Uwaga
- Data pierwotnej publikacji: 18 luty 2026 r
- Identyfikator KB: 5080921
Ten artykuł zawiera wskazówki dotyczące następujących tematów:
- Administratorzy IT, którzy potrzebują wglądu w stan aktualizacji certyfikatu bezpiecznego rozruchu z urządzeń z systemem Windows zarejestrowanych w usłudze Intune
- Organizacje przygotowujące się do terminu wygaśnięcia certyfikatu bezpiecznego rozruchu w czerwcu 2026 r.
- Zespoły, które chcą monitorować postęp wdrażania certyfikatów na urządzeniach z systemem Windows zarejestrowanych w usłudze Intune
Tematy w tym artykule:
- Wprowadzenie
- Wymagania wstępne
- Skrypt wykrywania
- Tworzenie korygowania w usłudze Intune
- Wyświetlanie i eksportowanie wyników
- Często zadawane pytania
- Zasoby
Wprowadzenie
Certyfikaty bezpiecznego rozruchu firmy Microsoft (urzędy certyfikacji 2011) wygasają od czerwca 2026 r. Wszystkie urządzenia z systemem Windows z włączonym bezpiecznym rozruchem muszą zostać zaktualizowane do certyfikatów z 2023 r. przed wygaśnięciem, aby zapewnić ciągłą obsługę aktualizacji zabezpieczeń.
Ten przewodnik zawiera podejście oparte wyłącznie na monitorowaniu przy użyciu korygowania usługi Microsoft Intune (proaktywnych korygowań). Skrypt wykrywania zbiera informacje o stanie bezpiecznego rozruchu i certyfikatu z każdego urządzenia, a następnie zgłasza go z powrotem do portalu usługi Intune — na urządzeniach nie są podejmowane żadne działania korygujące. Zapewnia to administratorom scentralizowany, możliwy do wyeksportowania widok postępu aktualizacji certyfikatu na urządzeniach z systemem Windows zarejestrowanych w usłudze Intune.
Dlaczego warto korzystać z tego podejścia?
| Korzyść | Opis |
|---|---|
| Widoczność na całym urządzeniu | Zobacz stan certyfikatu każdego urządzenia z systemem Windows zarejestrowanego w usłudze Intune w jednym miejscu |
| Możliwość eksportowania | Eksportowanie wyników do pliku CSV bezpośrednio z portalu usługi Intune |
| Nieprzetworzone wartości rejestru | Wyświetlanie rzeczywistych danych rejestru, a nie tylko zaliczenie/niezaliczenie |
| Kontekst urządzenia | Obejmuje producenta, model, wersję systemu BIOS i typ oprogramowania układowego |
| Telemetria dziennika zdarzeń | Przechwytuje identyfikatory zdarzeń bezpiecznego rozruchu (1801/1808), identyfikatory zasobników i poziomy ufności |
| Zero obsługi dotykowej | Działa w trybie dyskretnym jako SYSTEM — nie jest wymagana żadna interakcja z użytkownikiem |
Aby uzyskać pełne informacje ogólne o aktualizacjach certyfikatów, zobacz Aktualizacje certyfikatów bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.
Wymagania wstępne
Przed wdrożeniem skryptu wykrywania upewnij się, że środowisko spełnia niezbędne wymagania.
To rozwiązanie korzysta z korygowania w usłudze Microsoft Intune. Aby uzyskać pełną listę wymagań wstępnych, zobacz Używanie korygowania do wykrywania i rozwiązywania problemów z pomocą techniczną — Microsoft Intune.
Skrypty wykrywania
Skrypt wykrywania to skrypt programu PowerShell, który zbiera kompleksowe dane inwentaryzacyjne bezpiecznego rozruchu z każdego urządzenia i wyprowadza je jako ciąg JSON. Skrypt jest odczytywany z następujących źródeł:
Rejestr — stan aktualizacji certyfikatu bezpiecznego rozruchu, klucze serwisowe, atrybuty urządzeń i ustawienia opt-in/opt-out z HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot i jego podklucze
WMI/CIM — wersja systemu operacyjnego, czas ostatniego rozruchu i informacje o sprzęcie płyty głównej
Dzienniki zdarzeń — wpisy dziennika zdarzeń systemowych dla identyfikatorów zdarzeń 1801 i 1808 (zdarzenia aktualizacji bezpiecznego rozruchu)
Dane wyjściowe JSON są wyświetlane w portalu usługi Intune w obszarze Stan urządzenia > monitora > korygowania > "Dane wyjściowe wykrywania przed korygowaniem" i można je wyeksportować do pliku CSV w celu analizy.
