Uwaga
- Data pierwotnej publikacji: 19 lutego 2026 r.
- Identyfikator KB: 5080914
Uwaga
Ten artykuł zawiera wskazówki dotyczące następujących tematów:
Administratorzy systemu Windows 365 zarządzający komputerami w chmurze.
Organizacje korzystające z komputerów w chmurze z obsługą bezpiecznego rozruchu dla wdrożeń systemu Windows 365.
Organizacje korzystające z obrazów niestandardowych dla wdrożeń systemu Windows 365.
Tematy w tym artykule:
Wprowadzenie
Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która pomaga zapewnić, że podczas sekwencji rozruchu urządzenia będzie uruchamiane tylko zaufane, podpisane cyfrowo oprogramowanie. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r. Bez zaktualizowanych certyfikatów z 2023 r. urządzenia nie będą już otrzymywać nowych zabezpieczeń Menedżera bezpiecznego rozruchu i rozruchu ani środków zaradczych dla nowo wykrytych luk w zabezpieczeniach na poziomie rozruchu.
Wszystkie komputery w chmurze z obsługą bezpiecznego rozruchu aprowizowane w usłudze Windows 365 oraz niestandardowe obrazy używane do ich udostępniania muszą zostać zaktualizowane do certyfikatów z 2023 r. przed wygaśnięciem, aby zachować ochronę. Zobacz , kiedy wygasają certyfikaty bezpiecznego rozruchu na urządzeniach z systemem Windows.
Czy dotyczy to mojego środowiska systemu Windows 365?
| Scenariusz | Aktywny bezpieczny rozruch? | Wymagane działanie |
|---|---|---|
| Komputery w chmurze | ||
| Komputer w chmurze z włączonym bezpiecznym rozruchem | Tak | Aktualizowanie certyfikatów na komputerze w chmurze |
| Komputer w chmurze z wyłączonym bezpiecznym rozruchem | Nie | Nie jest wymagane żadne działanie |
| Obrazy | ||
| Obraz galerii obliczeń platformy Azure z włączonym bezpiecznym rozruchem | Tak | Aktualizowanie certyfikatów na obrazie źródłowym przed uogólnieniem |
| Obraz galerii obliczeń platformy Azure bez zaufanego uruchamiania | Nie | Stosowanie aktualizacji na komputerze w chmurze po aprowizacji |
| Obraz zarządzany (nie obsługuje zaufanego uruchamiania) | Nie | Stosowanie aktualizacji na komputerze w chmurze po aprowizacji |
Aby uzyskać pełne informacje ogólne, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.
Inwentaryzacja i monitorowanie
Przed podjęciem działań przeprowadź inwentaryzację środowiska, aby zidentyfikować urządzenia wymagające aktualizacji. Monitorowanie jest niezbędne, aby potwierdzić, że certyfikaty zostały zastosowane przed terminem w czerwcu 2026 r. — nawet jeśli polegasz na automatycznych metodach wdrażania. Poniżej przedstawiono opcje pozwalające określić, czy należy podjąć działanie.
Opcja 1: Korygowanie w usłudze Microsoft Intune
W przypadku komputerów w chmurze zarejestrowanych w usłudze Microsoft Intune można wdrożyć skrypt wykrywania przy użyciu korygowania usługi Intune (Proactive Remediations), aby automatycznie zbierać stan certyfikatu bezpiecznego rozruchu we flocie. Skrypt działa w trybie dyskretnym na każdym urządzeniu i raportuje stan bezpiecznego rozruchu, postęp aktualizacji certyfikatu oraz szczegóły urządzenia z powrotem do portalu usługi Intune — w urządzeniach nie są wprowadzane żadne zmiany. Wyniki można wyświetlać i eksportować do pliku CSV bezpośrednio z centrum administracyjnego usługi Intune na potrzeby analizy całej floty.
Aby uzyskać instrukcje krok po kroku dotyczące wdrażania skryptu wykrywania, zobacz Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą korygowania usługi Microsoft Intune.
Opcja 2: raport o stanie bezpiecznego rozruchu w rozwiązaniu Windows Autopatch
For Cloud PCs registered with Windows Autopatch, go to Intune admin center>Reports>Windows Autopatch>Windows quality updates>Reports tab>Stan bezpiecznego rozruchu. Zobacz Raport o stanie bezpiecznego rozruchu w Autopoprawce systemu Windows.
Uwaga: Aby używać narzędzia Windows Autopatch z systemem Windows 365, komputery w chmurze muszą być zarejestrowane w usłudze Windows Autopatch. Zobacz Autopoprawkę Windows dla obciążeń Windows 365 Enterprise.
Opcja 3: Klucze rejestru do monitorowania floty
Użyj istniejących narzędzi do zarządzania urządzeniami, aby sprawdzać te wartości rejestru w całej flocie.
| Ścieżka rejestru | Klawisz | Zastosowanie |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Bieżący stan wdrożenia |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Błąd | Oznacza błędy (nie powinno istnieć) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Oznacza identyfikator zdarzenia (nie powinien istnieć) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Dostępne aktualizacje | Bity oczekującej aktualizacji |
Aby uzyskać szczegółowe informacje na temat klucza rejestru, zobacz Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu.
Opcja 4: Monitorowanie dziennika zdarzeń
Zbieraj i monitoruj te identyfikatory zdarzeń z dziennika zdarzeń systemowych dla całej floty za pomocą istniejących narzędzi do zarządzania urządzeniami.
| Identyfikator zdarzenia | Lokalizacja | Znaczenie |
|---|---|---|
| 1808 | System | Pomyślnie zastosowane certyfikaty |
| 1801 | System | Szczegóły stanu aktualizacji lub błędu |
Aby uzyskać pełną listę szczegółów zdarzeń, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.
