Opmerking
- Oorspronkelijke publicatiedatum: 18 februari 2026
- KB-id: 5080921
Dit artikel bevat richtlijnen voor:
- IT-beheerders die inzicht nodig hebben in de updatestatus van Secure Boot-certificaten op hun Intune ingeschreven Windows-apparaten
- Organisaties die zich voorbereiden op de verloopdatum van het Secure Boot-certificaat van juni 2026
- Teams die de voortgang van de certificaatimplementatie op hun bij Intune geregistreerde Windows-apparaten willen volgen
In dit artikel:
- Inleiding
- Vereisten
- Detectiescript
- De oplossing maken in Intune
- Resultaten weergeven en exporteren
- Veelgestelde vragen
- Bronnen
Inleiding
Microsoft Secure Boot-certificaten (2011 CA's) verlopen vanaf juni 2026. Alle Windows-apparaten waarop Beveiligd opstarten is ingeschakeld, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om ervoor te zorgen dat de beveiligingsupdate wordt voortgezet.
Deze handleiding biedt een benadering die alleen controle gebruikt met behulp van Microsoft Intune-herstel (proactieve herstelbewerkingen). Het detectiescript verzamelt de status van beveiligd opstarten en certificaten van elk apparaat en rapporteert deze aan de Intune-portal. Er worden geen herstelacties ondernomen op apparaten. Dit geeft beheerders een gecentraliseerd, exporteerbaar overzicht van de voortgang van certificaatupdates op hun bij Intune geregistreerde Windows-apparaten.
Waarom zou u deze aanpak gebruiken?
| Voordeel | Beschrijving |
|---|---|
| Zichtbaarheid voor het hele apparaat | Bekijk de certificaatstatus van elk bij Intune geregistreerd Windows-apparaat op één plek |
| Exporteerbaar | Resultaten rechtstreeks vanuit de Intune-portal naar een CSV exporteren |
| Onbewerkte registerwaarden | Werkelijke registergegevens bekijken, niet alleen slagen/afkeuren |
| Context van apparaat | Inclusief fabrikant, model, BIOS-versie en firmwaretype |
| Telemetrie van het gebeurtenislogboek | Legt gebeurtenis-id's voor beveiligd opstarten (1801/1808), bucket-id's en betrouwbaarheidsniveaus vast |
| Zero touch | Werkt geruisloos als SYSTEEM - geen gebruikersinteractie vereist |
Zie voor volledige achtergrondinformatie over de certificaatupdates: Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties.
Vereisten
Voordat u het detectiescript implementeert, moet u ervoor zorgen dat uw omgeving voldoet aan de noodzakelijke vereisten.
Deze oplossing maakt gebruik van herstelbewerkingen in Microsoft Intune. Zie Herstel gebruiken om ondersteuningsproblemen op te sporen en op te lossen - Microsoft Intune voor een volledige lijst met vereisten.
Detectiescripts
Het detectiescript is een PowerShell-script dat uitgebreide Secure Boot-inventarisgegevens van elk apparaat verzamelt en deze uitvoert als een JSON-tekenreeks. Het script is afkomstig uit de volgende bronnen:
Register : updatestatus, onderhoudssleutels, apparaatkenmerken en instellingen voor opt-in/opt-out van Secure Boot-certificaat van HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot en de subsleutels daarvan
WMI/CIM: versie van besturingssysteem, laatste opstarttijd en informatie over baseboardhardware
Gebeurtenislogboeken : vermeldingen in het systeemgebeurtenislogboek voor gebeurtenis-id's 1801 en 1808 (updategebeurtenissen voor beveiligd opstarten)
De JSON-uitvoer wordt weergegeven in de Intune-portal onder Herstelcontrole >> Apparaatstatus > 'Uitvoer detectie pre-herstel' en kan voor analyse worden geëxporteerd naar CSV.
