Secure Boot Certificate Uppdateringar för Azure Virtual Desktop
Gäller för
Ursprungligt publiceringsdatum: den 19 februari 2026
KB-ID: 5080931
Den här artikeln innehåller vägledning för:
-
Azure Administratörer för virtuellt skrivbord som hanterar värduppdateringar för sessioner
-
Organisationer som använder aktiverade virtuella datorer med säker start för Azure Virtual Desktop-distributioner
-
Organisationer som använder anpassade avbildningar (gyllene avbildningar) för Azure Virtual Desktop-distributioner
I den här artikeln:
Inledning
Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som bara säkerställer att betrodd, digitalt signerad programvara körs under en enhetsstartsekvens. Microsoft Secure Boot-certifikaten som utfärdades 2011 börjar gälla i juni 2026. Utan de uppdaterade 2023-certifikaten får enheter inte längre nya skydd eller lösningar för Säker start och Starthanteraren för nyligen upptäckta säkerhetsrisker på startnivå.
Alla virtuella datorer med säker start som registrerats i tjänsten Azure Virtual Desktop och anpassade avbildningar som används för att tillhandahålla dem måste uppdateras till 2023-certifikaten innan de upphör att gälla för att förbli skyddade. Se När certifikat för säker start upphör att gälla på Windows-enheter
Gäller detta för min Azure Virtual Desktop-miljö?
|
Scenario |
Säker start aktiv? |
Åtgärd krävs |
|
Sessionsvärdar |
||
|
Betrodd virtuell dator med säker start aktiverad |
Ja |
Uppdatera certifikat på sessionsvärden |
|
Betrodd virtuell dator med säker start inaktiverad |
Nej |
Ingen åtgärd krävs |
|
Standardsäkerhetstyp VM |
Nej |
Ingen åtgärd krävs |
|
Generation 1 VM |
Stöds inte |
Ingen åtgärd krävs |
|
Gyllene bilder |
||
|
Bild av beräkningsgalleriet för Azure med Säker start aktiverat |
Ja |
Uppdatera certifikat i källbilden |
|
Bild av beräkningsgalleriet för Azure utan betrodd start |
Nej |
Tillämpa uppdateringar i sessionsvärden efter distribution |
|
Hanterad avbildning (stöder inte betrodd start) |
Nej |
Tillämpa uppdateringar i sessionsvärden efter distribution |
Fullständig bakgrundsinformation finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.
Lager och bildskärm
Innan du vidtar åtgärder bör du inventera din miljö för att identifiera enheter som kräver uppdateringar. Övervakning är nödvändigt för att bekräfta att certifikat tillämpas före tidsfristen i juni 2026, även om du förlitar dig på automatiska distributionsmetoder. Nedan finns alternativ för att avgöra om åtgärder behöver vidtas.
Alternativ 1: Microsoft Intune åtgärder
För sessionsvärdar som är registrerade i Microsoft Intune kan du distribuera ett identifieringsskript med Intune Remediations (Proactive Remediations) för att automatiskt samla in certifikatstatus för säker start i hela flottan. Skriptet körs tyst på varje enhet och rapporterar status för Säker start, status för certifikatuppdatering och enhetsinformation tillbaka till Intune-portalen – inga ändringar görs i enheterna. Resultaten kan visas och exporteras till CSV direkt från Intune administrationscenter för fleet-wide-analys.
Stegvisa instruktioner om hur du distribuerar identifieringsskriptet finns i Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder.
Alternativ 2: Statusrapport för säker start i Windows Autopatch
För personliga värdar för fortlöpande sessioner som registrerats med Windows Autopatch går du till Intune administrationscenter > Rapporter > Windows Autopatch > kvalitetsuppdateringar för Windows > fliken Rapporter > status för säker start. Se Statusrapport för säker start i Windows Autopatch.
Obs!: Windows Autopatch stöder endast personliga ihållande virtuella datorer för Azure Virtual Desktop. Värddatorer med flera sessioner, icke-fortlöpande virtuella datorer och fjärrstreaming av appar stöds inte. Se Windows Autopatch på Azure arbetsbelastningar för virtuellt skrivbord.
Alternativ 3: Registernycklar för flottövervakning
Använd dina befintliga verktyg för enhetshantering för att fråga dessa registervärden i hela flottan.
|
Registersökväg |
Nyckel |
Syfte |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuell distributionsstatus |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Fel |
Anger fel (borde inte finnas) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Anger händelse-ID (borde inte finnas) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Väntande uppdateringsbitar |
Fullständig information om registernycklar finns i Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar.