Ważne: To jest skrypt tylko wykrywania. W urządzeniu nie są wprowadzane żadne zmiany. Nie jest potrzebny żaden skrypt korygujący.
Tworzenie pliku skryptu
Uwaga
WAŻNE Poniższy artykuł zawierający ten przykładowy skrypt został wycofany. Jeśli zainstalowano aktualizację systemu Windows wydaną 12 maja 2026 r. lub później, przykładowy skrypt można znaleźć w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na urządzeniu.
- Przejdź do przykładowego skryptu zbierania danych spisu bezpiecznego rozruchu (KB5072718)
- Skopiuj pełną treść skryptu ze strony
- Otwórz edytor tekstu (np. Notatnik, VS Code) i wklej skrypt
- Zapisz plik jako Detect-SecureBootCertUpdateStatus.ps1
Tworzenie korygowania w usłudze Intune
Wykonaj poniższe kroki, aby wdrożyć skrypt wykrywania jako korygowanie (pakiet skryptu) w usłudze Microsoft Intune.
Krok 1. Tworzenie pakietu skryptów
- Sign in to the Microsoft Intune admin center
- Przejdź do korygowania urządzeń >
- Kliknij pozycję + Utwórz pakiet skryptów
Krok 2. Podstawy
- Na karcie Podstawowe skonfiguruj następujące ustawienia:
| Ustawienie | Wartość |
|---|---|
| Nazwa | Monitor stanu certyfikatu bezpiecznego rozruchu |
| Opis | Monitoruje stan aktualizacji certyfikatu bezpiecznego rozruchu we flocie. Tylko wykrywanie — nie są podejmowane żadne działania korygujące. |
| Wydawca | (nazwa organizacji) |
- Kliknij pozycję Dalej.
Krok 3: Ustawienia
- Na karcie Ustawienia skonfiguruj następujące ustawienia:
| Ustawienie | Wartość | Uwagi |
|---|---|---|
| Plik skryptu wykrywania | Przekazywanie Detect-SecureBootCertificateStatus.ps1 | Skrypt z poprzedniej sekcji |
| Plik skryptu korygowania | (pozostaw puste) | Nie są potrzebne żadne działania naprawcze — to jest tylko monitorowanie |
| Uruchom ten skrypt przy użyciu poświadczeń logowania | Nie | Działa jako SYSTEM, aby zapewnić dostęp do Confirm-SecureBootUEFI i rejestru |
| Wymuszanie sprawdzania podpisu skryptu | Nie | Ustaw wartość Tak , jeśli organizacja wymaga podpisanych skryptów |
| Uruchamianie skryptu w 64-bitowej wersji programu PowerShell | Tak | Wymagane do Confirm-SecureBootUEFI polecenia cmdlet i dokładnych odczytów rejestru |
- Kliknij pozycję Dalej.
Krok 4. Tagi zakresu
- Dodaj wszelkie tagi zakresu wymagane przez Twoją organizację lub pozostaw je jako domyślne
- Kliknij pozycję Dalej.
Krok 5. Zadania
| Ustawienie | Wartość | Uwagi |
|---|---|---|
| Przypisania | Wybierz grupy urządzeń do monitorowania | Użyj wszystkich urządzeń do monitorowania całej floty lub określonych grup do ukierunkowanego monitorowania |
| Stopy | Konfigurowanie zgodnie z potrzebami dotyczącymi monitorowania | Zalecane: Raz dziennie w przypadku aktywnego śledzenia wdrożenia lub raz w tygodniu w celu bieżącego monitorowania |
Uwaga: działania naprawcze są uruchamiane zgodnie z harmonogramem skonfigurowanym na urządzeniu. Pierwsze uruchomienie może potrwać do 24 godzin po przypisaniu w zależności od cyklu ewidencjonowania urządzenia.
Kliknij pozycję Dalej.
