Мониторинг состояния сертификата безопасной загрузки с помощью исправлений Microsoft Intune
Применяется к
Исходная дата публикации: 18 февраля 2026 г.
Идентификатор базы знаний: 5080921
В этой статье содержатся рекомендации по следующим вопросам:
-
ИТ-администраторы, которым требуется представление о состоянии обновления сертификата безопасной загрузки с Intune зарегистрированных устройств Windows
-
Организации, готовимся к крайнему сроку действия сертификата безопасной загрузки в июне 2026 г.
-
Команды, которые хотят отслеживать ход развертывания сертификатов на своих Intune зарегистрированных устройствах Windows
В этой статье:
Введение
Срок действия сертификатов безопасной загрузки Майкрософт (ЦС 2011) истекает с июня 2026 г. Все устройства Windows с включенной безопасной загрузкой должны быть обновлены до сертификата 2023 до истечения срока действия, чтобы обеспечить постоянную поддержку обновлений для системы безопасности.
В этом руководстве представлен подход только для мониторинга с использованием Microsoft Intune исправлений (упреждающих исправлений). Скрипт обнаружения собирает состояние безопасной загрузки и сертификата с каждого устройства и передает его обратно на портал Intune — никаких действий по исправлению на устройствах не выполняется. Это дает администраторам централизованное экспортируемое представление о ходе обновления сертификатов на Intune зарегистрированных устройствах Windows.
Зачем использовать этот подход?
|
Пользу |
Описание |
|---|---|
|
Видимость на уровне устройства |
Просмотр состояния сертификата каждого Intune зарегистрированного устройства Windows в одном месте |
|
Экспортируемый |
Экспорт результатов в CSV-файл непосредственно с портала Intune |
|
Необработанные значения реестра |
Просмотр фактических данных реестра, а не только передачи или сбоя |
|
Контекст устройства |
Включает производителя, модель, версию BIOS и тип встроенного ПО. |
|
Телеметрия журнала событий |
Записывает идентификаторы событий безопасной загрузки (1801/1808), идентификаторы контейнеров и уровни достоверности. |
|
Ноль касания |
Выполняется автоматически как SYSTEM — взаимодействие с пользователем не требуется |
Полные сведения об обновлениях сертификатов см. в статье Обновления сертификатов безопасной загрузки: руководство для ИТ-специалистов и организаций.
Предварительные требования
Перед развертыванием сценария обнаружения убедитесь, что ваша среда соответствует необходимым требованиям.
Это решение использует исправления в Microsoft Intune. Полный список предварительных требований см. в разделе Использование исправлений для обнаружения и устранения проблем с поддержкой — Microsoft Intune.
Сценарии обнаружения
Скрипт обнаружения — это скрипт PowerShell, который собирает исчерпывающие данные инвентаризации безопасной загрузки с каждого устройства и выводит их в виде строки JSON. Скрипт считывает данные из следующих источников:
Реестр — состояние обновления сертификата безопасной загрузки, ключи обслуживания, атрибуты устройства, а также параметры согласия и отказа из HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot и его подразделов
WMI/CIM — версия ОС, время последней загрузки и сведения об оборудовании основной платы
Журналы событий — записи журнала системных событий для идентификаторов событий 1801 и 1808 (события обновления безопасной загрузки)
Выходные данные JSON отображаются на портале Intune в разделе Исправления > Мониторинг состояния > устройства > "Выходные данные обнаружения перед исправлением" и могут быть экспортированы в CSV-файл для анализа.
Важно: Это скрипт, доступный только для обнаружения. В устройство не вносятся никакие изменения. Скрипт исправления не требуется.
Создание файла скрипта
-
Перейдите к примеру сценария сбора данных инвентаризации безопасной загрузки (KB5072718)
-
Копирование полного содержимого скрипта со страницы
-
Откройте текстовый редактор (например, Блокнот, VS Code) и вставьте скрипт.
-
Сохраните файл как Detect-SecureBootCertUpdateStatus.ps1
Создание исправления в Intune
Выполните следующие действия, чтобы развернуть скрипт обнаружения в виде исправления (пакета скрипта) в Microsoft Intune.
Шаг 1. Создание пакета скриптов
-
Перейдите в раздел Устройства > исправления
-
Щелкните + Создать пакет скрипта.
