Aktualizacje certyfikatu bezpiecznego rozruchu dla platformy Windows 365

Uwaga

  • Data pierwotnej publikacji: 19 lutego 2026 r.
  • Identyfikator KB: 5080914

Uwaga

Ten artykuł zawiera wskazówki dotyczące następujących tematów:

  • Administratorzy systemu Windows 365 zarządzający komputerami w chmurze.

  • Organizacje korzystające z komputerów w chmurze z obsługą bezpiecznego rozruchu dla wdrożeń systemu Windows 365.

  • Organizacje korzystające z obrazów niestandardowych dla wdrożeń systemu Windows 365.

Tematy w tym artykule:

Wprowadzenie

Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która pomaga zapewnić, że podczas sekwencji rozruchu urządzenia będzie uruchamiane tylko zaufane, podpisane cyfrowo oprogramowanie. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r. Bez zaktualizowanych certyfikatów z 2023 r. urządzenia nie będą już otrzymywać nowych zabezpieczeń Menedżera bezpiecznego rozruchu i rozruchu ani środków zaradczych dla nowo wykrytych luk w zabezpieczeniach na poziomie rozruchu.

Wszystkie komputery w chmurze z obsługą bezpiecznego rozruchu aprowizowane w usłudze Windows 365 oraz niestandardowe obrazy używane do ich udostępniania muszą zostać zaktualizowane do certyfikatów z 2023 r. przed wygaśnięciem, aby zachować ochronę. Zobacz , kiedy wygasają certyfikaty bezpiecznego rozruchu na urządzeniach z systemem Windows.

Czy dotyczy to mojego środowiska systemu Windows 365?

Scenariusz Aktywny bezpieczny rozruch? Wymagane działanie
Komputery w chmurze
Komputer w chmurze z włączonym bezpiecznym rozruchem Tak Aktualizowanie certyfikatów na komputerze w chmurze
Komputer w chmurze z wyłączonym bezpiecznym rozruchem Nie Nie jest wymagane żadne działanie
Obrazy
Obraz galerii obliczeń platformy Azure z włączonym bezpiecznym rozruchem Tak Aktualizowanie certyfikatów na obrazie źródłowym przed uogólnieniem
Obraz galerii obliczeń platformy Azure bez zaufanego uruchamiania Nie Stosowanie aktualizacji na komputerze w chmurze po aprowizacji
Obraz zarządzany (nie obsługuje zaufanego uruchamiania) Nie Stosowanie aktualizacji na komputerze w chmurze po aprowizacji

Aby uzyskać pełne informacje ogólne, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.

Inwentaryzacja i monitorowanie

Przed podjęciem działań przeprowadź inwentaryzację środowiska, aby zidentyfikować urządzenia wymagające aktualizacji. Monitorowanie jest niezbędne, aby potwierdzić, że certyfikaty zostały zastosowane przed terminem w czerwcu 2026 r. — nawet jeśli polegasz na automatycznych metodach wdrażania. Poniżej przedstawiono opcje pozwalające określić, czy należy podjąć działanie.

Opcja 1: Korygowanie w usłudze Microsoft Intune

W przypadku komputerów w chmurze zarejestrowanych w usłudze Microsoft Intune można wdrożyć skrypt wykrywania przy użyciu korygowania usługi Intune (Proactive Remediations), aby automatycznie zbierać stan certyfikatu bezpiecznego rozruchu we flocie. Skrypt działa w trybie dyskretnym na każdym urządzeniu i raportuje stan bezpiecznego rozruchu, postęp aktualizacji certyfikatu oraz szczegóły urządzenia z powrotem do portalu usługi Intune — w urządzeniach nie są wprowadzane żadne zmiany. Wyniki można wyświetlać i eksportować do pliku CSV bezpośrednio z centrum administracyjnego usługi Intune na potrzeby analizy całej floty.

Aby uzyskać instrukcje krok po kroku dotyczące wdrażania skryptu wykrywania, zobacz Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą korygowania usługi Microsoft Intune.

Opcja 2: raport o stanie bezpiecznego rozruchu w rozwiązaniu Windows Autopatch

For Cloud PCs registered with Windows Autopatch, go to Intune admin center>Reports>Windows Autopatch>Windows quality updates>Reports tab>Stan bezpiecznego rozruchu. Zobacz Raport o stanie bezpiecznego rozruchu w Autopoprawce systemu Windows.

Uwaga: Aby używać narzędzia Windows Autopatch z systemem Windows 365, komputery w chmurze muszą być zarejestrowane w usłudze Windows Autopatch. Zobacz Autopoprawkę Windows dla obciążeń Windows 365 Enterprise.

Opcja 3: Klucze rejestru do monitorowania floty

Użyj istniejących narzędzi do zarządzania urządzeniami, aby sprawdzać te wartości rejestru w całej flocie.

Ścieżka rejestru Klawisz Zastosowanie
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Bieżący stan wdrożenia
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Błąd Oznacza błędy (nie powinno istnieć)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Oznacza identyfikator zdarzenia (nie powinien istnieć)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Dostępne aktualizacje Bity oczekującej aktualizacji

Aby uzyskać szczegółowe informacje na temat klucza rejestru, zobacz Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu.

Opcja 4: Monitorowanie dziennika zdarzeń

Zbieraj i monitoruj te identyfikatory zdarzeń z dziennika zdarzeń systemowych dla całej floty za pomocą istniejących narzędzi do zarządzania urządzeniami.

