Opomba
- Izvirni datum objave: 19 februarja, 2026
- ID zbirke znanja: 5080914
Opomba
V tem članku so navodila za:
Skrbniki sistema Windows 365, ki upravljajo računalnike v oblaku.
Organizacije, ki uporabljajo računalnike v oblaku z omogočenim varnim zagonom za uvedbe sistema Windows 365.
Organizacije, ki uporabljajo slike po meri za uvedbe sistema Windows 365.
V tem članku:
Uvod
Varni zagon je varnostna funkcija vdelane programske opreme vmesnika UEFI, ki zagotovi, da se med zagonskim zaporedjem naprave izvaja le zaupanja vredna, digitalno podpisana programska oprema. Potrdila za varni zagon Microsoft, izdana v letu 2011, začnejo potekati junija 2026. Brez posodobljenih potrdil 2023 naprave ne bodo več prejemale novih zaščite varnega zagona in upravitelja zagona ali ublažitev posledic za novo odkrite ranljivosti na ravni zagona.
Vsi računalniki v oblaku z omogočenim varnim zagonom in so omogočeni v storitvi Windows 365, ter slike po meri, ki se uporabljajo za njihovo omogočanje, morajo biti pred potekom posodobitve na potrdila 2023, da ostanejo zaščiteni. Oglejte si , kdaj v napravah s sistemom Windows potečejo potrdila za varni zagon.
Ali to velja za moje okolje sistema Windows 365?
| Primer | Ali je varni zagon aktiven? | Potrebno je ukrepanje |
|---|---|---|
| Računalniki v oblaku | ||
| Računalnik v oblaku z omogočenim varnim zagonom | Da | Posodobite potrdila v računalniku v oblaku |
| Računalnik v oblaku z onemogočenim varnim zagonom | Ne | Zahtevano ni nobeno dejanje |
| Slike | ||
| Slika mape računske galerije Azure z omogočenim varnim zagonom | Da | Pred posploševanjem posodobite potrdila v izvorni sliki |
| Azure Compute Gallery image without Trusted Launch | Ne | Uporaba posodobitev v računalniku v oblaku po omogočanju uporabe |
| Upravljana slika (ne podpira zaupanja vrednega zagona) | Ne | Uporaba posodobitev v računalniku v oblaku po omogočanju uporabe |
Za vse osnovne informacije glejte Posodobitve potrdil za varni zagon: navodila za strokovnjake za IT in organizacije.
Inventar in nadzor
Preden ukrepate, popisajte svoje okolje, da boste prepoznali naprave, ki zahtevajo posodobitve. Nadzor je nujnega pomena za potrditev, ali so potrdila uporabljena pred rokom v juniju 2026 – tudi če se zanašate na načine samodejne uvedbe. Spodaj so možnosti, s katerimi lahko ugotovite, ali je treba ukrepati.
1. možnost: Popravki za Microsoft Intune
Za računalnike v oblaku, ki so včlanjeni v Microsoft Intune, lahko uvedete skript zaznavanja s popravki storitve Intune (proaktivne popravke) za samodejno zbiranje stanja potrdil za varni zagon v celotni floti. Skript se tiho izvaja v vsaki napravi in posreduje stanje varnega zagona, napredek posodobitve potrdila in podrobnosti o napravi portalu za Intune – v napravah se ne spremenijo nobene spremembe. Rezultate si lahko ogledate in jih izvozite v datoteko CSV neposredno iz skrbniškega središča za Intune za analizo celotnega voznega parka.
Če želite navodila po korakih o uvajanju skripta za zaznavanje, glejte Spremljanje stanja potrdila za varni zagon s popravki za Microsoft Intune.
2. možnost: Poročilo o stanju varnega zagona s samodejnim popravljanjem sistema Windows
Za računalnike v oblaku, registrirane s funkcijo Samodejno popravljanje sistema Windows, pojdite v Skrbniško središče> za IntunePoročila>Samodejno popravljanje> sistema WindowsPosodobitve> kakovosti sistema WindowsZavihek »Poročila«>Stanje varnega zagona. Oglejte si poročilo o stanju varnega zagona v Samodejno popravljanje sistema Windows.
Opomba: Če želite uporabiti Samodejno popravljanje sistema Windows s sistemom Windows 365, morajo biti računalniki v oblaku registrirani v storitvi Samodejno popravljanje sistema Windows. Oglejte si Samodejno popravljanje sistema Windows v delovnih obremenitvah sistema Windows 365 Enterprise.
3. možnost: registrski ključi za nadzor voznega parka
Uporabite obstoječa orodja za upravljanje naprave, da poizvedujete po teh vrednostih registra v celotni skupini uporabnikov.
| Registrska pot | Tipka | Namen |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Trenutno stanje uvajanja |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error | Označuje napake (ne sme obstajati) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Označuje ID dogodka (ne sme obstajati) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates | Čakajoči biti posodobitve |
Za vse podrobnosti registrskega ključa glejte Posodobitve registrskega ključa za varni zagon.
