Secure Boot Certificate Updates voor Azure Virtual Desktop

Oorspronkelijke publicatiedatum: dinsdag 19 februari 2026

KB-id: 5080931

Dit artikel bevat richtlijnen voor:

Azure Virtual Desktop-beheerders die updates voor sessiehosts beheren

Organisaties die gebruikmaken van vm's waarvoor Beveiligd opstarten is ingeschakeld voor Azure Virtual Desktop-implementaties

Organisaties die aangepaste installatiekopieën (gouden installatiekopieën) gebruiken voor Azure Virtual Desktop-implementaties

In dit artikel:

Inleiding

Inventaris en bewaking

Implementatie

Overwegingen voor gouden afbeeldingen

Bekende problemen

Informatiebronnen

Inleiding

Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van een apparaat. De Microsoft Secure Boot-certificaten die in 2011 zijn uitgegeven, verlopen in juni 2026. Zonder de bijgewerkte 2023-certificaten ontvangen apparaten geen nieuwe beveiligingen voor Beveiligd opstarten en Opstartbeheer meer of oplossingen voor nieuw gedetecteerde beveiligingsproblemen op opstartniveau.

Alle vm's met Beveiligd opstarten die zijn geregistreerd in de Azure Virtual Desktop-service en aangepaste installatiekopieën die worden gebruikt om ze in te richten, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om beveiligd te blijven. Zie Wanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten

Is dit van toepassing op mijn Azure Virtual Desktop-omgeving?

Scenario	Beveiligd opstarten actief?	Actie vereist
Sessiehosts
Vertrouwde start-VM waarvoor Beveiligd opstarten is ingeschakeld	Ja	Certificaten op de sessiehost bijwerken
Vertrouwde start-VM waarvoor Beveiligd opstarten is uitgeschakeld	Nee	Geen actie nodig
Standaardbeveiligingstype VM	Nee	Geen actie nodig
VM van generatie 1	Niet ondersteund	Geen actie nodig
Gouden afbeeldingen
Azure installatiekopie van computegalerie waarvoor Beveiligd opstarten is ingeschakeld	Ja	Certificaten in de broninstallatiekopieën bijwerken
Azure rekengalerieinstallatiekopieën zonder vertrouwd starten	Nee	Updates toepassen op sessiehost na implementatie
Beheerde installatiekopieën (biedt geen ondersteuning voor vertrouwd starten)	Nee	Updates toepassen op sessiehost na implementatie

Zie Secure Boot-certificaatupdates: richtlijnen voor IT-professionals en organisaties voor volledige achtergrondinformatie.

Inventaris en bewaking

Voordat u actie onderneemt, moet u uw omgeving inventariseren om apparaten te identificeren waarvoor updates nodig zijn. Bewaking is essentieel om te controleren of certificaten worden toegepast vóór de deadline van juni 2026, zelfs als u afhankelijk bent van automatische implementatiemethoden. Hieronder vindt u opties om te bepalen of er actie moet worden ondernomen.

Optie 1: Microsoft Intune herstelbewerkingen

Voor sessiehosts die zijn ingeschreven bij Microsoft Intune, kunt u een detectiescript implementeren met behulp van Intune Herstelbewerkingen (Proactieve herstelbewerkingen) om automatisch de status van het Secure Boot-certificaat in uw hele vloot te verzamelen. Het script wordt op de achtergrond uitgevoerd op elk apparaat en rapporteert status van beveiligd opstarten, voortgang van certificaatupdates en apparaatdetails terug naar de Intune portal. Er worden geen wijzigingen aangebracht aan de apparaten. Resultaten kunnen rechtstreeks vanuit het Intune-beheercentrum worden bekeken en geëxporteerd naar CSV voor analyse voor de hele vloot.

Zie Secure Boot Certificate Status controleren met Microsoft Intune Herstel voor stapsgewijze instructies voor het implementeren van het detectiescript.

Optie 2: Windows Autopatch Secure Boot Status Report

Voor persoonlijke permanente sessiehosts die zijn geregistreerd bij Windows Autopatch, gaat u naar Intune beheercentrum > Rapporten > Windows Autopatch > Windows-kwaliteitsupdates > tabblad Rapporten > status beveiligd opstarten. Zie Statusrapport voor beveiligd opstarten in Windows Autopatch.

Opmerking: Windows Autopatch ondersteunt alleen persoonlijke permanente virtuele machines voor Azure Virtual Desktop. Hosts voor meerdere sessies, gegroepeerde niet-permanente virtuele machines en externe app-streaming worden niet ondersteund. Zie Windows Autopatch op Azure Virtual Desktop-workloads.

Optie 3: Registersleutels voor vlootbewaking

Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om deze registerwaarden in uw hele vloot op te vragen.

Registerpad	Sleutel	Purpose
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Huidige implementatiestatus
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Geeft fouten aan (mogen niet bestaan)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Geeft de gebeurtenis-id aan (mag niet bestaan)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Update-bits in behandeling

Zie Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutel.

Optie 4: Bewaking van gebeurtenislogboeken

Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om deze gebeurtenis-id's uit het systeemgebeurtenislogboek in uw vloot te verzamelen en te bewaken.