Identyfikator zdarzenia Lokalizacja Znaczenie
1808 System Pomyślnie zastosowane certyfikaty
1801 System Szczegóły stanu aktualizacji lub błędu

Aby uzyskać pełną listę szczegółów zdarzeń, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

Opcja 5. Skrypt zapasów programu PowerShell

Uruchom skrypt zbierania danych inwentaryzacji bezpiecznego rozruchu firmy Microsoft, aby sprawdzić stan aktualizacji certyfikatu bezpiecznego rozruchu. Skrypt zbiera kilka punktów danych, w tym stan bezpiecznego rozruchu, stan aktualizacji UEFI CA 2023, wersję oprogramowania układowego i aktywność w dzienniku zdarzeń.

Wdrożenie

Ważne

Niezależnie od wybranej opcji wdrożenia zalecamy monitorowanie floty urządzeń w celu potwierdzenia, że certyfikaty zostały pomyślnie zastosowane przed terminem w czerwcu 2026 r. Aby zapoznać się z obrazami niestandardowymi, zobacz Zagadnienia dotyczące obrazów niestandardowych.

Opcja 1: Automatyczne aktualizacje z usługi Windows Update (urządzenia o wysokim poziomie zaufania)

Firma Microsoft automatycznie aktualizuje urządzenia za pomocą comiesięcznych aktualizacji systemu Windows, gdy wystarczająca ilość danych telemetrycznych potwierdzi pomyślne wdrożenie na podobnych konfiguracjach sprzętowych.

  • Stan: domyślnie włączone dla urządzeń o wysokim poziomie pewności
  • Nie musisz podejmować żadnych działań, chyba że chcesz zrezygnować
Rejestr HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Klawisz HighConfidenceOptOut = 1 , aby zrezygnować
Zasady grupy Konfiguracja> komputeraSzablony administracyjne>Składniki> systemu WindowsBezpieczny rozruch>Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje> Ustaw wartość na Wyłączone, aby zrezygnować

Uwaga

Zalecenie: Nawet przy włączonych aktualizacjach automatycznych monitoruj komputery w chmurze, aby sprawdzić, czy zastosowano certyfikaty. Nie wszystkie urządzenia mogą kwalifikować się do wdrożenia automatycznego o wysokim poziomie pewności.

Aby uzyskać więcej informacji, zobacz Asysty zautomatyzowanego wdrażania.

Opcja 2. Wdrożenie IT-Initiated

Ręczne wyzwalanie aktualizacji certyfikatów w celu natychmiastowego lub kontrolowanego wdrożenia.

Sposób przygotowania Dokumentacja
Microsoft Intune Metoda usługi Microsoft Intune
Zasady grupy Metoda obiektu zasad grupy
Klucze rejestru Metoda klucza rejestru
Interfejs wiersza polecenia usługi WinCS Interfejsy API usługi WinCS

Uwaga

  • Nie mieszaj metod wdrażania inicjowanych przez dział informatyczny (np. usługa Intune i obiekt GPO) na tym samym urządzeniu — kontrolują one te same klucze rejestru i mogą powodować konflikt.
  • Poczekaj około 48 godzin i co najmniej jedno ponowne uruchomienie, aby certyfikaty zostały w pełni zastosowane.

Zagadnienia dotyczące obrazów niestandardowych

Obrazy niestandardowe są w pełni zarządzane przez Twoją organizację. Ponosisz odpowiedzialność za zastosowanie aktualizacji certyfikatu bezpiecznego rozruchu do obrazu niestandardowego i ponowne przekazanie go przed użyciem go do obsługi administracyjnej.

Stosowanie aktualizacji certyfikatu bezpiecznego rozruchu do obrazu źródłowego jest obsługiwane tylko w przypadku obrazów z galerii obliczeń platformy Azure (wersja zapoznawcza), które obsługują zaufane uruchamianie i bezpieczny rozruch. Zarządzane obrazy nie obsługują bezpiecznego rozruchu, więc aktualizacji certyfikatów nie można stosować na poziomie obrazu. W przypadku komputerów w chmurze aprowizowanych z zarządzanych obrazów zastosuj aktualizacje bezpośrednio na komputerze w chmurze przy użyciu jednej z powyższych metod wdrażania.

Przed uogólnieniem nowego obrazu niestandardowego sprawdź, czy certyfikaty zostały zaktualizowane:

Uwaga

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Znane problemy

Klucz rejestru obsługi nie istnieje

Objaw HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ścieżka nie istnieje
Przyczyna Aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu
Rozwiązanie Poczekaj na automatyczne wdrożenie za pośrednictwem usługi Windows Update lub zainicjuj ręcznie przy użyciu jednej z metod wdrażania zainicjowanych przez dział IT wymienionych powyżej

Przez dłuższy czas wyświetlany stan to "W toku"

Objaw UEFICA2023Status pozostaje "W toku" po wielu dniach
Przyczyna Urządzenie może wymagać ponownego uruchomienia, aby zakończyć proces aktualizacji
Rozwiązanie Uruchom ponownie komputer w chmurze i sprawdź stan ponownie po 15 minutach. Jeśli problem będzie się powtarzać, zobacz Zdarzenia aktualizacji zmiennej DB bezpiecznego rozruchu , aby uzyskać wskazówki dotyczące rozwiązywania problemów

UEFICA2023Błąd istnieje klucz rejestru

Objaw UEFICA2023Błąd klucza rejestru jest obecny
Przyczyna Wystąpił błąd podczas wdrażania certyfikatu
Rozwiązanie Sprawdź dziennik zdarzeń systemowych, aby uzyskać szczegółowe informacje. Zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu , aby uzyskać wskazówki dotyczące rozwiązywania problemów

Zasoby