Sertifikat for sikker oppstart Oppdateringer for Azure virtuelt skrivebord
Gjelder for
Opprinnelig publiseringsdato: 19. februar 2026 kl.
KB-ID: 5080931
Denne artikkelen har veiledning for:
-
Azure Virtual Desktop-administratorer som administrerer vertsoppdateringer for økter
-
Organisasjoner som bruker virtuelle maskiner med sikker oppstart for Azure virtual desktop-distribusjoner
-
Organisasjoner som bruker egendefinerte bilder (gylne bilder) for Azure Virtual Desktop-distribusjoner
I denne artikkelen:
Innledning
Sikker oppstart er en UEFI-fastvaresikkerhetsfunksjon som bidrar til å sikre at bare klarert, digitalt signert programvare kjører under en enhetsoppstartssekvens. Microsoft Secure Boot-sertifikater utstedt i 2011 begynner å utløpe i juni 2026. Uten de oppdaterte 2023-sertifikatene vil ikke enhetene lenger motta nye beskyttelser eller begrensninger for sikker oppstart og oppstartsbehandling for nylig oppdagede sikkerhetsproblemer på oppstartsnivå.
Alle virtuelle maskiner med sikker oppstart som er registrert i Azure Virtual Desktop-tjenesten, og egendefinerte bilder som brukes til å klargjøre dem, må oppdateres til 2023-sertifikatene før utløp for å forbli beskyttet. Se når sertifikater for sikker oppstart utløper på Windows-enheter
Gjelder dette for mitt Azure Virtual Desktop-miljø?
|
Scenario |
Sikker oppstart aktiv? |
Handling kreves |
|
Øktverter |
||
|
Klarert oppstarts-VM med sikker oppstart aktivert |
Ja |
Oppdater sertifikater på verten for økten |
|
Klarert oppstarts-VM med sikker oppstart deaktivert |
Nei |
Ingen handling er nødvendig |
|
virtuell Standard sikkerhetstype |
Nei |
Ingen handling er nødvendig |
|
Generasjon 1 VM |
Støttes ikke |
Ingen handling er nødvendig |
|
Gylne bilder |
||
|
bilde av Azure databehandlingsgalleri med Sikker oppstart aktivert |
Ja |
Oppdater sertifikater i kildebildet |
|
bilde av Azure databehandlingsgalleri uten klarert oppstart |
Nei |
Bruk oppdateringer i øktverten etter distribusjon |
|
Administrert bilde (støtter ikke klarert lansering) |
Nei |
Bruk oppdateringer i øktverten etter distribusjon |
Hvis du vil ha fullstendig bakgrunnsinformasjon, kan du se sertifikatoppdateringer for sikker oppstart: Veiledning for IT-teknikere og organisasjoner.
Beholdning og skjerm
Før du utfører en handling, må du lagre miljøet ditt for å identifisere enheter som krever oppdateringer. Overvåking er viktig for å bekrefte at sertifikater brukes før fristen for juni 2026 – selv om du er avhengig av automatiske distribusjonsmetoder. Nedenfor finner du alternativer for å avgjøre om handling må utføres.
Alternativ 1: Microsoft Intune utbedringer
For øktverter som er registrert i Microsoft Intune, kan du distribuere et gjenkjenningsskript ved hjelp av Intune utbedringer (proaktive utbedringer) for automatisk å samle sertifikatstatus for sikker oppstart på tvers av flåten. Skriptet kjører stille på hver enhet og rapporterer status for sikker oppstart, fremdrift for sertifikatoppdatering og enhetsdetaljer tilbake til Intune-portalen – ingen endringer gjøres på enhetene. Resultatene kan vises og eksporteres til CSV direkte fra administrasjonssenteret for Intune for analyse over hele flåten.
Hvis du vil ha trinnvise instruksjoner om hvordan du distribuerer gjenkjenningsskriptet, kan du se Overvåke status for sikker oppstartssertifikat med Microsoft Intune utbedringer.
Alternativ 2: Statusrapport for sikker oppstart av sikker oppstart i Windows
For personlige faste øktverter som er registrert med Windows Autopatch, kan du gå til Intune administrasjonssenteret > Rapporter > Windows Autopatch > Windows-kvalitetsoppdateringer > Rapporter-fanen > Status for sikker oppstart. Se statusrapport for sikker oppstart i Windows Autopatch.
Obs!: Windows Autopatch støtter bare personlige faste virtuelle maskiner for Azure virtual desktop. Verter for flere økter, sammensatte ikke-vedvarende virtuelle maskiner og ekstern strømming av apper støttes ikke. Se Windows Autopatch på Azure virtual desktop-arbeidsbelastninger.
Alternativ 3: Registernøkler for flåteovervåking
Bruk de eksisterende verktøyene for enhetsadministrasjon til å spørre etter disse registerverdiene på tvers av flåten.
|
Registerbane |
Nøkkel |
Formål |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Gjeldende distribusjonsstatus |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Angir feil (skal ikke finnes) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Angir hendelses-ID (skal ikke finnes) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Tilgjengelige oppdateringer |
Ventende oppdateringsbiter |
Hvis du vil ha fullstendige detaljer om registernøkkelen, kan du se Registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer.
