Uppdateringar för säker start för Windows 365
Ursprungligt publiceringsdatum: den 19 februari 2026
KB-ID: 5080914
Den här artikeln innehåller vägledning för:
-
Windows 365 administratörer som hanterar molndatorer.
-
Organisationer som använder säker start aktiverade molndatorer för Windows 365-distributioner.
-
Organisationer som använder anpassade avbildningar för Windows 365 distributioner .
I den här artikeln:
Inledning
Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som bara säkerställer att betrodda, digitalt signerade program körs under en enhetsstartsekvens. Microsoft Secure Boot-certifikaten som utfärdades 2011 börjar gälla i juni 2026. Utan de uppdaterade 2023-certifikaten får enheter inte längre nya skydd eller lösningar för Säker start och Starthanteraren för nyligen upptäckta säkerhetsrisker på startnivå.
Alla molndatorer med säker start som etableras i Windows 365-tjänsten och anpassade avbildningar som används för att tillhandahålla dem måste uppdateras till 2023-certifikaten innan de upphör att gälla för att förbli skyddade. Se När certifikat för säker start upphör att gälla på Windows-enheter.
Gäller detta för min Windows 365 miljö?
|
Scenario |
Säker start aktiv? |
Åtgärd krävs |
|
Molndatorer |
||
|
Molndator med Säker start aktiverat |
Ja |
Uppdatera certifikat på molndatorn |
|
Molndator med Säker start inaktiverad |
Nej |
Ingen åtgärd krävs |
|
Bilder |
||
|
Bild av beräkningsgalleriet för Azure med Säker start aktiverat |
Ja |
Uppdatera certifikat i källbilden innan du generaliserar |
|
Bild av beräkningsgalleriet för Azure utan betrodd start |
Nej |
Tillämpa uppdateringar i molndator efter etablering |
|
Hanterad avbildning (stöder inte betrodd start) |
Nej |
Tillämpa uppdateringar i molndator efter etablering |
Fullständig bakgrundsinformation finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.
Lager och bildskärm
Innan du vidtar åtgärder bör du inventera din miljö för att identifiera enheter som kräver uppdateringar. Övervakning är nödvändigt för att bekräfta att certifikat tillämpas före tidsfristen i juni 2026, även om du förlitar dig på automatiska distributionsmetoder. Nedan finns alternativ för att avgöra om åtgärder behöver vidtas.
Alternativ 1: Microsoft Intune åtgärder
För molndatorer som är registrerade i Microsoft Intune kan du distribuera ett identifieringsskript med Intune Remediations (Proactive Remediations) för att automatiskt samla in status för certifikat för säker start i hela flottan. Skriptet körs tyst på varje enhet och rapporterar status för Säker start, status för certifikatuppdatering och enhetsinformation tillbaka till Intune-portalen – inga ändringar görs i enheterna. Resultaten kan visas och exporteras till CSV direkt från Intune administrationscenter för fleet-wide-analys.
Stegvisa instruktioner om hur du distribuerar identifieringsskriptet finns i Övervaka certifikatstatus för säker start med Microsoft Intune åtgärder.
Alternativ 2: Statusrapport för säker start i Windows Autopatch
För molndatorer som registrerats med Windows Autopatch går du till Intune administrationscenter > Rapporter > Windows Autopatch > kvalitetsuppdateringar för Windows > fliken Rapporter > status för säker start. Se Statusrapport för säker start i Windows Autopatch.
Obs! Om du vill använda Windows Autopatch med Windows 365 måste molndatorer registreras med Windows Autopatch-tjänsten. Se Windows Autopatch om Windows 365 Enterprise arbetsbelastningar.
Alternativ 3: Registernycklar för flottövervakning
Använd dina befintliga verktyg för enhetshantering för att fråga dessa registervärden i hela flottan.
|
Registersökväg |
Nyckel |
Syfte |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuell distributionsstatus |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Fel |
Anger fel (borde inte finnas) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Anger händelse-ID (borde inte finnas) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Väntande uppdateringsbitar |
Fullständig information om registernyckeln finns i Uppdateringar av registernycklar för Säker start.
Alternativ 4: Övervakning av händelselogg
Använd dina befintliga verktyg för enhetshantering för att samla in och övervaka dessa händelse-ID:er från systemhändelseloggen i hela flottan.
|
Händelse-ID |
Positionering |
Betydelse |
|
1808 |
System |
Certifikat har tillämpats |
|
1801 |
System |
Uppdateringsstatus eller felinformation |
En fullständig lista över händelseinformation finns i Secure Boot DB- och DBX-uppdateringshändelser.
