Monitorovanie stavu certifikátu zabezpečeného spustenia pomocou Microsoft Intune opráv
Vzťahuje sa na
Pôvodný dátum publikovania: 18. februára 2026
IDENTIFIKÁCIA DATABÁZY KB: 5080921
Tento článok obsahuje návod na:
-
It administrators who need visibility into Secure Boot certificate update status from their Intune enrolled Windows devices
-
Organizácie pripravujúce sa na termín uplynutia platnosti certifikátu zabezpečeného spustenia na jún 2026
-
Tímy, ktoré chcú monitorovať priebeh zavádzania certifikátov vo svojich Intune zaregistrovaných zariadeniach s Windowsom
V tomto článku:
Úvod
Platnosť certifikátov zabezpečeného spustenia od spoločnosti Microsoft (CAs 2011) uplynie od júna 2026. Všetky zariadenia s Windowsom s povoleným zabezpečeným spustením musia byť pred uplynutím platnosti aktualizované na certifikáty verzie 2023, aby sa zabezpečila nepretržitá podpora aktualizácie zabezpečenia.
Táto príručka poskytuje prístup len na monitorovanie pomocou Microsoft Intune opráv (proaktívne opravy). Detekčný skript zhromažďuje stav zabezpečeného spustenia a certifikátu z každého zariadenia a nahlasuje ho späť na portál Intune – v zariadeniach sa nevykonala žiadna náprava. Správcovia tak získajú centralizované a exportovateľné zobrazenie priebehu aktualizácie certifikátu vo svojich Intune zaregistrovaných zariadeniach s Windowsom.
Prečo používať tento prístup?
|
Prospech |
Popis |
|---|---|
|
Viditeľnosť celého zariadenia |
Zobraziť každý Intune zaregistrovaný stav certifikátu zariadenia s Windowsom na jednom mieste |
|
Exportovateľný |
Export výsledkov do formátu CSV priamo z portálu Intune |
|
Nespracované hodnoty databázy Registry |
Zobraziť skutočné údaje databázy Registry, nielen odovzdať alebo zlyhať |
|
Kontext zariadenia |
Obsahuje výrobcu, model, verziu systému BIOS a typ firmvéru |
|
Telemetria denníka udalostí |
Zachytáva ID udalostí zabezpečeného spustenia (1801/1808), ID sektorov a úrovne spoľahlivosti |
|
Nulový dotyk |
Spúšťa sa bez zobrazenia funkcie SYSTEM – nevyžaduje sa žiadna interakcia používateľa |
Úplné základné informácie o aktualizáciách certifikátov nájdete v téme Aktualizácie certifikátov zabezpečeného spustenia: Sprievodný materiál pre IT profesionálov a organizácie.
Požiadavky
Pred nasadením skriptu zisťovania sa uistite, že vaše prostredie spĺňa potrebné požiadavky.
Toto riešenie využíva opravy v Microsoft Intune. Úplný zoznam predpokladov nájdete v téme Zisťovanie a riešenie problémov s podporou pomocou opráv – Microsoft Intune.
Skripty zisťovania
Detekčný skript je skript prostredia PowerShell, ktorý zhromažďuje komplexné údaje inventára zabezpečeného spustenia z každého zariadenia a výstupom je reťazec JSON. Skript sa načíta z týchto zdrojov:
Registry — Secure Boot certificate update status, servicing keys, device attributes, and opt-in/opt-out settings from HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot and its subkeys
WMI/CIM – informácie o verzii operačného systému, čase posledného spustenia a hardvéri základnej dosky
Denníky udalostí – položky denníka udalostí systému pre ID udalostí 1801 a 1808 (udalosti aktualizácie zabezpečeného spustenia)
Výstup JSON sa zobrazí na portáli Intune v časti Opravy > Monitor > Stav zariadenia > Výstup detekcie pred nápravou a možno ho exportovať do FORMÁTU CSV na analýzu.
Dôležité: Toto je skript iba na zisťovanie. V zariadení sa nevyvíjajú žiadne zmeny. Nie je potrebný žiadny opravný skript.