Шаг 2. Основные сведения
-
Настройте следующие параметры на вкладке Основные сведения:
|
Параметр |
Значение |
|---|---|
|
Имя |
Монитор состояния сертификата безопасной загрузки |
|
Описание |
Отслеживает состояние обновления сертификата безопасной загрузки по всему парку. Только обнаружение — никаких действий по исправлению не выполняется. |
|
Publisher |
(название вашей организации) |
-
Нажмите кнопку Далее
Шаг 3. Параметры
-
На вкладке Параметры настройте следующие параметры:
|
Параметр |
Значение |
Примечания |
|---|---|---|
|
Файл скрипта обнаружения |
Отправка Detect-SecureBootCertificateStatus.ps1 |
Скрипт из предыдущего раздела |
|
Файл скрипта исправления |
(оставьте пустым) |
Исправление не требуется — это только мониторинг |
|
Выполнение этого скрипта с учетными данными для входа |
Нет |
Выполняется от имени SYSTEM для обеспечения доступа к Confirm-SecureBootUEFI и реестру |
|
Принудительное применение проверка подписи скрипта |
Нет |
Задайте значение Да, если вашей организации требуются подписанные скрипты. |
|
Выполнение скрипта в 64-разрядной версии PowerShell |
Да |
Требуется для Confirm-SecureBootUEFI командлетов и точных операций чтения реестра |
-
Нажмите кнопку Далее
Шаг 4. Теги области
-
Добавьте все область теги, необходимые вашей организации, или оставьте по умолчанию
-
Нажмите кнопку Далее
Шаг 5. Назначения
|
Параметр |
Значение |
Примечания |
|---|---|---|
|
Назначения |
Выбор групп устройств для мониторинга |
Использование всех устройств для мониторинга на уровне всего парка или определенных групп для целевого мониторинга |
|
Расписание |
Настройка в соответствии с потребностями мониторинга |
Рекомендуется: один раз в день для отслеживания активного развертывания или один раз в неделю для текущего мониторинга. |
Примечание. Исправления выполняются по настроенному расписанию устройства. Первый запуск может занять до 24 часов после назначения в зависимости от цикла проверка устройства.
Нажмите кнопку Далее
Шаг 6. Проверка и создание
-
Просмотр всех параметров
-
Нажмите кнопку Создать.
Просмотр и экспорт результатов
Просмотр результатов на портале
-
Перейдите в раздел Устройства > исправления
-
Щелкните Монитор состояния сертификатов безопасной загрузки (или выбранное имя).
-
Выберите вкладку Монитор
-
Щелкните Состояние устройства
-
Щелкните Столбцы и добавьте выходные данные обнаружения предварительного исправления.
Вы увидите таблицу со следующими столбцами:
|
Столбца |
Описание |
|---|---|
|
Имя устройства |
Имя устройства |
|
Пользователя |
Основной пользователь устройства |
|
Состояние обнаружения |
Без проблемы (сертификаты обновлены) или с проблемой (сертификаты не обновлены) |
|
Выходные данные обнаружения перед исправлением |
Полные выходные данные JSON скрипта |
|
Последнее изменение |
Когда скрипт в последний раз выполнялся на устройстве |
Экспорт в CSV
-
На странице Состояние устройства нажмите кнопку Экспорт в верхней части таблицы.
-
CSV-файл скачивает все столбцы, включая полные выходные данные обнаружения JSON для каждого устройства.
-
Открытие в Excel для фильтрации, сортировки и анализа по любому полю
Совет. В Excel можно использовать функции TEXTJOIN или JSON для анализа выходных данных обнаружения JSON в отдельные столбцы для упрощения анализа.
Вкладка "Обзор"
На вкладке Обзор в исправлении представлена сводная панель мониторинга:
|
Метрические |
Смысл |
|---|---|
|
Устройства с проблемами |
Устройства, на которых сертификаты еще не обновлены |
|
Устройства без проблем |
Устройства, на которых обновлены сертификаты |
|
Устройства с неудачным обнаружением |
Устройства, на которых скрипт обнаружил ошибку |
Часто задаваемые вопросы
Изменится ли что-либо на моих устройствах?
Нет. Это скрипт, доступный только для обнаружения. Значения реестра не изменяются, обновления не активируются и действия по исправлению не выполняются. Скрипт только считывает значения и сообщает о них.
Что означает "С проблемой"?
"Проблема" означает, что на устройстве еще не применены сертификаты безопасной загрузки 2023 и диспетчер загрузки со знаком 2023. Это может быть связано с тем, что: - Обновление сертификата не было инициировано. Обновление выполняется и может потребовать перезагрузки для завершения. Безопасная загрузка не включена на устройстве. Устройство не основано на UEFI или ожидает перезагрузки, чтобы применить диспетчер загрузки.
Что означает "Без проблемы"?
"Без проблемы" означает, что на устройстве включена безопасная загрузка, а значение реестра UEFICA2023Status обновлено, что указывает, что сертификаты 2023 успешно применены.
Как часто выполняется скрипт?
Скрипт выполняется по расписанию, настроенному в назначении. Для активного мониторинга во время развертывания рекомендуется ежедневно. Для текущего мониторинга достаточно еженедельно.
Что делать, если раздел реестра для обслуживания не существует?
Если ключ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing не существует на устройстве, в поле UEFICA2023Status будет отображаться значение NoValue. Обычно это означает, что обновления сертификатов не были инициированы на устройстве.
Какие лицензии требуются?
Для исправления требуются лицензии Windows 10/11 Enterprise E3/E5, Education A3/A5 или F3. Если на ваших устройствах есть только лицензии Business Premium или Pro, исправления будут недоступны. См. раздел Предварительные требования для исправлений.
Ресурсы
Сборник схем обновления сертификатов безопасной загрузки
Сертификат безопасной загрузки Обновления: руководство для ИТ-специалистов
Раздел реестра Обновления для безопасной загрузки
События обновления базы данных безопасной загрузки и переменной DBX
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
