Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą korygowania usługi Microsoft Intune

Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Uwaga

  • Data pierwotnej publikacji: 18 luty 2026 r
  • Identyfikator KB: 5080921

Ten artykuł zawiera wskazówki dotyczące następujących tematów:

  • Administratorzy IT, którzy potrzebują wglądu w stan aktualizacji certyfikatu bezpiecznego rozruchu z urządzeń z systemem Windows zarejestrowanych w usłudze Intune
  • Organizacje przygotowujące się do terminu wygaśnięcia certyfikatu bezpiecznego rozruchu w czerwcu 2026 r.
  • Zespoły, które chcą monitorować postęp wdrażania certyfikatów na urządzeniach z systemem Windows zarejestrowanych w usłudze Intune

Tematy w tym artykule:

Wprowadzenie

Certyfikaty bezpiecznego rozruchu firmy Microsoft (urzędy certyfikacji 2011) wygasają od czerwca 2026 r. Wszystkie urządzenia z systemem Windows z włączonym bezpiecznym rozruchem muszą zostać zaktualizowane do certyfikatów z 2023 r. przed wygaśnięciem, aby zapewnić ciągłą obsługę aktualizacji zabezpieczeń.

Ten przewodnik zawiera podejście oparte wyłącznie na monitorowaniu przy użyciu korygowania usługi Microsoft Intune (proaktywnych korygowań). Skrypt wykrywania zbiera informacje o stanie bezpiecznego rozruchu i certyfikatu z każdego urządzenia, a następnie zgłasza go z powrotem do portalu usługi Intune — na urządzeniach nie są podejmowane żadne działania korygujące. Zapewnia to administratorom scentralizowany, możliwy do wyeksportowania widok postępu aktualizacji certyfikatu na urządzeniach z systemem Windows zarejestrowanych w usłudze Intune.

Dlaczego warto korzystać z tego podejścia?

Korzyść Opis
Widoczność na całym urządzeniu Zobacz stan certyfikatu każdego urządzenia z systemem Windows zarejestrowanego w usłudze Intune w jednym miejscu
Możliwość eksportowania Eksportowanie wyników do pliku CSV bezpośrednio z portalu usługi Intune
Nieprzetworzone wartości rejestru Wyświetlanie rzeczywistych danych rejestru, a nie tylko zaliczenie/niezaliczenie
Kontekst urządzenia Obejmuje producenta, model, wersję systemu BIOS i typ oprogramowania układowego
Telemetria dziennika zdarzeń Przechwytuje identyfikatory zdarzeń bezpiecznego rozruchu (1801/1808), identyfikatory zasobników i poziomy ufności
Zero obsługi dotykowej Działa w trybie dyskretnym jako SYSTEM — nie jest wymagana żadna interakcja z użytkownikiem

Aby uzyskać pełne informacje ogólne o aktualizacjach certyfikatów, zobacz Aktualizacje certyfikatów bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.

Wymagania wstępne

Przed wdrożeniem skryptu wykrywania upewnij się, że środowisko spełnia niezbędne wymagania.

To rozwiązanie korzysta z korygowania w usłudze Microsoft Intune. Aby uzyskać pełną listę wymagań wstępnych, zobacz Używanie korygowania do wykrywania i rozwiązywania problemów z pomocą techniczną — Microsoft Intune.

Skrypty wykrywania

Skrypt wykrywania to skrypt programu PowerShell, który zbiera kompleksowe dane inwentaryzacyjne bezpiecznego rozruchu z każdego urządzenia i wyprowadza je jako ciąg JSON. Skrypt jest odczytywany z następujących źródeł:

Rejestr — stan aktualizacji certyfikatu bezpiecznego rozruchu, klucze serwisowe, atrybuty urządzeń i ustawienia opt-in/opt-out z HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot i jego podklucze

WMI/CIM — wersja systemu operacyjnego, czas ostatniego rozruchu i informacje o sprzęcie płyty głównej

Dzienniki zdarzeń — wpisy dziennika zdarzeń systemowych dla identyfikatorów zdarzeń 1801 i 1808 (zdarzenia aktualizacji bezpiecznego rozruchu)

Dane wyjściowe JSON są wyświetlane w portalu usługi Intune w obszarze Stan urządzenia > monitora > korygowania > "Dane wyjściowe wykrywania przed korygowaniem" i można je wyeksportować do pliku CSV w celu analizy.

