadi
Būs redzama tabula ar šādām kolonnām:
|
Kolonna |
Apraksts |
|---|---|
|
Ierīces nosaukums |
Ierīces nosaukums |
|
Lietotājvārds |
Ierīces primārais lietotājs |
|
Noteikšanas statuss |
Bez problēmas (certi atjaunināti) vai problēmas (certi nav atjaunināti) |
|
Iepriekšējas labošanas noteikšanas izvade |
Pilna JSON izvade no skripta |
|
Pēdējoreiz modificēts |
Kad skripts ierīcē pēdējoreiz darbojās |
Eksportēšana CSV failā
-
Ierīces statusa lapā noklikšķiniet uz pogas Eksportēt tabulas augšdaļā.
-
CSV fails lejupielādē visas kolonnas, tostarp pilnu JSON noteikšanas izvadi katrai ierīcei
-
Atvērt programmā Excel, lai filtrētu, kārtotu un analizētu pēc jebkura lauka
Padoms. Programmā Excel varat izmantot funkcijas TEXTJOIN vai JSON, lai parsēt noteikšanas izvadi JSON atsevišķās kolonnās vieglākai analīzei.
Cilne Pārskats
Labošanas cilne Pārskats nodrošina kopsavilkuma informācijas paneli:
|
Metrika |
Nozīme |
|---|---|
|
Ierīces ar problēmām |
Ierīces, kurās sertifikāti vēl nav atjaunināti |
|
Ierīces bez problēmām |
Ierīces, kurās ir pieejami sertifikāti |
|
Ierīces ar neizdevušos noteikšanu |
Ierīces, kurās skripts radās kļūda |
Bieži uzdotie jautājumi
Vai tas kaut ko maina manās ierīcēs?
Nē. Šis ir tikai noteikšanas skripts. Reģistra vērtības netiek modificētas, atjauninājumi netiek aktivizēti un nav jāveic labošanas darbības. Skripts lasa tikai vērtības un ziņo par tām.
Ko nozīmē "Ar problēmu"?
"Ar problēmu" nozīmē, ka ierīcei vēl netiek lietoti 2023. gada drošās sāknēšanas sertifikāti un 2023 parakstīts palaišanas pārvaldnieks. Iespējams, tas ir tāpēc, ka nav sākts sertifikāta atjauninājums — atjauninājums tiek veikts, un var būt nepieciešama atkārtota palaišana, lai to pabeigtu . Ierīcē nav iespējota drošā palaišana — ierīce nav UEFI bāzes vai gaida atsāknēšanas programmu, lai lietotu sāknēšanas pārvaldnieku.
Ko nozīmē "Bez problēmas"?
"Bez problēmas" nozīmē, ka ierīcei ir iespējota drošā sāknēšana, un tiek atjaunināta UEFICA2023Status reģistra vērtība, norādot, ka 2023. gada sertifikāti ir sekmīgi lietoti.
Cik bieži notiek skripts?
Skripts tiek izpildīts uzdevumā konfigurētā grafikā. Aktīvai pārraudzībai izvērššanās laikā ieteicams izmantot katru dienu. Pastāvīgai pārraudzībai pietiek ar katru nedēļu.
Kā kas notiks, ja apkalpošanas reģistra atslēga nepastāv?
Ja ierīcē nepastāv HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing atslēga, laukā UEFICA2023Status tiks rādīts NoValue. Tas parasti nozīmē to, ka ierīcē nav iniciēta sertifikātu atjaunināšana.
Kādas licences ir nepieciešamas?
Labošanai ir nepieciešamas Windows 10/11 Enterprise E3/E5, Education A3/A5 vai F3 licences. Ja jūsu ierīcēm ir tikai Business Premium vai Pro licences, labošana nebūs pieejama. Skatiet sadaļu Labošanas priekšnosacījumi.
Resursi
Drošas sāknēšanas sertifikāta atjaunināšanas playbook
Drošas sāknēšanas Atjauninājumi: norādījumi IT speciālistiem
Drošas Atjauninājumi reģistra atslēgas atslēga