Overvåke status for Secure Boot-sertifikat med Intune-utbedringer

Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Obs!

  • Opprinnelig publiseringsdato: Februar 18, 2026
  • KB-ID: 5080921

Denne artikkelen har veiledning for:

  • IT-administratorer som trenger innsyn i oppdateringsstatusen for Secure Boot-sertifikatet fra sine Intune-registrerte Windows-enheter
  • Organisasjoner forbereder seg på utløpsfristen for Secure Boot-sertifikatet i juni 2026
  • Team som ønsker å overvåke fremdriften for sertifikatutrulling på tvers av sine Intune-registrerte Windows-enheter

I denne artikkelen:

Innføring

Microsoft Secure Boot-sertifikater (2011 CA-er) utløper fra juni 2026. Alle Windows-enheter med sikker oppstart aktivert må oppdateres til 2023-sertifikatene før utløp for å sikre fortsatt støtte for sikkerhetsoppdateringer.

Denne veiledningen gir en tilnærming med bare overvåking ved hjelp av Microsoft Intune utbedringer (proaktive utbedringer). Gjenkjenningsskriptet samler inn sikker oppstart og sertifikatstatus fra hver enhet og rapporterer det tilbake til Intune-portalen – ingen utbedringstiltak utføres på enhetene. Dette gir administratorer en sentralisert, eksporterbar visning av sertifikatoppdateringsfremdriften på tvers av Intune-registrerte Windows-enheter.

Hvorfor bruke denne tilnærmingen?

Fordel Beskrivelse
Synlighet på tvers av hele enheten Se sertifikatstatusen til hver Intune-registrert Windows-enhet på ett sted
Kan eksporteres Eksportere resultater til CSV direkte fra Intune-portalen
Rå registerverdier Se faktiske registerdata, ikke bare bestått/ikke bare
Enhetskontekst Inkluderer produsent, modell, BIOS-versjon og fastvaretype
Telemetri i hendelsesloggen Registrerer hendelses-ID-er for sikker oppstart (1801/1808), samling-ID-er og konfidensnivåer
Zero touch Kjører stille som SYSTEM – ingen brukerinteraksjon kreves

Hvis du vil ha fullstendig bakgrunnsinformasjon om sertifikatoppdateringene, kan du se Sertifikatoppdateringer for sikker oppstart: Veiledning for IT-teknikere og organisasjoner.

Forutsetninger

Før du distribuerer gjenkjenningsskriptet, må du sikre at miljøet oppfyller de nødvendige kravene.

Denne løsningen drar nytte av utbedringer i Microsoft Intune. Hvis du vil ha en fullstendig liste over forutsetninger, kan du se Bruke utbedringer til å oppdage og løse støtteproblemer – Microsoft Intune.

Gjenkjenning av skript

Gjenkjenningsskriptet er et PowerShell-skript som samler inn omfattende Secure Boot-lagerdata fra hver enhet og sender dem ut som en JSON-streng. Skriptet leser fra følgende kilder:

Register – oppdateringsstatus for sertifikat for sikker oppstart, vedlikeholdsnøkler, enhetsattributter og innstillinger for å velge eller bort fra HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot og undernøklene

WMI/CIM – OS-versjon, siste oppstartstid og maskinvareinformasjon for hovedkort

Hendelseslogger – systemhendelsesloggoppføringer for hendelses-ID-ene 1801 og 1808 (oppdateringshendelser for sikker oppstart)

JSON-utdataene vises i Intune-portalen under Utbedringer > Overvåk > Enhetsstatus > «Pre-utbedringsgjenkjenning» og kan eksporteres til CSV for analyse.

Viktig: Dette er et skript med bare gjenkjenning. Det gjøres ingen endringer på enheten. Ingen utbedringsskript er nødvendig.

Opprette skriptfilen

Obs!

VIKTIG Følgende artikkel som inneholder eksempelskriptet, er fjernet. Hvis du har installert en Windows-oppdatering utgitt 12. mai 2026 eller senere, finner du eksempelskriptet i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.

Opprette utbedringen i Intune

Følg disse trinnene for å distribuere gjenkjenningsskriptet som en utbedring (skriptpakke) i Microsoft Intune.

Trinn 1: Opprett skriptpakken

Trinn 2: Grunnleggende

  • Konfigurer følgende innstillinger i kategorien Grunnleggende :
Innstilling Verdi
Navn Overvåker status for sertifikat for sikker oppstart
Beskrivelse Overvåker oppdateringsstatus for Secure Boot-sertifikat på tvers av flåten. Bare gjenkjenning – ingen utbedringstiltak utføres.
Utgiver (organisasjonsnavnet ditt)
  • Klikk Neste

Trinn 3: Innstillinger

  • Konfigurer følgende innstillinger på Innstillinger-fanen :
Innstilling Verdi Obs!
Fil for gjenkjenningsskript Last opp Detect-SecureBootCertificateStatus.ps1 Skriptet fra forrige del
Skriptfil for utbedring (la det stå tomt) Ingen utbedring er nødvendig – dette er bare overvåking
Kjør dette skriptet ved hjelp av den påloggede legitimasjonen Nei Kjører som SYSTEM for å sikre tilgang til Confirm-SecureBootUEFI og register
Fremtving skriptsignatursjekk Nei Angi til Ja hvis organisasjonen krever signerte skript
Kjør skript i 64-biters PowerShell Ja Kreves for Confirm-SecureBootUEFI cmdlet og nøyaktige registeravlesninger
  • Klikk Neste

