Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder

Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Obs

  • Ursprungligt publiceringsdatum: Den 18 februari 2026
  • KB-ID: 5080921

Den här artikeln innehåller vägledning för:

  • IT-administratörer som behöver insyn i uppdateringsstatus för certifikat för säker start från sina Intune registrerade Windows-enheter
  • Organisationer som förbereder sig för förfallodatumet för certifikat för säker start i juni 2026
  • Team som vill övervaka certifikatdistributionsförloppet på sina Intune registrerade Windows-enheter

I den här artikeln:

Introduktion

Microsoft Secure Boot-certifikat (2011 CAs) upphör att gälla från och med juni 2026. Alla Windows-enheter med Säker start aktiverat måste uppdateras till 2023-certifikaten före utgången för att säkerställa fortsatt stöd för säkerhetsuppdateringar.

Den här guiden tillhandahåller en övervakningsmetod med hjälp av Microsoft Intune åtgärder (proaktiva åtgärder). Identifieringsskriptet samlar in säker start och certifikatstatus från varje enhet och rapporterar det tillbaka till Intune -portalen – inga åtgärder vidtas på enheter. Detta ger administratörer en centraliserad, exporterbar vy av certifikatuppdateringsförloppet på deras Intune registrerade Windows-enheter.

Varför ska jag använda den här metoden?

Fördel Beskrivning
Synlighet i hela enheten Se varje Intune registrerad Windows-enhetens certifikatstatus på ett ställe
Kan exporteras Exportera resultat till CSV direkt från Intune -portalen
Råa registervärden Visa faktiska registerdata, inte bara godkänt/underkänt
Enhetskontext Inkluderar tillverkare, modell, BIOS-version och typ av inbyggd programvara
Telemetri för händelselogg Samlar in händelse-ID:t för säker start (1801/1808), bucket-ID:t och konfidensnivåer
Zero touch Körs tyst som SYSTEM – ingen användaråtgärd krävs

Fullständig bakgrundsinformation om certifikatuppdateringarna finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.

Förutsättningar

Kontrollera att miljön uppfyller de nödvändiga kraven innan du distribuerar identifieringsskriptet.

Den här lösningen utnyttjar åtgärder i Microsoft Intune. En fullständig lista över förutsättningar finns i Använda åtgärder för att identifiera och åtgärda supportproblem – Microsoft Intune.

Skript för identifiering

Identifieringsskriptet är ett PowerShell-skript som samlar in omfattande inventeringsdata för säker start från varje enhet och matar ut dem som en JSON-sträng. Skriptet läser från följande källor:

Register – Uppdateringsstatus för certifikat för säker start, underhållsnycklar, enhetsattribut och anmälnings-/avanmälningsinställningar från HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot och dess undernycklar

WMI/CIM – OS-version, senaste starttid och information om baskortets maskinvara

Händelseloggar – Systemhändelseloggposter för händelse-ID 1801 och 1808 (uppdateringshändelser för säker start)

JSON-utdata visas i Intune -portalen under Övervakning av åtgärder > Enhetsstatus >> "Utdata för identifiering före reparation" och kan exporteras till CSV för analys.

Viktigt: Det här är ett skript för endast identifiering. Inga ändringar görs på enheten. Inget åtgärdsskript behövs.

Skapa skriptfilen

Obs

VIKTIGT Följande artikel som innehåller exempelskriptet har dragits tillbaka. Om du har installerat en Windows-uppdatering som släpptes 12 maj 2026 eller senare finns exempelskriptet i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på din enhet.

Skapa åtgärden i Intune

Följ de här anvisningarna för att distribuera identifieringsskriptet som en åtgärd (skriptpaket) i Microsoft Intune.

Steg 1: Skapa skriptpaketet

Steg 2: Grunder

  • Konfigurera följande inställningar på fliken Grundläggande :
Inställning Värde
Namn Statusövervakare för certifikat för säker start
Beskrivning Övervakar uppdateringsstatus för certifikat för säker start i hela flottan. Endast identifiering – ingen åtgärd vidtas.
Utgivare (organisationens namn)
  • Klicka på Nästa

Steg 3: Inställningar

  • Konfigurera följande inställningar på fliken Inställningar :
Inställning Värde Obs!
Skriptfil för identifiering Ladda upp Detect-SecureBootCertificateStatus.ps1 Skriptet från föregående avsnitt
Skriptfil (lämna tomt) Ingen åtgärd krävs – det här är endast övervakning
Kör det här skriptet med de inloggade autentiseringsuppgifterna Nej Körs som SYSTEM för att säkerställa åtkomst till Confirm-SecureBootUEFI och registret
Tillämpa kontroll av skriptsignatur Nej Inställd på Ja om organisationen kräver signerade skript
Köra skript i 64-bitars PowerShell Ja Krävs för Confirm-SecureBootUEFI cmdlet och korrekta registerläsningar
  • Klicka på Nästa

