Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Opprinnelig publiseringsdato: 18. februar 2026 kl.

KB-ID: 5080921

Denne artikkelen har veiledning for:

  • IT-administratorer som trenger innsyn i oppdateringsstatusen for sertifikat for sikker oppstart fra Intune registrerte Windows-enheter

  • Organisasjoner som forbereder utløpsfristen for sertifikatet for sikker oppstart i juni 2026

  • Team som ønsker å overvåke fremdriften for utrulling av sertifikater på tvers av Intune registrerte Windows-enheter

I denne artikkelen:

Innledning

Microsoft Secure Boot-sertifikater (2011 CAs) utløper fra juni 2026. Alle Windows-enheter med sikker oppstart aktivert må oppdateres til 2023-sertifikatene før utløp for å sikre fortsatt støtte for sikkerhetsoppdatering. 

Denne veiledningen gir en overvåkingsbasert tilnærming ved hjelp av Microsoft Intune utbedringer (proaktive utbedringer). Gjenkjenningsskriptet samler inn status for sikker oppstart og sertifikat fra hver enhet og rapporterer det tilbake til Intune portalen – ingen utbedringshandling utføres på enheter. Dette gir administratorer en sentralisert, eksporterbar visning av sertifikatoppdateringsfremdrift på tvers av Intune registrerte Windows-enheter. 

Hvorfor bruke denne fremgangsmåten?

Fordel

Beskrivelse

Synlighet for hele enheten 

Se alle Intune registrerte sertifikatstatusen for Windows-enheten på ett sted

Eksporteres 

Eksportere resultater til CSV direkte fra Intune-portalen

Rå registerverdier

Se faktiske registerdata, ikke bare sende/mislykkes

Enhetskontekst 

Omfatter produsent, modell, BIOS-versjon og fastvaretype

Telemetri for hendelseslogg 

Fanger opp hendelses-ID-er for sikker oppstart (1801/1808), samlings-ID-er og konfidensnivåer

Null berøring

Kjører stille som SYSTEM – ingen brukermedvirkning kreves

Hvis du vil ha fullstendig bakgrunnsinformasjon om sertifikatoppdateringene, kan du se oppdateringer for sertifikat for sikker oppstart: Veiledning for IT-teknikere og organisasjoner

Forutsetninger

Før du distribuerer gjenkjenningsskriptet, må du sørge for at miljøet oppfyller de nødvendige kravene. 

Denne løsningen drar nytte av utbedringer i Microsoft Intune. Hvis du vil ha en fullstendig liste over forutsetninger, kan du se Bruke utbedringer til å oppdage og løse støtteproblemer – Microsoft Intune.

Gjenkjenningsskript

Gjenkjenningsskriptet er et PowerShell-skript som samler inn omfattende lagerdata for sikker oppstart fra hver enhet og sender dem som en JSON-streng. Skriptet leser fra følgende kilder: 

Registry — Oppdateringsstatus for sikker oppstartssertifikat, servicenøkler, enhetsattributter og innstillinger for valg av/påmelding fra HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot og undernøklene 

WMI/CIM – OS-versjon, siste oppstartstid og maskinvareinformasjon for baseboard 

Hendelseslogger – oppføringer i systemhendelsesloggen for hendelses-ID-er 1801 og 1808 (hendelser for sikker oppstartsoppdatering) 

JSON-utdataene vises i Intune-portalen under Utbedringer > Overvåk > Enhetsstatus > «Utdata for forhåndsutbedringsregistrering» og kan eksporteres til CSV for analyse. 

Viktig: Dette er et skript som bare gjenkjennes. Det gjøres ingen endringer på enheten. Ingen utbedringsskript er nødvendig. 

Opprette skriptfilen 

Opprett utbedringen i Intune 

Følg disse trinnene for å distribuere gjenkjenningsskriptet som en utbedring (skriptpakke) i Microsoft Intune. 

Trinn 1: Opprett skriptpakken 

Trinn 2: Grunnleggende 

  • Konfigurer følgende innstillinger på Grunnleggende-fanen:

Innstilling

Verdi

Navn

Statusovervåking for sertifikat for sikker oppstart

Beskrivelse

Overvåker oppdateringsstatus for sikker oppstartssertifikat på tvers av flåten. Bare gjenkjenning – ingen utbedringshandling utføres.

Publisher

(organisasjonsnavnet)

  • Klikk Neste

Trinn 3: Innstillinger 

  • Konfigurer følgende innstillinger på Innstillinger-fanen:

Innstilling

Verdi

Merknader

Gjenkjenningsskriptfil 

Last opp Detect-SecureBootCertificateStatus.ps1

Skriptet fra forrige del

Utbedringsskriptfil 

(la stå tomt)