Ważne: To jest skrypt tylko wykrywania. W urządzeniu nie są wprowadzane żadne zmiany. Nie jest potrzebny żaden skrypt korygujący.

Tworzenie pliku skryptu

Uwaga

WAŻNE Poniższy artykuł zawierający ten przykładowy skrypt został wycofany. Jeśli zainstalowano aktualizację systemu Windows wydaną 12 maja 2026 r. lub później, przykładowy skrypt można znaleźć w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na urządzeniu.

Tworzenie korygowania w usłudze Intune

Wykonaj poniższe kroki, aby wdrożyć skrypt wykrywania jako korygowanie (pakiet skryptu) w usłudze Microsoft Intune.

Krok 1. Tworzenie pakietu skryptów

Krok 2. Podstawy

  • Na karcie Podstawowe skonfiguruj następujące ustawienia:
Ustawienie Wartość
Nazwa Monitor stanu certyfikatu bezpiecznego rozruchu
Opis Monitoruje stan aktualizacji certyfikatu bezpiecznego rozruchu we flocie. Tylko wykrywanie — nie są podejmowane żadne działania korygujące.
Wydawca (nazwa organizacji)
  • Kliknij pozycję Dalej.

Krok 3: Ustawienia

  • Na karcie Ustawienia skonfiguruj następujące ustawienia:
Ustawienie Wartość Uwagi
Plik skryptu wykrywania Przekazywanie Detect-SecureBootCertificateStatus.ps1 Skrypt z poprzedniej sekcji
Plik skryptu korygowania (pozostaw puste) Nie są potrzebne żadne działania naprawcze — to jest tylko monitorowanie
Uruchom ten skrypt przy użyciu poświadczeń logowania Nie Działa jako SYSTEM, aby zapewnić dostęp do Confirm-SecureBootUEFI i rejestru
Wymuszanie sprawdzania podpisu skryptu Nie Ustaw wartość Tak , jeśli organizacja wymaga podpisanych skryptów
Uruchamianie skryptu w 64-bitowej wersji programu PowerShell Tak Wymagane do Confirm-SecureBootUEFI polecenia cmdlet i dokładnych odczytów rejestru
  • Kliknij pozycję Dalej.

Krok 4. Tagi zakresu

  • Dodaj wszelkie tagi zakresu wymagane przez Twoją organizację lub pozostaw je jako domyślne
  • Kliknij pozycję Dalej.

Krok 5. Zadania

Ustawienie Wartość Uwagi
Przypisania Wybierz grupy urządzeń do monitorowania Użyj wszystkich urządzeń do monitorowania całej floty lub określonych grup do ukierunkowanego monitorowania
Stopy Konfigurowanie zgodnie z potrzebami dotyczącymi monitorowania Zalecane: Raz dziennie w przypadku aktywnego śledzenia wdrożenia lub raz w tygodniu w celu bieżącego monitorowania

Uwaga: działania naprawcze są uruchamiane zgodnie z harmonogramem skonfigurowanym na urządzeniu. Pierwsze uruchomienie może potrwać do 24 godzin po przypisaniu w zależności od cyklu ewidencjonowania urządzenia.

Kliknij pozycję Dalej.