Krok 6: Przejrzyj + Utwórz
- Przejrzyj wszystkie ustawienia
- Kliknij przycisk Create (Utwórz)
Wyświetlanie i eksportowanie wyników
Wyświetlanie wyników w portalu
- Przejdź do korygowania urządzeń >
- Kliknij Monitor stanu certyfikatu bezpiecznego rozruchu (lub wybraną nazwę)
- Wybierz kartę Monitor
- Kliknij pozycję Stan urządzenia
- Kliknij pozycję Kolumny i dodaj dane wyjściowe wykrywania przed korygowaniem
Zostanie wyświetlona tabela z następującymi kolumnami:
| Kolumna | Opis |
|---|---|
| Nazwa urządzenia | Nazwa urządzenia |
| Nazwa użytkownika | Podstawowy użytkownik urządzenia |
| Stan wykrywania | Bez problemu (zaktualizowano certyfikaty) lub z problemem (nie zaktualizowano certyfikatów) |
| Dane wyjściowe wykrywania przed korygowaniem | Pełne dane wyjściowe JSON ze skryptu |
| Ostatnia modyfikacja | Kiedy skrypt został ostatnio uruchomiony na urządzeniu |
Eksportowanie do pliku CSV
- Na stronie Stan urządzenia kliknij przycisk Eksportuj u góry tabeli
- Plik CSV pobierze wszystkie kolumny, w tym pełne dane wyjściowe wykrywania JSON dla każdego urządzenia
- Otwórz w programie Excel, aby filtrować, sortować i analizować według dowolnego pola
Porada: W programie Excel możesz użyć funkcji TEXTJOIN lub JSON do przeanalizowania wyjściowego kodu JSON wykrywania w oddzielnych kolumnach w celu łatwiejszej analizy.
Karta Przegląd
Karta Przegląd w obszarze Korygowanie zawiera pulpit nawigacyjny podsumowania:
| Metryka | Znaczenie |
|---|---|
| Urządzenia, na których występują problemy | Urządzenia, na których certyfikaty nie zostały jeszcze zaktualizowane |
| Urządzenia bez problemów | Urządzenia, na których certyfikaty są aktualne |
| Urządzenia z nieudanym wykrywaniem | Urządzenia, na których skrypt napotkał błąd |
Często zadawane pytania
Czy to coś zmieni na moich urządzeniach?
Nie. To jest skrypt tylko wykrywania. Nie są modyfikowane wartości rejestru, nie są wyzwalane żadne aktualizacje ani są podejmowane żadne działania korygujące. Skrypt tylko odczytuje wartości i je raportuje.
Co oznacza "Z problemem"?
"Z problemem" oznacza, że urządzenie nie ma jeszcze zastosowanych certyfikatów bezpiecznego rozruchu 2023 i menedżera rozruchu podpisanego w 2023 roku. Może to być spowodowane tym, że: - Aktualizacja certyfikatu nie została zainicjowana - Aktualizacja jest w toku i może wymagać ponownego uruchomienia do ukończenia - Bezpieczny rozruch nie jest włączony na urządzeniu - Urządzenie nie jest oparte na UEFI lub czeka na ponowne uruchomienie, aby zastosować menedżera rozruchu.
Co oznacza komunikat "Bez problemów"?
"Bez problemu" oznacza, że urządzenie ma włączony bezpieczny rozruch, a wartość rejestru UEFICA2023Status jest zaktualizowana, co oznacza, że certyfikaty z 2023 r. zostały pomyślnie zastosowane.
Jak często skrypt jest uruchamiany?
Skrypt jest uruchamiany zgodnie z harmonogramem skonfigurowanym w zadaniu. W przypadku aktywnego monitorowania podczas wdrażania zaleca się codziennie. Do stałego monitorowania wystarczy tydzień.
Co zrobić, jeśli klucz rejestru obsługi nie istnieje?
Jeśli klucz HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing nie istnieje na urządzeniu, w polu UEFICA2023Status zostanie wyświetlona wartość NoValue. Zwykle oznacza to, że aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu.
Jakie licencje są wymagane?
Działania naprawcze wymagają licencji systemu Windows 10/11 Enterprise E3/E5, Education A3/A5 lub F3. Jeśli Twoje urządzenia mają tylko licencje Business Premium lub Pro, środki zaradcze nie będą dostępne. Zobacz Wymagania wstępne dotyczące korygowania.
Zasoby
Podręcznik aktualizacji certyfikatu bezpiecznego rozruchu
Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków
Aktualizacje klucza rejestru dotyczące bezpiecznego rozruchu
Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX