นำไปใช้กับ
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

วันที่เผยแพร่ต้นฉบับ: วันที่ 18 กุมภาพันธ์ 2569

KB ID: 5080921

บทความนี้มีคําแนะนําสําหรับ:

  • ผู้ดูแลระบบ IT ที่ต้องการมองเห็นสถานะการอัปเดตใบรับรองการบูตแบบปลอดภัยจาก Intune อุปกรณ์ Windows ที่ลงทะเบียนไว้

  • องค์กรที่เตรียมการหมดอายุของใบรับรองการบูตแบบปลอดภัยประจําเดือนมิถุนายน 2026

  • Teams ที่ต้องการตรวจสอบความคืบหน้าในการเปิดตัวใบรับรอง Intune อุปกรณ์ Windows ที่ลงทะเบียนไว้

ในบทความนี้:

บทนำ

ใบรับรองการบูตแบบปลอดภัยของ Microsoft (2011 CAs) จะหมดอายุตั้งแต่เดือนมิถุนายน 2026 อุปกรณ์ Windows ทั้งหมดที่เปิดใช้งานการบูตแบบปลอดภัยต้องได้รับการอัปเดตเป็นใบรับรองปี 2023 ก่อนจะหมดอายุเพื่อให้แน่ใจว่าการสนับสนุนการอัปเดตความปลอดภัยอย่างต่อเนื่อง 

คู่มือนี้ให้วิธีการตรวจสอบเท่านั้นโดยใช้การแก้ไข Microsoft Intune (การแก้ไขเชิงรุก) สคริปต์การตรวจหาจะเก็บรวบรวมสถานะการบูตแบบปลอดภัยและใบรับรองจากอุปกรณ์แต่ละเครื่อง และรายงานกลับไปยังพอร์ทัล Intune โดยจะไม่มีการดําเนินการแก้ไขบนอุปกรณ์ ซึ่งจะช่วยให้ผู้ดูแลระบบมีมุมมองส่วนกลางที่สามารถส่งออกได้ของความคืบหน้าในการอัปเดตใบรับรองในอุปกรณ์ Windows ที่ลงทะเบียน Intune 

ทําไมต้องใช้วิธีนี้

ประโยชน์

คำอธิบาย

การมองเห็นทั่วทั้งอุปกรณ์ 

ดูทุก Intune สถานะของใบรับรองของอุปกรณ์ Windows ที่ลงทะเบียนไว้ในที่เดียว

สามารถส่งออกได้ 

ส่งออกผลลัพธ์เป็น CSV โดยตรงจากพอร์ทัล Intune

ค่ารีจิสทรีดิบ

ดูข้อมูลรีจิสทรีจริง ไม่ใช่เพียงแค่ผ่าน/ล้มเหลว

บริบทของอุปกรณ์ 

รวมถึงผู้ผลิต รุ่น รุ่น BIOS และชนิดของเฟิร์มแวร์

การวัดและส่งข้อมูลทางไกลของบันทึกเหตุการณ์ 

จับภาพรหัสเหตุการณ์การบูตแบบปลอดภัย (1801/1808), รหัสบักเก็ต และระดับความเชื่อมั่น

สัมผัสเป็นศูนย์

ทํางานโดยไม่แสดงเป็น SYSTEM โดยไม่จําเป็นต้องมีการโต้ตอบกับผู้ใช้

สําหรับข้อมูลเบื้องหลังที่สมบูรณ์เกี่ยวกับการอัปเดตใบรับรอง ให้ดู การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร 

ข้อกำหนดเบื้องต้น

ก่อนที่จะปรับใช้สคริปต์การตรวจหา ให้ตรวจสอบให้แน่ใจว่าสภาพแวดล้อมของคุณตรงตามข้อกําหนดที่จําเป็น 

โซลูชันนี้ใช้ประโยชน์จากการแก้ไขใน Microsoft Intune สําหรับรายการข้อกําหนดเบื้องต้นทั้งหมด โปรดดู ใช้การแก้ไขเพื่อตรวจหาและแก้ไขปัญหาการสนับสนุน - Microsoft Intune