Krok 6: Przejrzyj + Utwórz

  • Przejrzyj wszystkie ustawienia
  • Kliknij przycisk Create (Utwórz)

Wyświetlanie i eksportowanie wyników

Wyświetlanie wyników w portalu

  • Przejdź do korygowania urządzeń >
  • Kliknij Monitor stanu certyfikatu bezpiecznego rozruchu (lub wybraną nazwę)
  • Wybierz kartę Monitor
  • Kliknij pozycję Stan urządzenia
  • Kliknij pozycję Kolumny i dodaj dane wyjściowe wykrywania przed korygowaniem

Monitor stanu

Zostanie wyświetlona tabela z następującymi kolumnami:

Kolumna Opis
Nazwa urządzenia Nazwa urządzenia
Nazwa użytkownika Podstawowy użytkownik urządzenia
Stan wykrywania Bez problemu (zaktualizowano certyfikaty) lub z problemem (nie zaktualizowano certyfikatów)
Dane wyjściowe wykrywania przed korygowaniem Pełne dane wyjściowe JSON ze skryptu
Ostatnia modyfikacja Kiedy skrypt został ostatnio uruchomiony na urządzeniu

Eksportowanie do pliku CSV

  • Na stronie Stan urządzenia kliknij przycisk Eksportuj u góry tabeli
  • Plik CSV pobierze wszystkie kolumny, w tym pełne dane wyjściowe wykrywania JSON dla każdego urządzenia
  • Otwórz w programie Excel, aby filtrować, sortować i analizować według dowolnego pola

Porada: W programie Excel możesz użyć funkcji TEXTJOIN lub JSON do przeanalizowania wyjściowego kodu JSON wykrywania w oddzielnych kolumnach w celu łatwiejszej analizy.

Karta Przegląd

Omówienie usługi Intune

Karta Przegląd w obszarze Korygowanie zawiera pulpit nawigacyjny podsumowania:

Metryka Znaczenie
Urządzenia, na których występują problemy Urządzenia, na których certyfikaty nie zostały jeszcze zaktualizowane
Urządzenia bez problemów Urządzenia, na których certyfikaty są aktualne
Urządzenia z nieudanym wykrywaniem Urządzenia, na których skrypt napotkał błąd

Często zadawane pytania

Czy to coś zmieni na moich urządzeniach?

Nie. To jest skrypt tylko wykrywania. Nie są modyfikowane wartości rejestru, nie są wyzwalane żadne aktualizacje ani są podejmowane żadne działania korygujące. Skrypt tylko odczytuje wartości i je raportuje.

Co oznacza "Z problemem"?

"Z problemem" oznacza, że urządzenie nie ma jeszcze zastosowanych certyfikatów bezpiecznego rozruchu 2023 i menedżera rozruchu podpisanego w 2023 roku. Może to być spowodowane tym, że: - Aktualizacja certyfikatu nie została zainicjowana - Aktualizacja jest w toku i może wymagać ponownego uruchomienia do ukończenia - Bezpieczny rozruch nie jest włączony na urządzeniu - Urządzenie nie jest oparte na UEFI lub czeka na ponowne uruchomienie, aby zastosować menedżera rozruchu.

Co oznacza komunikat "Bez problemów"?

"Bez problemu" oznacza, że urządzenie ma włączony bezpieczny rozruch, a wartość rejestru UEFICA2023Status jest zaktualizowana, co oznacza, że certyfikaty z 2023 r. zostały pomyślnie zastosowane.

Jak często skrypt jest uruchamiany?

Skrypt jest uruchamiany zgodnie z harmonogramem skonfigurowanym w zadaniu. W przypadku aktywnego monitorowania podczas wdrażania zaleca się codziennie. Do stałego monitorowania wystarczy tydzień.

Co zrobić, jeśli klucz rejestru obsługi nie istnieje?

Jeśli klucz HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing nie istnieje na urządzeniu, w polu UEFICA2023Status zostanie wyświetlona wartość NoValue. Zwykle oznacza to, że aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu.

Jakie licencje są wymagane?

Działania naprawcze wymagają licencji systemu Windows 10/11 Enterprise E3/E5, Education A3/A5 lub F3. Jeśli Twoje urządzenia mają tylko licencje Business Premium lub Pro, środki zaradcze nie będą dostępne. Zobacz Wymagania wstępne dotyczące korygowania.

Zasoby

Podręcznik aktualizacji certyfikatu bezpiecznego rozruchu

Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków

Aktualizacje klucza rejestru dotyczące bezpiecznego rozruchu

Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX

Korygowanie w usłudze Microsoft Intune

Wymagania wstępne dotyczące korygowania