Certifikát zabezpečeného spustenia Aktualizácie pre virtuálnu pracovnú plochu Azure

Pôvodný dátum publikovania: 19. februára 2026

IDENTIFIKÁCIA DATABÁZY KB: 5080931

Tento článok obsahuje návod na:

Azure správcovia virtuálnej pracovnej plochy, ktorí spravujú aktualizácie hostiteľa relácií

Organizácie, ktoré používajú virtuálne počítače s povoleným zabezpečeným spustením pre Azure nasadenia virtuálnej pracovnej plochy

Organizácie, ktoré používajú vlastné obrázky (zlaté obrázky) na nasadenie Azure virtuálnej pracovnej plochy

V tomto článku:

Úvod

Inventár a monitorovanie

Nasadenie

Golden Image Dôležité informácie

Známe problémy

Zdroje informácií

Úvod

Zabezpečené spustenie je funkcia zabezpečenia firmvéru UEFI, ktorá pomáha zabezpečiť, aby sa počas spustenia zariadenia spustil iba dôveryhodný digitálne podpísaný softvér. Platnosť certifikátov zabezpečeného spustenia od spoločnosti Microsoft vydaných v roku 2011 sa začína v júni 2026. Bez aktualizovaných certifikátov z roku 2023 už zariadenia nebudú dostávať nové ochrany zabezpečenia zabezpečeného spustenia a správcu spustenia ani obmedzenia rizík pre novoobjavené chyby na úrovni spustenia.

Všetky virtuálne počítače s povoleným bezpečným spustením zaregistrované v službe Azure Virtual Desktop a vlastné obrázky používané na ich poskytovanie musia byť pred uplynutím platnosti aktualizované na certifikáty verzie 2023, aby zostali chránené. Pozrite si tému Uplynutie platnosti certifikátov zabezpečeného spustenia v zariadeniach s Windowsom

Vzťahuje sa to na prostredie virtuálnej pracovnej plochy Azure?

Scenár	Je zabezpečené spustenie aktívne?	Vyžaduje sa akcia
Hostitelia relácií
Dôveryhodný virtuálny počítač na spustenie s povoleným zabezpečeným spustením	Áno	Aktualizácia certifikátov u hostiteľa relácie
Dôveryhodný virtuálny počítač na spustenie s vypnutým zabezpečeným spustením	Nie	Nie je potrebná žiadna akcia
Standard typ zabezpečenia VM	Nie	Nie je potrebná žiadna akcia
Generation 1 VM	Nepodporované	Nie je potrebná žiadna akcia
Zlaté obrázky
Obrázok galérie výpočtov Azure so zapnutým zabezpečeným spustením	Áno	Aktualizácia certifikátov v zdrojovom obrázku
Azure obrázok galérie výpočtov bez dôveryhodného spustenia	Nie	Použitie aktualizácií v hostiteľskom počítači relácie po nasadení
Spravovaný obrázok (nepodporuje dôveryhodné spustenie)	Nie	Použitie aktualizácií v hostiteľskom počítači relácie po nasadení

Úplné základné informácie nájdete v téme Aktualizácie certifikátov zabezpečeného spustenia: Sprievodný materiál pre IT profesionálov a organizácie.

Inventár a monitorovanie

Pred vykonaním akcie vytvorte inventár prostredia na identifikáciu zariadení, ktoré vyžadujú aktualizácie. Monitorovanie je nevyhnutné na potvrdenie uplatnenia certifikátov pred termínom v júni 2026, a to aj v prípade, že sa spoliehate na metódy automatického nasadenia. Nižšie sú uvedené možnosti na určenie, či je potrebné vykonať akciu.

