Sertifikat for sikker oppstart Oppdateringer for Windows 365
Opprinnelig publiseringsdato: 19. februar 2026 kl.
KB-ID: 5080914
Denne artikkelen har veiledning for:
-
Windows 365 administratorer som administrerer sky-PC-er.
-
Organisasjoner som bruker secure boot-aktiverte sky-PC-er for Windows 365 distribusjoner.
-
Organisasjoner som bruker egendefinerte bilder for Windows 365 distribusjoner.
I denne artikkelen:
Innledning
Sikker oppstart er en UEFI-fastvaresikkerhetsfunksjon som bidrar til å sikre at bare klarert, digitalt signert programvare kjører under en enhetsoppstartssekvens. Microsoft Secure Boot-sertifikater utstedt i 2011 begynner å utløpe i juni 2026. Uten de oppdaterte 2023-sertifikatene vil ikke enhetene lenger motta nye beskyttelser eller begrensninger for sikker oppstart og oppstartsbehandling for nylig oppdagede sikkerhetsproblemer på oppstartsnivå.
Alle sikre oppstartsaktiverte sky-PC-er som er klargjort i Windows 365-tjenesten, og egendefinerte bilder som brukes til å klargjøre dem, må oppdateres til 2023-sertifikatene før utløp for å forbli beskyttet. Se når sertifikater for sikker oppstart utløper på Windows-enheter.
Gjelder dette for mitt Windows 365 miljø?
|
Scenario |
Sikker oppstart aktiv? |
Handling kreves |
|
Skybaserte PC-er |
||
|
Skybasert PC med sikker oppstart aktivert |
Ja |
Oppdatere sertifikater på sky-PC-en |
|
Skybasert PC med sikker oppstart deaktivert |
Nei |
Ingen handling er nødvendig |
|
Bilder |
||
|
bilde av Azure databehandlingsgalleri med Sikker oppstart aktivert |
Ja |
Oppdater sertifikater i kildebildet før du generaliserer |
|
bilde av Azure databehandlingsgalleri uten klarert oppstart |
Nei |
Bruk oppdateringer i Skybasert PC etter klargjøring |
|
Administrert bilde (støtter ikke klarert lansering) |
Nei |
Bruk oppdateringer i Skybasert PC etter klargjøring |
Hvis du vil ha fullstendig bakgrunnsinformasjon, kan du se sertifikatoppdateringer for sikker oppstart: Veiledning for IT-teknikere og organisasjoner.
Beholdning og skjerm
Før du utfører en handling, må du lagre miljøet ditt for å identifisere enheter som krever oppdateringer. Overvåking er viktig for å bekrefte at sertifikater brukes før fristen for juni 2026 – selv om du er avhengig av automatiske distribusjonsmetoder. Nedenfor finner du alternativer for å avgjøre om handling må utføres.
Alternativ 1: Microsoft Intune utbedringer
For sky-PC-er som er registrert i Microsoft Intune, kan du distribuere et gjenkjenningsskript ved hjelp av Intune utbedringer (proaktive utbedringer) for automatisk å samle sertifikatstatus for sikker oppstart på tvers av flåten. Skriptet kjører stille på hver enhet og rapporterer status for sikker oppstart, fremdrift for sertifikatoppdatering og enhetsdetaljer tilbake til Intune-portalen – ingen endringer gjøres på enhetene. Resultatene kan vises og eksporteres til CSV direkte fra administrasjonssenteret for Intune for analyse over hele flåten.
Hvis du vil ha trinnvise instruksjoner om hvordan du distribuerer gjenkjenningsskriptet, kan du se Overvåke status for sikker oppstartssertifikat med Microsoft Intune utbedringer.
Alternativ 2: Statusrapport for sikker oppstart av sikker oppstart i Windows
For sky-PC-er som er registrert med Windows Autopatch, kan du gå til Intune administrasjonssenteret > Rapporter > Windows Autopatch > Windows-kvalitetsoppdateringer > Rapporter-fanen > Status for sikker oppstart. Se statusrapport for sikker oppstart i Windows Autopatch.
Obs! Hvis du vil bruke Windows Autopatch med Windows 365, må sky-PC-er være registrert med Windows Autopatch-tjenesten. Se Windows Autopatch på Windows 365 Enterprise arbeidsbelastninger.
Alternativ 3: Registernøkler for flåteovervåking
Bruk de eksisterende verktøyene for enhetsadministrasjon til å spørre etter disse registerverdiene på tvers av flåten.
|
Registerbane |
Nøkkel |
Formål |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Gjeldende distribusjonsstatus |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Angir feil (skal ikke finnes) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Angir hendelses-ID (skal ikke finnes) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Tilgjengelige oppdateringer |
Ventende oppdateringsbiter |
Hvis du vil ha fullstendige detaljer om registernøkkelen, kan du se Registernøkkeloppdateringer for sikker oppstart.
