Obs!
- Opprinnelig publiseringsdato: Februar 18, 2026
- KB-ID: 5080921
Denne artikkelen har veiledning for:
- IT-administratorer som trenger innsyn i oppdateringsstatusen for Secure Boot-sertifikatet fra sine Intune-registrerte Windows-enheter
- Organisasjoner forbereder seg på utløpsfristen for Secure Boot-sertifikatet i juni 2026
- Team som ønsker å overvåke fremdriften for sertifikatutrulling på tvers av sine Intune-registrerte Windows-enheter
I denne artikkelen:
- Innføring
- Forutsetninger
- Gjenkjenningsskript
- Opprette utbedringen i Intune
- Vise og eksportere resultater
- Vanlige spørsmål
- Ressurser
Innføring
Microsoft Secure Boot-sertifikater (2011 CA-er) utløper fra juni 2026. Alle Windows-enheter med sikker oppstart aktivert må oppdateres til 2023-sertifikatene før utløp for å sikre fortsatt støtte for sikkerhetsoppdateringer.
Denne veiledningen gir en tilnærming med bare overvåking ved hjelp av Microsoft Intune utbedringer (proaktive utbedringer). Gjenkjenningsskriptet samler inn sikker oppstart og sertifikatstatus fra hver enhet og rapporterer det tilbake til Intune-portalen – ingen utbedringstiltak utføres på enhetene. Dette gir administratorer en sentralisert, eksporterbar visning av sertifikatoppdateringsfremdriften på tvers av Intune-registrerte Windows-enheter.
Hvorfor bruke denne tilnærmingen?
| Fordel | Beskrivelse |
|---|---|
| Synlighet på tvers av hele enheten | Se sertifikatstatusen til hver Intune-registrert Windows-enhet på ett sted |
| Kan eksporteres | Eksportere resultater til CSV direkte fra Intune-portalen |
| Rå registerverdier | Se faktiske registerdata, ikke bare bestått/ikke bare |
| Enhetskontekst | Inkluderer produsent, modell, BIOS-versjon og fastvaretype |
| Telemetri i hendelsesloggen | Registrerer hendelses-ID-er for sikker oppstart (1801/1808), samling-ID-er og konfidensnivåer |
| Zero touch | Kjører stille som SYSTEM – ingen brukerinteraksjon kreves |
Hvis du vil ha fullstendig bakgrunnsinformasjon om sertifikatoppdateringene, kan du se Sertifikatoppdateringer for sikker oppstart: Veiledning for IT-teknikere og organisasjoner.
Forutsetninger
Før du distribuerer gjenkjenningsskriptet, må du sikre at miljøet oppfyller de nødvendige kravene.
Denne løsningen drar nytte av utbedringer i Microsoft Intune. Hvis du vil ha en fullstendig liste over forutsetninger, kan du se Bruke utbedringer til å oppdage og løse støtteproblemer – Microsoft Intune.
Gjenkjenning av skript
Gjenkjenningsskriptet er et PowerShell-skript som samler inn omfattende Secure Boot-lagerdata fra hver enhet og sender dem ut som en JSON-streng. Skriptet leser fra følgende kilder:
Register – oppdateringsstatus for sertifikat for sikker oppstart, vedlikeholdsnøkler, enhetsattributter og innstillinger for å velge eller bort fra HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot og undernøklene
WMI/CIM – OS-versjon, siste oppstartstid og maskinvareinformasjon for hovedkort
Hendelseslogger – systemhendelsesloggoppføringer for hendelses-ID-ene 1801 og 1808 (oppdateringshendelser for sikker oppstart)
JSON-utdataene vises i Intune-portalen under Utbedringer > Overvåk > Enhetsstatus > «Pre-utbedringsgjenkjenning» og kan eksporteres til CSV for analyse.
Viktig: Dette er et skript med bare gjenkjenning. Det gjøres ingen endringer på enheten. Ingen utbedringsskript er nødvendig.
Opprette skriptfilen
Obs!
VIKTIG Følgende artikkel som inneholder eksempelskriptet, er fjernet. Hvis du har installert en Windows-oppdatering utgitt 12. mai 2026 eller senere, finner du eksempelskriptet i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.
- Gå til eksempelskriptet for innsamling av beholdningsdata for sikker oppstart (KB5072718)
- Kopier hele skriptinnholdet fra siden
- Åpne et tekstredigeringsprogram (f.eks. Notisblokk, VS-kode) og lim inn skriptet
- Lagre filen som Detect-SecureBootCertUpdateStatus.ps1
Opprette utbedringen i Intune
Følg disse trinnene for å distribuere gjenkjenningsskriptet som en utbedring (skriptpakke) i Microsoft Intune.