Trinn 4: Omfangskoder

  • Legg til eventuelle omfangskoder som kreves av organisasjonen, eller la den stå som standard
  • Klikk Neste

Trinn 5: Oppgaver

Innstilling Verdi Obs!
Tilordning Velg enhetsgruppene du vil overvåke Bruk Alle enheter for overvåking over hele flåten, eller bestemte grupper for målrettet overvåking
Tidsplan Konfigurer etter dine overvåkingsbehov Anbefalt: én gang hver dag for aktiv utrullingssporing, eller én gang hver uke for kontinuerlig overvåking

Obs! Utbedringer kjører etter enhetens konfigurerte tidsplan. Den første kjøringen kan ta opptil 24 timer etter tildeling, avhengig av enhetens innsjekkingssyklus.

Klikk Neste

Trinn 6: Se gjennom + opprett

  • Se gjennom alle innstillinger
  • Klikk på Opprett

Vise og eksportere resultater

Vise resultater i portalen

  • Gå til Utbedringer for enheter >
  • Klikk på Secure Boot Certificate Status Monitor (eller navnet du valgte)
  • Velg Skjerm-fanen
  • Klikk Enhetsstatus
  • Klikk Kolonner, og legg til utdata for forhåndsutbedringsgjenkjenning

Statusovervåking

Du vil se en tabell med følgende kolonner:

Kolonne Beskrivelse
Enhetsnavn Navnet på enheten
Brukernavn Den primære brukeren av enheten
Status for gjenkjenning Uten utstedt_dato (sertifikater oppdatert) eller med utstedt_dato (sertifikater ikke oppdatert)
Utdata for gjenkjenning før utbedring De fullstendige JSON-utdataene fra skriptet
Sist endret Når skriptet sist kjørte på enheten

Eksporter til CSV

  • Klikk Eksporter-knappen øverst i tabellen på Enhetsstatus-siden
  • CSV-filen laster ned alle kolonnene, inkludert fullstendige JSON-gjenkjenningsutdata for hver enhet
  • Åpne i Excel for å filtrere, sortere og analysere etter hvilket som helst felt

Tips!: I Excel kan du bruke TEKST.KOMBINER- eller JSON-funksjonene til å analysere JSON for gjenkjenningsresultater i separate kolonner.

Oversikt-fanen

Oversikt over Intune

Oversikt-fanen på utbedringen inneholder et sammendragsinstrumentbord:

Nøkkeltall Betydning
Enheter med problemer Enheter der sertifikatene ennå ikke er oppdatert
Enheter uten problemer Enheter der sertifikater er oppdatert
Enheter med mislykket gjenkjenning Enheter der det oppstod en feil i skriptet

Vanlige spørsmål

Endrer dette noe på enhetene mine?

Nei. Dette er et skript med bare gjenkjenning. Ingen registerverdier endres, ingen oppdateringer utløses og ingen utbedringstiltak utføres. Skriptet leser bare verdier og rapporterer dem.

Hva betyr «Med problem»?

«Med problem» betyr at enheten ennå ikke har 2023 Secure Boot-sertifikatene tatt i bruk, og at den 2023-signerte oppstartsbehandlingen er på plass. Dette kan skyldes at: – Sertifikatoppdateringen ikke er startet – Oppdateringen pågår og krever kanskje en omstart for å fullføres – sikker oppstart er ikke aktivert på enheten – Enheten er ikke UEFI-basert eller venter på en omstart for å bruke oppstartsbehandlingen.

Hva betyr «Uten problem»?

«Uten problem» betyr at enheten har Secure Boot aktivert og at UEFICA2023Status-registerverdien er oppdatert, noe som indikerer at 2023-sertifikatene er tatt i bruk.

Hvor ofte kjøres skriptet?

Skriptet kjører etter tidsplanen du konfigurerer i oppgaven. For aktiv overvåking under en utrulling anbefales daglig. For løpende overvåking er ukentlig tilstrekkelig.

Hva om registernøkkelen for vedlikehold ikke finnes?

Hvis nøkkelen HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ikke finnes på en enhet, viser UEFICA2023Status-feltet NoValue. Dette betyr vanligvis at sertifikatoppdateringer ikke er startet på enheten.

Hvilke lisenser kreves?

Utbedringer krever Windows 10/11 Enterprise E3/E5-, Education A3/A5- eller F3-lisenser. Hvis enhetene bare har Business Premium- eller Pro-lisenser, er ikke utbedringer tilgjengelige. Se forutsetninger for utbedringer.

Ressurser

Oppdatering av strategiplan for sertifikat for sikker oppstart

Oppdateringer for sertifikat for sikker oppstart: veiledning for IT-teknikere

Oppdateringer av registernøkkel for sikker oppstart

Sikker oppstart DB- og DBX-variabeloppdateringshendelser

Utbedringer i Microsoft Intune

Forutsetninger for utbedringer