Vytvára sa súbor skriptu
-
Prejdite na skript zhromažďovania údajov vzorového inventára zabezpečeného spustenia (KB5072718)
-
Kopírovanie celého obsahu skriptu zo stránky
-
Otvorenie textového editora (napr. Poznámkový blok, VS Code) a prilepenie skriptu
-
Uložiť súbor ako Detect-SecureBootCertUpdateStatus.ps1
Vytvorenie opravy v Intune
Postupujte podľa týchto krokov na nasadenie detekčného skriptu ako opravy (balík skriptu) v Microsoft Intune.
Krok 1: Vytvorenie balíka skriptov
-
Prihlásenie do Centra spravovania Microsoft Intune
-
Prechod na zariadenia > opravy
-
Kliknite na položku + Vytvoriť balík skriptu
Krok 2: Základné informácie
-
Na karte Základy nakonfigurujte tieto nastavenia:
|
Nastavenie |
Hodnota |
|---|---|
|
Názov |
Monitorovanie stavu certifikátu zabezpečeného spustenia |
|
Popis |
Monitoruje stav aktualizácie certifikátu zabezpečeného spustenia v rámci flotily. Iba zisťovanie – nevykonali sa žiadne akcie nápravy. |
|
Publisher |
(názov vašej organizácie) |
-
Kliknite na tlačidlo Ďalej
Krok 3: Nastavenia
-
Na karte Nastavenia nakonfigurujte tieto nastavenia:
|
Nastavenie |
Hodnota |
Poznámky |
|---|---|---|
|
Súbor detekčného skriptu |
Nahrať Detect-SecureBootCertificateStatus.ps1 |
Skript z predchádzajúcej sekcie |
|
Súbor skriptu opravy |
(nechajte prázdne) |
Nie je potrebná žiadna náprava – toto je len monitorovanie |
|
Spustiť tento skript pomocou prihlasovacích poverení |
Nie |
Spúšťa sa ako systém na zabezpečenie prístupu k Confirm-SecureBootUEFI a databáze Registry |
|
Vynútiť kontrolu podpisu skriptu |
Nie |
Ak vaša organizácia vyžaduje podpísané skripty, nastavte možnosť Áno |
|
Spustenie skriptu v 64-bitovej verzii prostredia PowerShell |
Áno |
Vyžaduje sa pre Confirm-SecureBootUEFI rutiny typu cmdlet a presné čítanie databázy Registry |
-
Kliknite na tlačidlo Ďalej
Krok 4: Značky rozsahu
-
Pridajte všetky značky rozsahu, ktoré vyžaduje vaša organizácia, alebo ponechajte ako predvolené
-
Kliknite na tlačidlo Ďalej
Krok 5: Priradenia
|
Nastavenie |
Hodnota |
Poznámky |
|---|---|---|
|
Priradená úloha |
Vyberte skupiny zariadení, ktoré chcete monitorovať |
Použiť všetky zariadenia na monitorovanie celého vozového parku alebo konkrétne skupiny na cielené monitorovanie |
|
Plánovanie |
Konfigurácia podľa vašich potrieb monitorovania |
Odporúčané: Raz denne na sledovanie aktívneho zavádzania alebo raz týždenne na priebežné monitorovanie |
Poznámka: Opravy sa spúšťajú v nakonfigurovanom pláne zariadenia. Prvé spustenie môže trvať až 24 hodín po priradení v závislosti od cyklu vrátenia do projektu zariadenia.