Steg 4: Omfångstaggar

  • Lägg till omfångstaggar som krävs av organisationen eller lämna som standard
  • Klicka på Nästa

Steg 5: Uppgifter

Inställning Värde Obs!
Tilldelningar Välj de enhetsgrupper som ska övervakas Använd Alla enheter för övervakning av hela vagnparken, eller specifika grupper för riktad övervakning
Tidtabell Konfigurera efter dina övervakningsbehov Rekommenderas: En gång om dagen för aktiv distributionsspårning eller en gång i veckan för löpande övervakning

Obs! Reparationerna körs enligt enhetens konfigurerade schema. Den första körningen kan ta upp till 24 timmar efter tilldelningen beroende på enhetens incheckningscykel.

Klicka på Nästa

Steg 6: Granska + skapa

  • Granska alla inställningar
  • Klicka på Create

Visa och exportera resultat

Visa resultat i portalen

  • Navigera till Enhetsreparationer >
  • Klicka på Statusövervakare för certifikat för säker start (eller det namn du valde)
  • Välj fliken Bildskärm
  • Klicka på Enhetsstatus
  • Klicka på Kolumner och lägg till utdata för identifiering före reparation

Statusövervakare

En tabell med följande kolumner visas:

Kolumn Beskrivning
Enhetsnamn Namnet på enheten
Användarnamn Enhetens primära användare
Identifieringsstatus Utan problem (certifierade certifikat uppdaterade) eller med problem (certifikat som inte uppdaterades)
Utdata för identifiering före reparation Fullständiga JSON-utdata från skriptet
Senast ändrad När skriptet senast kördes på enheten

Exportera till CSV

  • Klicka på knappen Exportera överst i tabellen på sidan Enhetsstatus
  • CSV-filen laddar ned alla kolumner, inklusive fullständiga JSON-identifieringsutdata för varje enhet
  • Öppna i Excel för att filtrera, sortera och analysera efter valfritt fält

Tips: I Excel kan du använda funktionerna TEXTJOIN eller JSON för att parsa detektionsutdata JSON i separata kolumner för enklare analys.

Fliken Översikt

Intune översikt

Fliken Översikt på fliken Åtgärd innehåller en sammanfattande instrumentpanel:

Mätvärde Betydelse
Enheter med problem Enheter där certifikaten ännu inte har uppdaterats
Enheter utan problem Enheter där certifikaten är uppdaterade
Enheter med misslyckad identifiering Enheter där skriptet påträffade ett fel

Vanliga frågor och svar

Ändrar det något på mina enheter?

Nej. Det här är ett skript för endast identifiering. Inga registervärden ändras, inga uppdateringar utlöses och inga åtgärder vidtas. Skriptet läser bara värden och rapporterar dem.

Vad betyder "Med problem"?

"Med problem" innebär att enheten ännu inte har 2023 Secure Boot-certifikat tillämpade och den 2023-signerade starthanteraren på plats. Det kan bero på att: - Certifikatuppdateringen har inte initierats - Uppdateringen pågår och kan kräva en omstart för att slutföras - Säker start är inte aktiverat på enheten - Enheten är inte UEFI-baserad eller väntar på en omstart för att tillämpa starthanteraren.

Vad betyder "Utan problem"?

"Utan problem" innebär att enheten har Säker start aktiverat och att UEFICA2023Status-registervärdet är Uppdaterat, vilket indikerar att 2023-certifikaten har tillämpats.

Hur ofta körs skriptet?

Skriptet körs enligt det schema som du konfigurerar i tilldelningen. För aktiv övervakning under en distribution rekommenderas dagligen. För löpande övervakning räcker det med en vecka i veckan.

Vad gör jag om registernyckeln för underhåll inte finns?

Om nyckeln HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing inte finns på en enhet visas NoValue i fältet UEFICA2023Status. Det innebär vanligtvis att certifikatuppdateringar inte har initierats på enheten.

Vilka licenser krävs?

Reparationer kräver Windows 10/11 Enterprise E3/E5-, Education A3/A5- eller F3-licenser. Om dina enheter endast har Business Premium- eller Pro-licenser är åtgärder inte tillgängliga. Se Krav för reparationer.

Resurser

Spelbok för certifikatuppdatering vid säker start

Uppdateringar för certifikat för säker start: Vägledning för IT-proffs

Uppdateringar av registernycklar för säker start

Säkra start-, DB- och DBX-uppdateringshändelser

Åtgärder i Microsoft Intune

Krav för åtgärder