Opcja 5. Skrypt zapasów programu PowerShell
Uruchom skrypt zbierania danych inwentaryzacji bezpiecznego rozruchu firmy Microsoft, aby sprawdzić stan aktualizacji certyfikatu bezpiecznego rozruchu. Skrypt zbiera kilka punktów danych, w tym stan bezpiecznego rozruchu, stan aktualizacji UEFI CA 2023, wersję oprogramowania układowego i aktywność w dzienniku zdarzeń.
Wdrożenie
Ważne
Niezależnie od wybranej opcji wdrożenia zalecamy monitorowanie floty urządzeń w celu potwierdzenia, że certyfikaty zostały pomyślnie zastosowane przed terminem w czerwcu 2026 r. Aby zapoznać się z obrazami niestandardowymi, zobacz Zagadnienia dotyczące obrazów niestandardowych.
Opcja 1: Automatyczne aktualizacje z usługi Windows Update (urządzenia o wysokim poziomie zaufania)
Firma Microsoft automatycznie aktualizuje urządzenia za pomocą comiesięcznych aktualizacji systemu Windows, gdy wystarczająca ilość danych telemetrycznych potwierdzi pomyślne wdrożenie na podobnych konfiguracjach sprzętowych.
- Stan: domyślnie włączone dla urządzeń o wysokim poziomie pewności
- Nie musisz podejmować żadnych działań, chyba że chcesz zrezygnować
| Rejestr | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Klawisz | HighConfidenceOptOut = 1 , aby zrezygnować |
| Zasady grupy | Konfiguracja> komputeraSzablony administracyjne>Składniki> systemu WindowsBezpieczny rozruch>Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje> Ustaw wartość na Wyłączone, aby zrezygnować |
Uwaga
Zalecenie: Nawet przy włączonych aktualizacjach automatycznych monitoruj komputery w chmurze, aby sprawdzić, czy zastosowano certyfikaty. Nie wszystkie urządzenia mogą kwalifikować się do wdrożenia automatycznego o wysokim poziomie pewności.
Aby uzyskać więcej informacji, zobacz Asysty zautomatyzowanego wdrażania.
Opcja 2. Wdrożenie IT-Initiated
Ręczne wyzwalanie aktualizacji certyfikatów w celu natychmiastowego lub kontrolowanego wdrożenia.
| Sposób przygotowania | Dokumentacja |
|---|---|
| Microsoft Intune | Metoda usługi Microsoft Intune |
| Zasady grupy | Metoda obiektu zasad grupy |
| Klucze rejestru | Metoda klucza rejestru |
| Interfejs wiersza polecenia usługi WinCS | Interfejsy API usługi WinCS |
Uwaga
- Nie mieszaj metod wdrażania inicjowanych przez dział informatyczny (np. usługa Intune i obiekt GPO) na tym samym urządzeniu — kontrolują one te same klucze rejestru i mogą powodować konflikt.
- Poczekaj około 48 godzin i co najmniej jedno ponowne uruchomienie, aby certyfikaty zostały w pełni zastosowane.
Zagadnienia dotyczące obrazów niestandardowych
Obrazy niestandardowe są w pełni zarządzane przez Twoją organizację. Ponosisz odpowiedzialność za zastosowanie aktualizacji certyfikatu bezpiecznego rozruchu do obrazu niestandardowego i ponowne przekazanie go przed użyciem go do obsługi administracyjnej.
Stosowanie aktualizacji certyfikatu bezpiecznego rozruchu do obrazu źródłowego jest obsługiwane tylko w przypadku obrazów z galerii obliczeń platformy Azure (wersja zapoznawcza), które obsługują zaufane uruchamianie i bezpieczny rozruch. Zarządzane obrazy nie obsługują bezpiecznego rozruchu, więc aktualizacji certyfikatów nie można stosować na poziomie obrazu. W przypadku komputerów w chmurze aprowizowanych z zarządzanych obrazów zastosuj aktualizacje bezpośrednio na komputerze w chmurze przy użyciu jednej z powyższych metod wdrażania.
Przed uogólnieniem nowego obrazu niestandardowego sprawdź, czy certyfikaty zostały zaktualizowane:
Uwaga
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Znane problemy
Klucz rejestru obsługi nie istnieje
| Objaw | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ścieżka nie istnieje |
|---|---|
| Przyczyna | Aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu |
| Rozwiązanie | Poczekaj na automatyczne wdrożenie za pośrednictwem usługi Windows Update lub zainicjuj ręcznie przy użyciu jednej z metod wdrażania zainicjowanych przez dział IT wymienionych powyżej |
Przez dłuższy czas wyświetlany stan to "W toku"
| Objaw | UEFICA2023Status pozostaje "W toku" po wielu dniach |
|---|---|
| Przyczyna | Urządzenie może wymagać ponownego uruchomienia, aby zakończyć proces aktualizacji |
| Rozwiązanie | Uruchom ponownie komputer w chmurze i sprawdź stan ponownie po 15 minutach. Jeśli problem będzie się powtarzać, zobacz Zdarzenia aktualizacji zmiennej DB bezpiecznego rozruchu , aby uzyskać wskazówki dotyczące rozwiązywania problemów |
UEFICA2023Błąd istnieje klucz rejestru
| Objaw | UEFICA2023Błąd klucza rejestru jest obecny |
|---|---|
| Przyczyna | Wystąpił błąd podczas wdrażania certyfikatu |
| Rozwiązanie | Sprawdź dziennik zdarzeń systemowych, aby uzyskać szczegółowe informacje. Zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu , aby uzyskać wskazówki dotyczące rozwiązywania problemów |