Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą działań naprawczych Microsoft Intune
Dotyczy
Oryginalna data publikacji: 18 lutego 2026 r.
Identyfikator BAZY WIEDZY: 5080921
Ten artykuł zawiera wskazówki dotyczące:
-
Administratorzy IT, którzy potrzebują wglądu w stan aktualizacji certyfikatu bezpiecznego rozruchu ze swoich Intune zarejestrowanych urządzeń z systemem Windows
-
Organizacje przygotowujące się do terminu wygaśnięcia certyfikatu bezpiecznego rozruchu z czerwca 2026 r.
-
Zespoły, które chcą monitorować postęp wdrażania certyfikatów na swoich Intune zarejestrowanych urządzeniach z systemem Windows
W tym artykule:
Wprowadzenie
Certyfikaty bezpiecznego rozruchu firmy Microsoft (2011 CA) wygasają od czerwca 2026 r. Wszystkie urządzenia z systemem Windows z włączonym bezpiecznym rozruchem muszą zostać zaktualizowane do certyfikatów 2023 przed wygaśnięciem, aby zapewnić dalszą obsługę aktualizacji zabezpieczeń.
Ten przewodnik zawiera podejście tylko do monitorowania za pomocą działań naprawczych Microsoft Intune (proactive Remediations). Skrypt wykrywania zbiera stan bezpiecznego rozruchu i certyfikatu z każdego urządzenia i zgłasza go z powrotem do portalu Intune — na urządzeniach nie są podejmowane żadne działania naprawcze. Zapewnia to administratorom scentralizowany, eksportowany widok postępu aktualizacji certyfikatu na ich Intune zarejestrowanych urządzeniach z systemem Windows.
Po co korzystać z tego podejścia?
|
Korzyści |
Opis |
|---|---|
|
Widoczność na całym urządzeniu |
Wyświetlanie stanu certyfikatu każdego Intune zarejestrowanego urządzenia z systemem Windows w jednym miejscu |
|
Eksportowalny |
Eksportowanie wyników do pliku CSV bezpośrednio z portalu Intune |
|
Nieprzetworzone wartości rejestru |
Wyświetlanie rzeczywistych danych rejestru, a nie tylko przekazywanie/niepowodzenie |
|
Kontekst urządzenia |
Obejmuje producenta, model, wersję systemu BIOS i typ oprogramowania układowego |
|
Telemetria dziennika zdarzeń |
Przechwytuje identyfikatory zdarzeń bezpiecznego rozruchu (1801/1808), identyfikatory zasobnika i poziomy pewności siebie |
|
Zero dotyku |
Działa w trybie dyskretnym jako SYSTEM — interakcja użytkownika nie jest wymagana |
Aby uzyskać pełne informacje o aktualizacjach certyfikatów, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: Wskazówki dla informatyków i organizacji.
Wymagania wstępne
Przed wdrożeniem skryptu wykrywania upewnij się, że środowisko spełnia niezbędne wymagania.
To rozwiązanie korzysta z rozwiązań naprawczych w Microsoft Intune. Aby uzyskać pełną listę wymagań wstępnych, zobacz Wykrywanie i rozwiązywanie problemów z pomocą techniczną za pomocą działań naprawczych — Microsoft Intune.
Skrypty wykrywania
Skrypt wykrywania to skrypt programu PowerShell, który zbiera kompleksowe dane zapasów bezpiecznego rozruchu z każdego urządzenia i wyprowadza je jako ciąg JSON. Skrypt zostanie odczytany z następujących źródeł:
Rejestr — stan aktualizacji certyfikatu bezpiecznego rozruchu, klucze obsługi, atrybuty urządzenia oraz ustawienia opt-in/opt-out z HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot i jego podkluczy
WMI/CIM — wersja systemu operacyjnego, czas ostatniego rozruchu i informacje o sprzęcie baseboard
Dzienniki zdarzeń — wpisy dziennika zdarzeń systemowych dla identyfikatorów zdarzeń 1801 i 1808 (zdarzenia aktualizacji bezpiecznego rozruchu)
Dane wyjściowe JSON są wyświetlane w portalu Intune w obszarze Działania naprawcze > Monitor > Stan urządzenia > "Dane wyjściowe wykrywania działań wstępnych" i można je wyeksportować do pliku CSV w celu analizy.