Belangrijk: Dit is een script dat alleen voor detectie werkt. Er worden geen wijzigingen aan het apparaat aangebracht. Er is geen herstelscript nodig.
Het scriptbestand maken
Opmerking
BELANGRIJK Het volgende artikel met het voorbeeldscript is niet meer beschikbaar. Als u een Windows-update hebt geïnstalleerd die is uitgebracht op of na 12 mei 2026, vindt u het voorbeeldscript in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.
- Navigeer naar het voorbeeld van het Secure Boot-inventarisatiegegevensverzamelingsscript (KB5072718)
- De volledige scriptinhoud van de pagina kopiëren
- Open een teksteditor (bijvoorbeeld Kladblok, VS Code) en plak het script
- Het bestand opslaan als Detect-SecureBootCertUpdateStatus.ps1
De oplossing maken in Intune
Volg deze stappen om het detectiescript te implementeren als een Remediation (scriptpakket) in Microsoft Intune.
Stap 1: Het scriptpakket maken
- Aanmelden bij het Microsoft Intune-beheercentrum
- Ga naar Herstel van apparaten >
- Klik + Scriptpakket maken
Stap 2: Basisbeginselen
- Configureer de volgende instellingen op het tabblad Basis:
| Instelling | Waarde |
|---|---|
| Naam | Secure Boot Certificate Status Monitor |
| Beschrijving | Bewaakt de updatestatus van Secure Boot-certificaten in de hele vloot. Alleen detectie: er worden geen herstelacties uitgevoerd. |
| Uitgever | (de naam van uw organisatie) |
- Klik op Volgende.
Stap 3: Instellingen
- Configureer de volgende instellingen op het tabblad Instellingen :
| Instelling | Waarde | Opmerkingen |
|---|---|---|
| Detectiescriptbestand | Een Detect-SecureBootCertificateStatus.ps1 uploaden | Het script uit de vorige sectie |
| Scriptbestand voor herstel | (laat leeg) | Er is geen herstel nodig - dit is alleen monitoring |
| Voer dit script uit met de referenties waarvoor u bent aangemeld | Nee | Wordt uitgevoerd als SYSTEM om toegang tot Confirm-SecureBootUEFI en register te garanderen |
| Controle op scripthandtekening afdwingen | Nee | Stel in op Ja als voor uw organisatie een ondertekend script vereist is |
| Een script uitvoeren in de 64-bits versie van PowerShell | Nee | Vereist voor Confirm-SecureBootUEFI cmdlet en nauwkeurige registerlezingen |
- Klik op Volgende.
Stap 4: Bereiktags
- Voeg bereiktags toe die vereist zijn door uw organisatie of laat deze als standaard staan
- Klik op Volgende.
Stap 5: Toewijzingen
| Instelling | Waarde | Opmerkingen |
|---|---|---|
| Toewijzingen | Selecteer de apparaatgroepen die u wilt bewaken | Alle apparaten gebruiken voor bewaking voor het gehele machinepark of specifieke groepen voor gerichte bewaking |
| rente_waarden | Configureren naar uw bewakingsbehoeften | Aanbevolen: Eenmaal per dag voor het actief bijhouden van de implementatie of eenmaal per week voor doorlopende bewaking |
Opmerking: Herstelbewerkingen worden uitgevoerd volgens het geconfigureerde schema van het apparaat. De eerste uitvoering kan tot 24 uur na toewijzing duren, afhankelijk van de incheckcyclus van het apparaat.
Klik op Volgende.