Ingen utbedring er nødvendig – dette er bare overvåking

Kjør dette skriptet ved hjelp av påloggede legitimasjoner 

Nei

Kjører som SYSTEM for å sikre tilgang til Confirm-SecureBootUEFI og register

Fremtving skriptsignaturkontroll 

Nei

Sett til Ja hvis organisasjonen krever signerte skript

Kjør skript i 64-biters PowerShell

Ja

Obligatorisk for Confirm-SecureBootUEFI cmdlet og nøyaktige registerlesinger

  • Klikk Neste

Trinn 4: Omfangskoder 

  • Legg til omfangskoder som kreves av organisasjonen, eller forlat som standard

  • Klikk Neste

Trinn 5: Oppgaver 

Innstilling

Verdi

Merknader

Tilordning 

Velg enhetsgruppene som skal overvåkes

Bruk alle enheter for overvåking over hele flåten, eller bestemte grupper for målrettet overvåking

Tidsplan 

Konfigurer til overvåkingsbehovene dine

Anbefalt: Én gang hver dag for aktiv utrullingssporing, eller én gang i uken for kontinuerlig overvåking

Obs! Utbedringer kjører på enhetens konfigurerte tidsplan. Den første kjøringen kan ta opptil 24 timer etter oppgave, avhengig av enhetens innsjekkingssyklus. 

Klikk Neste

Trinn 6: Se gjennom + Opprett 

  • Se gjennom alle innstillinger

  • Klikk Opprett

Vise og eksportere resultater 

Vis resultater i portalen 

  • Gå til enheter > utbedringer

  • Klikk på statusovervåker for sikker oppstartssertifikat (eller navnet du valgte)

  • Velg Skjerm-fanen

  • Klikk enhetsstatus

  • Klikk kolonner og legg til utdata for utdata for utbedringsgjenkjenning

Statusovervåking

Du vil se en tabell med følgende kolonner: 

Kolonnen

Beskrivelse

Enhetsnavn

Navnet på enheten

Brukernavn 

Hovedbrukeren av enheten

Gjenkjenningsstatus 

Uten problem (sertifiserer oppdatert) eller med problem (sertifiserer ikke oppdatert)

Utdata for utdata for utbedringsgjenkjenning 

Hele JSON-utdataene fra skriptet

Sist endret 

Når skriptet sist kjørte på enheten

Eksporter til CSV 

  • Klikk Eksporter-knappen øverst i tabellen på siden Enhetsstatus

  • CSV-filen laster ned alle kolonner, inkludert hele JSON-gjenkjenningsutdataene for hver enhet

  • Åpne i Excel for å filtrere, sortere og analysere etter hvilket som helst felt

Tips: I Excel kan du bruke TEXTJOIN- eller JSON-funksjonene til å analysere JSON-gjenkjenningsutdataene i separate kolonner for enklere analyse. 

Oversikt-fanen

Intune oversikt

Oversikt-fanen på Utbedring gir et sammendragsinstrumentbord: 

Beregning

Betydning

Enheter med problemer

Enheter der sertifikater ennå ikke er oppdatert 

Enheter uten problemer

Enheter der sertifikater er oppdatert

Enheter med mislykket gjenkjenning

Enheter der skriptet oppdaget en feil

Vanlige spørsmål

Endrer dette noe på enhetene mine? 

Nei. Dette er et skript som bare gjenkjennes. Ingen registerverdier endres, ingen oppdateringer utløses, og ingen utbedringshandling utføres. Skriptet leser bare verdier og rapporterer dem. 

Hva betyr «Med problem»? 

"Med problem" betyr at enheten ennå ikke har 2023 Secure Boot-sertifikater brukt og den 2023-signerte oppstartsbehandlingen på plass. Dette kan skyldes: – Sertifikatoppdateringen er ikke startet – oppdateringen pågår og kan kreve en omstart for å fullføre – Sikker oppstart er ikke aktivert på enheten – enheten er ikke UEFI-basert eller venter på en omstart for å bruke oppstartsbehandlingen. 

Hva betyr «Uten problem»? 

"Uten problem" betyr at enheten har sikker oppstart aktivert og UEFICA2023Status-registerverdien oppdateres, noe som indikerer at 2023-sertifikatene er brukt. 

Hvor ofte kjører skriptet? 

Skriptet kjøres etter tidsplanen du konfigurerer i oppgaven. For aktiv overvåking under en utrulling anbefales daglig. For kontinuerlig overvåking er ukentlig tilstrekkelig. 

Hva om registernøkkelen for vedlikehold ikke finnes? 

Hvis HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ikke finnes på en enhet, viser UEFICA2023Status-feltet NoValue. Dette betyr vanligvis at sertifikatoppdateringer ikke er startet på enheten. 

Hvilke lisenser kreves? 

Utbedringer krever Windows 10/11 Enterprise E3/E5-, Education A3/A5- eller F3-lisenser. Hvis enhetene bare har Business Premium- eller Pro-lisenser, vil ikke utbedringer være tilgjengelige. Se forutsetninger for utbedringer

Ressurser 

Oppdateringsliste for sertifikat for sikker oppstart

Sertifikat for sikker oppstart Oppdateringer: Veiledning for IT-teknikere

Registernøkkel Oppdateringer for sikker oppstart

Oppdateringshendelser for sikker oppstart av DB og DBX-variabel

Utbedringer i Microsoft Intune 

Forutsetninger for utbedringer

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter