Status van beveiligd opstarten-certificaat bewaken met Microsoft Intune herstelbewerkingen
Van toepassing op
Oorspronkelijke publicatiedatum: dinsdag 18 februari 2026
KB-id: 5080921
Dit artikel bevat richtlijnen voor:
-
IT-beheerders die inzicht nodig hebben in de status van het veilig opstarten van certificaatupdates vanaf hun Intune ingeschreven Windows-apparaten
-
Organisaties die zich voorbereiden op de vervaldatum van het secure boot-certificaat van juni 2026
-
Teams die de voortgang van de implementatie van certificaten willen controleren op hun Intune ingeschreven Windows-apparaten
In dit artikel:
Inleiding
Microsoft Secure Boot-certificaten (2011 CA's) verlopen vanaf juni 2026. Alle Windows-apparaten waarop Beveiligd opstarten is ingeschakeld, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om ervoor te zorgen dat beveiligingsupdates blijven ondersteunen.
Deze handleiding biedt een benadering met alleen bewaking met behulp van Microsoft Intune Herstelbewerkingen (Proactieve herstelbewerkingen). Het detectiescript verzamelt beveiligd opstarten en de certificaatstatus van elk apparaat en rapporteert dit terug aan de Intune portal. Er wordt geen herstelactie uitgevoerd op apparaten. Dit biedt beheerders een gecentraliseerde, exporteerbare weergave van de voortgang van certificaatupdates op hun Intune ingeschreven Windows-apparaten.
Waarom deze benadering gebruiken?
|
Voordeel |
Beschrijving |
|---|---|
|
Apparaatbrede zichtbaarheid |
De certificaatstatus van elk Intune ingeschreven Windows-apparaat op één plaats bekijken |
|
Exporteerbaar |
Resultaten rechtstreeks vanuit de Intune-portal exporteren naar CSV |
|
Onbewerkte registerwaarden |
Werkelijke registergegevens bekijken, niet alleen slagen/mislukken |
|
Apparaatcontext |
Omvat fabrikant, model, BIOS-versie en firmwaretype |
|
Telemetrie van gebeurtenislogboek |
Registreert gebeurtenis-id's voor beveiligd opstarten (1801/1808), bucket-id's en betrouwbaarheidsniveaus |
|
Geen aanraking |
Wordt op de achtergrond uitgevoerd als SYSTEM: er is geen gebruikersinteractie vereist |
Zie Secure Boot-certificaatupdates: richtlijnen voor IT-professionals en organisaties voor volledige achtergrondinformatie over de certificaatupdates.
Vereisten
Voordat u het detectiescript implementeert, moet u ervoor zorgen dat uw omgeving voldoet aan de vereiste vereisten.
Deze oplossing maakt gebruik van herstelbewerkingen in Microsoft Intune. Zie Herstelbewerkingen gebruiken om ondersteuningsproblemen te detecteren en op te lossen - Microsoft Intune voor een volledige lijst met vereisten.
Detectiescripts
Het detectiescript is een PowerShell-script waarmee uitgebreide inventarisgegevens voor Beveiligd opstarten van elk apparaat worden verzameld en als een JSON-tekenreeks worden uitgevoerd. Het script leest uit de volgende bronnen:
Register— Status van secure boot-certificaatupdate, onderhoudssleutels, apparaatkenmerken en opt-in/opt-out-instellingen van HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot en de subsleutels ervan
WMI/CIM: versie van het besturingssysteem, de laatste opstarttijd en hardwaregegevens van het basisbord
Gebeurtenislogboeken: vermeldingen in het systeemgebeurtenislogboek voor gebeurtenis-id's 1801 en 1808 (secure boot-updategebeurtenissen)
De JSON-uitvoer wordt weergegeven in de Intune-portal onder Herstelbewerkingen > > Apparaatstatus bewaken > 'Uitvoer van detectie vooraf herstel' en kan worden geëxporteerd naar CSV voor analyse.
Belangrijk: Dit is een alleen-detectiescript. Er worden geen wijzigingen aangebracht in het apparaat. Er is geen herstelscript nodig.
Het scriptbestand maken
-
Navigeer naar het voorbeeldscript voor het verzamelen van inventarisgegevens voor beveiligd opstarten (KB5072718)
-
De volledige scriptinhoud van de pagina kopiëren
-
Open een teksteditor (bijvoorbeeld Kladblok, VS Code) en plak het script
-
Sla het bestand op als Detect-SecureBootCertUpdateStatus.ps1
Maak het herstel in Intune
Volg deze stappen om het detectiescript te implementeren als herstel (scriptpakket) in Microsoft Intune.
Stap 1: het scriptpakket maken
-
Meld u aan bij het Microsoft Intune-beheercentrum
-
Navigeer naar Apparaten > Herstelbewerkingen
-
Klik op + Scriptpakket maken
Stap 2: Basisbeginselen
-
Configureer de volgende instellingen op het tabblad Basisbeginselen:
|
Instelling |
Waarde |
|---|---|
|
Naam |
Statuscontrole van beveiligd opstartcertificaat |
|
Beschrijving |
Bewaakt de updatestatus van secure boot-certificaten in de hele vloot. Alleen detectie: er wordt geen herstelactie uitgevoerd. |
|
Publisher |
(naam van uw organisatie) |
-
Klik op Volgende.
Stap 3: Instellingen
-
Configureer de volgende instellingen op het tabblad Instellingen:
|
Instelling |
Waarde |
Opmerkingen |
|---|---|---|
|
Detectiescriptbestand |
Detect-SecureBootCertificateStatus.ps1 uploaden |
Het script uit de vorige sectie |
|
Scriptbestand voor herstel |
(leeg laten) |
Er is geen herstel nodig: dit is alleen bewaking |
|
Voer dit script uit met behulp van de aangemelde referenties |
Nee |
Wordt uitgevoerd als SYSTEM om toegang tot Confirm-SecureBootUEFI en register te garanderen |
|
Controle van scripthandtekening afdwingen |
Nee |
Ingesteld op Ja als uw organisatie ondertekende scripts vereist |
|
Script uitvoeren in 64-bits PowerShell |
Ja |
Vereist voor Confirm-SecureBootUEFI cmdlet en nauwkeurige registerleesbewerkingen |
-
Klik op Volgende.
Stap 4: Bereiktags
-
Voeg bereiktags toe die vereist zijn voor uw organisatie of laat deze standaard staan
-
Klik op Volgende.
Stap 5: Toewijzingen
|
Instelling |
Waarde |
Opmerkingen |
|---|---|---|
|
Toewijzingen |
Selecteer de apparaatgroepen die u wilt bewaken |
Alle apparaten gebruiken voor bewaking voor de hele vloot of specifieke groepen voor gerichte bewaking |
|
Schema |
Configureren op uw bewakingsbehoeften |
Aanbevolen: eenmaal per dag voor actieve implementatie bijhouden of eenmaal per week voor doorlopende bewaking |
Opmerking: Herstelbewerkingen worden uitgevoerd volgens de geconfigureerde planning van het apparaat. De eerste uitvoering kan tot 24 uur duren na de toewijzing, afhankelijk van de incheckcyclus van het apparaat.
Klik op Volgende.
