Certifikatuppdateringar för säker start för Windows 365

Obs

  • Ursprungligt publiceringsdatum: Den 19 februari 2026
  • KB-ID: 5080914

Obs

Den här artikeln innehåller vägledning för:

  • Windows 365-administratörer som hanterar molndatorer.

  • Organisationer som använder Säker start-aktiverade molndatorer för Windows 365 distributioner.

  • Organisationer som använder anpassade avbildningar för Windows 365 distributioner.

I den här artikeln:

Introduktion

Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under en enhetsstartsekvens. Microsoft Secure Boot-certifikaten som utfärdades 2011 börjar löpa ut i juni 2026. Utan de uppdaterade 2023-certifikaten får enheterna inte längre nya skydd eller åtgärder för säker start och Boot Manager för nyupptäckta säkerhetsrisker på startnivå.

Alla Secure Boot-aktiverade molndatorer som etableras i Windows 365 -tjänsten och anpassade avbildningar som används för att etablera dem måste uppdateras till 2023-certifikaten före utgången för att förbli skyddade. Se när Secure Boot-certifikat upphör att gälla på Windows-enheter.

Gäller detta för min Windows 365 miljö?

Scenario Säker start aktiv? Åtgärd krävs
Molnbaserade datorer
Molnbaserad dator med Säker start aktiverat Ja Uppdatera certifikat på molndatorn
Molnbaserad dator med Säker start inaktiverat Nej Ingen åtgärd krävs
Bilder
Azure Compute Gallery avbildning med Säker start aktiverat Ja Uppdatera certifikat i källbilden innan du generaliserar
Azure Compute Gallery avbildning utan betrodd start Nej Tillämpa uppdateringar i molnbaserad dator efter etablering
Hanterad avbildning (stöder inte betrodd start) Nej Tillämpa uppdateringar i molnbaserad dator efter etablering

Fullständig bakgrundsinformation finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.

Inventering och övervakning

Inventera miljön innan du vidtar åtgärder för att identifiera vilka enheter som behöver uppdateras. Övervakning är viktigt för att bekräfta att certifikat tillämpas före tidsgränsen i juni 2026 – även om du förlitar dig på automatiska distributionsmetoder. Nedan finns alternativ för att avgöra om åtgärder behöver vidtas.

Alternativ 1: Microsoft Intune åtgärder

För molndatorer som registrerats i Microsoft Intune kan du distribuera ett identifieringsskript med hjälp av Intune reparationer (proaktiva åtgärder) för att automatiskt samla in certifikatstatus för säker start i din flotta. Skriptet körs tyst på varje enhet och rapporterar status för säker start, certifikatuppdateringsframsteg och enhetsinformation tillbaka till Intune -portalen – inga ändringar görs på enheterna. Resultaten kan visas och exporteras till CSV direkt från Intune administrationscenter för analys av hela flottan.

Stegvisa instruktioner om hur du distribuerar identifieringsskriptet finns i Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder.

Alternativ 2: Statusrapport för säker start i Windows Autopatch

För molndatorer som registrerats med Windows Autopatch går du till Intune administrationscenter>Rapporter>Windows Autopatch>Windows-kvalitetsuppdateringar>fliken Rapporter Status för>säker start. Se statusrapport för säker start i Windows Autokorrigering.

Obs! Om du vill använda Windows Autopatch med Windows 365 måste molndatorer registreras i tjänsten Windows Autopatch. Se Windows Autokorrigering på Windows 365 Enterprise arbetsbelastningar.

Alternativ 3: Registernycklar för vagnparksövervakning

Använd befintliga enhetshanteringsverktyg för att fråga efter dessa registervärden i hela flottan.

Registersökväg Tangent Syfte
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Aktuell distributionsstatus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Fel Indikerar fel (bör inte finnas)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Anger händelse-ID (bör inte finnas)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Tillgängliga uppdateringar Väntande uppdateringsbitar

Fullständig information om registernyckeln finns i Registernyckeluppdateringar för Säker start.

Alternativ 4: Övervakning av händelseloggar

Använd dina befintliga enhetshanteringsverktyg för att samla in och övervaka dessa händelse-ID:n från systemhändelseloggen i hela vagnparken.

Händelse-ID Plats Betydelse
1808 System Certifikat som har tillämpats
1801 System Uppdateringsstatus eller felinformation

En fullständig lista över händelseinformation finns i Säker start DB- och DBX-variabeluppdateringshändelser.

Alternativ 5: PowerShell-inventeringsskript

Kör Microsofts exempelskript för insamling av data för säker startinventering för att kontrollera uppdateringsstatusen för certifikatet för säker start. Skriptet samlar in flera datapunkter, inklusive tillstånd för säker start, uppdateringsstatus för UEFI CA 2023, version av inbyggd programvara och händelseloggaktivitet.

Distribution

Viktigt!

Oavsett vilket distributionsalternativ du väljer rekommenderar vi att du övervakar din enhetspark för att bekräfta att certifikaten har tillämpats före tidsgränsen i juni 2026. Information om anpassade avbildningar finns i Att tänka på när det gäller anpassade bilder.

Alternativ 1: Automatiska uppdateringar från Windows Update (enheter med hög konfidens)

Microsoft uppdaterar automatiskt enheter via Windows månadsuppdateringar när tillräcklig telemetri bekräftar lyckad distribution på liknande maskinvarukonfigurationer.

  • Status: Aktiverad som standard för enheter med hög konfidens
  • Ingen åtgärd krävs såvida du inte vill avanmäla dig
Register HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tangent HighConfidenceOptOut = 1 för att avanmäla
Grupprincip Datorkonfiguration>Administrativa mallar>Windows-komponenter>Säker start>Automatisk certifikatdistribution via uppdateringar> Ange som Inaktiverad för avanmälan

Obs

Rekommendation: Även när automatiska uppdateringar är aktiverade övervakar du dina molndatorer för att kontrollera att certifikaten tillämpas. Det är inte säkert att alla enheter är kvalificerade för automatisk distribution med hög konfidens.

Mer information finns i Hjälp för automatisk distribution.

Alternativ 2: IT-Initiated distribution

Utlös certifikatuppdateringar manuellt för omedelbar eller kontrollerad distribution.

Gör så här Handlingar
Microsoft Intune Microsoft Intune metod
Grupprincip GPO-metoden
Registernycklar Registernyckelmetod
WinCS CLI WinCS-API:er

Obs

  • Blanda inte IT-initierade distributionsmetoder (t.ex. Intune och GPO) på samma enhet – de styr samma registernycklar och kan hamna i konflikt.
  • Det kan ta ungefär 48 timmar och en eller flera omstarter innan certifikaten tillämpas fullt ut.

Att tänka på när det gäller anpassade avbildningar

Anpassade avbildningar hanteras helt av din organisation. Du ansvarar för att tillämpa certifikatuppdateringarna för säker start på den anpassade avbildningen och ladda upp den igen innan du använder den för etablering.

Tillämpning av certifikatuppdateringar för säker start på källavbildningen stöds endast med Azure Compute Gallery avbildningar (förhandsversion), som stöder betrodd start och säker start. Hanterade avbildningar stöder inte säker start, så certifikatuppdateringar kan inte tillämpas på avbildningsnivå. För molndatorer som etablerats från hanterade avbildningar tillämpar du uppdateringar direkt på molndatorn med någon av distributionsmetoderna ovan.

Innan du generaliserar en ny anpassad avbildning kontrollerar du att certifikaten uppdateras:

Obs

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Kända problem

Registernyckeln för underhåll finns inte

Symptom HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing sökväg finns inte
Orsak Certifikatuppdateringar har inte initierats på enheten
Lösning Vänta på automatisk distribution via Windows Update eller initiera manuellt med någon av de IT-initierade distributionsmetoderna ovan

Status visar "Pågår" för utökad period

Symptom UEFICA2023Status förblir "Pågår" efter flera dagar
Orsak Enheten kan behöva startas om för att slutföra uppdateringsprocessen
Lösning Starta om molndatorn och kontrollera statusen igen efter 15 minuter. Om problemet kvarstår kan du läsa Uppdateringshändelser för databasen för säker start och DBX för felsökningsvägledning

UEFICA2023Error registernyckeln finns

Symptom UEFICA2023Fel registernyckeln finns
Orsak Ett fel uppstod under certifikatdistributionen
Lösning Mer information finns i systemhändelseloggen. Se Variabeluppdateringshändelser för säker start, DB och DBX för felsökningsvägledning

Resurser