สคริปต์การตรวจหา

สคริปต์การตรวจสอบเป็นสคริปต์ PowerShell ที่รวบรวมข้อมูลสินค้าคงคลัง Secure Boot ที่ครอบคลุมจากอุปกรณ์แต่ละเครื่องและแสดงผลเป็นสตริง JSON สคริปต์จะอ่านจากแหล่งข้อมูลต่อไปนี้: 

รีจิสทรี — สถานะการอัปเดตใบรับรองการบูตแบบปลอดภัย, คีย์การให้บริการ, แอตทริบิวต์ของอุปกรณ์ และการตั้งค่าการเลือกรับ/ปฏิเสธการเข้าร่วมจาก HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot และคีย์ย่อย 

WMI/CIM — เวอร์ชันของระบบปฏิบัติการ เวลาในการบูตครั้งล่าสุด และข้อมูลฮาร์ดแวร์ของฐาน 

บันทึกเหตุการณ์ — รายการบันทึกเหตุการณ์ของระบบสําหรับรหัสเหตุการณ์ 1801 และ 1808 (เหตุการณ์การอัปเดตการบูตแบบปลอดภัย) 

ผลลัพธ์ของ JSON จะปรากฏในพอร์ทัล Intune ภายใต้ การแก้ไข > ตรวจสอบ > สถานะอุปกรณ์ > "ผลลัพธ์การตรวจสอบการแก้ไขล่วงหน้า" และสามารถส่งออกเป็น CSV สําหรับการวิเคราะห์ 

สำคัญ: นี่คือสคริปต์แบบตรวจหาเท่านั้น ไม่มีการเปลี่ยนแปลงกับอุปกรณ์ ไม่จําเป็นต้องใช้สคริปต์การแก้ไข 

การสร้างแฟ้มสคริปต์ 

สร้างการแก้ไขใน Intune 

ทําตามขั้นตอนเหล่านี้เพื่อปรับใช้สคริปต์การตรวจหาเป็น การแก้ไข (แพคเกจสคริปต์) ใน Microsoft Intune 

ขั้นตอนที่ 1: สร้างแพคเกจสคริปต์ 

ขั้นตอนที่ 2: พื้นฐาน 

  • กําหนดค่าการตั้งค่าต่อไปนี้บนแท็บ พื้นฐาน:

การตั้งค่า

ค่า

ชื่อ

การตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัย

คำอธิบาย

ตรวจสอบสถานะการอัปเดตใบรับรองการบูตแบบปลอดภัยทั่วทั้งกลุ่ม การตรวจหาเท่านั้น — ไม่มีการดําเนินการแก้ไข

Publisher

(ชื่อองค์กรของคุณ)

  • คลิก ถัดไป

ขั้นตอนที่ 3: การตั้งค่า 

  • กําหนดค่าการตั้งค่าต่อไปนี้บนแท็บ การตั้งค่า:

การตั้งค่า

ค่า

หมายเหตุ

ไฟล์สคริปต์การตรวจหา 

อัปโหลด Detect-SecureBootCertificateStatus.ps1

สคริปต์จากส่วนก่อนหน้า

ไฟล์สคริปต์การแก้ไข 

(ปล่อยว่างไว้)

ไม่จําเป็นต้องแก้ไข เพราะนี่คือการตรวจสอบเท่านั้น

เรียกใช้สคริปต์นี้โดยใช้ข้อมูลประจําตัวการเข้าสู่ระบบ 

ไม่ใช่

ทํางานเป็นระบบเพื่อให้แน่ใจว่าการเข้าถึง Confirm-SecureBootUEFI และรีจิสทรี

บังคับใช้การตรวจสอบลายเซ็นของสคริปต์ 

ไม่ใช่

ตั้งค่าเป็น ใช่ ถ้าองค์กรของคุณต้องการสคริปต์ที่มีลายเซ็น

เรียกใช้สคริปต์ใน PowerShell 64 บิต

ใช่

จําเป็นสําหรับ Confirm-SecureBootUEFI cmdlet และการอ่านรีจิสทรีที่ถูกต้อง

  • คลิก ถัดไป

ขั้นตอนที่ 4: ขอบเขตแท็ก 

  • เพิ่มแท็กขอบเขตที่องค์กรของคุณต้องการ หรือปล่อยไว้เป็นค่าเริ่มต้น

  • คลิก ถัดไป

ขั้นตอนที่ 5: งานที่มอบหมาย 

การตั้งค่า

ค่า

หมายเหตุ

การกำหนด 

เลือกกลุ่มอุปกรณ์ที่จะตรวจสอบ

ใช้อุปกรณ์ทั้งหมดสําหรับการตรวจสอบทั่วทั้งกอง หรือกลุ่มเฉพาะสําหรับการตรวจสอบแบบกําหนดเป้าหมาย

จัดกำหนดการ 

กําหนดค่าตามความต้องการในการตรวจสอบของคุณ

แนะนํา: ทุกวันสําหรับการติดตามการเปิดตัวที่ใช้งานอยู่ หรือทุกสัปดาห์สําหรับการตรวจสอบอย่างต่อเนื่อง

หมายเหตุ: การแก้ไขจะทํางานตามกําหนดเวลาที่กําหนดค่าไว้ของอุปกรณ์ การทํางานครั้งแรกอาจใช้เวลาถึง 24 ชั่วโมงหลังจากงานที่มอบหมาย โดยขึ้นอยู่กับรอบการเช็คอินของอุปกรณ์ 

คลิก ถัดไป

ขั้นตอนที่ 6: ตรวจสอบ + สร้าง 

  • ตรวจสอบการตั้งค่าทั้งหมด

  • คลิก สร้าง

การดูและการส่งออกผลลัพธ์ 

ดูผลลัพธ์ในพอร์ทัล 

  • นําทางไปยังอุปกรณ์ > การแก้ไข

  • คลิก ตัวตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัย (หรือชื่อที่คุณเลือก)

  • เลือกแท็บ จอภาพ

  • คลิก สถานะอุปกรณ์

  • คลิก คอลัมน์ และเพิ่ม ผลลัพธ์การตรวจหาการแก้ไขล่วงหน้า

ตัวตรวจสอบสถานะ

คุณจะเห็นตารางที่มีคอลัมน์ต่อไปนี้: 

คอลัมน์

คำอธิบาย

ชื่ออุปกรณ์

ชื่อของอุปกรณ์

ชื่อ 

ผู้ใช้หลักของอุปกรณ์

สถานะการตรวจหา 

ไม่มีปัญหา (ใบรับรองที่อัปเดต) หรือมีปัญหา (ใบรับรองไม่ได้รับการอัปเดต)

เอาท์พุทการตรวจจับการแก้ไขล่วงหน้า 

ผลลัพธ์ JSON แบบเต็มจากสคริปต์

ปรับเปลี่ยนล่าสุด 

เมื่อสคริปต์ทํางานครั้งล่าสุดบนอุปกรณ์

ส่งออกเป็น CSV 

  • บนหน้า สถานะอุปกรณ์ ให้คลิกปุ่ม ส่งออก ที่ด้านบนของตาราง

  • ไฟล์ CSV จะดาวน์โหลดคอลัมน์ทั้งหมดรวมถึงผลลัพธ์การตรวจจับ JSON แบบเต็มสําหรับทุกอุปกรณ์

  • เปิดใน Excel เพื่อกรอง เรียงลําดับ และวิเคราะห์ตามเขตข้อมูลใดๆ

เคล็ดลับ: ใน Excel คุณสามารถใช้ฟังก์ชัน TEXTJOIN หรือ JSON เพื่อแยกวิเคราะห์ผลลัพธ์การตรวจหา JSON ลงในคอลัมน์ที่แยกจากกันเพื่อการวิเคราะห์ที่ง่ายขึ้น 

