Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą działań naprawczych Microsoft Intune

Oryginalna data publikacji: 18 lutego 2026 r.

Identyfikator BAZY WIEDZY: 5080921

Ten artykuł zawiera wskazówki dotyczące:

Administratorzy IT, którzy potrzebują wglądu w stan aktualizacji certyfikatu bezpiecznego rozruchu ze swoich Intune zarejestrowanych urządzeń z systemem Windows
Organizacje przygotowujące się do terminu wygaśnięcia certyfikatu bezpiecznego rozruchu z czerwca 2026 r.
Zespoły, które chcą monitorować postęp wdrażania certyfikatów na swoich Intune zarejestrowanych urządzeniach z systemem Windows

Wprowadzenie

Certyfikaty bezpiecznego rozruchu firmy Microsoft (2011 CA) wygasają od czerwca 2026 r. Wszystkie urządzenia z systemem Windows z włączonym bezpiecznym rozruchem muszą zostać zaktualizowane do certyfikatów 2023 przed wygaśnięciem, aby zapewnić dalszą obsługę aktualizacji zabezpieczeń.

Ten przewodnik zawiera podejście tylko do monitorowania za pomocą działań naprawczych Microsoft Intune (proactive Remediations). Skrypt wykrywania zbiera stan bezpiecznego rozruchu i certyfikatu z każdego urządzenia i zgłasza go z powrotem do portalu Intune — na urządzeniach nie są podejmowane żadne działania naprawcze. Zapewnia to administratorom scentralizowany, eksportowany widok postępu aktualizacji certyfikatu na ich Intune zarejestrowanych urządzeniach z systemem Windows.

Po co korzystać z tego podejścia?

Korzyści	Opis
Widoczność na całym urządzeniu	Wyświetlanie stanu certyfikatu każdego Intune zarejestrowanego urządzenia z systemem Windows w jednym miejscu
Eksportowalny	Eksportowanie wyników do pliku CSV bezpośrednio z portalu Intune
Nieprzetworzone wartości rejestru	Wyświetlanie rzeczywistych danych rejestru, a nie tylko przekazywanie/niepowodzenie
Kontekst urządzenia	Obejmuje producenta, model, wersję systemu BIOS i typ oprogramowania układowego
Telemetria dziennika zdarzeń	Przechwytuje identyfikatory zdarzeń bezpiecznego rozruchu (1801/1808), identyfikatory zasobnika i poziomy pewności siebie
Zero dotyku	Działa w trybie dyskretnym jako SYSTEM — interakcja użytkownika nie jest wymagana

Aby uzyskać pełne informacje o aktualizacjach certyfikatów, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: Wskazówki dla informatyków i organizacji.

Wymagania wstępne

Przed wdrożeniem skryptu wykrywania upewnij się, że środowisko spełnia niezbędne wymagania.

To rozwiązanie korzysta z rozwiązań naprawczych w Microsoft Intune. Aby uzyskać pełną listę wymagań wstępnych, zobacz Wykrywanie i rozwiązywanie problemów z pomocą techniczną za pomocą działań naprawczych — Microsoft Intune.

Skrypty wykrywania

Skrypt wykrywania to skrypt programu PowerShell, który zbiera kompleksowe dane zapasów bezpiecznego rozruchu z każdego urządzenia i wyprowadza je jako ciąg JSON. Skrypt zostanie odczytany z następujących źródeł:

Rejestr — stan aktualizacji certyfikatu bezpiecznego rozruchu, klucze obsługi, atrybuty urządzenia oraz ustawienia opt-in/opt-out z HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot i jego podkluczy

WMI/CIM — wersja systemu operacyjnego, czas ostatniego rozruchu i informacje o sprzęcie baseboard

Dzienniki zdarzeń — wpisy dziennika zdarzeń systemowych dla identyfikatorów zdarzeń 1801 i 1808 (zdarzenia aktualizacji bezpiecznego rozruchu)

Dane wyjściowe JSON są wyświetlane w portalu Intune w obszarze Działania naprawcze > Monitor > Stan urządzenia > "Dane wyjściowe wykrywania działań wstępnych" i można je wyeksportować do pliku CSV w celu analizy.