Kliknite na tlačidlo Ďalej
Krok 6: Revízia a vytvorenie
-
Skontrolovať všetky nastavenia
-
Kliknite na položku Vytvoriť
Zobrazenie a export výsledkov
Zobrazenie výsledkov na portáli
-
Prechod na zariadenia > opravy
-
Kliknite na sledovanie stavu certifikátu zabezpečeného spustenia (alebo na názov, ktorý ste vybrali)
-
Výber karty Monitor
-
Kliknite na položku Stav zariadenia
-
Kliknite na položku Stĺpce a pridajte výstup detekcie predbežnej opravy
Zobrazí sa tabuľka s nasledujúcimi stĺpcami:
|
Stĺpec |
Popis |
|---|---|
|
Názov zariadenia |
Názov zariadenia |
|
Užívateľské meno |
Primárny používateľ zariadenia |
|
Stav zisťovania |
Bez problémov (aktualizované certs) alebo s problémom (certs not updated) |
|
Výstup detekcie pred nápravou |
Celý výstup JSON zo skriptu |
|
Naposledy upravené |
Pri poslednom spustení skriptu v zariadení |
Export do CSV
-
Na stránke Stav zariadenia kliknite na tlačidlo Exportovať v hornej časti tabuľky
-
CSV súbor stiahne všetky stĺpce vrátane úplného výstupu detekcie JSON pre každé zariadenie
-
Otvorenie v Exceli na filtrovanie, zoraďovanie a analýzu podľa ľubovoľného poľa
Tip: V Exceli môžete použiť funkcie TEXTJOIN alebo JSON na analýzu výstupu detekcie JSON do samostatných stĺpcov na jednoduchšiu analýzu.
Karta Prehľad
Karta Prehľad na oprave poskytuje súhrnnú tabuľu:
|
Metrické |
Zmysle |
|---|---|
|
Zariadenia s problémami |
Zariadenia, v ktorých sa certifikáty ešte neaktualizovali |
|
Zariadenia bez problémov |
Zariadenia, v ktorých sú certifikáty aktuálne |
|
Zariadenia s neúspešným detekciou |
Zariadenia, v ktorých skript narazil na chybu |
Najčastejšie otázky
Zmení sa to v mojich zariadeniach?
Nie. Toto je skript iba na zisťovanie. Neupravujú sa žiadne hodnoty databázy Registry, nespustia sa žiadne aktualizácie a nevykonali sa žiadne opravy. Skript prečíta iba hodnoty a nahlasuje ich.
Čo znamená "S problémom"?
"Problém" znamená, že zariadenie ešte nemá použité certifikáty zabezpečeného spustenia z roku 2023 a zavedený správca spúšťania podpísaný verziou 2023. Môže to byť spôsobené tým, že: – Aktualizácia certifikátu nebola inicializovaný – aktualizácia prebieha a môže sa vyžadovať dokončenie reštartu – zabezpečené spustenie nie je povolené v zariadení – zariadenie nie je založené na UEFI alebo čaká na reštartovanie, aby použilo správcu spúšťania.
Čo znamená "Bez problému"?
"Bez problémov" znamená, že zariadenie má povolené zabezpečené spustenie a hodnota databázy Registry UEFICA2023Status sa aktualizuje, čo znamená, že certifikáty 2023 sa úspešne použili.
Ako často sa skript spúšťa?
Skript sa spustí podľa plánu, ktorý nakonfigurujete v priradenej úlohe. Na aktívne monitorovanie počas uvedenia sa odporúča denne. Na priebežné monitorovanie stačí každý týždeň.
Čo ak kľúč databázy Registry údržby neexistuje?
Ak v zariadení neexistuje kľúč HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing, v poli UEFICA2023Status sa zobrazí hodnota NoValue. To zvyčajne znamená, že v zariadení neboli inicializovali aktualizácie certifikátov.
Aké licencie sa vyžadujú?
Opravy vyžadujú licencie Windows 10/11 Enterprise E3/E5, Education A3/A5 alebo F3. Ak vaše zariadenia majú iba licencie Business Premium alebo Pro, opravy nebudú k dispozícii. Pozrite si požiadavky na opravy.
Zdroje informácií
Scenár aktualizácie certifikátu zabezpečeného spustenia
Certifikát zabezpečeného spustenia Aktualizácie: Sprievodný materiál pre odborníkov v oblasti IT
Kľúč databázy Registry Aktualizácie pre zabezpečené spustenie
Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX
Potrebujete ďalšiu pomoc?
Chcete ďalšie možnosti?
Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.
Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.
