Aktualizacje certyfikatu bezpiecznego rozruchu dla usługi Azure Virtual Desktop

Dotyczy
Azure Virtual Desktop

Uwaga

  • Data pierwotnej publikacji: 19 lutego 2026 r.
  • Identyfikator KB: 5080931

Uwaga

Ten artykuł zawiera wskazówki dotyczące następujących tematów:

  • Administratorzy usługi Azure Virtual Desktop zarządzający aktualizacjami hosta sesji

  • Organizacje korzystające z maszyn wirtualnych z obsługą bezpiecznego rozruchu dla wdrożeń usługi Azure Virtual Desktop

  • Organizacje używające obrazów niestandardowych (golden images) dla wdrożeń usługi Azure Virtual Desktop

Tematy w tym artykule:

Wprowadzenie

Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która pomaga zapewnić, że tylko zaufane, podpisane cyfrowo oprogramowanie jest uruchamiane podczas sekwencji rozruchowej urządzenia. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r. Bez zaktualizowanych certyfikatów z 2023 r. urządzenia nie będą już otrzymywać nowych zabezpieczeń Menedżera bezpiecznego rozruchu i rozruchu ani środków zaradczych dla nowo wykrytych luk w zabezpieczeniach na poziomie rozruchu.

Wszystkie maszyny wirtualne z włączonym bezpiecznym rozruchem zarejestrowane w usłudze Azure Virtual Desktop oraz niestandardowe obrazy używane do ich aprowizacji muszą zostać zaktualizowane do certyfikatów z 2023 r. przed wygaśnięciem, aby zachować ochronę.  Zobacz, kiedy certyfikaty bezpiecznego rozruchu wygasają na urządzeniach z systemem Windows

Czy dotyczy to środowiska usługi Azure Virtual Desktop?

Scenariusz Aktywny bezpieczny rozruch? Wymagane działanie
Gospodarze sesji
Zaufane uruchamianie maszyny wirtualnej z włączonym bezpiecznym rozruchem Tak Aktualizowanie certyfikatów na hoście sesji
Zaufane uruchamianie maszyny wirtualnej z wyłączonym bezpiecznym rozruchem Nie Nie jest wymagane żadne działanie
Maszyna wirtualna typu zabezpieczeń w warstwie Standardowa Nie Nie jest wymagane żadne działanie
Maszyna wirtualna generacji 1 Nieobsługiwane Nie jest wymagane żadne działanie
Złote obrazy
Obraz galerii obliczeń platformy Azure z włączonym bezpiecznym rozruchem Tak Aktualizowanie certyfikatów na obrazie źródłowym
Obraz galerii obliczeń platformy Azure bez zaufanego uruchamiania Nie Stosowanie aktualizacji na hoście sesji po wdrożeniu
Obraz zarządzany (nie obsługuje zaufanego uruchamiania) Nie Stosowanie aktualizacji na hoście sesji po wdrożeniu

Aby uzyskać pełne informacje ogólne, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.

Inwentaryzacja i monitorowanie

Przed podjęciem działań przeprowadź inwentaryzację środowiska, aby zidentyfikować urządzenia wymagające aktualizacji. Monitorowanie jest niezbędne, aby potwierdzić, że certyfikaty zostały zastosowane przed terminem w czerwcu 2026 r. — nawet jeśli polegasz na automatycznych metodach wdrażania.  Poniżej przedstawiono opcje pozwalające określić, czy należy podjąć działanie.

Opcja 1: Korygowanie w usłudze Microsoft Intune

W przypadku hostów sesji zarejestrowanych w usłudze Microsoft Intune można wdrożyć skrypt wykrywania przy użyciu korygowania usługi Intune (proaktywnych korygowań), aby automatycznie zbierać stan certyfikatu bezpiecznego rozruchu we flocie. Skrypt działa w trybie dyskretnym na każdym urządzeniu i raportuje stan bezpiecznego rozruchu, postęp aktualizacji certyfikatu oraz szczegóły urządzenia z powrotem do portalu usługi Intune — w urządzeniach nie są wprowadzane żadne zmiany. Wyniki można wyświetlać i eksportować do pliku CSV bezpośrednio z centrum administracyjnego usługi Intune na potrzeby analizy całej floty.