4. možnost: Nadzorovanje dnevnika dogodkov
Z obstoječimi orodji za upravljanje naprav lahko zberete in nadzorujete te ID-je dogodkov iz dnevnika sistemskih dogodkov v celotni skupini.
| ID dogodka | Lokacija | Pomen |
|---|---|---|
| 1808 | Sistem | Potrdila so bila uspešno uporabljena |
| 1801 | Sistem | Stanje posodobitve ali podrobnosti o napaki |
Za celoten seznam podrobnosti o dogodku glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX.
5. možnost: Skript inventarja PowerShell
Zaženite Microsoftov vzorčni skript zbirke podatkov inventarja varnega zagona , da preverite stanje posodobitve potrdila za varni zagon. Skript zbira več podatkovnih točk, vključno s stanjem varnega zagona, stanjem posodobitve vmesnika UEFI CA 2023, različico vdelane programske opreme in dejavnostjo dnevnika dogodkov.
Uvajanje
Pomembno
Ne glede na to, katero možnost uvajanja izberete, priporočamo, da pred rokom v juniju 2026 spremljate vozni park naprav, da preverite, ali so potrdila uspešno uporabljena. Za slike po meri glejte Upoštevanje slik po meri.
1. možnost: Samodejne Posodobitve iz storitve Windows Update (naprave z visoko stopnjo zaupanja)
Microsoft samodejno posodablja naprave z mesečnimi posodobitvami sistema Windows, ko zadostna telemetrija potrdi uspešno uvedbo v podobnih konfiguracijah strojne opreme.
- Stanje: privzeto omogočeno za naprave z visoko stopnjo zaupanja
- Dejanje ni potrebno, razen če se želite odjaviti
| Register | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tipka | HighConfidenceOptOut = 1 za zavrnitev |
| Pravilnik skupine | Konfiguracija> računalnikaSkrbniške predloge>Komponente >sistema WindowsVarni zagon>Samodejna uvedba potrdila prek Posodobitve> Nastavite na Onemogočeno, da se odjavite |
Opomba
Priporočilo: Tudi če so omogočene samodejne posodobitve, spremljajte računalnike v oblaku in preverite, ali so bila uporabljena potrdila. Vse naprave morda niso upravičene do samodejnega uvajanja z visoko stopnjo zaupanja.
Če želite več informacij, glejte Pomoč pri samodejnem uvajanju.
2. možnost: IT-Initiated uvedba
Ročno sprožite posodobitve potrdil za takojšnjo ali nadzorovano uvedbo.
| Način | Dokumentacija |
|---|---|
| Microsoft Intune | Metoda Microsoft Intune |
| Pravilnik skupine | Metoda GPO |
| Registrski ključi | Metoda registrskega ključa |
| WinCS CLI | API-ji WinCS |
Opomba
- Ne mešajte načinov uvajanja, ki jih je sprožila IT-tehnologija (npr. Intune in GPO) v isti napravi – nadzorujejo iste registrske ključe in so lahko v sporu.
- Počakajte približno 48 ur in en ali več vnovičnih zagonov, da se potrdila v celoti uporabijo.
Upoštevanje slik po meri
Slike po meri v celoti upravlja vaša organizacija. Odgovorni ste za uporabo posodobitev potrdila varnega zagona za posnetek po meri in njegovo vnovično nalaganje, preden ga uporabite za omogočanje uporabe.
Uporaba posodobitev potrdil za varen zagon za izvorni posnetek je podprta le s slikami Azure Compute Gallery (predogled), ki podpirajo zaupanja vreden zagon in varen zagon. Upravljani posnetki ne podpirajo varnega zagona, zato posodobitev potrdil ni mogoče uporabiti na ravni posnetka. Za računalnike v oblaku, ki so omogočeni iz upravljanih posnetkov, uporabite posodobitve neposredno v računalniku v oblaku z enim od zgornjih načinov uvajanja.
Preden posplošite novo sliko po meri, preverite, ali so potrdila posodobljena:
Opomba
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Znane težave
Servisni registrski ključ ne obstaja
| Simptom | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing pot ne obstaja |
|---|---|
| Vzrok | Posodobitve potrdil v napravi niso bile začete |
| Rešitev | Počakajte na samodejno uvajanje prek storitve Windows Update ali ročno zaženite z enim od zgornjih načinov uvajanja, ki jih je sprožil IT. |
Stanje prikazuje »V teku« za daljše obdobje
| Simptom | UEFICA2023Status po več dneh ostane »V teku« |
|---|---|
| Vzrok | Naprava bo morda potrebovala vnovični zagon, da dokonča postopek posodabljanja |
| Rešitev | Znova zaženite računalnik v oblaku in po 15 minutah znova preverite stanje. Če težave ne morete odpraviti, glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX za navodila za odpravljanje težav |
UEFICA2023Registrski ključ napake obstaja
| Simptom | UEFICA2023Registrski ključ napake je prisoten |
|---|---|
| Vzrok | Med uvajanjem potrdila je prišlo do napake |
| Rešitev | Za podrobnosti preverite dnevnik sistemskih dogodkov. Navodila za odpravljanje težav glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX |