Certifikatuppdateringar för säker start för Azure Virtual Desktop

Gäller för
Azure Virtual Desktop

Obs

  • Ursprungligt publiceringsdatum: Den 19 februari 2026
  • KB-ID: 5080931

Obs

Den här artikeln innehåller vägledning för:

  • Azure Virtual Desktop-administratörer som hanterar uppdateringar av sessionsvärdar

  • Organisationer som använder Säker startaktiverade virtuella datorer för Azure Virtual Desktop-distributioner

  • Organisationer som använder anpassade avbildningar (gyllene bilder) för Azure Virtual Desktop-distributioner

I den här artikeln:

Introduktion

Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under en enhetsstartsekvens. Microsoft Secure Boot-certifikaten som utfärdades 2011 börjar löpa ut i juni 2026. Utan de uppdaterade 2023-certifikaten får enheterna inte längre nya skydd eller åtgärder för säker start och Boot Manager för nyupptäckta säkerhetsrisker på startnivå.

Alla Secure Boot-aktiverade virtuella datorer som registrerats i Azure Virtual Desktop-tjänsten och anpassade avbildningar som används för att etablera dem måste uppdateras till 2023-certifikaten före förfallodatumet för att förbli skyddade. Se när Secure Boot-certifikat upphör att gälla på Windows-enheter

Gäller det här för min Azure Virtual Desktop-miljö?

Scenario Säker start aktiv? Åtgärd krävs
Sessionsvärdar
Virtuell dator med betrodd start med säker start aktiverat Ja Uppdatera certifikat på sessionsvärden
Virtuell dator vid betrodd start med säker start inaktiverat Nej Ingen åtgärd krävs
Virtuell dator av standardsäkerhetstyp Nej Ingen åtgärd krävs
Virtuell dator (generation 1) Stöds inte Ingen åtgärd krävs
Gyllene bilder
Azure Compute Gallery avbildning med Säker start aktiverat Ja Uppdatera certifikat i källavbildningen
Azure Compute Gallery avbildning utan betrodd start Nej Tillämpa uppdateringar i sessionsvärden efter distribution
Hanterad avbildning (stöder inte betrodd start) Nej Tillämpa uppdateringar i sessionsvärden efter distribution

Fullständig bakgrundsinformation finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.

Inventering och övervakning

Inventera miljön innan du vidtar åtgärder för att identifiera vilka enheter som behöver uppdateras. Övervakning är viktigt för att bekräfta att certifikat tillämpas före tidsgränsen i juni 2026 – även om du förlitar dig på automatiska distributionsmetoder.  Nedan finns alternativ för att avgöra om åtgärder behöver vidtas.

Alternativ 1: Microsoft Intune åtgärder

För sessionsvärdar som registrerats i Microsoft Intune kan du distribuera ett identifieringsskript med hjälp av Intune -åtgärder (proaktiva åtgärder) för att automatiskt samla in certifikatstatus för säker start i hela flottan. Skriptet körs tyst på varje enhet och rapporterar status för säker start, certifikatuppdateringsframsteg och enhetsinformation tillbaka till Intune -portalen – inga ändringar görs på enheterna. Resultaten kan visas och exporteras till CSV direkt från Intune administrationscenter för analys av hela flottan.

Stegvisa instruktioner om hur du distribuerar identifieringsskriptet finns i Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder.

Alternativ 2: Statusrapport för säker start i Windows Autopatch

För personliga beständiga sessionsvärdar som registrerats med Windows Autopatch går du till Intune administrationscenter>Rapporter Windows>Autopatch>Windows-kvalitetsuppdateringar>fliken Rapporter Status för>säker start. Se statusrapport för säker start i Windows Autokorrigering.

Obs

Windows Autopatch stöder endast personliga beständiga virtuella datorer för Azure Virtual Desktop. Värdar för flera sessioner, poolade icke-beständiga virtuella datorer och fjärrappströmning stöds inte. Se Windows Autopatch på Azure Virtual Desktop-arbetsbelastningar.

Alternativ 3: Registernycklar för vagnparksövervakning

Använd befintliga enhetshanteringsverktyg för att fråga efter dessa registervärden i hela flottan.

Registersökväg Tangent Syfte
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Aktuell distributionsstatus
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Fel Indikerar fel (bör inte finnas)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Anger händelse-ID (bör inte finnas)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Tillgängliga uppdateringar Väntande uppdateringsbitar

Fullständig information om registernyckeln finns i Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar.

Alternativ 4: Övervakning av händelseloggar

Använd dina befintliga enhetshanteringsverktyg för att samla in och övervaka dessa händelse-ID:n från systemhändelseloggen i hela vagnparken.