Alternativ 4: Overvåking av hendelseslogg
Bruk de eksisterende verktøyene for enhetsadministrasjon til å samle inn og overvåke disse hendelses-ID-ene fra systemhendelsesloggen på tvers av flåten.
|
Hendelses-ID |
Posisjon |
Betydning |
|
1808 |
System |
Sertifikater er tatt i bruk |
|
1801 |
System |
Oppdater status- eller feildetaljer |
Hvis du vil ha en fullstendig liste over hendelsesdetaljer, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX.
Alternativ 5: PowerShell Inventory Script
Kjør Microsofts eksempel på secure boot inventory Data Collection-skript for å kontrollere oppdateringsstatusen for sertifikatet for sikker oppstart. Skriptet samler inn flere datapunkter, inkludert sikker oppstartstilstand, UEFI CA 2023-oppdateringsstatus, fastvareversjon og hendelsesloggaktivitet.
Distribusjon
Viktig!: Uavhengig av hvilket distribusjonsalternativ du velger, anbefaler vi at du overvåker enhetsflåten for å bekrefte at sertifikater brukes før fristen for juni 2026. Hvis du vil ha egendefinerte bilder, kan du se Vurderinger av gylne bilder.
Alternativ 1: Automatisk Oppdateringer fra Windows Update (enheter med høy visshet)
Microsoft oppdaterer enheter automatisk gjennom månedlige oppdateringer for Windows når tilstrekkelig telemetri bekrefter vellykket distribusjon på lignende maskinvarekonfigurasjoner.
-
Status: Aktivert som standard for enheter med høy visshet
-
Ingen handling kreves med mindre du vil melde deg ut
|
Register |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Nøkkel |
HighConfidenceOptOut = 1 for å melde deg ut |
|
Gruppepolicy |
Datamaskinkonfigurasjon > administrative maler > Windows-komponenter > sikker oppstart > automatisk sertifikatdistribusjon via Oppdateringer > satt til Deaktivert for å melde seg ut. |
Anbefaling: Selv når automatiske oppdateringer er aktivert, kan du overvåke øktvertene for å bekrefte at sertifikater brukes. Ikke alle enheter kan kvalifisere for automatisk distribusjon med høy visshet.
Hvis du vil ha mer informasjon, kan du se Automatiserte distribusjonsassister.
Alternativ 2: IT-Initiated distribusjon
Utløs sertifikatoppdateringer manuelt for umiddelbar eller kontrollert utrulling.
|
Metoden |
Dokumentasjon |
|
Microsoft Intune |
|
|
Gruppepolicy |
|
|
Registernøkler |
|
|
WinCS CLI |
Obs!:
-
Ikke bland IT-initierte distribusjonsmetoder (for eksempel Intune og GPO) på samme enhet – de kontrollerer de samme registernøklene og kan komme i konflikt.
-
Tillat at ca. 48 timer og én eller flere omstarter for sertifikater kan gjelde fullstendig.
Vurderinger av gylne bilder
For Azure Virtual Desktop-miljøer som bruker Azure Compute Gallery-bilder med sikker oppstart aktivert, kan du bruke sertifikatoppdateringen sikker oppstart 2023 på det gylne bildet før du tar det opp. Bruk en av metodene som er beskrevet ovenfor for å bruke oppdateringen, og kontroller deretter at sertifikater oppdateres før du generaliserer:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Bilder uten aktivert klarert oppstart kan ikke motta sertifikatoppdateringer for sikker oppstart via bildet. Dette inkluderer administrerte bilder, som ikke støtter klarert lansering, og Azure Databehandlingsgalleri-bilder der klarert lansering ikke er aktivert. For enheter som er klargjort fra disse bildene, kan du bruke oppdateringer i gjesteoperativsystemet ved hjelp av en av metodene ovenfor.
Kjente problemer
Registernøkkelen for vedlikehold finnes ikke
|
Symptom |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-banen finnes ikke |
|
Årsak |
Sertifikatoppdateringer er ikke startet på enheten |
|
Løsning |
Vent på automatisk distribusjon via Windows Update, eller start manuelt ved hjelp av en av de IT-initierte distribusjonsmetodene ovenfor |
Statusen viser «InProgress» for utvidet periode
|
Symptom |
UEFICA2023Status forblir «InProgress» etter flere dager |
|
Årsak |
Enheten må kanskje startes på nytt for å fullføre oppdateringsprosessen |
|
Løsning |
Start verten for økten på nytt, og kontroller statusen på nytt etter 15 minutter. Hvis problemet vedvarer, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX for feilsøkingsveiledning |
UEFICA2023Error-registernøkkel finnes
|
Symptom |
UEFICA2023Error-registernøkkelen finnes |
|
Årsak |
Det oppstod en feil under sertifikatdistribusjon |
|
Løsning |
Kontroller systemhendelsesloggen for mer informasjon. Se oppdateringshendelser for sikker oppstart og DBX-variabel for feilsøkingsveiledning |
Ressurser
Trenger du mer hjelp?
Vil du ha flere alternativer?
Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.
Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.