Ważne: Jest to skrypt tylko do wykrywania. Na urządzeniu nie są wprowadzane żadne zmiany. Skrypty naprawcze nie są potrzebne.

Tworzenie pliku skryptu

Przejdź do skryptu zbierania danych z przykładowego bezpiecznego rozruchu (KB5072718)
Kopiowanie pełnej zawartości skryptu ze strony
Otwórz edytor tekstu (np. Notatnik, kod VS) i wklej skrypt
Zapisz plik jako Detect-SecureBootCertUpdateStatus.ps1

Tworzenie rozwiązania w programie Intune

Wykonaj poniższe czynności, aby wdrożyć skrypt wykrywania jako rozwiązywanie problemów (pakiet skryptów) w Microsoft Intune.

Krok 1. Tworzenie pakietu skryptów

Logowanie się do centrum administracyjnego Microsoft Intune
Przejdź do obszaru Urządzenia > działania naprawcze
Kliknij pozycję + Utwórz pakiet skryptu

Krok 2. Podstawy

Skonfiguruj następujące ustawienia na karcie Podstawy:

Ustawienie	Wartość
Nazwa	Monitor stanu certyfikatu bezpiecznego rozruchu
Opis	Monitoruje stan aktualizacji certyfikatu bezpiecznego rozruchu we wszystkich flotach. Tylko wykrywanie — nie są podejmowane żadne działania naprawcze.
Publisher	(nazwa Twojej organizacji)

Kliknij przycisk Dalej

Krok 3. Ustawienia

Skonfiguruj następujące ustawienia na karcie Ustawienia:

Ustawienie	Wartość	Uwagi
Plik skryptu wykrywania	Przekazywanie Detect-SecureBootCertificateStatus.ps1	Skrypt z poprzedniej sekcji
Plik skryptu rozwiązywania problemów	(pozostaw puste)	Żadne działania naprawcze nie są potrzebne — jest to tylko monitorowanie
Uruchom ten skrypt przy użyciu poświadczeń logowania	Nie	Działa jako system, aby zapewnić dostęp do Confirm-SecureBootUEFI i rejestru
Wymuszanie sprawdzania podpisu skryptu	Nie	Ustaw wartość Tak, jeśli Twoja organizacja wymaga podpisanych skryptów
Uruchamianie skryptu w 64-bitowej wersji programu PowerShell	Tak	Wymagane do Confirm-SecureBootUEFI polecenia cmdlet i dokładnych odczytów rejestru

Kliknij przycisk Dalej

Krok 4. Tagi zakresu

Dodawanie tagów zakresu wymaganych przez organizację lub pozostawanie jako domyślne
Kliknij przycisk Dalej

Krok 5. Zadania

Ustawienie	Wartość	Notatki
Przypisania	Wybieranie grup urządzeń do monitorowania	Używanie wszystkich urządzeń do monitorowania całej floty lub określonych grup do ukierunkowanego monitorowania
Harmonogram	Skonfiguruj do swoich potrzeb w zakresie monitorowania	Zalecane: Raz dziennie w celu aktywnego śledzenia wdrażania lub raz w tygodniu w celu stałego monitorowania

Uwaga: Działania naprawcze są uruchamiane w skonfigurowanym harmonogramie urządzenia. Pierwsze uruchomienie może potrwać do 24 godzin od przypisania, w zależności od cyklu meldowania się na urządzeniu.