Ważne: Jest to skrypt tylko do wykrywania. Na urządzeniu nie są wprowadzane żadne zmiany. Skrypty naprawcze nie są potrzebne.
Tworzenie pliku skryptu
-
Przejdź do skryptu zbierania danych z przykładowego bezpiecznego rozruchu (KB5072718)
-
Kopiowanie pełnej zawartości skryptu ze strony
-
Otwórz edytor tekstu (np. Notatnik, kod VS) i wklej skrypt
-
Zapisz plik jako Detect-SecureBootCertUpdateStatus.ps1
Tworzenie rozwiązania w programie Intune
Wykonaj poniższe czynności, aby wdrożyć skrypt wykrywania jako rozwiązywanie problemów (pakiet skryptów) w Microsoft Intune.
Krok 1. Tworzenie pakietu skryptów
-
Logowanie się do centrum administracyjnego Microsoft Intune
-
Przejdź do obszaru Urządzenia > działania naprawcze
-
Kliknij pozycję + Utwórz pakiet skryptu
Krok 2. Podstawy
-
Skonfiguruj następujące ustawienia na karcie Podstawy:
|
Ustawienie |
Wartość |
|---|---|
|
Nazwa |
Monitor stanu certyfikatu bezpiecznego rozruchu |
|
Opis |
Monitoruje stan aktualizacji certyfikatu bezpiecznego rozruchu we wszystkich flotach. Tylko wykrywanie — nie są podejmowane żadne działania naprawcze. |
|
Publisher |
(nazwa Twojej organizacji) |
-
Kliknij przycisk Dalej
Krok 3. Ustawienia
-
Skonfiguruj następujące ustawienia na karcie Ustawienia:
|
Ustawienie |
Wartość |
Uwagi |
|---|---|---|
|
Plik skryptu wykrywania |
Przekazywanie Detect-SecureBootCertificateStatus.ps1 |
Skrypt z poprzedniej sekcji |
|
Plik skryptu rozwiązywania problemów |
(pozostaw puste) |
Żadne działania naprawcze nie są potrzebne — jest to tylko monitorowanie |
|
Uruchom ten skrypt przy użyciu poświadczeń logowania |
Nie |
Działa jako system, aby zapewnić dostęp do Confirm-SecureBootUEFI i rejestru |
|
Wymuszanie sprawdzania podpisu skryptu |
Nie |
Ustaw wartość Tak, jeśli Twoja organizacja wymaga podpisanych skryptów |
|
Uruchamianie skryptu w 64-bitowej wersji programu PowerShell |
Tak |
Wymagane do Confirm-SecureBootUEFI polecenia cmdlet i dokładnych odczytów rejestru |
-
Kliknij przycisk Dalej
Krok 4. Tagi zakresu
-
Dodawanie tagów zakresu wymaganych przez organizację lub pozostawanie jako domyślne
-
Kliknij przycisk Dalej
Krok 5. Zadania
|
Ustawienie |
Wartość |
Notatki |
|---|---|---|
|
Przypisania |
Wybieranie grup urządzeń do monitorowania |
Używanie wszystkich urządzeń do monitorowania całej floty lub określonych grup do ukierunkowanego monitorowania |
|
Harmonogram |
Skonfiguruj do swoich potrzeb w zakresie monitorowania |
Zalecane: Raz dziennie w celu aktywnego śledzenia wdrażania lub raz w tygodniu w celu stałego monitorowania |
Uwaga: Działania naprawcze są uruchamiane w skonfigurowanym harmonogramie urządzenia. Pierwsze uruchomienie może potrwać do 24 godzin od przypisania, w zależności od cyklu meldowania się na urządzeniu.
