Secure Boot Certificate Updates voor Windows 365
Oorspronkelijke publicatiedatum: dinsdag 19 februari 2026
KB-id: 5080914
Dit artikel bevat richtlijnen voor:
-
Windows 365 beheerders die cloud-pc's beheren.
-
Organisaties die gebruikmaken van Cloud-pc's met beveiligd opstarten voor Windows 365 implementaties.
-
Organisaties die aangepaste installatiekopieën gebruiken voor Windows 365-implementaties.
In dit artikel:
Inleiding
Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van een apparaat. De Microsoft Secure Boot-certificaten die in 2011 zijn uitgegeven, verlopen in juni 2026. Zonder de bijgewerkte 2023-certificaten ontvangen apparaten geen nieuwe beveiligingen voor Beveiligd opstarten en Opstartbeheer meer of oplossingen voor nieuw gedetecteerde beveiligingsproblemen op opstartniveau.
Alle cloud-pc's met beveiligd opstarten die zijn ingericht in de Windows 365-service en aangepaste installatiekopieën die worden gebruikt om ze in te richten, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om beveiligd te blijven. Zie Wanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten.
Geldt dit voor mijn Windows 365-omgeving?
|
Scenario |
Beveiligd opstarten actief? |
Actie vereist |
|
Cloud-pc's |
||
|
Cloud-pc met beveiligd opstarten ingeschakeld |
Ja |
Certificaten bijwerken op de cloud-pc |
|
Cloud-pc waarop Beveiligd opstarten is uitgeschakeld |
Nee |
Geen actie nodig |
|
Afbeeldingen |
||
|
Azure installatiekopie van computegalerie waarvoor Beveiligd opstarten is ingeschakeld |
Ja |
Certificaten in de bronafbeelding bijwerken voordat u generaliseert |
|
Azure rekengalerieinstallatiekopieën zonder vertrouwd starten |
Nee |
Updates toepassen op cloud-pc na inrichting |
|
Beheerde installatiekopieën (biedt geen ondersteuning voor vertrouwd starten) |
Nee |
Updates toepassen op cloud-pc na inrichting |
Zie Secure Boot-certificaatupdates: richtlijnen voor IT-professionals en organisaties voor volledige achtergrondinformatie.
Inventaris en bewaking
Voordat u actie onderneemt, moet u uw omgeving inventariseren om apparaten te identificeren waarvoor updates nodig zijn. Bewaking is essentieel om te controleren of certificaten worden toegepast vóór de deadline van juni 2026, zelfs als u afhankelijk bent van automatische implementatiemethoden. Hieronder vindt u opties om te bepalen of er actie moet worden ondernomen.
Optie 1: Microsoft Intune herstelbewerkingen
Voor cloud-pc's die zijn ingeschreven bij Microsoft Intune, kunt u een detectiescript implementeren met behulp van Intune Herstelbewerkingen (Proactieve herstelbewerkingen) om automatisch de status van het Secure Boot-certificaat in uw hele vloot te verzamelen. Het script wordt op de achtergrond uitgevoerd op elk apparaat en rapporteert status van beveiligd opstarten, voortgang van certificaatupdates en apparaatdetails terug naar de Intune portal. Er worden geen wijzigingen aangebracht aan de apparaten. Resultaten kunnen rechtstreeks vanuit het Intune-beheercentrum worden bekeken en geëxporteerd naar CSV voor analyse voor de hele vloot.
Zie Secure Boot Certificate Status controleren met Microsoft Intune Herstel voor stapsgewijze instructies voor het implementeren van het detectiescript.
Optie 2: Windows Autopatch Secure Boot Status Report
Voor cloud-pc's die zijn geregistreerd bij Windows Autopatch, gaat u naar Intune beheercentrum > Rapporten > Windows Autopatch > Windows-kwaliteitsupdates > tabblad Rapporten > status beveiligd opstarten. Zie Statusrapport voor beveiligd opstarten in Windows Autopatch.
Opmerking: Als u Windows Autopatch wilt gebruiken met Windows 365, moeten cloud-pc's zijn geregistreerd bij de Windows Autopatch-service. Zie Windows Autopatch on Windows 365 Enterprise workloads.
Optie 3: Registersleutels voor vlootbewaking
Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om deze registerwaarden in uw hele vloot op te vragen.
|
Registerpad |
Sleutel |
Purpose |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Huidige implementatiestatus |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Geeft fouten aan (mogen niet bestaan) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Geeft de gebeurtenis-id aan (mag niet bestaan) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Update-bits in behandeling |
Zie Registersleutelupdates voor Beveiligd opstarten voor meer informatie over de registersleutel.
Optie 4: Bewaking van gebeurtenislogboeken
Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om deze gebeurtenis-id's uit het systeemgebeurtenislogboek in uw vloot te verzamelen en te bewaken.
|
Gebeurtenis-id |
Locatie |
Betekenis |
|
1808 |
Systeem |
Certificaten zijn toegepast |
|
1801 |
Systeem |
Status- of foutdetails bijwerken |
Zie Updategebeurtenissen van Secure Boot DB en DBX-variabele voor een volledige lijst met gebeurtenisdetails.
