Obs
- Ursprungligt publiceringsdatum: Den 18 februari 2026
- KB-ID: 5080921
Den här artikeln innehåller vägledning för:
- IT-administratörer som behöver insyn i uppdateringsstatus för certifikat för säker start från sina Intune registrerade Windows-enheter
- Organisationer som förbereder sig för förfallodatumet för certifikat för säker start i juni 2026
- Team som vill övervaka certifikatdistributionsförloppet på sina Intune registrerade Windows-enheter
I den här artikeln:
- Introduktion
- Förutsättningar
- Skript för identifiering
- Skapa åtgärden i Intune
- Visa och exportera resultat
- Vanliga frågor och svar
- Resurser
Introduktion
Microsoft Secure Boot-certifikat (2011 CAs) upphör att gälla från och med juni 2026. Alla Windows-enheter med Säker start aktiverat måste uppdateras till 2023-certifikaten före utgången för att säkerställa fortsatt stöd för säkerhetsuppdateringar.
Den här guiden tillhandahåller en övervakningsmetod med hjälp av Microsoft Intune åtgärder (proaktiva åtgärder). Identifieringsskriptet samlar in säker start och certifikatstatus från varje enhet och rapporterar det tillbaka till Intune -portalen – inga åtgärder vidtas på enheter. Detta ger administratörer en centraliserad, exporterbar vy av certifikatuppdateringsförloppet på deras Intune registrerade Windows-enheter.
Varför ska jag använda den här metoden?
| Fördel | Beskrivning |
|---|---|
| Synlighet i hela enheten | Se varje Intune registrerad Windows-enhetens certifikatstatus på ett ställe |
| Kan exporteras | Exportera resultat till CSV direkt från Intune -portalen |
| Råa registervärden | Visa faktiska registerdata, inte bara godkänt/underkänt |
| Enhetskontext | Inkluderar tillverkare, modell, BIOS-version och typ av inbyggd programvara |
| Telemetri för händelselogg | Samlar in händelse-ID:t för säker start (1801/1808), bucket-ID:t och konfidensnivåer |
| Zero touch | Körs tyst som SYSTEM – ingen användaråtgärd krävs |
Fullständig bakgrundsinformation om certifikatuppdateringarna finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.
Förutsättningar
Kontrollera att miljön uppfyller de nödvändiga kraven innan du distribuerar identifieringsskriptet.
Den här lösningen utnyttjar åtgärder i Microsoft Intune. En fullständig lista över förutsättningar finns i Använda åtgärder för att identifiera och åtgärda supportproblem – Microsoft Intune.
Skript för identifiering
Identifieringsskriptet är ett PowerShell-skript som samlar in omfattande inventeringsdata för säker start från varje enhet och matar ut dem som en JSON-sträng. Skriptet läser från följande källor:
Register – Uppdateringsstatus för certifikat för säker start, underhållsnycklar, enhetsattribut och anmälnings-/avanmälningsinställningar från HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot och dess undernycklar
WMI/CIM – OS-version, senaste starttid och information om baskortets maskinvara
Händelseloggar – Systemhändelseloggposter för händelse-ID 1801 och 1808 (uppdateringshändelser för säker start)
JSON-utdata visas i Intune -portalen under Övervakning av åtgärder > Enhetsstatus >> "Utdata för identifiering före reparation" och kan exporteras till CSV för analys.
Viktigt: Det här är ett skript för endast identifiering. Inga ändringar görs på enheten. Inget åtgärdsskript behövs.
Skapa skriptfilen
Obs
VIKTIGT Följande artikel som innehåller exempelskriptet har dragits tillbaka. Om du har installerat en Windows-uppdatering som släpptes 12 maj 2026 eller senare finns exempelskriptet i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på din enhet.
- Gå till exempelskriptet för datainsamling för säker startinventering (KB5072718)
- Kopiera det fullständiga skriptinnehållet från sidan
- Öppna en textredigerare (t.ex. Anteckningar, VS Code) och klistra in skriptet
- Spara filen som Detect-SecureBootCertUpdateStatus.ps1
Skapa åtgärden i Intune
Följ de här anvisningarna för att distribuera identifieringsskriptet som en åtgärd (skriptpaket) i Microsoft Intune.