Stap 6: Controleren + Maken
- Alle instellingen controleren
- Klik op Maken
Resultaten weergeven en exporteren
Resultaten weergeven in de portal
- Ga naar Herstel van apparaten >
- Klik op Secure Boot Certificate Status Monitor (of de naam die je hebt gekozen)
- Selecteer het tabblad Beeldscherm
- Klik op Apparaatstatus
- Klik op Kolommen en voeg uitvoer voor herstel toe
U ziet een tabel met de volgende kolommen:
| Kolom | Beschrijving |
|---|---|
| Apparaatnaam | De naam van het apparaat |
| Gebruikersnaam | De primaire gebruiker van het apparaat |
| Detectiestatus | Zonder probleem (certificaten bijgewerkt) of met uitgifte (certificaten niet bijgewerkt) |
| Uitvoer voor detectie van herstel | De volledige JSON-uitvoer van het script |
| Laatst gewijzigd | Wanneer het script voor het laatst is uitgevoerd op het apparaat |
Naar CSV exporteren
- Klik op de pagina Apparaatstatus op de knop Exporteren boven aan de tabel
- Met het CSV-bestand worden alle kolommen gedownload, inclusief de volledige JSON-detectie-uitvoer voor elk apparaat
- Openen in Excel om te filteren, sorteren en analyseren op elk willekeurig veld
Tip: In Excel kunt u de functies TEXTJOIN of JSON gebruiken om de detectie-JSON in afzonderlijke kolommen te parseren voor eenvoudigere analyse.
Tabblad Overzicht
Het tabblad Overzicht op het herstelscherm biedt een overzichtsdashboard:
| Meetgegevens | Betekenis |
|---|---|
| Apparaten met problemen | Apparaten waarop certificaten nog niet zijn bijgewerkt |
| Apparaten zonder problemen | Apparaten waarop certificaten up-to-date zijn |
| Apparaten met mislukte detectie | Apparaten waarop in het script een fout is opgetreden |
Veelgestelde vragen
Verandert dit iets op mijn apparaten?
Nee. Dit is een script dat alleen voor detectie werkt. Er worden geen registerwaarden gewijzigd, geen updates geactiveerd en er worden geen herstelacties uitgevoerd. Het script leest alleen waarden en rapporteert deze.
Wat betekent 'Met probleem'?
'Met probleem' betekent dat op het apparaat de 2023 Secure Boot-certificaten nog niet zijn toegepast en de 2023-ondertekende opstartmanager nog niet aanwezig is. Dit kan zijn omdat: - de certificaatupdate niet is gestart - De update wordt uitgevoerd en mogelijk moet opnieuw worden opgestart om te voltooien - Beveiligd opstarten is niet ingeschakeld op het apparaat - Het apparaat is niet UEFI-gebaseerd of wacht op opnieuw opstarten om opstartbeheer toe te passen.
Wat betekent 'zonder problemen'?
'Zonder probleem' betekent dat beveiligd opstarten op het apparaat is ingeschakeld en dat de registerwaarde UEFICA2023Status is bijgewerkt, wat aangeeft dat de certificaten voor 2023 met succes zijn toegepast.
Hoe vaak wordt het script uitgevoerd?
Het script wordt uitgevoerd volgens het schema dat u in de toewijzing configureert. Voor actieve bewaking tijdens een implementatie wordt dagelijks aanbevolen. Voor doorlopende monitoring is wekelijks voldoende.
Wat moet ik doen als de onderhoudsregistersleutel niet bestaat?
Als de sleutel HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing niet op een apparaat bestaat, wordt in het veld UEFICA2023Status geen waarde weergegeven. Dit betekent meestal dat certificaatupdates nog niet zijn geïnitieerd op het apparaat.
Welke licenties zijn vereist?
Voor herstelbewerkingen is een licentie voor Windows 10/11 Enterprise E3/E5, Education A3/A5 of F3 vereist. Als uw apparaten alleen Business Premium- of Pro-licenties hebben, is Herstel niet beschikbaar. Zie Vereisten voor herstelbewerkingen.
Bronnen
Playbook voor update van secure boot-certificaat
Secure Boot-certificaat Updates: richtlijnen voor IT-professionals
Registersleutel-Updates voor beveiligd opstarten
Gebeurtenissen voor Secure Boot DB en DBX variabele updates