Nadzorovanje stanja potrdila varnega zagona s Microsoft Intune odpravljanjem težav
Velja za
Datum izvirne objave: 18. februar 2026
ID zbirke znanja: 5080921
V tem članku so navodila za:
-
Skrbniki za IT, ki potrebujejo vpogled v stanje posodobitve potrdila za varni zagon v svojih Intune včlanjenih napravah s sistemom Windows
-
Organizacije, ki se pripravljajo na rok za potek potrdila varnega zagona junija 2026
-
Teams, ki želijo spremljati napredek pri včlanenih napravah s sistemom Windows Intune potrdilom
V tem članku:
Uvod
Microsoftova potrdila o varnem zagonu (CA-ji iz leta 2011) bodo potekla od junija 2026. Vse naprave s sistemom Windows z omogočenim varnim zagonom je treba posodobiti na potrdila različica 2023 pred potekom, da se zagotovi neprekinjena podpora za varnostne posodobitve.
V tem vodniku je opisan pristop, ki se uporablja samo za Microsoft Intune (proaktivne sanacije). Skript zaznavanja zbira stanje varnega zagona in potrdila iz vsake naprave ter ga posreduje nazaj na portal za Intune – v napravah se ne izvede nobeno dejanje popravila. Skrbniki imajo tako centraliziran pogled na napredek posodobitve potrdila, ki ga je mogoče izvoziti, v Intune včlanjenih napravah s sistemom Windows.
Zakaj uporabljati ta pristop?
|
Koristi |
Opis |
|---|---|
|
Vidljivost na ravni naprave |
Oglejte si Intune potrdil včlanjeni napravi s sistemom Windows na enem mestu |
|
Izvoznih |
Izvoz rezultatov v datoteko CSV neposredno iz Intune portala |
|
Neobdelane vrednosti registra |
Oglejte si dejanske podatke registra, ne le pass/fail |
|
Kontekst naprave |
Vključuje izdelovalca, model, različico BIOS-a in vrsto vdelane programske opreme |
|
Telemetrija dnevnika dogodkov |
Zajema ID-je dogodkov varnega zagona (1801/1808), ID-je vedra in ravni zaupanja |
|
Nič dotika |
Poteka tiho kot SYSTEM – interakcija z uporabnikom ni potrebna |
Če želite popolne osnovne informacije o posodobitvah potrdil, glejte Posodobitve potrdil za varni zagon: navodila za strokovnjake za IT in organizacije.
Predpogoji
Preden uvedete skript za zaznavanje, se prepričajte, da vaše okolje izpolnjuje potrebne zahteve.
Ta rešitev izkorišča sanacije v Microsoft Intune. Če si želite ogledati celoten seznam predpogojev, glejte Uporaba popravkov za zaznavanje in odpravljanje težav s podporo – Microsoft Intune.
Skripti zaznavanja
Skript zaznavanja je skript ogrodja PowerShell, ki zbira celovite podatke inventarja varnega zagona iz vsake naprave in jih prikaže kot niz JSON. Skript je prebran iz teh virov:
Register – stanje posodobitve potrdila varnega zagona, servisni ključi, atributi naprave in nastavitve za privolitev/odjavo iz HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot in njegovih podključev
WMI/CIM – različica operacijskega sistema, čas zadnjega zagona in podatki o strojni opremi osnovne plošče
Dnevniki dogodkov – vnosi v dnevnik sistemskih dogodkov za ID-je dogodkov 1801 in 1808 (dogodki posodobitve varnega zagona)
Izhod JSON je prikazan v portalu za Intune v razdelku Remediations > Monitor > Device status > "Pre-remediation detection output" (Izhod zaznavanja pred sanacijo) > ga je mogoče izvoziti v datoteko CSV za analizo.
Pomembno: To je skript, ki omogoča le zaznavanje. V napravi niso narejene nobene spremembe. Skript za odpravljanje težav ni potreben.
Ustvarjanje skriptne datoteke
-
Premaknite se do skripta za zbiranje podatkov inventarja vzorčnega varnega zagona (KB5072718)
-
Kopiranje celotne vsebine skripta s strani
-
Odpiranje urejevalnika besedila (npr. Beležnica, koda VS) in lepljenje skripta
-
Shrani datoteko kot Detect-SecureBootCertUpdateStatus.ps1
Ustvarjanje popravkov v Intune
Sledite tem korakom, da uvedete skript zaznavanja kot popravek (paket skriptov) v Microsoft Intune.
1. korak: Ustvarjanje skriptnega paketa
-
Vpišite se v Microsoft Intune skrbniškem središču
-
Premaknite se do možnosti > remediations
-
Kliknite + Ustvari skriptni paket
2. korak: Osnove
-
Konfigurirajte te nastavitve na zavihku Osnove:
|
Nastavitev |
Vrednost |
|---|---|
|
Ime |
Nadzornik stanja potrdila varnega zagona |
|
Opis |
Spremlja stanje posodobitve potrdila o varnem zagonu v floti. Samo zaznavanje – nobeno dejanje odpravljanja napak ni izvedeno. |
|
Publisher |
(ime vaše organizacije) |
-
Kliknite »Naprej«
3. korak: Nastavitve
-
Na zavihku »Nastavitve« konfigurirajte te nastavitve:
|
Nastavitev |
Vrednost |
Opombe |
|---|---|---|
|
Datoteka s skriptom zaznavanja |
Prenos Detect-SecureBootCertificateStatus.ps1 |
Skript iz prejšnjega odseka |
|
Datoteka s skriptom za odpravljanje težav |
(pustite prazno) |
Odpravljanje težav ni potrebno – to je le nadzorovanje |
|
Zaženite ta skript s poverilnicami, ki so prijavljene |
Ne |
Deluje kot SYSTEM za zagotavljanje dostopa do Confirm-SecureBootUEFI in registra |
|
Vsili preverjanje skriptnega podpisa |
Ne |
Nastavite na Da, če vaša organizacija zahteva podpisane skripte |
|
Zagon skripta v 64-bitni različici ogrodja PowerShell |
Da |
Zahtevano za Confirm-SecureBootUEFI »cmdlet« in natančno branje registra |
-
Kliknite »Naprej«
4. korak: Oznake obsega
-
Dodajte morebitne oznake obsega, ki jih zahteva vaša organizacija, ali pa jih pustite kot privzete
-
Kliknite »Naprej«
5. korak: Dodelitve
|
Nastavitev |
Vrednost |
Opombe |
|---|---|---|
|
Dodelitev |
Izberite skupine naprav za nadzor |
Uporaba vseh naprav za spremljanje v celotni floti ali za posebne skupine za ciljno spremljanje |
|
Načrtuj |
Konfigurirajte na potrebe spremljanja |
Priporočeno: enkrat na dan za aktivno spremljanje rezultatov ali enkrat na teden za stalno spremljanje |
Opomba: Remediations run on the device's configured schedule. Prvi zagon lahko traja do 24 ur po dodelitvi, odvisno od cikla za sprostitev naprave.
Kliknite »Naprej«
6. korak: Pregled + Ustvarjanje
-
Pregled vseh nastavitev
-
Kliknite »Ustvari«
Ogled in izvoz rezultatov
Ogled rezultatov v portalu
-
Premaknite se do možnosti > remediations
-
Kliknite monitor stanja potrdila za varni zagon (ali ime, ki ste ga izbrali)
-
Izberite zavihek Monitor
-
Kliknite »Stanje naprave«
-
Click Columns and add Pre-remediation detection output
Videli boste tabelo s temi stolpci:
|
Stolpec |
Opis |
|---|---|
|
Ime naprave |
Ime naprave |
|
Username |
Primarni uporabnik naprave |
|
Stanje zaznavanja |
Brez težave (potrdila so posodobljena) ali s težavo (potrdila niso posodobljena) |
|
Izhod zaznavanja pred sanacijo |
Celoten rezultat JSON iz skripta |
|
Zadnja sprememba |
Kdaj se je skript nazadnje zagnal v napravi |
Izvozi v DATOTEKO CSV
-
Na strani »Stanje naprave« kliknite gumb »Izvozi« na vrhu tabele
-
Datoteka CSV bo prenesla vse stolpce, vključno s polnim rezultatom zaznavanja JSON za vsako napravo
-
Odpiranje v Excelu za filtriranje, razvrščanje in analiziranje po katerem koli polju
Namig: V Excelu lahko s funkcijama TEXTJOIN ali JSON razčlenite rezultat zaznavanja JSON v ločene stolpce za lažjo analizo.
Zavihek »Pregled«
Na zavihku »Pregled« na strani »Popravek« je na voljo nadzorna plošča s povzetkom:
|
Metričnih |
Smislu |
|---|---|
|
Naprave s težavami |
Naprave, v katerih potrdila še niso posodobljena |
|
Naprave brez težav |
Naprave, v katerih so potrdila posodobljena |
|
Naprave z neuspelim zaznavanjem |
Naprave, v katerih je skript naletel na napako |
Pogosta vprašanja
Ali s tem spremenite karkoli v mojih napravah?
Ne. To je skript, ki omogoča le zaznavanje. Vrednosti registra niso spremenjene, posodobitve se ne sprožijo in nobeno dejanje odpravljanja napak ni izvedeno. Skript prebere samo vrednosti in jih poroča.
Kaj pomeni »S težavo«?
»Težava« pomeni, da naprava še nima uporabljenih potrdil za varni zagon 2023 in 2023 podpisanega upravitelja zagona. To je lahko zato, ker: – posodobitev potrdila se ni začela – posodobitev je v teku in za dokončanje lahko zahteva ponovni zagon – varni zagon v napravi ni omogočen – naprava ne temelji na vmesniku UEFI ali čaka na ponovni zagon, da uporabi upravitelja zagona.
Kaj pomeni »Brez težave«?
»Brez težave« pomeni, da je v napravi omogočen varni zagon, vrednost registra UEFICA2023Status pa je posodobljena, kar pomeni, da so bila potrdila 2023 uspešno uporabljena.
Kako pogosto se skript izvaja?
Skript se zažene v urniku, ki ga konfigurirate v nalogi. Za aktivno spremljanje med nastavitvijo je priporočljivo dnevno. Za redno spremljanje zadostuje tedensko.
Kaj naj naredim, če registrski ključ za servisiranje ne obstaja?
Če hklm:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing key ne obstaja v napravi, bo polje UEFICA2023Status prikazalo NoValue. To običajno pomeni, da se posodobitve potrdil v napravi niso začele.
Katere licence so zahtevane?
Za odpravljanje težav potrebujete Windows 10 licenco za Enterprise E3/E5, Education A3/A5 ali F3. Če imajo vaše naprave le licence za Business Premium ali Pro, sanacije ne bodo na voljo. Glejte Zahteve za odpravljanje težav.
Viri
Playbook posodobitve potrdila varnega zagona
Informacije o potrdilu za Posodobitve zagonu: navodila za strokovnjake za IT
Registrski ključ Posodobitve za varni zagon
Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX
Ali potrebujete dodatno pomoč?
Ali želite več možnosti?
Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.
Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.
