Aktualizacje certyfikatu bezpiecznego rozruchu dla Windows 365

Oryginalna data publikacji: 19 lutego 2026 r.

Identyfikator BAZY WIEDZY: 5080914

Ten artykuł zawiera wskazówki dotyczące:

Windows 365 administratorów zarządzających komputerami w chmurze.

Organizacje korzystające z komputerów w chmurze z włączonym bezpiecznym rozruchem na potrzeby wdrożeń Windows 365.

Organizacje korzystające z obrazów niestandardowych na potrzeby wdrożeń Windows 365 .

W tym artykule:

Wprowadzenie

Inwentaryzacja i monitor

Opcje wdrażania

Niestandardowe zagadnienia dotyczące obrazów

Znane problemy

Zasoby

Wprowadzenie

Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która zapewnia, że podczas sekwencji rozruchu urządzenia działa tylko zaufane, podpisane cyfrowo oprogramowanie. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r. Bez zaktualizowanych certyfikatów 2023 urządzenia nie będą już otrzymywać nowych zabezpieczeń menedżera bezpiecznego rozruchu i rozruchu ani środków łagodzących nowo odkryte luki w zabezpieczeniach na poziomie rozruchu.

Wszystkie komputery w chmurze z obsługą bezpiecznego rozruchu obsługiwane w usłudze Windows 365 i obrazy niestandardowe używane do ich inicjowania obsługi muszą zostać zaktualizowane do certyfikatów 2023 przed wygaśnięciem, aby zachować ochronę. Zobacz Kiedy certyfikaty bezpiecznego rozruchu wygasają na urządzeniach z systemem Windows.

Czy dotyczy to środowiska Windows 365?

Scenariusz	Aktywny bezpieczny rozruch?	Wymagane działanie
Komputery w chmurze
Komputer w chmurze z włączonym bezpiecznym rozruchem	Tak	Aktualizowanie certyfikatów na komputerze w chmurze
Komputer w chmurze z wyłączonym bezpiecznym rozruchem	Nie	Nie jest wymagana żadna akcja
Obrazy
Azure obraz galerii obliczeń z włączonym bezpiecznym rozruchem	Tak	Aktualizowanie certyfikatów w obrazie źródłowym przed uogólnieniem
Azure obraz galerii obliczeń bez zaufanego uruchamiania	Nie	Stosowanie aktualizacji na komputerze w chmurze po zainicjowaniu obsługi administracyjnej
Obraz zarządzany (nie obsługuje zaufanego uruchamiania)	Nie	Stosowanie aktualizacji na komputerze w chmurze po zainicjowaniu obsługi administracyjnej

Aby uzyskać pełne informacje podstawowe, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: Wskazówki dla informatyków i organizacji.

Inwentaryzacja i monitor

Przed podjęciem działań wprowadź spis środowiska, aby zidentyfikować urządzenia wymagające aktualizacji. Monitorowanie jest niezbędne do potwierdzenia, że certyfikaty są stosowane przed terminem czerwca 2026 r. — nawet jeśli korzystasz z metod automatycznego wdrażania. Poniżej przedstawiono opcje umożliwiające określenie, czy należy podjąć działanie.

Opcja 1: Microsoft Intune działania naprawcze

W przypadku komputerów w chmurze zarejestrowanych w Microsoft Intune możesz wdrożyć skrypt wykrywania za pomocą Intune Rozwiązywanie problemów (aktywne działania naprawcze), aby automatycznie zbierać stan certyfikatu bezpiecznego rozruchu we wszystkich flotach. Skrypt działa dyskretnie na każdym urządzeniu i raportuje stan bezpiecznego rozruchu, postęp aktualizacji certyfikatu i szczegóły urządzenia z powrotem do portalu Intune — żadne zmiany nie są wprowadzane na urządzeniach. Wyniki można wyświetlać i eksportować do pliku CSV bezpośrednio z centrum administracyjnego Intune w celu analizy całej floty.

Aby uzyskać instrukcje krok po kroku dotyczące wdrażania skryptu wykrywania, zobacz Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą Microsoft Intune rozwiązywania problemów.

Opcja 2: Raport o stanie bezpiecznego rozruchu autopatch systemu Windows

W przypadku komputerów w chmurze zarejestrowanych przy użyciu funkcji Autopatch systemu Windows przejdź do centrum administracyjnego Intune > Raporty > funkcji Autopatch systemu Windows > aktualizacji jakości systemu Windows > karcie Raporty > stanu bezpiecznego rozruchu. Zobacz Raport o stanie bezpiecznego rozruchu w programie Autopatch systemu Windows.

Uwaga: Aby używać funkcji Autopatch systemu Windows z Windows 365, komputery w chmurze muszą być zarejestrowane w usłudze Autopatch systemu Windows. Zobacz Autopatch systemu Windows na Windows 365 Enterprise obciążeń.

Opcja 3: Klucze rejestru do monitorowania floty

Użyj istniejących narzędzi do zarządzania urządzeniami, aby tworzyć zapytania dotyczące tych wartości rejestru we wszystkich flotach.

Ścieżka rejestru	Klucz	Celu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Bieżący stan wdrożenia
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Wskazuje błędy (nie powinny istnieć)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Wskazuje identyfikator zdarzenia (nie powinien istnieć)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	DostępneUpdates	Oczekujące aktualizacje bitów

Aby uzyskać pełne szczegóły klucza rejestru, zobacz Aktualizacje klucza rejestru dla bezpiecznego rozruchu.

Opcja 4: Monitorowanie dziennika zdarzeń

Używaj istniejących narzędzi do zarządzania urządzeniami, aby zbierać i monitorować te identyfikatory z dziennika zdarzeń systemowych dla twojej floty.

