Obs
- Ursprungligt publiceringsdatum: Den 19 februari 2026
- KB-ID: 5080914
Obs
Den här artikeln innehåller vägledning för:
Windows 365-administratörer som hanterar molndatorer.
Organisationer som använder Säker start-aktiverade molndatorer för Windows 365 distributioner.
Organisationer som använder anpassade avbildningar för Windows 365 distributioner.
I den här artikeln:
Introduktion
Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under en enhetsstartsekvens. Microsoft Secure Boot-certifikaten som utfärdades 2011 börjar löpa ut i juni 2026. Utan de uppdaterade 2023-certifikaten får enheterna inte längre nya skydd eller åtgärder för säker start och Boot Manager för nyupptäckta säkerhetsrisker på startnivå.
Alla Secure Boot-aktiverade molndatorer som etableras i Windows 365 -tjänsten och anpassade avbildningar som används för att etablera dem måste uppdateras till 2023-certifikaten före utgången för att förbli skyddade. Se när Secure Boot-certifikat upphör att gälla på Windows-enheter.
Gäller detta för min Windows 365 miljö?
| Scenario | Säker start aktiv? | Åtgärd krävs |
|---|---|---|
| Molnbaserade datorer | ||
| Molnbaserad dator med Säker start aktiverat | Ja | Uppdatera certifikat på molndatorn |
| Molnbaserad dator med Säker start inaktiverat | Nej | Ingen åtgärd krävs |
| Bilder | ||
| Azure Compute Gallery avbildning med Säker start aktiverat | Ja | Uppdatera certifikat i källbilden innan du generaliserar |
| Azure Compute Gallery avbildning utan betrodd start | Nej | Tillämpa uppdateringar i molnbaserad dator efter etablering |
| Hanterad avbildning (stöder inte betrodd start) | Nej | Tillämpa uppdateringar i molnbaserad dator efter etablering |
Fullständig bakgrundsinformation finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.
Inventering och övervakning
Inventera miljön innan du vidtar åtgärder för att identifiera vilka enheter som behöver uppdateras. Övervakning är viktigt för att bekräfta att certifikat tillämpas före tidsgränsen i juni 2026 – även om du förlitar dig på automatiska distributionsmetoder. Nedan finns alternativ för att avgöra om åtgärder behöver vidtas.
Alternativ 1: Microsoft Intune åtgärder
För molndatorer som registrerats i Microsoft Intune kan du distribuera ett identifieringsskript med hjälp av Intune reparationer (proaktiva åtgärder) för att automatiskt samla in certifikatstatus för säker start i din flotta. Skriptet körs tyst på varje enhet och rapporterar status för säker start, certifikatuppdateringsframsteg och enhetsinformation tillbaka till Intune -portalen – inga ändringar görs på enheterna. Resultaten kan visas och exporteras till CSV direkt från Intune administrationscenter för analys av hela flottan.
Stegvisa instruktioner om hur du distribuerar identifieringsskriptet finns i Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder.
Alternativ 2: Statusrapport för säker start i Windows Autopatch
För molndatorer som registrerats med Windows Autopatch går du till Intune administrationscenter>Rapporter>Windows Autopatch>Windows-kvalitetsuppdateringar>fliken Rapporter Status för>säker start. Se statusrapport för säker start i Windows Autokorrigering.
Obs! Om du vill använda Windows Autopatch med Windows 365 måste molndatorer registreras i tjänsten Windows Autopatch. Se Windows Autokorrigering på Windows 365 Enterprise arbetsbelastningar.
Alternativ 3: Registernycklar för vagnparksövervakning
Använd befintliga enhetshanteringsverktyg för att fråga efter dessa registervärden i hela flottan.
| Registersökväg | Tangent | Syfte |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Aktuell distributionsstatus |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Fel | Indikerar fel (bör inte finnas) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Anger händelse-ID (bör inte finnas) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Tillgängliga uppdateringar | Väntande uppdateringsbitar |
Fullständig information om registernyckeln finns i Registernyckeluppdateringar för Säker start.
Alternativ 4: Övervakning av händelseloggar
Använd dina befintliga enhetshanteringsverktyg för att samla in och övervaka dessa händelse-ID:n från systemhändelseloggen i hela vagnparken.
| Händelse-ID | Plats | Betydelse |
|---|---|---|
| 1808 | System | Certifikat som har tillämpats |
| 1801 | System | Uppdateringsstatus eller felinformation |
En fullständig lista över händelseinformation finns i Säker start DB- och DBX-variabeluppdateringshändelser.