Trinn 1: Opprett skriptpakken
- Logg på administrasjonssenteret for Microsoft Intune
- Gå til Utbedringer for enheter >
- Klikk + Opprett skriptpakke
Trinn 2: Grunnleggende
- Konfigurer følgende innstillinger i kategorien Grunnleggende :
| Innstilling | Verdi |
|---|---|
| Navn | Overvåker status for sertifikat for sikker oppstart |
| Beskrivelse | Overvåker oppdateringsstatus for Secure Boot-sertifikat på tvers av flåten. Bare gjenkjenning – ingen utbedringstiltak utføres. |
| Utgiver | (organisasjonsnavnet ditt) |
- Klikk Neste
Trinn 3: Innstillinger
- Konfigurer følgende innstillinger på Innstillinger-fanen :
| Innstilling | Verdi | Obs! |
|---|---|---|
| Fil for gjenkjenningsskript | Last opp Detect-SecureBootCertificateStatus.ps1 | Skriptet fra forrige del |
| Skriptfil for utbedring | (la det stå tomt) | Ingen utbedring er nødvendig – dette er bare overvåking |
| Kjør dette skriptet ved hjelp av den påloggede legitimasjonen | Nei | Kjører som SYSTEM for å sikre tilgang til Confirm-SecureBootUEFI og register |
| Fremtving skriptsignatursjekk | Nei | Angi til Ja hvis organisasjonen krever signerte skript |
| Kjør skript i 64-biters PowerShell | Ja | Kreves for Confirm-SecureBootUEFI cmdlet og nøyaktige registeravlesninger |
- Klikk Neste
Trinn 4: Omfangskoder
- Legg til eventuelle omfangskoder som kreves av organisasjonen, eller la den stå som standard
- Klikk Neste
Trinn 5: Oppgaver
| Innstilling | Verdi | Obs! |
|---|---|---|
| Tilordning | Velg enhetsgruppene du vil overvåke | Bruk Alle enheter for overvåking over hele flåten, eller bestemte grupper for målrettet overvåking |
| Tidsplan | Konfigurer etter dine overvåkingsbehov | Anbefalt: én gang hver dag for aktiv utrullingssporing, eller én gang hver uke for kontinuerlig overvåking |
Obs! Utbedringer kjører etter enhetens konfigurerte tidsplan. Den første kjøringen kan ta opptil 24 timer etter tildeling, avhengig av enhetens innsjekkingssyklus.
Klikk Neste
Trinn 6: Se gjennom + opprett
- Se gjennom alle innstillinger
- Klikk på Opprett
Vise og eksportere resultater
Vise resultater i portalen
- Gå til Utbedringer for enheter >
- Klikk på Secure Boot Certificate Status Monitor (eller navnet du valgte)
- Velg Skjerm-fanen
- Klikk Enhetsstatus
- Klikk Kolonner, og legg til utdata for forhåndsutbedringsgjenkjenning
Du vil se en tabell med følgende kolonner:
| Kolonne | Beskrivelse |
|---|---|
| Enhetsnavn | Navnet på enheten |
| Brukernavn | Den primære brukeren av enheten |
| Status for gjenkjenning | Uten utstedt_dato (sertifikater oppdatert) eller med utstedt_dato (sertifikater ikke oppdatert) |
| Utdata for gjenkjenning før utbedring | De fullstendige JSON-utdataene fra skriptet |
| Sist endret | Når skriptet sist kjørte på enheten |
Eksporter til CSV
- Klikk Eksporter-knappen øverst i tabellen på Enhetsstatus-siden
- CSV-filen laster ned alle kolonnene, inkludert fullstendige JSON-gjenkjenningsutdata for hver enhet
- Åpne i Excel for å filtrere, sortere og analysere etter hvilket som helst felt
Tips!: I Excel kan du bruke TEKST.KOMBINER- eller JSON-funksjonene til å analysere JSON for gjenkjenningsresultater i separate kolonner.
Oversikt-fanen
Oversikt-fanen på utbedringen inneholder et sammendragsinstrumentbord:
| Nøkkeltall | Betydning |
|---|---|
| Enheter med problemer | Enheter der sertifikatene ennå ikke er oppdatert |
| Enheter uten problemer | Enheter der sertifikater er oppdatert |
| Enheter med mislykket gjenkjenning | Enheter der det oppstod en feil i skriptet |
Vanlige spørsmål
Endrer dette noe på enhetene mine?
Nei. Dette er et skript med bare gjenkjenning. Ingen registerverdier endres, ingen oppdateringer utløses og ingen utbedringstiltak utføres. Skriptet leser bare verdier og rapporterer dem.
Hva betyr «Med problem»?
«Med problem» betyr at enheten ennå ikke har 2023 Secure Boot-sertifikatene tatt i bruk, og at den 2023-signerte oppstartsbehandlingen er på plass. Dette kan skyldes at: – Sertifikatoppdateringen ikke er startet – Oppdateringen pågår og krever kanskje en omstart for å fullføres – sikker oppstart er ikke aktivert på enheten – Enheten er ikke UEFI-basert eller venter på en omstart for å bruke oppstartsbehandlingen.
Hva betyr «Uten problem»?
«Uten problem» betyr at enheten har Secure Boot aktivert og at UEFICA2023Status-registerverdien er oppdatert, noe som indikerer at 2023-sertifikatene er tatt i bruk.
Hvor ofte kjøres skriptet?
Skriptet kjører etter tidsplanen du konfigurerer i oppgaven. For aktiv overvåking under en utrulling anbefales daglig. For løpende overvåking er ukentlig tilstrekkelig.
Hva om registernøkkelen for vedlikehold ikke finnes?
Hvis nøkkelen HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ikke finnes på en enhet, viser UEFICA2023Status-feltet NoValue. Dette betyr vanligvis at sertifikatoppdateringer ikke er startet på enheten.
Hvilke lisenser kreves?
Utbedringer krever Windows 10/11 Enterprise E3/E5-, Education A3/A5- eller F3-lisenser. Hvis enhetene bare har Business Premium- eller Pro-lisenser, er ikke utbedringer tilgjengelige. Se forutsetninger for utbedringer.
Ressurser
Oppdatering av strategiplan for sertifikat for sikker oppstart
Oppdateringer for sertifikat for sikker oppstart: veiledning for IT-teknikere
Oppdateringer av registernøkkel for sikker oppstart
Sikker oppstart DB- og DBX-variabeloppdateringshendelser