Kliknij przycisk Dalej

Krok 6. Recenzja + Tworzenie

Przejrzyj wszystkie ustawienia
Kliknij pozycję Utwórz

Wyświetlanie i eksportowanie wyników

Wyświetlanie wyników w portalu

Przejdź do obszaru Urządzenia > działania naprawcze
Kliknij monitor stanu certyfikatu bezpiecznego rozruchu (lub wybraną nazwę)
Wybierz kartę Monitor
Kliknij pozycję Stan urządzenia
Kliknij pozycję Kolumny i dodaj dane wyjściowe wykrywania działań wstępnych

Monitor stanu

Zostanie wyświetlona tabela z następującymi kolumnami:

Kolumna	Opis
Nazwa urządzenia	Nazwa urządzenia
Nazwę użytkownika	Podstawowy użytkownik urządzenia
Stan wykrywania	Bez problemu (certyfikaty zaktualizowane) lub z problemem (certyfikaty nie zostały zaktualizowane)
Dane wyjściowe wykrywania działań wstępnych	Pełne dane wyjściowe JSON ze skryptu
Ostatnia modyfikacja	Po ostatnim uruchomieniu skryptu na urządzeniu

Eksportowanie do pliku CSV

Na stronie Stan urządzenia kliknij przycisk Eksportuj w górnej części tabeli
Plik CSV pobierze wszystkie kolumny, w tym pełne dane wyjściowe wykrywania JSON dla każdego urządzenia
Otwieranie w programie Excel w celu filtrowania, sortowania i analizowania według dowolnego pola

Porada: W programie Excel można użyć funkcji POŁĄCZ.TEKSTY lub JSON w celu przeanalizowania wyników wykrywania JSON w osobnych kolumnach w celu łatwiejszej analizy.

Karta Omówienie

Intune — omówienie

Karta Przegląd na pulpicie nawigacyjnym rozwiązywania problemów udostępnia pulpit nawigacyjny podsumowania:

Metrycznych	Znaczenie
Urządzenia z problemami	Urządzenia, na których certyfikaty nie są jeszcze zaktualizowane
Urządzenia bez problemów	Urządzenia, na których certyfikaty są aktualne
Urządzenia z niepowodzeniem wykrywania	Urządzenia, na których skrypt napotkał błąd

Często zadawane pytania

Czy to coś zmienia na moich urządzeniach?

Nie. Jest to skrypt tylko do wykrywania. Nie są modyfikowane żadne wartości rejestru, nie są wyzwalane żadne aktualizacje i nie są podejmowane żadne działania naprawcze. Skrypt odczytuje tylko wartości i zgłasza je.

Co oznacza "Z problemem"?

"Problem" oznacza, że urządzenie nie ma jeszcze zastosowano certyfikatów bezpiecznego rozruchu 2023 i 2023 podpisane menedżera rozruchu w miejscu. Może to być spowodowane tym, że: - Aktualizacja certyfikatu nie została zainicjowana — aktualizacja jest w toku i może wymagać ponownego uruchomienia — bezpieczny rozruch nie jest włączony na urządzeniu — urządzenie nie jest oparte na interfejsie UEFI lub czeka na ponowne uruchomienie w celu zastosowania menedżera rozruchu.

Co oznacza "Bez problemu"?

"Bez problemu" oznacza, że na urządzeniu włączono bezpieczny rozruch, a wartość rejestru UEFICA2023Status jest aktualizowana, co oznacza, że certyfikaty 2023 zostały pomyślnie zastosowane.

Jak często skrypt jest uruchamiany?

Skrypt jest uruchamiany zgodnie z harmonogramem konfiguruj w zadaniu. Do aktywnego monitorowania podczas wdrażania zalecane jest codzienne. Do bieżącego monitorowania wystarczy tygodniowy.

Co zrobić, jeśli klucz rejestru Obsługi nie istnieje?

Jeśli klucz HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing nie istnieje na urządzeniu, w polu UEFICA2023Status zostanie wyświetlona wartość NoValue. Zazwyczaj oznacza to, że aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu.

Jakie licencje są wymagane?

Działania naprawcze wymagają licencji Windows 10/11 Enterprise E3/E5, Education A3/A5 lub F3. Jeśli twoje urządzenia mają tylko licencje Business Premium lub Pro, rozwiązania nie będą dostępne. Zobacz Wymagania wstępne dotyczące rozwiązywania problemów.