Status van Secure Boot-certificaat bewaken met Microsoft Intune herstelbewerkingen

Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Opmerking

  • Oorspronkelijke publicatiedatum: 18 februari 2026
  • KB-id: 5080921

Dit artikel bevat richtlijnen voor:

  • IT-beheerders die inzicht nodig hebben in de updatestatus van Secure Boot-certificaten op hun Intune ingeschreven Windows-apparaten
  • Organisaties die zich voorbereiden op de verloopdatum van het Secure Boot-certificaat van juni 2026
  • Teams die de voortgang van de certificaatimplementatie op hun bij Intune geregistreerde Windows-apparaten willen volgen

In dit artikel:

Inleiding

Microsoft Secure Boot-certificaten (2011 CA's) verlopen vanaf juni 2026. Alle Windows-apparaten waarop Beveiligd opstarten is ingeschakeld, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om ervoor te zorgen dat de beveiligingsupdate wordt voortgezet.

Deze handleiding biedt een benadering die alleen controle gebruikt met behulp van Microsoft Intune-herstel (proactieve herstelbewerkingen). Het detectiescript verzamelt de status van beveiligd opstarten en certificaten van elk apparaat en rapporteert deze aan de Intune-portal. Er worden geen herstelacties ondernomen op apparaten. Dit geeft beheerders een gecentraliseerd, exporteerbaar overzicht van de voortgang van certificaatupdates op hun bij Intune geregistreerde Windows-apparaten.

Waarom zou u deze aanpak gebruiken?

Voordeel Beschrijving
Zichtbaarheid voor het hele apparaat Bekijk de certificaatstatus van elk bij Intune geregistreerd Windows-apparaat op één plek
Exporteerbaar Resultaten rechtstreeks vanuit de Intune-portal naar een CSV exporteren
Onbewerkte registerwaarden Werkelijke registergegevens bekijken, niet alleen slagen/afkeuren
Context van apparaat Inclusief fabrikant, model, BIOS-versie en firmwaretype
Telemetrie van het gebeurtenislogboek Legt gebeurtenis-id's voor beveiligd opstarten (1801/1808), bucket-id's en betrouwbaarheidsniveaus vast
Zero touch Werkt geruisloos als SYSTEEM - geen gebruikersinteractie vereist

Zie voor volledige achtergrondinformatie over de certificaatupdates: Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties.

Vereisten

Voordat u het detectiescript implementeert, moet u ervoor zorgen dat uw omgeving voldoet aan de noodzakelijke vereisten.

Deze oplossing maakt gebruik van herstelbewerkingen in Microsoft Intune. Zie Herstel gebruiken om ondersteuningsproblemen op te sporen en op te lossen - Microsoft Intune voor een volledige lijst met vereisten.

Detectiescripts

Het detectiescript is een PowerShell-script dat uitgebreide Secure Boot-inventarisgegevens van elk apparaat verzamelt en deze uitvoert als een JSON-tekenreeks. Het script is afkomstig uit de volgende bronnen:

Register : updatestatus, onderhoudssleutels, apparaatkenmerken en instellingen voor opt-in/opt-out van Secure Boot-certificaat van HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot en de subsleutels daarvan

WMI/CIM: versie van besturingssysteem, laatste opstarttijd en informatie over baseboardhardware

Gebeurtenislogboeken : vermeldingen in het systeemgebeurtenislogboek voor gebeurtenis-id's 1801 en 1808 (updategebeurtenissen voor beveiligd opstarten)

De JSON-uitvoer wordt weergegeven in de Intune-portal onder Herstelcontrole >> Apparaatstatus > 'Uitvoer detectie pre-herstel' en kan voor analyse worden geëxporteerd naar CSV.

Belangrijk: Dit is een script dat alleen voor detectie werkt. Er worden geen wijzigingen aan het apparaat aangebracht. Er is geen herstelscript nodig.

Het scriptbestand maken

Opmerking

BELANGRIJK Het volgende artikel met het voorbeeldscript is niet meer beschikbaar. Als u een Windows-update hebt geïnstalleerd die is uitgebracht op of na 12 mei 2026, vindt u het voorbeeldscript in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.

  • Navigeer naar het voorbeeld van het Secure Boot-inventarisatiegegevensverzamelingsscript (KB5072718)
  • De volledige scriptinhoud van de pagina kopiëren
  • Open een teksteditor (bijvoorbeeld Kladblok, VS Code) en plak het script
  • Het bestand opslaan als Detect-SecureBootCertUpdateStatus.ps1

De oplossing maken in Intune

Volg deze stappen om het detectiescript te implementeren als een Remediation (scriptpakket) in Microsoft Intune.

Stap 1: Het scriptpakket maken

Stap 2: Basisbeginselen

  • Configureer de volgende instellingen op het tabblad Basis:
Instelling Waarde
Naam Secure Boot Certificate Status Monitor
Beschrijving Bewaakt de updatestatus van Secure Boot-certificaten in de hele vloot. Alleen detectie: er worden geen herstelacties uitgevoerd.
Uitgever (de naam van uw organisatie)
  • Klik op Volgende.

Stap 3: Instellingen

  • Configureer de volgende instellingen op het tabblad Instellingen :
Instelling Waarde Opmerkingen
Detectiescriptbestand Een Detect-SecureBootCertificateStatus.ps1 uploaden Het script uit de vorige sectie
Scriptbestand voor herstel (laat leeg) Er is geen herstel nodig - dit is alleen monitoring
Voer dit script uit met de referenties waarvoor u bent aangemeld Nee Wordt uitgevoerd als SYSTEM om toegang tot Confirm-SecureBootUEFI en register te garanderen
Controle op scripthandtekening afdwingen Nee Stel in op Ja als voor uw organisatie een ondertekend script vereist is
Een script uitvoeren in de 64-bits versie van PowerShell Nee Vereist voor Confirm-SecureBootUEFI cmdlet en nauwkeurige registerlezingen
  • Klik op Volgende.