Alternativ 4: Overvåking av hendelseslogg
Bruk de eksisterende verktøyene for enhetsadministrasjon til å samle inn og overvåke disse hendelses-ID-ene fra systemhendelsesloggen på tvers av flåten.
|
Hendelses-ID |
Posisjon |
Betydning |
|
1808 |
System |
Sertifikater er tatt i bruk |
|
1801 |
System |
Oppdater status- eller feildetaljer |
Hvis du vil ha en fullstendig liste over hendelsesdetaljer, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX.
Alternativ 5: PowerShell Inventory Script
Kjør Microsofts eksempel på secure boot inventory Data Collection-skript for å kontrollere oppdateringsstatusen for sertifikatet for sikker oppstart. Skriptet samler inn flere datapunkter, inkludert sikker oppstartstilstand, UEFI CA 2023-oppdateringsstatus, fastvareversjon og hendelsesloggaktivitet.
Distribusjon
Viktig!: Uavhengig av hvilket distribusjonsalternativ du velger, anbefaler vi at du overvåker enhetsflåten for å bekrefte at sertifikater brukes før fristen for juni 2026. Hvis du vil ha egendefinerte bilder, kan du se Egendefinerte bildehensyn.
Alternativ 1: Automatisk Oppdateringer fra Windows Update (enheter med høy visshet)
Microsoft oppdaterer enheter automatisk gjennom månedlige oppdateringer for Windows når tilstrekkelig telemetri bekrefter vellykket distribusjon på lignende maskinvarekonfigurasjoner.
-
Status: Aktivert som standard for enheter med høy visshet
-
Ingen handling kreves med mindre du vil melde deg ut
|
Register |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Nøkkel |
HighConfidenceOptOut = 1 for å melde deg ut |
|
Gruppepolicy |
Datamaskinkonfigurasjon > administrative maler > Windows-komponenter > sikker oppstart > automatisk sertifikatdistribusjon via Oppdateringer > satt til deaktivert for å velge bort |
Anbefaling: Selv når automatiske oppdateringer er aktivert, kan du overvåke sky-PC-ene for å bekrefte at sertifikater brukes. Ikke alle enheter kan kvalifisere for automatisk distribusjon med høy visshet.
Hvis du vil ha mer informasjon, kan du se Automatiserte distribusjonsassister.
Alternativ 2: IT-Initiated distribusjon
Utløs sertifikatoppdateringer manuelt for umiddelbar eller kontrollert utrulling.
|
Metoden |
Dokumentasjon |
|
Microsoft Intune |
|
|
Gruppepolicy |
|
|
Registernøkler |
|
|
WinCS CLI |
Obs!:
-
Ikke bland IT-initierte distribusjonsmetoder (for eksempel Intune og GPO) på samme enhet – de kontrollerer de samme registernøklene og kan komme i konflikt.
-
Tillat at ca. 48 timer og én eller flere omstarter for sertifikater kan gjelde fullstendig.
Vurderinger av egendefinert bilde
Egendefinerte bilder administreres fullstendig av organisasjonen. Du er ansvarlig for å bruke sertifikatoppdateringer for sikker oppstart på det egendefinerte bildet og laste det opp på nytt før du bruker det til klargjøring.
Bruk av sertifikatoppdateringer for sikker oppstart på kildebildet støttes bare med Azure Compute Gallery-bilder (forhåndsversjon), som støtter klarert oppstart og sikker oppstart. Administrerte bilder støtter ikke sikker oppstart, så sertifikatoppdateringer kan ikke brukes på bildenivå. For sky-PC-er som er klargjort fra administrerte bilder, kan du bruke oppdateringer direkte på sky-PC-en ved hjelp av en av distribusjonsmetodene ovenfor.
Før du generaliserer et nytt egendefinert bilde, må du kontrollere at sertifikatene er oppdatert:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Kjente problemer
Registernøkkelen for vedlikehold finnes ikke
|
Symptom |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing banen finnes ikke |
|
Årsak |
Sertifikatoppdateringer er ikke startet på enheten |
|
Løsning |
Vent på automatisk distribusjon via Windows Update, eller start manuelt ved hjelp av en av de IT-initierte distribusjonsmetodene ovenfor |
Statusen viser «InProgress» for utvidet periode
|
Symptom |
UEFICA2023Status forblir «InProgress» etter flere dager |
|
Årsak |
Enheten må kanskje startes på nytt for å fullføre oppdateringsprosessen |
|
Løsning |
Start sky-PC-en på nytt, og kontroller statusen på nytt etter 15 minutter. Hvis problemet vedvarer, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX for feilsøkingsveiledning |
UEFICA2023Error-registernøkkel finnes
|
Symptom |
UEFICA2023Error-registernøkkelen finnes |
|
Årsak |
Det oppstod en feil under sertifikatdistribusjon |
|
Løsning |
Kontroller systemhendelsesloggen for mer informasjon. Se oppdateringshendelser for sikker oppstart og DBX-variabel for feilsøkingsveiledning |
Ressurser
Trenger du mer hjelp?
Vil du ha flere alternativer?
Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.
Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.