Alternativ 5: PowerShell-lagerskript
Kör Microsofts exempelskript för insamling av lagerdata för säker start för att kontrollera status för certifikatuppdatering för säker start. Skriptet samlar in flera datapunkter, bland annat status för säker start, uppdateringsstatus för UEFI CA 2023, version av inbyggd programvara och aktivitet i händelseloggen.
Distribution
Viktigt!: Oavsett vilket distributionsalternativ du väljer rekommenderar vi att du övervakar enhetsflottan för att bekräfta att certifikaten tillämpas före tidsfristen i juni 2026. Anpassade avbildningar finns i Överväganden för anpassad avbildning.
Alternativ 1: Automatisk Uppdateringar från Windows Update (enheter med högt förtroende)
Microsoft uppdaterar enheter automatiskt via Windows månatliga uppdateringar när tillräcklig telemetri bekräftar en lyckad distribution av liknande maskinvarukonfigurationer.
-
Status: Aktiverad som standard för enheter med högt förtroende
-
Ingen åtgärd krävs om du inte vill avregistrera dig
|
Register |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Nyckel |
HighConfidenceOptOut = 1 för att avanmäla dig |
|
Grupprincip |
Datorkonfiguration > administrativa mallar > Windows-komponenter > säker start > automatisk certifikatdistribution via Uppdateringar > Inställd på Inaktiverad för att avaktiveras |
Rekommendation: Även om automatiska uppdateringar är aktiverade övervakar du dina molndatorer för att verifiera att certifikat används. Alla enheter kan inte vara berättigade till automatisk distribution med högt förtroende.
Mer information finns i Automatiska distributionsstöd.
Alternativ 2: IT-Initiated distribution
Manuellt utlösa certifikatuppdateringar för omedelbar eller kontrollerad distribution.
|
Metod |
Dokumentation |
|
Microsoft Intune |
|
|
Grupprincip |
|
|
Registernycklar |
|
|
WinCS CLI |
Meddelanden:
-
Blanda inte in IT-initierade distributionsmetoder (t.ex. Intune och GPO) på samma enhet – de kontrollerar samma registernycklar och kan vara i konflikt med andra.
-
Det kan ta ungefär 48 timmar och en eller flera omstarter för att certifikaten ska kunna tillämpas fullt ut.
Att tänka på när det gäller anpassad bild
Anpassade avbildningar hanteras helt och hållet av din organisation. Du ansvarar för att tillämpa uppdateringar av certifikat för säker start på den anpassade avbildningen och ladda upp det på nytt innan du använder det för etablering.
Det går bara att använda uppdateringar av certifikat för säker start på källavbildningen med Azure avbildningar i beräkningsgalleriet (förhandsversion), som har stöd för Betrodd start och Säker start. Hanterade avbildningar stöder inte säker start, så certifikatuppdateringar kan inte tillämpas på avbildningsnivå. För molndatorer som tillhandahålls från hanterade avbildningar installerar du uppdateringar direkt på molndatorn med någon av distributionsmetoderna ovan.
Innan du generaliserar en ny anpassad avbildning kontrollerar du att certifikaten uppdateras:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Kända problem
Underhållsregisternyckeln finns inte
|
Symptom |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing sökväg finns inte |
|
Orsak |
Certifikatuppdateringar har inte initierats på enheten |
|
Lösning |
Vänta på automatisk distribution via Windows Update eller starta manuellt med någon av de IT-initierade distributionsmetoderna ovan |
Status visar "InProgress" för utökad period
|
Symptom |
UEFICA2023Status förblir "InProgress" efter flera dagar |
|
Orsak |
Enheten kan behöva startas om för att slutföra uppdateringsprocessen |
|
Lösning |
Starta om den molnbaserade datorn och kontrollera status igen efter 15 minuter. Om problemet kvarstår finns felsökningsvägledning i Säker start DB- och DBX-uppdateringshändelser |
UEFICA2023Felregisternyckel finns
|
Symptom |
UEFICA2023Felregisternyckel finns |
|
Orsak |
Ett fel uppstod under certifikatdistributionen |
|
Lösning |
Mer information finns i Systemhändelselogg. Se Säker start DB- och DBX-uppdateringshändelser för felsökningsvägledning |
Resurser
Behöver du mer hjälp?
Vill du ha fler alternativ?
Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.
Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.
