Updates van Secure Boot-certificaat voor Azure Virtual Desktop

Van toepassing op
Azure Virtual Desktop

Opmerking

  • Oorspronkelijke publicatiedatum: 19 februari 2026
  • KB-id: 5080931

Opmerking

Dit artikel bevat richtlijnen voor:

  • Beheerders van Azure Virtual Desktop die updates van sessiehosts beheren

  • Organisaties die VM's met Secure Boot gebruiken voor Azure Virtual Desktop-implementaties

  • Organisaties die aangepaste afbeeldingen (gouden afbeeldingen) gebruiken voor implementaties van Azure Virtual Desktop

In dit artikel:

Inleiding

Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van een apparaat. De Microsoft Secure Boot-certificaten die zijn uitgegeven in 2011, verlopen in juni 2026. Zonder de bijgewerkte 2023-certificaten ontvangen apparaten geen nieuwe beveiligingen of oplossingen voor Secure Boot en Boot Manager meer voor nieuw ontdekte kwetsbaarheden op opstartniveau.

Alle VM's met Secure Boot die zijn geregistreerd in de Azure Virtual Desktop-service en aangepaste installatiekopieën die worden gebruikt om ze in te richten, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om beschermd te blijven. Zie wanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten

Geldt dit voor mijn Azure Virtual Desktop-omgeving?

Scenario Actief beveiligd opstarten? Actie vereist
Sessiehosts
Trusted Launch VM met Secure Boot ingeschakeld Ja Certificaten bijwerken op de sessiehost
Trusted Launch VM met Secure Boot uitgeschakeld Nee Geen actie nodig
Standaardbeveiligingstype VM Nee Geen actie nodig
VM van generatie 1 Niet ondersteund Geen actie nodig
Gouden Beelden
Afbeelding van Azure-rekengalerie met Beveiligd opstarten ingeschakeld Ja Certificaten in de broninstallatiekopie bijwerken
Afbeelding van Azure-rekengalerie zonder Trusted Launch Nee Updates toepassen in sessiehost na implementatie
Beheerde installatiekopie (biedt geen ondersteuning voor Trusted Launch) Nee Updates toepassen in sessiehost na implementatie

Zie voor volledige achtergrondinformatie Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties.

Inventarisatie en bewaking

Voordat u actie onderneemt, inventariseert u de inventarisatie van uw omgeving om apparaten te identificeren die updates vereisen. Bewaking is essentieel om te bevestigen dat certificaten worden toegepast vóór de deadline van juni 2026, zelfs als je vertrouwt op automatische implementatiemethoden.  Hieronder vindt u opties om te bepalen of actie moet worden ondernomen.

Optie 1: Herstel Microsoft Intune

Voor sessiehosts die zijn ingeschreven bij Microsoft Intune, kunt u een detectiescript implementeren met behulp van Intune-herstelbewerkingen (proactieve herstelacties) om automatisch de status van Secure Boot-certificaten in uw vloot te verzamelen. Het script wordt op de achtergrond uitgevoerd op elk apparaat en rapporteert de status van beveiligd opstarten, de voortgang van certificaatupdates en apparaatdetails terug naar de Intune-portal, zonder dat er wijzigingen worden aangebracht op de apparaten. De resultaten kunnen rechtstreeks vanuit het Intune-beheercentrum worden bekeken en geëxporteerd naar een CSV-bestand voor een analyse voor het gehele machinepark.

Zie Status van certificaat voor beveiligd opstarten bewaken met Microsoft Intune-herstel voor stapsgewijze instructies voor het implementeren van het detectiescript.

Optie 2: Statusrapport beveiligd opstarten van Windows Autopatch

Voor persoonlijke, permanente sessiehosts die zijn geregistreerd bij Windows Autopatch, gaat u naar het Intune-beheercentrum>Rapporten>Windows Autopatch-kwaliteitsupdates>>Tabblad Rapporten>Status beveiligd opstarten. Zie het statusrapport voor beveiligd opstarten in Windows Autopatch.

Opmerking

Windows Autopatch ondersteunt alleen persoonlijke permanente virtuele machines voor Azure Virtual Desktop. Hosts voor meerdere sessies, gegroepeerde niet-permanente virtuele machines en externe app-streaming worden niet ondersteund. Zie Windows Autopatch op Azure Virtual Desktop-workloads.

Optie 3: Registersleutels voor vlootbewaking

Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om query's uit te voeren op deze registerwaarden in uw machinepark.

Registerpad Toets Doel
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Huidige implementatiestatus
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Fout Geeft fouten aan (zou niet moeten bestaan)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Geeft gebeurtenis-id aan (mag niet bestaan)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Beschikbare updates Updatebits die nog in behandeling zijn

Zie Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutel.

Optie 4: Bewaking van gebeurtenislogboeken

Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om deze gebeurtenis-id's te verzamelen en te bewaken vanuit het gebeurtenislogboek van uw machinepark.