Možnosť č. 1: Microsoft Intune opravy

Pre hostiteľov relácií zaregistrovaných v Microsoft Intune môžete nasadiť detekčný skript pomocou Intune opráv (proaktívne opravy) na automatické zhromažďovanie stavu certifikátu zabezpečeného spustenia v rámci vašej flotily. Skript sa spúšťa bez zobrazenia ticha v každom zariadení a na portáli Intune nahlasuje stav zabezpečeného spustenia, priebeh aktualizácie certifikátu a podrobnosti o zariadení – v zariadeniach sa nevymenia žiadne zmeny. Výsledky možno zobraziť a exportovať do CSV priamo z Centra spravovania Intune na analýzu celej flotily.

Podrobné pokyny na nasadenie skriptu detekcie nájdete v téme Monitorovanie stavu certifikátu zabezpečeného spustenia pomocou Microsoft Intune opráv.

2. možnosť: Windows Autopatch Secure Boot Status Report

Ak ide o hostiteľov osobných trvalých relácií zaregistrovaných v aplikácii Windows Autopatch, prejdite do Centra spravovania Intune > Zostavy > automatické dokončovanie systému Windows > aktualizácie kvality systému Windows > karty Zostavy > stav zabezpečeného spustenia. Pozrite si správu o stave zabezpečeného spustenia v programe Windows Autopatch.

Poznámka: Windows Autopatch podporuje iba osobné trvalé virtuálne počítače pre Azure virtuálnej pracovnej plochy. Hostitelia s viacerými reláciami, združované nevýkonné virtuálne počítače a streamovanie vzdialených aplikácií nie sú podporované. Pozrite si tému Automatické dopovanie systému Windows v Azure vyťaženiach virtuálnej pracovnej plochy.

Možnosť 3: Kľúče databázy Registry na monitorovanie flotily

Použite existujúce nástroje na správu zariadení na dotazovanie týchto hodnôt databázy Registry v rámci vášho vozového parku.

Cesta k databáze Registry	Kľúč	Účel
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Aktuálny stav nasadenia
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Chyba	Označuje chyby (nemali by existovať)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Označuje IDENTIFIKÁCIU udalosti (nemala by existovať)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	Dostupné súhrny	Čakajúce aktualizovať bity

Úplné podrobnosti kľúča databázy Registry nájdete v téme Aktualizácie kľúčov databázy Registry pre zabezpečené spustenie: zariadenia s Windowsom s aktualizáciami spravovanými IT.

Možnosť 4: Monitorovanie denníka udalostí

Pomocou existujúcich nástrojov na správu zariadení môžete zhromažďovať a monitorovať identifikácie týchto udalostí z denníka udalostí systému vo vašom vozovom parku.

Identifikačné číslo udalosti	Poloha	Zmysle
1808	Systém	Úspešne použité certifikáty
1801	Systém	Aktualizovať podrobnosti o stave alebo chybe

Úplný zoznam podrobností o udalostiach nájdete v témach Secure Boot DB a DBX variable update events.

Možnosť 5: Skript inventára prostredia PowerShell

Spustite vzorový skript kolekcie údajov inventára zabezpečeného spustenia od spoločnosti Microsoft a skontrolujte stav aktualizácie certifikátu zabezpečeného spustenia. Skript zhromažďuje niekoľko údajových bodov vrátane stavu zabezpečeného spustenia, stavu aktualizácie UEFI CA 2023, verzie firmvéru a aktivity denníka udalostí.

Nasadenie

Dôležité: Bez ohľadu na to, ktorú možnosť nasadenia vyberiete, odporúčame monitorovanie flotily zariadení s cieľom potvrdiť úspešné uplatnenie certifikátov pred termínom v júni 2026. Vlastné obrázky nájdete v téme Dôležité informácie o zlatých obrázkoch.

Možnosť č. 1: Automatické Aktualizácie z Windows Update (zariadenia s vysokou spoľahlivosťou)

Spoločnosť Microsoft automaticky aktualizuje zariadenia prostredníctvom mesačných aktualizácií Windowsu, keď dostatočná telemetria potvrdí úspešné nasadenie podobných hardvérových konfigurácií.