Alternativ 4: Övervakning av händelselogg
Använd dina befintliga verktyg för enhetshantering för att samla in och övervaka dessa händelse-ID:er från systemhändelseloggen i hela flottan.
|
Händelse-ID |
Positionering |
Betydelse |
|
1808 |
System |
Certifikat har tillämpats |
|
1801 |
System |
Uppdateringsstatus eller felinformation |
En fullständig lista över händelseinformation finns i Secure Boot DB- och DBX-uppdateringshändelser.
Alternativ 5: PowerShell-lagerskript
Kör Microsofts exempelskript för insamling av lagerdata för säker start för att kontrollera status för certifikatuppdatering för säker start. Skriptet samlar in flera datapunkter, bland annat status för säker start, uppdateringsstatus för UEFI CA 2023, version av inbyggd programvara och aktivitet i händelseloggen.
Distribution
Viktigt!: Oavsett vilket distributionsalternativ du väljer rekommenderar vi att du övervakar enhetsflottan för att bekräfta att certifikaten tillämpas före tidsfristen i juni 2026. Anpassade bilder finns i Golden Image Considerations.
Alternativ 1: Automatisk Uppdateringar från Windows Update (enheter med högt förtroende)
Microsoft uppdaterar enheter automatiskt via Windows månatliga uppdateringar när tillräcklig telemetri bekräftar en lyckad distribution av liknande maskinvarukonfigurationer.
-
Status: Aktiverad som standard för enheter med hög konfidens
-
Ingen åtgärd krävs om du inte vill avregistrera dig
|
Register |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Nyckel |
HighConfidenceOptOut = 1 för att avanmäla dig |
|
Grupprincip |
Datorkonfiguration > administrativa mallar > Windows-komponenter > säker start > automatisk certifikatdistribution via Uppdateringar > Inställd på Inaktiverad för att avaktiveras. |
Rekommendation: Även om automatiska uppdateringar är aktiverade övervakar du sessionsvärdarna för att verifiera att certifikat används. Alla enheter kan inte vara berättigade till automatisk distribution med högt förtroende.
Mer information finns i Automatiska distributionsstöd.
Alternativ 2: IT-Initiated distribution
Manuellt utlösa certifikatuppdateringar för omedelbar eller kontrollerad distribution.
|
Metod |
Dokumentation |
|
Microsoft Intune |
|
|
Grupprincip |
|
|
Registernycklar |
|
|
WinCS CLI |
Meddelanden:
-
Blanda inte in IT-initierade distributionsmetoder (t.ex. Intune och GPO) på samma enhet – de kontrollerar samma registernycklar och kan vara i konflikt med andra.
-
Det kan ta ungefär 48 timmar och en eller flera omstarter för att certifikaten ska kunna tillämpas fullt ut.
Gyllene bildöverväganden
För Azure Virtual Desktop-miljöer med Azure avbildningar i beräkningsgalleriet med Säker start aktiverat, tillämpar du certifikatuppdateringen För säker start 2023 på den gyllene avbildningen innan du spelar in den. Använd någon av metoderna som beskrivs ovan för att tillämpa uppdateringen och kontrollera sedan att certifikaten uppdateras innan du generaliserar:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Avbildningar utan betrodd start aktiverad kan inte ta emot uppdateringar av certifikat för säker start via avbildningen. Detta omfattar hanterade bilder, som inte stöder betrodd start, och Azure bilder i beräkningsgalleriet där Trusted Launch inte är aktiverat. För enheter som tillhandahålls från dessa avbildningar installerar du uppdateringar i gästoperativsystemet med någon av metoderna ovan.
Kända problem
Underhållsregisternyckeln finns inte
|
Symptom |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path finns inte |
|
Orsak |
Certifikatuppdateringar har inte initierats på enheten |
|
Lösning |
Vänta på automatisk distribution via Windows Update eller starta manuellt med någon av de IT-initierade distributionsmetoderna ovan |
Status visar "InProgress" för utökad period
|
Symptom |
UEFICA2023Status förblir "InProgress" efter flera dagar |
|
Orsak |
Enheten kan behöva startas om för att slutföra uppdateringsprocessen |
|
Lösning |
Starta om sessionsvärden och kontrollera status igen efter 15 minuter. Om problemet kvarstår finns felsökningsvägledning i Säker start DB- och DBX-uppdateringshändelser |
UEFICA2023Felregisternyckel finns
|
Symptom |
UEFICA2023Felregisternyckel finns |
|
Orsak |
Ett fel uppstod under certifikatdistributionen |
|
Lösning |
Mer information finns i Systemhändelselogg. Se Säker start DB- och DBX-uppdateringshändelser för felsökningsvägledning |
Resurser
Behöver du mer hjälp?
Vill du ha fler alternativ?
Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.
Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.