Optie 5: PowerShell Inventory Script
Voer het voorbeeldscript Voor veilig opstarten van inventarisgegevensverzameling van Microsoft uit om de status van de certificaatupdate voor beveiligd opstarten te controleren. Het script verzamelt verschillende gegevenspunten, waaronder Status beveiligd opstarten, UEFI CA 2023-updatestatus, firmwareversie en gebeurtenislogboekactiviteit.
Implementatie
Belangrijk: Ongeacht welke implementatieoptie u kiest, raden we u aan uw apparaatpark te bewaken om te bevestigen dat certificaten zijn toegepast vóór de deadline van juni 2026. Zie Overwegingen voor aangepaste installatiekopieën voor aangepaste installatiekopieën.
Optie 1: Automatische Updates van Windows Update (apparaten met hoge betrouwbaarheid)
Microsoft werkt apparaten automatisch bij via maandelijkse Windows-updates wanneer voldoende telemetrie bevestigt dat de implementatie op vergelijkbare hardwareconfiguraties is geslaagd.
-
Status: standaard ingeschakeld voor apparaten met hoge betrouwbaarheid
-
Geen actie vereist, tenzij u zich wilt afmelden
|
Register |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Sleutel |
HighConfidenceOptOut = 1 om u af te wijzen |
|
Groepsbeleid |
Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Beveiligd opstarten > Automatische certificaatimplementatie via Updates > Ingesteld op Uitgeschakeld om u af te wijzen |
Aanbeveling: Zelfs als automatische updates zijn ingeschakeld, controleert u uw cloud-pc's om te controleren of certificaten worden toegepast. Niet alle apparaten komen mogelijk in aanmerking voor automatische implementatie met hoge betrouwbaarheid.
Zie Geautomatiseerde implementatiehulp voor meer informatie.
Optie 2: IT-Initiated-implementatie
Handmatig certificaatupdates activeren voor onmiddellijke of gecontroleerde implementatie.
|
Methode |
Documentatie |
|
Microsoft Intune |
|
|
Groepsbeleid |
|
|
Registersleutels |
|
|
WinCS CLI |
Notities:
-
Combineer door IT geïnitieerde implementatiemethoden (bijvoorbeeld Intune en GPO) niet op hetzelfde apparaat. Ze beheren dezelfde registersleutels en kunnen conflicteren.
-
Het duurt ongeveer 48 uur en een of meer herstarten om certificaten volledig toe te passen.
Overwegingen voor aangepaste installatiekopieën
Aangepaste installatiekopieën worden volledig beheerd door uw organisatie. U bent verantwoordelijk voor het toepassen van de secure boot-certificaatupdates op de aangepaste installatiekopie en het opnieuw uploaden voordat u deze gebruikt voor inrichting.
Het toepassen van Secure Boot-certificaatupdates op de broninstallatiekopie wordt alleen ondersteund met Azure Compute Gallery-installatiekopieën (preview), die ondersteuning bieden voor Vertrouwd starten en Beveiligd opstarten. Beheerde installatiekopieën bieden geen ondersteuning voor Beveiligd opstarten, zodat certificaatupdates niet op installatiekopieniveau kunnen worden toegepast. Voor cloud-pc's die zijn ingericht vanuit beheerde installatiekopieën, past u updates rechtstreeks toe op de cloud-pc met behulp van een van de bovenstaande implementatiemethoden.
Voordat u een nieuwe aangepaste installatiekopieën generaliseert, controleert u of de certificaten zijn bijgewerkt:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Bekende problemen
Registersleutel voor onderhoud bestaat niet
|
Symptoom |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing pad bestaat niet |
|
Oorzaak |
Certificaatupdates zijn niet gestart op het apparaat |
|
Oplossing |
Wacht op automatische implementatie via Windows Update of start handmatig met behulp van een van de door IT geïnitieerde implementatiemethoden hierboven |
Status toont 'InProgress' voor een langere periode
|
Symptoom |
UEFICA2023Status blijft "InProgress" na meerdere dagen |
|
Oorzaak |
Het apparaat moet mogelijk opnieuw worden opgestart om het updateproces te voltooien |
|
Oplossing |
Start de cloud-pc opnieuw op en controleer de status na 15 minuten opnieuw. Als het probleem zich blijft voordoen, raadpleegt u Updategebeurtenissen van Secure Boot DB en DBX-variabelen voor probleemoplossing |
UEFICA2023Error-registersleutel bestaat
|
Symptoom |
Registersleutel UEFICA2023Error is aanwezig |
|
Oorzaak |
Er is een fout opgetreden tijdens de implementatie van het certificaat |
|
Oplossing |
Controleer het gebeurtenislogboek van het systeem voor meer informatie. Zie Updategebeurtenissen voor Secure Boot DB en DBX-variabelen voor hulp bij het oplossen van problemen |
Informatiebronnen
Meer hulp nodig?
Meer opties?
Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.
Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.