Stap 6: Controleren en maken
-
Alle instellingen controleren
-
Klik op Maken
Resultaten weergeven en exporteren
Resultaten weergeven in de portal
-
Navigeer naar Apparaten > Herstelbewerkingen
-
Klik op Secure Boot Certificate Status Monitor (of de naam die u hebt gekozen)
-
Selecteer het tabblad Controleren
-
Klik op Apparaatstatus
-
Klik op Kolommen en voeg pre-hersteldetectie-uitvoer toe
U ziet een tabel met de volgende kolommen:
|
Kolom |
Beschrijving |
|---|---|
|
Apparaatnaam |
De naam van het apparaat |
|
Gebruikersnaam |
De primaire gebruiker van het apparaat |
|
Detectiestatus |
Zonder probleem (certificaten bijgewerkt) of met een probleem (certificaten niet bijgewerkt) |
|
Detectie-uitvoer voor herstel |
De volledige JSON-uitvoer van het script |
|
Laatst gewijzigd |
Wanneer het script voor het laatst is uitgevoerd op het apparaat |
Naar CSV exporteren
-
Klik op de pagina Apparaatstatus op de knop Exporteren boven aan de tabel
-
Het CSV-bestand downloadt alle kolommen, inclusief de volledige JSON-detectie-uitvoer voor elk apparaat
-
Openen in Excel om te filteren, sorteren en analyseren op een willekeurig veld
Tip: In Excel kunt u de functies TEXTJOIN of JSON gebruiken om de JSON-uitvoer van de detectie in afzonderlijke kolommen te parseren voor eenvoudigere analyse.
Tabblad Overzicht
Het tabblad Overzicht op het herstel biedt een overzichtsdashboard:
|
Metrische |
Betekenis |
|---|---|
|
Apparaten met problemen |
Apparaten waarop certificaten nog niet zijn bijgewerkt |
|
Apparaten zonder problemen |
Apparaten waarop certificaten up-to-date zijn |
|
Apparaten met mislukte detectie |
Apparaten waarop het script een fout heeft opgetreden |
Veelgestelde vragen
Verandert dit iets op mijn apparaten?
Nee. Dit is een alleen-detectiescript. Er worden geen registerwaarden gewijzigd, er worden geen updates geactiveerd en er wordt geen herstelactie uitgevoerd. Het script leest alleen waarden en rapporteert deze.
Wat betekent 'Met probleem'?
'Met probleem' betekent dat op het apparaat nog niet de 2023-certificaten voor beveiligd opstarten zijn toegepast en dat de met 2023 ondertekende opstartmanager nog niet is geïnstalleerd. Dit kan komen doordat: - De certificaatupdate is niet gestart - De update wordt uitgevoerd en moet mogelijk opnieuw worden opgestart om te voltooien - Beveiligd opstarten is niet ingeschakeld op het apparaat - Het apparaat is niet op UEFI gebaseerd of wacht op opnieuw opstarten om het opstartbeheer toe te passen.
Wat betekent 'Zonder probleem'?
'Zonder probleem' betekent dat op het apparaat Beveiligd opstarten is ingeschakeld en dat de registerwaarde UEFICA2023Status bijgewerkt is, wat aangeeft dat de 2023-certificaten zijn toegepast.
Hoe vaak wordt het script uitgevoerd?
Het script wordt uitgevoerd volgens de planning die u in de toewijzing configureert. Voor actieve bewaking tijdens een implementatie wordt dagelijks aanbevolen. Voor doorlopende controle is wekelijks voldoende.
Wat gebeurt er als de registersleutel Servicing niet bestaat?
Als de sleutel HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing niet bestaat op een apparaat, wordt in het veld UEFICA2023Status NoValue weergegeven. Dit betekent meestal dat certificaatupdates niet zijn gestart op het apparaat.
Welke licenties zijn vereist?
Voor herstelbewerkingen zijn Windows 10/11 Enterprise E3/E5-, Education A3/A5- of F3-licenties vereist. Als uw apparaten alleen licenties voor Business Premium of Pro hebben, zijn herstelbewerkingen niet beschikbaar. Zie Vereisten voor herstelbewerkingen.
Informatiebronnen
Secure Boot Certificate Update Playbook
Secure Boot Certificate Updates: richtlijnen voor IT-professionals
Registersleutel Updates voor beveiligd opstarten
Updategebeurtenissen voor Beveiligde opstartdatabase en DBX-variabele