Obs
- Ursprungligt publiceringsdatum: Den 19 februari 2026
- KB-ID: 5080931
Obs
Den här artikeln innehåller vägledning för:
Azure Virtual Desktop-administratörer som hanterar uppdateringar av sessionsvärdar
Organisationer som använder Säker startaktiverade virtuella datorer för Azure Virtual Desktop-distributioner
Organisationer som använder anpassade avbildningar (gyllene bilder) för Azure Virtual Desktop-distributioner
I den här artikeln:
Introduktion
Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under en enhetsstartsekvens. Microsoft Secure Boot-certifikaten som utfärdades 2011 börjar löpa ut i juni 2026. Utan de uppdaterade 2023-certifikaten får enheterna inte längre nya skydd eller åtgärder för säker start och Boot Manager för nyupptäckta säkerhetsrisker på startnivå.
Alla Secure Boot-aktiverade virtuella datorer som registrerats i Azure Virtual Desktop-tjänsten och anpassade avbildningar som används för att etablera dem måste uppdateras till 2023-certifikaten före förfallodatumet för att förbli skyddade. Se när Secure Boot-certifikat upphör att gälla på Windows-enheter
Gäller det här för min Azure Virtual Desktop-miljö?
| Scenario | Säker start aktiv? | Åtgärd krävs |
|---|---|---|
| Sessionsvärdar | ||
| Virtuell dator med betrodd start med säker start aktiverat | Ja | Uppdatera certifikat på sessionsvärden |
| Virtuell dator vid betrodd start med säker start inaktiverat | Nej | Ingen åtgärd krävs |
| Virtuell dator av standardsäkerhetstyp | Nej | Ingen åtgärd krävs |
| Virtuell dator (generation 1) | Stöds inte | Ingen åtgärd krävs |
| Gyllene bilder | ||
| Azure Compute Gallery avbildning med Säker start aktiverat | Ja | Uppdatera certifikat i källavbildningen |
| Azure Compute Gallery avbildning utan betrodd start | Nej | Tillämpa uppdateringar i sessionsvärden efter distribution |
| Hanterad avbildning (stöder inte betrodd start) | Nej | Tillämpa uppdateringar i sessionsvärden efter distribution |
Fullständig bakgrundsinformation finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.
Inventering och övervakning
Inventera miljön innan du vidtar åtgärder för att identifiera vilka enheter som behöver uppdateras. Övervakning är viktigt för att bekräfta att certifikat tillämpas före tidsgränsen i juni 2026 – även om du förlitar dig på automatiska distributionsmetoder. Nedan finns alternativ för att avgöra om åtgärder behöver vidtas.
Alternativ 1: Microsoft Intune åtgärder
För sessionsvärdar som registrerats i Microsoft Intune kan du distribuera ett identifieringsskript med hjälp av Intune -åtgärder (proaktiva åtgärder) för att automatiskt samla in certifikatstatus för säker start i hela flottan. Skriptet körs tyst på varje enhet och rapporterar status för säker start, certifikatuppdateringsframsteg och enhetsinformation tillbaka till Intune -portalen – inga ändringar görs på enheterna. Resultaten kan visas och exporteras till CSV direkt från Intune administrationscenter för analys av hela flottan.
Stegvisa instruktioner om hur du distribuerar identifieringsskriptet finns i Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder.
Alternativ 2: Statusrapport för säker start i Windows Autopatch
För personliga beständiga sessionsvärdar som registrerats med Windows Autopatch går du till Intune administrationscenter>Rapporter Windows>Autopatch>Windows-kvalitetsuppdateringar>fliken Rapporter Status för>säker start. Se statusrapport för säker start i Windows Autokorrigering.
Obs
Windows Autopatch stöder endast personliga beständiga virtuella datorer för Azure Virtual Desktop. Värdar för flera sessioner, poolade icke-beständiga virtuella datorer och fjärrappströmning stöds inte. Se Windows Autopatch på Azure Virtual Desktop-arbetsbelastningar.
Alternativ 3: Registernycklar för vagnparksövervakning
Använd befintliga enhetshanteringsverktyg för att fråga efter dessa registervärden i hela flottan.
| Registersökväg | Tangent | Syfte |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Aktuell distributionsstatus |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Fel | Indikerar fel (bör inte finnas) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Anger händelse-ID (bör inte finnas) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Tillgängliga uppdateringar | Väntande uppdateringsbitar |
Fullständig information om registernyckeln finns i Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar.