Händelse-ID Plats Betydelse
1808 System Certifikat som har tillämpats
1801 System Uppdateringsstatus eller felinformation

En fullständig lista över händelseinformation finns i Säker start DB- och DBX-variabeluppdateringshändelser.

Alternativ 5: PowerShell-inventeringsskript

Kör Microsofts exempelskript för insamling av data för säker startinventering för att kontrollera uppdateringsstatusen för certifikatet för säker start. Skriptet samlar in flera datapunkter, inklusive tillstånd för säker start, uppdateringsstatus för UEFI CA 2023, version av inbyggd programvara och händelseloggaktivitet.

Distribution

Viktigt!

Oavsett vilket distributionsalternativ du väljer rekommenderar vi att du övervakar din enhetspark för att bekräfta att certifikaten har tillämpats före tidsgränsen i juni 2026. Information om anpassade bilder finns i Att tänka på när det gäller gyllene bilder.

Alternativ 1: Automatiska uppdateringar från Windows Update (enheter med hög konfidens)

Microsoft uppdaterar automatiskt enheter via Windows månadsuppdateringar när tillräcklig telemetri bekräftar lyckad distribution på liknande maskinvarukonfigurationer.

  • Status: Aktiverat som standard för enheter med hög konfidens
  • Ingen åtgärd krävs såvida du inte vill avanmäla dig
Register HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Tangent HighConfidenceOptOut = 1 för att avanmäla
Grupprincip Datorkonfiguration>Administrativa mallar>Windows-komponenter>Säker start>Automatisk certifikatdistribution via uppdateringar> Ange till Inaktiverad för att avanmäla dig.

Obs

Rekommendation: Även om automatiska uppdateringar har aktiverats bör du övervaka sessionsvärdarna för att kontrollera att certifikaten tillämpas. Det är inte säkert att alla enheter är kvalificerade för automatisk distribution med hög konfidens.

Mer information finns i Hjälp för automatisk distribution.

Alternativ 2: IT-Initiated distribution

Utlös certifikatuppdateringar manuellt för omedelbar eller kontrollerad distribution.

Gör så här Handlingar
Microsoft Intune Microsoft Intune metod
Grupprincip Metoden Grupprincip Objects (GPO)
Registernycklar Registernyckelmetod
WinCS CLI WinCS-API:er

Obs

  • Blanda inte IT-initierade distributionsmetoder (t.ex. Intune och GPO) på samma enhet – de styr samma registernycklar och kan hamna i konflikt.
  • Det kan ta ungefär 48 timmar och en eller flera omstarter innan certifikaten tillämpas fullt ut.

Att tänka på när det gäller gyllene bild

För Azure Virtual Desktop-miljöer som använder Azure Compute Gallery avbildningar med Säker start aktiverat tillämpar du certifikatuppdateringen för säker start 2023 på den gyllene bilden innan du samlar in den. Använd någon av metoderna som beskrivs ovan för att tillämpa uppdateringen och kontrollera sedan att certifikaten uppdateras innan du generaliserar:

Obs

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Avbildningar utan aktiverad betrodd start kan inte ta emot certifikatuppdateringar för säker start via avbildningen. Detta inkluderar hanterade avbildningar som inte stöder betrodd start och Azure Compute Gallery avbildningar där betrodd start inte är aktiverat. För enheter som etableras från dessa avbildningar tillämpar du uppdateringar i gästoperativsystemet med någon av metoderna ovan.

Kända problem

Registernyckeln för underhåll finns inte

Symptom HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-sökvägen finns inte
Orsak Certifikatuppdateringar har inte initierats på enheten
Lösning Vänta på automatisk distribution via Windows Update eller initiera manuellt med någon av de IT-initierade distributionsmetoderna ovan

Status visar "Pågår" för utökad period

Symptom UEFICA2023Status förblir "Pågår" efter flera dagar
Orsak Enheten kan behöva startas om för att slutföra uppdateringsprocessen
Lösning Starta om sessionsvärden och kontrollera statusen igen efter 15 minuter. Om problemet kvarstår kan du läsa Uppdateringshändelser för databasen för säker start och DBX för felsökningsvägledning

UEFICA2023Error registernyckeln finns

Symptom UEFICA2023Fel registernyckeln finns
Orsak Ett fel uppstod under certifikatdistributionen
Lösning Mer information finns i systemhändelseloggen. Se Variabeluppdateringshändelser för säker start, DB och DBX för felsökningsvägledning

Resurser