Stap 4: Bereiktags

  • Voeg bereiktags toe die vereist zijn door uw organisatie of laat deze als standaard staan
  • Klik op Volgende.

Stap 5: Toewijzingen

Instelling Waarde Opmerkingen
Toewijzingen Selecteer de apparaatgroepen die u wilt bewaken Alle apparaten gebruiken voor bewaking voor het gehele machinepark of specifieke groepen voor gerichte bewaking
rente_waarden Configureren naar uw bewakingsbehoeften Aanbevolen: Eenmaal per dag voor het actief bijhouden van de implementatie of eenmaal per week voor doorlopende bewaking

Opmerking: Herstelbewerkingen worden uitgevoerd volgens het geconfigureerde schema van het apparaat. De eerste uitvoering kan tot 24 uur na toewijzing duren, afhankelijk van de incheckcyclus van het apparaat.

Klik op Volgende.

Stap 6: Controleren + Maken

  • Alle instellingen controleren
  • Klik op Maken

Resultaten weergeven en exporteren

Resultaten weergeven in de portal

  • Ga naar Herstel van apparaten >
  • Klik op Secure Boot Certificate Status Monitor (of de naam die je hebt gekozen)
  • Selecteer het tabblad Beeldscherm
  • Klik op Apparaatstatus
  • Klik op Kolommen en voeg uitvoer voor herstel toe

Statuscontrole

U ziet een tabel met de volgende kolommen:

Kolom Beschrijving
Apparaatnaam De naam van het apparaat
Gebruikersnaam De primaire gebruiker van het apparaat
Detectiestatus Zonder probleem (certificaten bijgewerkt) of met uitgifte (certificaten niet bijgewerkt)
Uitvoer voor detectie van herstel De volledige JSON-uitvoer van het script
Laatst gewijzigd Wanneer het script voor het laatst is uitgevoerd op het apparaat

Naar CSV exporteren

  • Klik op de pagina Apparaatstatus op de knop Exporteren boven aan de tabel
  • Met het CSV-bestand worden alle kolommen gedownload, inclusief de volledige JSON-detectie-uitvoer voor elk apparaat
  • Openen in Excel om te filteren, sorteren en analyseren op elk willekeurig veld

Tip: In Excel kunt u de functies TEXTJOIN of JSON gebruiken om de detectie-JSON in afzonderlijke kolommen te parseren voor eenvoudigere analyse.

Tabblad Overzicht

Overzicht van Intune

Het tabblad Overzicht op het herstelscherm biedt een overzichtsdashboard:

Meetgegevens Betekenis
Apparaten met problemen Apparaten waarop certificaten nog niet zijn bijgewerkt
Apparaten zonder problemen Apparaten waarop certificaten up-to-date zijn
Apparaten met mislukte detectie Apparaten waarop in het script een fout is opgetreden

Veelgestelde vragen

Verandert dit iets op mijn apparaten?

Nee. Dit is een script dat alleen voor detectie werkt. Er worden geen registerwaarden gewijzigd, geen updates geactiveerd en er worden geen herstelacties uitgevoerd. Het script leest alleen waarden en rapporteert deze.

Wat betekent 'Met probleem'?

'Met probleem' betekent dat op het apparaat de 2023 Secure Boot-certificaten nog niet zijn toegepast en de 2023-ondertekende opstartmanager nog niet aanwezig is. Dit kan zijn omdat: - de certificaatupdate niet is gestart - De update wordt uitgevoerd en mogelijk moet opnieuw worden opgestart om te voltooien - Beveiligd opstarten is niet ingeschakeld op het apparaat - Het apparaat is niet UEFI-gebaseerd of wacht op opnieuw opstarten om opstartbeheer toe te passen.

Wat betekent 'zonder problemen'?

'Zonder probleem' betekent dat beveiligd opstarten op het apparaat is ingeschakeld en dat de registerwaarde UEFICA2023Status is bijgewerkt, wat aangeeft dat de certificaten voor 2023 met succes zijn toegepast.

Hoe vaak wordt het script uitgevoerd?

Het script wordt uitgevoerd volgens het schema dat u in de toewijzing configureert. Voor actieve bewaking tijdens een implementatie wordt dagelijks aanbevolen. Voor doorlopende monitoring is wekelijks voldoende.

Wat moet ik doen als de onderhoudsregistersleutel niet bestaat?

Als de sleutel HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing niet op een apparaat bestaat, wordt in het veld UEFICA2023Status geen waarde weergegeven. Dit betekent meestal dat certificaatupdates nog niet zijn geïnitieerd op het apparaat.

Welke licenties zijn vereist?

Voor herstelbewerkingen is een licentie voor Windows 10/11 Enterprise E3/E5, Education A3/A5 of F3 vereist. Als uw apparaten alleen Business Premium- of Pro-licenties hebben, is Herstel niet beschikbaar. Zie Vereisten voor herstelbewerkingen.

Bronnen

Playbook voor update van secure boot-certificaat

Secure Boot-certificaat Updates: richtlijnen voor IT-professionals

Registersleutel-Updates voor beveiligd opstarten

Gebeurtenissen voor Secure Boot DB en DBX variabele updates

Herstelbewerkingen in Microsoft Intune

Vereisten voor herstel