Kliknij przycisk Dalej
Krok 6. Recenzja + Tworzenie
-
Przejrzyj wszystkie ustawienia
-
Kliknij pozycję Utwórz
Wyświetlanie i eksportowanie wyników
Wyświetlanie wyników w portalu
-
Przejdź do obszaru Urządzenia > działania naprawcze
-
Kliknij monitor stanu certyfikatu bezpiecznego rozruchu (lub wybraną nazwę)
-
Wybierz kartę Monitor
-
Kliknij pozycję Stan urządzenia
-
Kliknij pozycję Kolumny i dodaj dane wyjściowe wykrywania działań wstępnych
Zostanie wyświetlona tabela z następującymi kolumnami:
|
Kolumna |
Opis |
|---|---|
|
Nazwa urządzenia |
Nazwa urządzenia |
|
Nazwę użytkownika |
Podstawowy użytkownik urządzenia |
|
Stan wykrywania |
Bez problemu (certyfikaty zaktualizowane) lub z problemem (certyfikaty nie zostały zaktualizowane) |
|
Dane wyjściowe wykrywania działań wstępnych |
Pełne dane wyjściowe JSON ze skryptu |
|
Ostatnia modyfikacja |
Po ostatnim uruchomieniu skryptu na urządzeniu |
Eksportowanie do pliku CSV
-
Na stronie Stan urządzenia kliknij przycisk Eksportuj w górnej części tabeli
-
Plik CSV pobierze wszystkie kolumny, w tym pełne dane wyjściowe wykrywania JSON dla każdego urządzenia
-
Otwieranie w programie Excel w celu filtrowania, sortowania i analizowania według dowolnego pola
Porada: W programie Excel można użyć funkcji POŁĄCZ.TEKSTY lub JSON w celu przeanalizowania wyników wykrywania JSON w osobnych kolumnach w celu łatwiejszej analizy.
Karta Omówienie
Karta Przegląd na pulpicie nawigacyjnym rozwiązywania problemów udostępnia pulpit nawigacyjny podsumowania:
|
Metrycznych |
Znaczenie |
|---|---|
|
Urządzenia z problemami |
Urządzenia, na których certyfikaty nie są jeszcze zaktualizowane |
|
Urządzenia bez problemów |
Urządzenia, na których certyfikaty są aktualne |
|
Urządzenia z niepowodzeniem wykrywania |
Urządzenia, na których skrypt napotkał błąd |
Często zadawane pytania
Czy to coś zmienia na moich urządzeniach?
Nie. Jest to skrypt tylko do wykrywania. Nie są modyfikowane żadne wartości rejestru, nie są wyzwalane żadne aktualizacje i nie są podejmowane żadne działania naprawcze. Skrypt odczytuje tylko wartości i zgłasza je.
Co oznacza "Z problemem"?
"Problem" oznacza, że urządzenie nie ma jeszcze zastosowano certyfikatów bezpiecznego rozruchu 2023 i 2023 podpisane menedżera rozruchu w miejscu. Może to być spowodowane tym, że: - Aktualizacja certyfikatu nie została zainicjowana — aktualizacja jest w toku i może wymagać ponownego uruchomienia — bezpieczny rozruch nie jest włączony na urządzeniu — urządzenie nie jest oparte na interfejsie UEFI lub czeka na ponowne uruchomienie w celu zastosowania menedżera rozruchu.
Co oznacza "Bez problemu"?
"Bez problemu" oznacza, że na urządzeniu włączono bezpieczny rozruch, a wartość rejestru UEFICA2023Status jest aktualizowana, co oznacza, że certyfikaty 2023 zostały pomyślnie zastosowane.
Jak często skrypt jest uruchamiany?
Skrypt jest uruchamiany zgodnie z harmonogramem konfiguruj w zadaniu. Do aktywnego monitorowania podczas wdrażania zalecane jest codzienne. Do bieżącego monitorowania wystarczy tygodniowy.
Co zrobić, jeśli klucz rejestru Obsługi nie istnieje?
Jeśli klucz HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing nie istnieje na urządzeniu, w polu UEFICA2023Status zostanie wyświetlona wartość NoValue. Zazwyczaj oznacza to, że aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu.
Jakie licencje są wymagane?
Działania naprawcze wymagają licencji Windows 10/11 Enterprise E3/E5, Education A3/A5 lub F3. Jeśli twoje urządzenia mają tylko licencje Business Premium lub Pro, rozwiązania nie będą dostępne. Zobacz Wymagania wstępne dotyczące rozwiązywania problemów.
Zasoby
Podręcznik aktualizacji certyfikatu bezpiecznego rozruchu
Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków
Klucz rejestru Aktualizacje bezpiecznego rozruchu
Zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu