Nadgledanje statusa certifikata bezbednog pokretanja Microsoft Intune remedijacijama
Primenjuje se na
Originalni datum objavljivanja: 18. februar 2026.
KB ID: 5080921
Ovaj članak sadrži uputstva za:
-
IT administratori kojima je potrebna vidljivost statusa ažuriranja certifikata za bezbedno pokretanje sa Intune upisanih Windows uređaja
-
Organizacije koje se pripremaju za krajnji rok isteka certifikata za bezbedno pokretanje sistema iz juna 2026.
-
Teams koji žele da nadgledaju tok primene certifikata na svim Intune upisanim Windows uređajima
U ovom članku:
Uvod
Certifikati za microsoft bezbedno pokretanje (CA-2011) ističu od juna 2026. Svi Windows uređaji sa omogućenim bezbednim pokretanjem moraju da se ažuriraju na certifikate 2023 pre isteka da bi se obezbedila podrška za nastavak bezbednosnih ispravki.
Ovaj vodič pruža pristup samo za nadgledanje pomoću Microsoft Intune remedijacija (Proactive Remediations). Skripta za otkrivanje prikuplja status bezbednog pokretanja i certifikata sa svakog uređaja i prijavljuje ih nazad na Intune portal – na uređajima se ne izvršavaju nikakve radnje vraćanja. To administratorima pruža centralizovani, izvezeni prikaz toka ažuriranja certifikata na svim Intune Upisanim Windows uređajima.
Zašto koristiti ovaj pristup?
|
Korist |
Opis |
|---|---|
|
Vidljivost na nivou uređaja |
Pogledajte svaki Intune upisan status certifikata Windows uređaja na jednom mestu |
|
Može da se izveze |
Izvezi rezultate u CSV direktno sa Intune portala |
|
Vrednosti u raw registratoru |
Pogledajte stvarne podatke registratora, ne samo prolazne/neuspešne |
|
Kontekst uređaja |
Uključuje proizvođača, model, BIOS verziju i tip firmvera |
|
Telemetrija evidencije događaja |
Hvata ID-ove događaja bezbednog pokretanja (1801/1808), ID-ove kontejnera i nivoe pouzdanosti |
|
Nula dodira |
Pokreće se tiho kao SYSTEM – nije potrebna korisnička interakcija |
Kompletne pozadinske informacije o ispravkama certifikata potražite u članku Ispravke certifikata za bezbedno pokretanje sistema: Vodič za IT stručnjake i organizacije.
Preduslovi
Pre nego što primenite skriptu za otkrivanje, uverite se da okruženje ispunjava neophodne zahteve.
Ovo rešenje koristi ispravke u sistemu Microsoft Intune. Kompletnu listu preduslova potražite u članku Korišćenje ponovnih ispravljanja za otkrivanje i rešavanje problema sa podrškom – Microsoft Intune.
Skripte za otkrivanje
Skripta za otkrivanje je PowerShell skripta koja prikuplja sveobuhvatne podatke o zalihama bezbednog pokretanja sa svakog uređaja i daje je kao JSON nisku. Skripta se čita iz sledećih izvora:
Registrator – status ažuriranja certifikata bezbednog pokretanja, ključevi servisiranja, atributi uređaja i postavke davanja saglasnosti/odbijanja saglasnosti od HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot i njegovi potključevi
WMI/CIM – Verzija operativnog sistema, vreme poslednjeg pokretanja i informacije o hardveru osnovne table
Evidencije događaja – Stavke sistemske evidencije događaja za ID-ove događaja 1801 i 1808 (događaji ažuriranja bezbednog pokretanja)
JSON izlaz se pojavljuje na Intune portalu u okviru stavke Remediations > Monitor > Status uređaja > "Rezultat otkrivanja pre remedijacije" i može da se izveze u CSV radi analize.
Vaћno: Ovo je skripta samo za otkrivanje. Na uređaju se ne unose promene. Nije potrebna skripta za ponovno vraćanje.
Kreiranje datoteke skripte
-
Idite na skriptu prikupljanja podataka za zalihe uzorka bezbednog pokretanja (KB5072718)
-
Kopiranje sadržaja cele skripte sa stranice
-
Otvaranje uređivača teksta (npr. beležnica, VS kôd) i lepljenje skripte
-
Sačuvaj datoteku kao Detect-SecureBootCertUpdateStatus.ps1
Kreirajte remedijaciju u programu Intune
Pratite ove korake da biste primenili skriptu za otkrivanje kao remediation (paket skripte) u Microsoft Intune.
1. korak: Kreiranje paketa skripte
-
Prijavljivanje u Microsoft Intune centru administracije
-
Navigacija do uređaja > remedijacija
-
Kliknite na dugme + Kreiraj paket skripti
2. korak: Osnove
-
Konfigurišite sledeće postavke na kartici Osnove:
|
Postavku |
Vrednost |
|---|---|
|
Ime |
Nadgledanje statusa certifikata bezbednog pokretanja |
|
Opis |
Nadgleda status ažuriranja certifikata za bezbedno pokretanje širom flote. Samo za otkrivanje – ne izvršava se nikakva radnja vraćanja. |
|
Izdavača |
(ime vaše organizacije) |
-
Kliknite na dugme "Dalje"
3. korak: Postavke
-
Konfigurišite sledeće postavke na kartici Postavke:
|
Postavku |
Vrednost |
Beleške |
|---|---|---|
|
Datoteka skripte za otkrivanje |
Otpremi Detect-SecureBootCertificateStatus.ps1 |
Skripta iz prethodnog odeljka |
|
Datoteka skripte za ponovno vraćanje |
(ostavi prazno) |
Nije potreban remedijacijom – ovo je samo nadgledanje |
|
Pokreni ovu skriptu pomoću prijavljenih akreditiva |
Ne |
Pokreće se kao SYSTEM da bi obezbedio pristup Confirm-SecureBootUEFI i registratoru |
|
Nametni proveru potpisa skripte |
Ne |
Postavite na "Da" ako vaša organizacija zahteva potpisane skripte |
|
Pokretanje skripte u 64-bitnoj verziji programa PowerShell |
Da |
Obavezno za Confirm-SecureBootUEFI cmdlet i precizna čitanja registratora |
-
Kliknite na dugme "Dalje"
4. korak: Oznake opsega
-
Dodajte oznake opsega koje vaša organizacija zahteva ili ih ostavite kao podrazumevane
-
Kliknite na dugme "Dalje"
5. korak: Zadaci
|
Postavku |
Vrednost |
Beleške |
|---|---|---|
|
Zadatke |
Izaberite grupe uređaja za nadgledanje |
Koristite sve uređaje za nadgledanje na nivou flote ili određene grupe za ciljano nadgledanje |
|
Raspored |
Konfigurisanje potreba za nadgledanjem |
Preporučeno: Jednom dnevno za praćenje aktivne primene ili jednom nedeljno za tekuće nadgledanje |
Napomena: Remedijacije se pokreću po konfigurisanom rasporedu uređaja. Prvo pokretanje može da potraje i do 24 časa nakon dodele, u zavisnosti od ciklusa za prijavljivanje uređaja.
Kliknite na dugme "Dalje"
6. korak: Redigovanje + kreiranje
-
Pregledajte sve postavke
-
Kliknite na dugme "Kreiraj"
Prikazivanje i izvoz rezultata
Prikaz rezultata na portalu
-
Navigacija do uređaja > remedijacija
-
Kliknite na nadgledanje statusa certifikata bezbednog pokretanja (ili ime koje ste odabrali)
-
Izaberite karticu Monitor
-
Izaberite stavku "Status uređaja"
-
Click Columns and add Pre-remediation detection output
Videćete tabelu sa sledećim kolonama:
|
Kolone |
Opis |
|---|---|
|
Ime uređaja |
Ime uređaja |
|
Username |
Primarni korisnik uređaja |
|
Status otkrivanja |
Bez problema (certs je ažuriran) ili sa problemom (certs nisu ažurirani) |
|
Rezultat otkrivanja pre remedijacije |
Potpun JSON rezultat iz skripte |
|
Poslednja izmena |
Kada je skripta poslednji put bila pokrenena na uređaju |
Izvezi u CSV
-
Na stranici "Status uređaja" kliknite na dugme "Izvezi" na vrhu tabele
-
CSV datoteka će preuzeti sve kolone, uključujući potpun JSON rezultat otkrivanja za svaki uređaj
-
Otvorite u programu Excel da biste filtrirali, sortirali i analizirali po bilo kom polju
Savet: U programu Excel možete da koristite funkcije TEXTJOIN ili JSON da biste raščlanili izlazni JSON otkrivanja u zasebne kolone radi lakše analize.
Kartica "Pregled"
Kartica Pregled na kontrolnoj tabli rezimea pruža kontrolnu tablu rezimea:
|
Metrike |
Znaиenje |
|---|---|
|
Uređaji sa problemima |
Uređaji na kojima certifikati još uvek nisu ažurirani |
|
Uređaji bez problema |
Uređaji na kojima su certifikati ažurirani |
|
Uređaji sa neuspešnim otkrivanjem |
Uređaji na kojima je skripta naišla na grešku |
Najčešća pitanja
Da li ovo menja bilo šta na mojim uređajima?
Ne. Ovo je skripta samo za otkrivanje. Vrednosti registratora se ne menjaju, ne pokreće se nikakva ažuriranja i ne izvršava se nikakva radnja ponovnog ispravka. Skripta čita samo vrednosti i prijavljuje ih.
Šta znači "Sa problemom"?
"Sa problemom" znači da uređaj još uvek nema primenjene certifikate za bezbedno pokretanje sistema 2023 i upravljač pokretanja koji je potpisao 2023. Do ovoga može da dođe zato što: – Ažuriranje certifikata nije pokrenuto – ažuriranje je u toku i možda će biti potrebno ponovno pokretanje sistema da bi se dovršilo – Bezbedno pokretanje nije omogućeno na uređaju – Uređaj nije zasnovan na UEFI-u ili čeka ponovno pokretanje da primeni upravljač pokretanja.
Šta znači "Bez problema"?
"Bez problema" znači da uređaj ima omogućeno bezbedno pokretanje i vrednost registratora UEFICA2023Status je ažurirana, što ukazuje na to da su 2023 certifikati uspešno primenjeni.
Koliko često se izvršava skripta?
Skripta se pokreće po rasporedu koji konfigurišete u zadatku. Za aktivno nadgledanje tokom objavljivanja, preporučuje se dnevno. Za tekuće nadgledanje, sedmično je dovoljno.
Šta ako ključ registratora servisiranja ne postoji?
Ako na uređaju ne postoji ključ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing, polje UEFICA2023Status će prikazati NoValue. To obično znači da ažuriranja certifikata nisu pokrenuta na uređaju.
Koje licence su potrebne?
Ispravke zahtevaju Windows 10/11 Enterprise E3/E5, Education A3/A5 ili F3 licence. Ako vaši uređaji imaju samo Business Premium ili Pro licence, ispravke neće biti dostupne. Pročitajte članak Preduslovi za remedijacije.
Resurse
Beležnica za ažuriranje certifikata za bezbedno pokretanje
Certifikat za bezbedno pokretanje Novosti: vodič za IT stručnjake
Ključ registratora Novosti za bezbedno pokretanje
Događaji promenljivih promenljivih za bezbedno pokretanje baze podataka i DBX promenljivih
Da li vam je potrebna dodatna pomoć?
Želite još opcija?
Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.
Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.