Aby uzyskać instrukcje krok po kroku dotyczące wdrażania skryptu wykrywania, zobacz Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą korygowania usługi Microsoft Intune.

Opcja 2: raport o stanie bezpiecznego rozruchu w rozwiązaniu Windows Autopatch

W przypadku osobistych hostów sesji trwałych zarejestrowanych w programie Windows Autopatch przejdź do centrum administracyjnego Intune Raporty>>Autopoprawka> Windows aktualizacjedotyczące jakości> systemu WindowsKarta> RaportyStan bezpiecznego rozruchu. Zobacz Raport o stanie bezpiecznego rozruchu w Autopoprawce systemu Windows.

Uwaga

Program Windows Autopatch obsługuje tylko osobiste trwałe maszyny wirtualne dla usługi Azure Virtual Desktop. Hosty wielosesyjne, nietrwałe maszyny wirtualne w puli i zdalne przesyłanie strumieniowe aplikacji nie są obsługiwane. Zobacz Windows Autopatch dla obciążeń usługi Azure Virtual Desktop.

Opcja 3: Klucze rejestru do monitorowania floty

Użyj istniejących narzędzi do zarządzania urządzeniami, aby sprawdzać te wartości rejestru w całej flocie.

Ścieżka rejestru Klawisz Zastosowanie
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Bieżący stan wdrożenia
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Błąd Oznacza błędy (nie powinno istnieć)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Oznacza identyfikator zdarzenia (nie powinien istnieć)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Dostępne aktualizacje Bity oczekującej aktualizacji

Aby uzyskać szczegółowe informacje na temat klucza rejestru, zobacz Aktualizacje kluczy rejestru dla funkcji Bezpieczny rozruch: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT.

Opcja 4: Monitorowanie dziennika zdarzeń

Zbieraj i monitoruj te identyfikatory zdarzeń z dziennika zdarzeń systemowych dla całej floty za pomocą istniejących narzędzi do zarządzania urządzeniami.

Identyfikator zdarzenia Lokalizacja Znaczenie
1808 System Pomyślnie zastosowane certyfikaty
1801 System Szczegóły stanu aktualizacji lub błędu

Aby uzyskać pełną listę szczegółów zdarzeń, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

Opcja 5. Skrypt zapasów programu PowerShell

Uruchom skrypt zbierania danych inwentaryzacji bezpiecznego rozruchu firmy Microsoft, aby sprawdzić stan aktualizacji certyfikatu bezpiecznego rozruchu. Skrypt zbiera kilka punktów danych, w tym stan bezpiecznego rozruchu, stan aktualizacji UEFI CA 2023, wersję oprogramowania układowego i aktywność w dzienniku zdarzeń.

Wdrożenie

Ważne

Niezależnie od wybranej opcji wdrożenia zalecamy monitorowanie floty urządzeń w celu potwierdzenia, że certyfikaty zostały pomyślnie zastosowane przed terminem w czerwcu 2026 r. Aby zapoznać się z obrazami niestandardowymi, zobacz Zagadnienia dotyczące złotego obrazu.

Opcja 1: Automatyczne aktualizacje z usługi Windows Update (urządzenia o wysokim poziomie zaufania)

Firma Microsoft automatycznie aktualizuje urządzenia za pomocą comiesięcznych aktualizacji systemu Windows, gdy wystarczająca ilość danych telemetrycznych potwierdzi pomyślne wdrożenie na podobnych konfiguracjach sprzętowych.

  • Status: Domyślnie włączone dla urządzeń o wysokim poziomie pewności
  • Nie musisz podejmować żadnych działań, chyba że chcesz zrezygnować
Rejestr HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Klawisz HighConfidenceOptOut = 1 , aby zrezygnować
Zasady grupy Konfiguracja> komputeraSzablony administracyjne>Składniki> systemu WindowsBezpieczny rozruch>Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje> Ustaw wartość na Wyłączone, aby zrezygnować.