Steg 1: Skapa skriptpaketet
- Logga in på administrationscentret för Microsoft Intune
- Navigera till Enhetsreparationer >
- Klicka + Skapa skriptpaket
Steg 2: Grunder
- Konfigurera följande inställningar på fliken Grundläggande :
| Inställning | Värde |
|---|---|
| Namn | Statusövervakare för certifikat för säker start |
| Beskrivning | Övervakar uppdateringsstatus för certifikat för säker start i hela flottan. Endast identifiering – ingen åtgärd vidtas. |
| Utgivare | (organisationens namn) |
- Klicka på Nästa
Steg 3: Inställningar
- Konfigurera följande inställningar på fliken Inställningar :
| Inställning | Värde | Obs! |
|---|---|---|
| Skriptfil för identifiering | Ladda upp Detect-SecureBootCertificateStatus.ps1 | Skriptet från föregående avsnitt |
| Skriptfil | (lämna tomt) | Ingen åtgärd krävs – det här är endast övervakning |
| Kör det här skriptet med de inloggade autentiseringsuppgifterna | Nej | Körs som SYSTEM för att säkerställa åtkomst till Confirm-SecureBootUEFI och registret |
| Tillämpa kontroll av skriptsignatur | Nej | Inställd på Ja om organisationen kräver signerade skript |
| Köra skript i 64-bitars PowerShell | Ja | Krävs för Confirm-SecureBootUEFI cmdlet och korrekta registerläsningar |
- Klicka på Nästa
Steg 4: Omfångstaggar
- Lägg till omfångstaggar som krävs av organisationen eller lämna som standard
- Klicka på Nästa
Steg 5: Uppgifter
| Inställning | Värde | Obs! |
|---|---|---|
| Tilldelningar | Välj de enhetsgrupper som ska övervakas | Använd Alla enheter för övervakning av hela vagnparken, eller specifika grupper för riktad övervakning |
| Tidtabell | Konfigurera efter dina övervakningsbehov | Rekommenderas: En gång om dagen för aktiv distributionsspårning eller en gång i veckan för löpande övervakning |
Obs! Reparationerna körs enligt enhetens konfigurerade schema. Den första körningen kan ta upp till 24 timmar efter tilldelningen beroende på enhetens incheckningscykel.
Klicka på Nästa
Steg 6: Granska + skapa
- Granska alla inställningar
- Klicka på Create
Visa och exportera resultat
Visa resultat i portalen
- Navigera till Enhetsreparationer >
- Klicka på Statusövervakare för certifikat för säker start (eller det namn du valde)
- Välj fliken Bildskärm
- Klicka på Enhetsstatus
- Klicka på Kolumner och lägg till utdata för identifiering före reparation
En tabell med följande kolumner visas:
| Kolumn | Beskrivning |
|---|---|
| Enhetsnamn | Namnet på enheten |
| Användarnamn | Enhetens primära användare |
| Identifieringsstatus | Utan problem (certifierade certifikat uppdaterade) eller med problem (certifikat som inte uppdaterades) |
| Utdata för identifiering före reparation | Fullständiga JSON-utdata från skriptet |
| Senast ändrad | När skriptet senast kördes på enheten |
Exportera till CSV
- Klicka på knappen Exportera överst i tabellen på sidan Enhetsstatus
- CSV-filen laddar ned alla kolumner, inklusive fullständiga JSON-identifieringsutdata för varje enhet
- Öppna i Excel för att filtrera, sortera och analysera efter valfritt fält
Tips: I Excel kan du använda funktionerna TEXTJOIN eller JSON för att parsa detektionsutdata JSON i separata kolumner för enklare analys.
Fliken Översikt
Fliken Översikt på fliken Åtgärd innehåller en sammanfattande instrumentpanel:
| Mätvärde | Betydelse |
|---|---|
| Enheter med problem | Enheter där certifikaten ännu inte har uppdaterats |
| Enheter utan problem | Enheter där certifikaten är uppdaterade |
| Enheter med misslyckad identifiering | Enheter där skriptet påträffade ett fel |
Vanliga frågor och svar
Ändrar det något på mina enheter?
Nej. Det här är ett skript för endast identifiering. Inga registervärden ändras, inga uppdateringar utlöses och inga åtgärder vidtas. Skriptet läser bara värden och rapporterar dem.
Vad betyder "Med problem"?
"Med problem" innebär att enheten ännu inte har 2023 Secure Boot-certifikat tillämpade och den 2023-signerade starthanteraren på plats. Det kan bero på att: - Certifikatuppdateringen har inte initierats - Uppdateringen pågår och kan kräva en omstart för att slutföras - Säker start är inte aktiverat på enheten - Enheten är inte UEFI-baserad eller väntar på en omstart för att tillämpa starthanteraren.
Vad betyder "Utan problem"?
"Utan problem" innebär att enheten har Säker start aktiverat och att UEFICA2023Status-registervärdet är Uppdaterat, vilket indikerar att 2023-certifikaten har tillämpats.
Hur ofta körs skriptet?
Skriptet körs enligt det schema som du konfigurerar i tilldelningen. För aktiv övervakning under en distribution rekommenderas dagligen. För löpande övervakning räcker det med en vecka i veckan.
Vad gör jag om registernyckeln för underhåll inte finns?
Om nyckeln HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing inte finns på en enhet visas NoValue i fältet UEFICA2023Status. Det innebär vanligtvis att certifikatuppdateringar inte har initierats på enheten.
Vilka licenser krävs?
Reparationer kräver Windows 10/11 Enterprise E3/E5-, Education A3/A5- eller F3-licenser. Om dina enheter endast har Business Premium- eller Pro-licenser är åtgärder inte tillgängliga. Se Krav för reparationer.
Resurser
Spelbok för certifikatuppdatering vid säker start
Uppdateringar för certifikat för säker start: Vägledning för IT-proffs
Uppdateringar av registernycklar för säker start