Gebeurtenis-id Locatie Betekenis
1808 Systeem Certificaten zijn toegepast
1801 Systeem Status- of foutgegevens bijwerken

Zie Secure Boot DB en DBX variabele updategebeurtenissen voor een volledige lijst met gebeurtenisdetails.

Optie 5: PowerShell-inventarisatiescript

Voer het Microsoft-script Sample Secure Boot Inventory Data Collection uit om de updatestatus van het Secure Boot-certificaat te controleren. Het script verzamelt verschillende gegevenspunten, waaronder de status van beveiligd opstarten, de UEFI CA 2023-updatestatus, de firmwareversie en gebeurtenislogboekactiviteit.

Implementatie

Belangrijk

Ongeacht welke implementatieoptie u kiest, we raden u aan uw apparatenpark te bewaken om te controleren of certificaten zijn toegepast vóór de deadline van juni 2026. Zie Golden Image Considerations voor aangepaste afbeeldingen.

Optie 1: Automatische Updates van Windows Update (apparaten met hoge betrouwbaarheid)

Microsoft werkt apparaten automatisch bij via maandelijkse updates van Windows wanneer voldoende telemetrie een succesvolle implementatie op vergelijkbare hardwareconfiguraties bevestigt.

  • Toestand: Standaard ingeschakeld voor apparaten met hoge betrouwbaarheid
  • U hoeft niets te doen, tenzij u zich wilt afmelden
Register HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Toets HighConfidenceOptOut = 1 om u af te melden
Groepsbeleid Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Beveiligd opstarten>Automatische certificaatimplementatie via Updates> Stel in op Uitgeschakeld om u af te melden.

Opmerking

Aanbeveling: Zelfs als automatische updates is ingeschakeld, moet u uw sessiehosts controleren om te controleren of certificaten zijn toegepast. Niet alle apparaten komen mogelijk in aanmerking voor een betrouwbare automatische implementatie.

Zie Hulp bij geautomatiseerde implementatie voor meer informatie.

Optie 2: IT-Initiated implementatie

Activeer handmatig certificaatupdates voor directe of gecontroleerde implementatie.

Werkwijze Documentatie
Microsoft Intune Microsoft Intune-methode
Groepsbeleid Methode met groepsbeleid voor objecten
Registersleutels Registersleutelmethode
WinCS CLI WinCS-API's

Opmerking

  • Gebruik geen combinatie van door IT geïnitieerde implementatiemethoden (bijvoorbeeld Intune en GPO) op hetzelfde apparaat. Ze beheren dezelfde registersleutels en kunnen conflicteren.
  • Wacht ongeveer 48 uur en een of meer herstarts voordat certificaten volledig zijn toegepast.

Overwegingen voor gouden afbeeldingen

Voor Azure Virtual Desktop-omgevingen met afbeeldingen van Azure Compute Gallery met Secure Boot ingeschakeld moet je de certificaatupdate Secure Boot 2023 toepassen op de gouden afbeelding voordat je deze vastlegt. Gebruik een van de hierboven beschreven methoden om de update toe te passen en controleer vervolgens of de certificaten zijn bijgewerkt voordat je generaliseert:

Opmerking

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Installatiekopieën waarvoor Trusted Launch niet is ingeschakeld, kunnen geen Secure Boot-certificaatupdates ontvangen via de installatiekopie. Dit omvat beheerde installatiekopieën, die geen ondersteuning bieden voor Trusted Launch, en installatiekopieën van Azure Compute Gallery waarvoor Trusted Launch niet is ingeschakeld. Voor apparaten die zijn ingericht met behulp van deze installatiekopieën, past u updates toe in het gastbesturingssysteem met behulp van een van de bovenstaande methoden.

Bekende problemen

Er is geen onderhoudsregistersleutel

Symptoom HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist
Oorzaak Certificaatupdates zijn niet gestart op het apparaat
Oplossing Wacht op automatische implementatie via Windows Update of start handmatig op met een van de hierboven beschreven IT-geïnitieerde implementatiemethoden

Status toont 'In voortgang' voor een langere periode

Symptoom UEFICA2023Status blijft na meerdere dagen "In uitvoering"
Oorzaak Mogelijk moet het apparaat opnieuw worden opgestart om het updateproces te voltooien
Oplossing Start de sessiehost opnieuw en controleer de status na 15 minuten opnieuw. Als het probleem zich blijft voordoen, raadpleegt u Secure Boot DB en DBX variabele updategebeurtenissen voor hulp bij het oplossen van problemen

UEFICA2023Fout: registersleutel bestaat

Symptoom UEFICA2023Fout registersleutel is aanwezig
Oorzaak Er is een fout opgetreden tijdens de implementatie van het certificaat
Oplossing Controleer het systeemgebeurtenislogboek voor meer informatie. Zie Secure Boot DB en DBX variabele updategebeurtenissen voor hulp bij het oplossen van problemen

Bronnen