Uwaga

Zalecenie: Nawet jeśli aktualizacje automatyczne są włączone, monitoruj hosty sesji, aby sprawdzić, czy zastosowano certyfikaty. Nie wszystkie urządzenia mogą kwalifikować się do wdrożenia automatycznego o wysokim poziomie pewności.

Aby uzyskać więcej informacji, zobacz Asysty zautomatyzowanego wdrażania.

Opcja 2. Wdrożenie IT-Initiated

Ręczne wyzwalanie aktualizacji certyfikatów w celu natychmiastowego lub kontrolowanego wdrożenia.

Sposób przygotowania Dokumentacja
Microsoft Intune Metoda usługi Microsoft Intune
Zasady grupy Metoda obiektów zasady grupy (GPO)
Klucze rejestru Metoda klucza rejestru
Interfejs wiersza polecenia usługi WinCS Interfejsy API usługi WinCS

Uwaga

  • Nie mieszaj metod wdrażania inicjowanych przez dział informatyczny (np. usługa Intune i obiekt GPO) na tym samym urządzeniu — kontrolują one te same klucze rejestru i mogą powodować konflikt.
  • Poczekaj około 48 godzin i co najmniej jedno ponowne uruchomienie, aby certyfikaty zostały w pełni zastosowane.

Uwagi dotyczące złotego obrazu

W przypadku środowisk usługi Azure Virtual Desktop korzystających z obrazów galerii obliczeń platformy Azure z włączonym bezpiecznym rozruchem zastosuj aktualizację certyfikatu bezpiecznego rozruchu 2023 do złotego obrazu przed jego przechwyceniem. Użyj jednej z metod opisanych powyżej, aby zastosować aktualizację, a następnie sprawdź, czy certyfikaty zostały zaktualizowane, zanim zaczniesz uogólniać:

Uwaga

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Obrazy bez włączonego zaufanego uruchamiania nie mogą otrzymywać aktualizacji certyfikatu bezpiecznego rozruchu za pośrednictwem obrazu. Obejmuje to obrazy zarządzane, które nie obsługują zaufanego uruchamiania, oraz obrazy z galerii obliczeniowej Azure, w przypadku których zaufane uruchamianie nie jest włączone. W przypadku urządzeń aprowizowanych na podstawie tych obrazów zastosuj aktualizacje w systemie operacyjnym gościa przy użyciu jednej z powyższych metod.

Znane problemy

Klucz rejestru obsługi nie istnieje

Objaw HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path nie istnieje
Przyczyna Aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu
Rozwiązanie Poczekaj na automatyczne wdrożenie za pośrednictwem usługi Windows Update lub zainicjuj ręcznie przy użyciu jednej z metod wdrażania zainicjowanych przez dział IT wymienionych powyżej

Przez dłuższy czas wyświetlany stan to "W toku"

Objaw UEFICA2023Status pozostaje "W toku" po wielu dniach
Przyczyna Urządzenie może wymagać ponownego uruchomienia, aby zakończyć proces aktualizacji
Rozwiązanie Uruchom ponownie hosta sesji i ponownie sprawdź stan po 15 minutach. Jeśli problem będzie się powtarzać, zobacz Zdarzenia aktualizacji zmiennej DB bezpiecznego rozruchu , aby uzyskać wskazówki dotyczące rozwiązywania problemów

UEFICA2023Błąd istnieje klucz rejestru

Objaw UEFICA2023Błąd klucza rejestru jest obecny
Przyczyna Wystąpił błąd podczas wdrażania certyfikatu
Rozwiązanie Sprawdź dziennik zdarzeń systemowych, aby uzyskać szczegółowe informacje. Zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu , aby uzyskać wskazówki dotyczące rozwiązywania problemów

Zasoby