Gebeurtenis-id	Locatie	Betekenis
1808	Systeem	Certificaten zijn toegepast
1801	Systeem	Status- of foutdetails bijwerken

Zie Updategebeurtenissen van Secure Boot DB en DBX-variabele voor een volledige lijst met gebeurtenisdetails.

Optie 5: PowerShell Inventory Script

Voer het voorbeeldscript Voor veilig opstarten van inventarisgegevensverzameling van Microsoft uit om de status van de certificaatupdate voor beveiligd opstarten te controleren. Het script verzamelt verschillende gegevenspunten, waaronder Status beveiligd opstarten, UEFI CA 2023-updatestatus, firmwareversie en gebeurtenislogboekactiviteit.

Implementatie

Belangrijk: Ongeacht welke implementatieoptie u kiest, raden we u aan uw apparaatpark te bewaken om te bevestigen dat certificaten zijn toegepast vóór de deadline van juni 2026. Zie Overwegingen voor golden image voor aangepaste afbeeldingen.

Optie 1: Automatische Updates van Windows Update (apparaten met hoge betrouwbaarheid)

Microsoft werkt apparaten automatisch bij via maandelijkse Windows-updates wanneer voldoende telemetrie bevestigt dat de implementatie op vergelijkbare hardwareconfiguraties is geslaagd.

Status: Standaard ingeschakeld voor apparaten met hoge betrouwbaarheid

Geen actie vereist, tenzij u zich wilt afmelden

Register	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Sleutel	HighConfidenceOptOut = 1 om u af te wijzen
Groepsbeleid	Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Beveiligd opstarten > Automatische certificaatimplementatie via Updates > Ingesteld op Uitgeschakeld om u af te wijzen.

Aanbeveling: Zelfs als automatische updates zijn ingeschakeld, controleert u uw sessiehosts om te controleren of certificaten worden toegepast. Niet alle apparaten komen mogelijk in aanmerking voor automatische implementatie met hoge betrouwbaarheid.

Zie Geautomatiseerde implementatiehulp voor meer informatie.

Optie 2: IT-Initiated-implementatie

Handmatig certificaatupdates activeren voor onmiddellijke of gecontroleerde implementatie.

Methode	Documentatie
Microsoft Intune	methode Microsoft Intune
Groepsbeleid	methode groepsbeleid Objecten (GPO)
Registersleutels	Registersleutelmethode
WinCS CLI	WinCS-API's

Notities:

Combineer door IT geïnitieerde implementatiemethoden (bijvoorbeeld Intune en GPO) niet op hetzelfde apparaat. Ze beheren dezelfde registersleutels en kunnen conflicteren.
Het duurt ongeveer 48 uur en een of meer herstarten om certificaten volledig toe te passen.

Overwegingen voor gouden afbeeldingen

Voor Azure Virtual Desktop-omgevingen met Azure Compute Gallery-installatiekopieën waarvoor Beveiligd opstarten is ingeschakeld, past u de secure boot 2023-certificaatupdate toe op de gouden installatiekopie voordat u deze vastlegt. Gebruik een van de hierboven beschreven methoden om de update toe te passen en controleer vervolgens of de certificaten zijn bijgewerkt voordat u generaliseert:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Installatiekopieën waarvoor Trusted Launch niet is ingeschakeld, kunnen geen secure boot-certificaatupdates ontvangen via de installatiekopie. Dit omvat beheerde installatiekopieën, die geen ondersteuning bieden voor Trusted Launch, en Azure Compute Gallery-installatiekopieën waarvoor Trusted Launch niet is ingeschakeld. Voor apparaten die met deze installatiekopieën zijn ingericht, past u updates toe in het gastbesturingssysteem met behulp van een van de bovenstaande methoden.

Bekende problemen

Registersleutel voor onderhoud bestaat niet

Symptoom	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-pad bestaat niet
Oorzaak	Certificaatupdates zijn niet gestart op het apparaat
Oplossing	Wacht op automatische implementatie via Windows Update of start handmatig met behulp van een van de door IT geïnitieerde implementatiemethoden hierboven

Status toont 'InProgress' voor een langere periode

Symptoom	UEFICA2023Status blijft "InProgress" na meerdere dagen
Oorzaak	Het apparaat moet mogelijk opnieuw worden opgestart om het updateproces te voltooien
Oplossing	Start de sessiehost opnieuw en controleer de status na 15 minuten opnieuw. Als het probleem zich blijft voordoen, raadpleegt u Updategebeurtenissen van Secure Boot DB en DBX-variabelen voor probleemoplossing

UEFICA2023Error-registersleutel bestaat

Symptoom	Registersleutel UEFICA2023Error is aanwezig
Oorzaak	Er is een fout opgetreden tijdens de implementatie van het certificaat
Oplossing	Controleer het gebeurtenislogboek van het systeem voor meer informatie. Zie Updategebeurtenissen voor Secure Boot DB en DBX-variabelen voor hulp bij het oplossen van problemen

Informatiebronnen

Secure Boot Certificate Update Playbook

Secure Boot Certificate Updates: richtlijnen voor IT-professionals