แท็บภาพรวม

ภาพรวม Intune

แท็บภาพรวมบนการแก้ไขมีแดชบอร์ดสรุป: 

เมตริก

ความหมาย

อุปกรณ์ที่มีปัญหา

อุปกรณ์ที่ยังไม่ได้อัปเดตใบรับรอง 

อุปกรณ์ที่ไม่มีปัญหา

อุปกรณ์ที่มีใบรับรองล่าสุด

อุปกรณ์ที่มีการตรวจหาที่ล้มเหลว

อุปกรณ์ที่สคริปต์พบข้อผิดพลาด

คำ ถาม

การดําเนินการนี้เปลี่ยนแปลงอะไรบนอุปกรณ์ของฉันหรือไม่ 

ไม่ได้ นี่คือสคริปต์แบบตรวจหาเท่านั้น ไม่มีการแก้ไขค่ารีจิสทรี ไม่มีการทริกเกอร์การอัปเดต และไม่มีการดําเนินการแก้ไข สคริปต์จะอ่านเฉพาะค่าและรายงานค่าเหล่านั้น 

"มีปัญหา" หมายถึงอะไร 

"มีปัญหา" หมายความว่าอุปกรณ์ยังไม่มีใบรับรองการบูตแบบปลอดภัย 2023 ที่ใช้และตัวจัดการการบูตที่ลงนามในปี 2023 ซึ่งอาจเป็นเพราะ: - การอัปเดตใบรับรองไม่ได้เริ่มต้นขึ้น - การอัปเดตกําลังดําเนินการอยู่และอาจต้องเริ่มต้นระบบใหม่เพื่อให้เสร็จสมบูรณ์ - การบูตแบบปลอดภัยไม่ได้เปิดใช้งานบนอุปกรณ์ - อุปกรณ์ไม่ได้ใช้ UEFI หรือกําลังรอการเริ่มระบบใหม่เพื่อนําตัวจัดการการเริ่มต้นระบบไปใช้ 

"ไม่มีปัญหา" หมายถึงอะไร 

"ไม่มีปัญหา" หมายความว่าอุปกรณ์เปิดใช้งานการบูตแบบปลอดภัยและค่ารีจิสทรี UEFICA2023Status ได้รับการอัปเดต ซึ่งระบุว่านําใบรับรอง 2023 ไปใช้เรียบร้อยแล้ว 

สคริปต์ทํางานบ่อยเพียงใด 

สคริปต์จะทํางานตามกําหนดการที่คุณกําหนดค่าในงานที่มอบหมาย สําหรับการตรวจสอบที่ใช้งานอยู่ระหว่างการเปิดตัวแนะนําให้ใช้ทุกวัน สําหรับการตรวจสอบอย่างต่อเนื่องทุกสัปดาห์ก็เพียงพอแล้ว 

จะเกิดอะไรขึ้นถ้าไม่มีรีจิสทรีคีย์การให้บริการ 

ถ้าไม่มีคีย์ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing บนอุปกรณ์ เขตข้อมูล UEFICA2023Status จะแสดง NoValue ซึ่งโดยปกติจะหมายความว่าไม่ได้เริ่มต้นการอัปเดตใบรับรองบนอุปกรณ์ 

สิทธิ์การใช้งานใดที่จําเป็น 

การแก้ไขจําเป็นต้องใช้สิทธิ์การใช้งาน Windows 10/11 Enterprise E3/E5, Education A3/A5 หรือ F3 หากอุปกรณ์ของคุณมีสิทธิการใช้งาน Business Premium หรือ Pro เท่านั้น การแก้ไขจะไม่พร้อมใช้งาน ดู ข้อกําหนดเบื้องต้นสําหรับการแก้ไข 

แหล่งข้อมูล 

หนังสือเล่นการอัปเดตใบรับรองการบูตแบบปลอดภัย

Updates ใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT

Updates รีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย

เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับบูตแบบปลอดภัย

การแก้ไขใน Microsoft Intune 

ข้อกําหนดเบื้องต้นสําหรับการแก้ไข

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