Identyfikator zdarzenia	Lokalizacja	Znaczenie
1808	System	Pomyślnie zastosowane certyfikaty
1801	System	Aktualizacja stanu lub szczegółów błędu

Aby uzyskać pełną listę szczegółów zdarzeń, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

Opcja 5: Skrypt zapasów programu PowerShell

Uruchom skrypt zbierania danych próbki bezpiecznego rozruchu firmy Microsoft, aby sprawdzić stan aktualizacji certyfikatu bezpiecznego rozruchu. Skrypt zbiera kilka punktów danych, w tym stan bezpiecznego rozruchu, stan aktualizacji UEFI CA 2023, wersję oprogramowania układowego i aktywność dziennika zdarzeń.

Wdrażania

Ważne: Niezależnie od wybranej opcji wdrożenia zalecamy monitorowanie floty urządzeń w celu potwierdzenia, że certyfikaty zostały pomyślnie zastosowane przed terminem czerwca 2026 r. Aby uzyskać obrazy niestandardowe, zobacz Zagadnienia dotyczące obrazów niestandardowych.

Opcja 1: Automatyczne Aktualizacje z Windows Update (urządzenia o dużej pewności siebie)

Firma Microsoft automatycznie aktualizuje urządzenia za pośrednictwem comiesięcznych aktualizacji systemu Windows, gdy wystarczająca telemetria potwierdzi pomyślne wdrożenie podobnych konfiguracji sprzętu.

Stan: Domyślnie włączone dla urządzeń o dużej pewności siebie
Nie jest wymagane żadne działanie, chyba że chcesz zrezygnować

Rejestrze	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Klucz	HighConfidenceOptOut = 1, aby zrezygnować
Zasady grupy	Konfiguracja komputera > szablony administracyjne > składników systemu Windows > bezpiecznego rozruchu > automatycznego wdrażania certyfikatów za pośrednictwem Aktualizacje > Ustaw jako wyłączone, aby zrezygnować

Zalecenie: Nawet po włączeniu aktualizacji automatycznych monitoruj komputery w chmurze, aby sprawdzić, czy certyfikaty zostały zastosowane. Nie wszystkie urządzenia mogą kwalifikować się do automatycznego wdrożenia z dużą pewnością siebie.

Aby uzyskać więcej informacji, zobacz Automatyczne asysty wdrażania.

Opcja 2: wdrożenie IT-Initiated

Ręczne wyzwalanie aktualizacji certyfikatów w celu natychmiastowego lub kontrolowanego wdrożenia.

Metoda	Dokumentacja
Microsoft Intune	metoda Microsoft Intune
Zasady grupy	Metoda obiektu zasad grupy
Klucze rejestru	Metoda klucza rejestru
WinCS CLI	Interfejsy API WinCS

Uwagi:

Nie mieszaj metod wdrażania inicjowanych przez informatyków (np. Intune i OBIEKTÓW ZASAD GRUPY) na tym samym urządzeniu — kontrolują one te same klucze rejestru i mogą powodować konflikty.
Odczekaj około 48 godzin i co najmniej jedno ponowne uruchomienie certyfikatów, aby w pełni zastosować certyfikaty.

Niestandardowe zagadnienia dotyczące obrazów

Niestandardowe obrazy są w pełni zarządzane przez Twoją organizację. Użytkownik jest odpowiedzialny za zastosowanie aktualizacji certyfikatu bezpiecznego rozruchu do obrazu niestandardowego i ponowne przekazanie go przed użyciem go do inicjowania obsługi administracyjnej.

Stosowanie aktualizacji certyfikatu bezpiecznego rozruchu do obrazu źródłowego jest obsługiwane tylko w przypadku obrazów Azure Compute Gallery (wersja zapoznawcza), które obsługują zaufane uruchamianie i bezpieczny rozruch. Obrazy zarządzane nie obsługują bezpiecznego rozruchu, więc nie można stosować aktualizacji certyfikatów na poziomie obrazu. W przypadku komputerów w chmurze korzystających z zarządzanych obrazów zastosuj aktualizacje bezpośrednio na komputerze z chmurą, korzystając z jednej z powyższych metod wdrażania.

Przed uogólnieniem nowego obrazu niestandardowego sprawdź, czy certyfikaty są aktualizowane:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Znane problemy

Nie istnieje klucz rejestru obsługi

Objawy	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ścieżka nie istnieje
Przyczyna	Aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu
Rozwiązanie	Poczekaj na automatyczne wdrożenie za pośrednictwem Windows Update lub ręcznie zainicjuj wdrożenie przy użyciu jednej z metod wdrażania inicjowanych przez informatyków powyżej

Stan pokazuje wartość "InProgress" przez dłuższy czas

Objawy	UeFICA2023Status pozostaje "InProgress" po wielu dniach
Przyczyna	Urządzenie może wymagać ponownego uruchomienia w celu ukończenia procesu aktualizacji
Rozwiązanie	Uruchom ponownie komputer z chmurą i sprawdź stan ponownie po 15 minutach. Jeśli problem nadal występuje, zobacz Zdarzenia zmiennej aktualizacji bazy danych bezpiecznego rozruchu i bazy danych DBX, aby uzyskać wskazówki dotyczące rozwiązywania problemów

UeFICA2023Error klucz rejestru istnieje

Objawy	Klucz rejestru UEFICA2023Error jest obecny
Przyczyna	Wystąpił błąd podczas wdrażania certyfikatów
Rozwiązanie	Aby uzyskać szczegółowe informacje, zobacz Dziennik zdarzeń systemowych. Aby uzyskać wskazówki dotyczące rozwiązywania problemów, zobacz Zdarzenia aktualizacji zmiennych DB i DBX dotyczące bezpiecznego rozruchu