Alternativ 5: PowerShell-inventeringsskript
Kör Microsofts exempelskript för insamling av data för säker startinventering för att kontrollera uppdateringsstatusen för certifikatet för säker start. Skriptet samlar in flera datapunkter, inklusive tillstånd för säker start, uppdateringsstatus för UEFI CA 2023, version av inbyggd programvara och händelseloggaktivitet.
Distribution
Viktigt!
Oavsett vilket distributionsalternativ du väljer rekommenderar vi att du övervakar din enhetspark för att bekräfta att certifikaten har tillämpats före tidsgränsen i juni 2026. Information om anpassade avbildningar finns i Att tänka på när det gäller anpassade bilder.
Alternativ 1: Automatiska uppdateringar från Windows Update (enheter med hög konfidens)
Microsoft uppdaterar automatiskt enheter via Windows månadsuppdateringar när tillräcklig telemetri bekräftar lyckad distribution på liknande maskinvarukonfigurationer.
- Status: Aktiverad som standard för enheter med hög konfidens
- Ingen åtgärd krävs såvida du inte vill avanmäla dig
| Register | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tangent | HighConfidenceOptOut = 1 för att avanmäla |
| Grupprincip | Datorkonfiguration>Administrativa mallar>Windows-komponenter>Säker start>Automatisk certifikatdistribution via uppdateringar> Ange som Inaktiverad för avanmälan |
Obs
Rekommendation: Även när automatiska uppdateringar är aktiverade övervakar du dina molndatorer för att kontrollera att certifikaten tillämpas. Det är inte säkert att alla enheter är kvalificerade för automatisk distribution med hög konfidens.
Mer information finns i Hjälp för automatisk distribution.
Alternativ 2: IT-Initiated distribution
Utlös certifikatuppdateringar manuellt för omedelbar eller kontrollerad distribution.
| Gör så här | Handlingar |
|---|---|
| Microsoft Intune | Microsoft Intune metod |
| Grupprincip | GPO-metoden |
| Registernycklar | Registernyckelmetod |
| WinCS CLI | WinCS-API:er |
Obs
- Blanda inte IT-initierade distributionsmetoder (t.ex. Intune och GPO) på samma enhet – de styr samma registernycklar och kan hamna i konflikt.
- Det kan ta ungefär 48 timmar och en eller flera omstarter innan certifikaten tillämpas fullt ut.
Att tänka på när det gäller anpassade avbildningar
Anpassade avbildningar hanteras helt av din organisation. Du ansvarar för att tillämpa certifikatuppdateringarna för säker start på den anpassade avbildningen och ladda upp den igen innan du använder den för etablering.
Tillämpning av certifikatuppdateringar för säker start på källavbildningen stöds endast med Azure Compute Gallery avbildningar (förhandsversion), som stöder betrodd start och säker start. Hanterade avbildningar stöder inte säker start, så certifikatuppdateringar kan inte tillämpas på avbildningsnivå. För molndatorer som etablerats från hanterade avbildningar tillämpar du uppdateringar direkt på molndatorn med någon av distributionsmetoderna ovan.
Innan du generaliserar en ny anpassad avbildning kontrollerar du att certifikaten uppdateras:
Obs
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Kända problem
Registernyckeln för underhåll finns inte
| Symptom | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing sökväg finns inte |
|---|---|
| Orsak | Certifikatuppdateringar har inte initierats på enheten |
| Lösning | Vänta på automatisk distribution via Windows Update eller initiera manuellt med någon av de IT-initierade distributionsmetoderna ovan |
Status visar "Pågår" för utökad period
| Symptom | UEFICA2023Status förblir "Pågår" efter flera dagar |
|---|---|
| Orsak | Enheten kan behöva startas om för att slutföra uppdateringsprocessen |
| Lösning | Starta om molndatorn och kontrollera statusen igen efter 15 minuter. Om problemet kvarstår kan du läsa Uppdateringshändelser för databasen för säker start och DBX för felsökningsvägledning |
UEFICA2023Error registernyckeln finns
| Symptom | UEFICA2023Fel registernyckeln finns |
|---|---|
| Orsak | Ett fel uppstod under certifikatdistributionen |
| Lösning | Mer information finns i systemhändelseloggen. Se Variabeluppdateringshändelser för säker start, DB och DBX för felsökningsvägledning |