Alternativ 4: Övervakning av händelseloggar
Använd dina befintliga enhetshanteringsverktyg för att samla in och övervaka dessa händelse-ID:n från systemhändelseloggen i hela vagnparken.
| Händelse-ID | Plats | Betydelse |
|---|---|---|
| 1808 | System | Certifikat som har tillämpats |
| 1801 | System | Uppdateringsstatus eller felinformation |
En fullständig lista över händelseinformation finns i Säker start DB- och DBX-variabeluppdateringshändelser.
Alternativ 5: PowerShell-inventeringsskript
Kör Microsofts exempelskript för insamling av data för säker startinventering för att kontrollera uppdateringsstatusen för certifikatet för säker start. Skriptet samlar in flera datapunkter, inklusive tillstånd för säker start, uppdateringsstatus för UEFI CA 2023, version av inbyggd programvara och händelseloggaktivitet.
Distribution
Viktigt!
Oavsett vilket distributionsalternativ du väljer rekommenderar vi att du övervakar din enhetspark för att bekräfta att certifikaten har tillämpats före tidsgränsen i juni 2026. Information om anpassade bilder finns i Att tänka på när det gäller gyllene bilder.
Alternativ 1: Automatiska uppdateringar från Windows Update (enheter med hög konfidens)
Microsoft uppdaterar automatiskt enheter via Windows månadsuppdateringar när tillräcklig telemetri bekräftar lyckad distribution på liknande maskinvarukonfigurationer.
- Status: Aktiverat som standard för enheter med hög konfidens
- Ingen åtgärd krävs såvida du inte vill avanmäla dig
| Register | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tangent | HighConfidenceOptOut = 1 för att avanmäla |
| Grupprincip | Datorkonfiguration>Administrativa mallar>Windows-komponenter>Säker start>Automatisk certifikatdistribution via uppdateringar> Ange till Inaktiverad för att avanmäla dig. |
Obs
Rekommendation: Även om automatiska uppdateringar har aktiverats bör du övervaka sessionsvärdarna för att kontrollera att certifikaten tillämpas. Det är inte säkert att alla enheter är kvalificerade för automatisk distribution med hög konfidens.
Mer information finns i Hjälp för automatisk distribution.
Alternativ 2: IT-Initiated distribution
Utlös certifikatuppdateringar manuellt för omedelbar eller kontrollerad distribution.
| Gör så här | Handlingar |
|---|---|
| Microsoft Intune | Microsoft Intune metod |
| Grupprincip | Metoden Grupprincip Objects (GPO) |
| Registernycklar | Registernyckelmetod |
| WinCS CLI | WinCS-API:er |
Obs
- Blanda inte IT-initierade distributionsmetoder (t.ex. Intune och GPO) på samma enhet – de styr samma registernycklar och kan hamna i konflikt.
- Det kan ta ungefär 48 timmar och en eller flera omstarter innan certifikaten tillämpas fullt ut.
Att tänka på när det gäller gyllene bild
För Azure Virtual Desktop-miljöer som använder Azure Compute Gallery avbildningar med Säker start aktiverat tillämpar du certifikatuppdateringen för säker start 2023 på den gyllene bilden innan du samlar in den. Använd någon av metoderna som beskrivs ovan för att tillämpa uppdateringen och kontrollera sedan att certifikaten uppdateras innan du generaliserar:
Obs
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Avbildningar utan aktiverad betrodd start kan inte ta emot certifikatuppdateringar för säker start via avbildningen. Detta inkluderar hanterade avbildningar som inte stöder betrodd start och Azure Compute Gallery avbildningar där betrodd start inte är aktiverat. För enheter som etableras från dessa avbildningar tillämpar du uppdateringar i gästoperativsystemet med någon av metoderna ovan.
Kända problem
Registernyckeln för underhåll finns inte
| Symptom | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-sökvägen finns inte |
|---|---|
| Orsak | Certifikatuppdateringar har inte initierats på enheten |
| Lösning | Vänta på automatisk distribution via Windows Update eller initiera manuellt med någon av de IT-initierade distributionsmetoderna ovan |
Status visar "Pågår" för utökad period
| Symptom | UEFICA2023Status förblir "Pågår" efter flera dagar |
|---|---|
| Orsak | Enheten kan behöva startas om för att slutföra uppdateringsprocessen |
| Lösning | Starta om sessionsvärden och kontrollera statusen igen efter 15 minuter. Om problemet kvarstår kan du läsa Uppdateringshändelser för databasen för säker start och DBX för felsökningsvägledning |
UEFICA2023Error registernyckeln finns
| Symptom | UEFICA2023Fel registernyckeln finns |
|---|---|
| Orsak | Ett fel uppstod under certifikatdistributionen |
| Lösning | Mer information finns i systemhändelseloggen. Se Variabeluppdateringshändelser för säker start, DB och DBX för felsökningsvägledning |