Stav: Predvolene povolené pre zariadenia s vysokou spoľahlivosťou

Ak sa nechcete odhlásiť, nevyžaduje sa žiadna akcia

Databázy registry	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Kľúč	HighConfidenceOptOut = 1 na odhlásenie
Skupinová politika	Konfigurácia počítača > šablóny na správu > súčasti systému Windows > zabezpečeného spustenia > automatické nasadenie certifikátu prostredníctvom Aktualizácie > Nastaviť na možnosť Vypnuté, ak sa chcete odhlásiť.

Odporúčanie: Aj keď sú povolené automatické aktualizácie, monitorujte hostiteľov relácií a overte, či sa certifikáty používajú. Nie všetky zariadenia sa môžu kvalifikovať na automatické nasadenie s vysokou spoľahlivosťou.

Ďalšie informácie nájdete v téme Asistenti automatizovaného nasadenia.

Možnosť č. 2: nasadenie IT-Initiated

Manuálne spustite aktualizácie certifikátov pre okamžité alebo kontrolované zavedenie.

Metóda	Dokumentácia
Microsoft Intune	metóda Microsoft Intune
Skupinová politika	metóda skupinová politika objects (GPO)
Kľúče databázy Registry	Metóda kľúča databázy Registry
WinCS CLI	Rozhrania API wincs

Poznámky:

Nekombinujte metódy nasadenia iniciované IT (napr. Intune a objekt GPO) v tom istom zariadení – riadia rovnaké kľúče databázy Registry a môžu si kolidovať.
Povoľte úplné použitie certifikátov približne o 48 hodín a jeden alebo viacero reštartov.

Golden Image Dôležité informácie

Pre Azure prostredia virtuálnej pracovnej plochy používajúce obrázky galérie Azure Compute Gallery s povoleným zabezpečeným spustením použite aktualizáciu certifikátu Zabezpečené spustenie 2023 na zlatý obrázok pred jeho zachytením. Ak chcete použiť aktualizáciu, použite niektorú z vyššie popísaných metód a pred zovšeobecnením overte aktualizáciu certifikátov:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Obrázky bez povoleného dôveryhodného spustenia nemôžu prijímať aktualizácie certifikátu zabezpečeného spustenia prostredníctvom obrázka. Patria sem spravované obrázky, ktoré nepodporujú dôveryhodné spustenie, a Azure obrázky galérie výpočtov, kde nie je povolené dôveryhodné spustenie. V prípade zariadení z týchto obrázkov použite aktualizácie v hosťovského OS pomocou niektorého z vyššie uvedených postupov.

Známe problémy

Kľúč databázy Registry údržby neexistuje

Príznak	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing cesta neexistuje
Príčina	V zariadení neboli inicializovali aktualizácie certifikátov
Riešenie	Počkajte na automatické nasadenie prostredníctvom Windows Update alebo manuálne spustite pomocou niektorej z vyššie uvedených metód nasadenia iniciovaných IT

Stav zobrazuje "InProgress" na dlhšiu dobu

Príznak	UEFICA2023Status zostáva "InProgress" po viacerých dňoch
Príčina	Na dokončenie procesu aktualizácie môže byť potrebné reštartovať zariadenie
Riešenie	Reštartujte hostiteľa relácie a po 15 minútach znova skontrolujte stav. Ak problém pretrváva, pokyny na riešenie problémov nájdete v témach Secure Boot DB a DBX variable update events

Kľúč databázy Registry UEFICA2023Error existuje

Príznak	Prítomný je kľúč databázy Registry UEFICA2023Error
Príčina	Počas nasadenia certifikátu sa vyskytla chyba
Riešenie	Podrobnosti nájdete v denníku systémových udalostí. Pokyny na riešenie problémov nájdete v témach Secure Boot DB a DBX variable update events

Zdroje informácií

Scenár aktualizácie certifikátu zabezpečeného spustenia

Certifikát zabezpečeného spustenia Aktualizácie: Sprievodný materiál pre odborníkov v oblasti IT