การตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัยด้วยการแก้ไข Microsoft Intune

ในบทความนี้:

บทนำ
ข้อกำหนดเบื้องต้น
สคริปต์การตรวจหา
สร้างการแก้ไขใน Intune
การดูและการส่งออกผลลัพธ์
คำถามที่ถามบ่อย
แหล่งข้อมูล

บทนำ

ใบรับรองการบูตแบบปลอดภัยของ Microsoft (2011 CAs) จะหมดอายุตั้งแต่เดือนมิถุนายน 2026 อุปกรณ์ Windows ทั้งหมดที่เปิดใช้งานการบูตแบบปลอดภัยต้องได้รับการอัปเดตเป็นใบรับรองปี 2023 ก่อนจะหมดอายุเพื่อให้แน่ใจว่าการสนับสนุนการอัปเดตความปลอดภัยอย่างต่อเนื่อง

คู่มือนี้ให้วิธีการตรวจสอบเท่านั้นโดยใช้การแก้ไข Microsoft Intune (การแก้ไขเชิงรุก) สคริปต์การตรวจหาจะเก็บรวบรวมสถานะการบูตแบบปลอดภัยและใบรับรองจากอุปกรณ์แต่ละเครื่อง และรายงานกลับไปยังพอร์ทัล Intune โดยจะไม่มีการดําเนินการแก้ไขบนอุปกรณ์ ซึ่งจะช่วยให้ผู้ดูแลระบบมีมุมมองส่วนกลางที่สามารถส่งออกได้ของความคืบหน้าในการอัปเดตใบรับรองในอุปกรณ์ Windows ที่ลงทะเบียน Intune

ทําไมต้องใช้วิธีนี้

ประโยชน์	คำอธิบาย
การมองเห็นทั่วทั้งอุปกรณ์	ดูทุก Intune สถานะของใบรับรองของอุปกรณ์ Windows ที่ลงทะเบียนไว้ในที่เดียว
สามารถส่งออกได้	ส่งออกผลลัพธ์เป็น CSV โดยตรงจากพอร์ทัล Intune
ค่ารีจิสทรีดิบ	ดูข้อมูลรีจิสทรีจริง ไม่ใช่เพียงแค่ผ่าน/ล้มเหลว
บริบทของอุปกรณ์	รวมถึงผู้ผลิต รุ่น รุ่น BIOS และชนิดของเฟิร์มแวร์
การวัดและส่งข้อมูลทางไกลของบันทึกเหตุการณ์	จับภาพรหัสเหตุการณ์การบูตแบบปลอดภัย (1801/1808), รหัสบักเก็ต และระดับความเชื่อมั่น
สัมผัสเป็นศูนย์	ทํางานโดยไม่แสดงเป็น SYSTEM โดยไม่จําเป็นต้องมีการโต้ตอบกับผู้ใช้

สําหรับข้อมูลเบื้องหลังที่สมบูรณ์เกี่ยวกับการอัปเดตใบรับรอง ให้ดู การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร

ข้อกำหนดเบื้องต้น

ก่อนที่จะปรับใช้สคริปต์การตรวจหา ให้ตรวจสอบให้แน่ใจว่าสภาพแวดล้อมของคุณตรงตามข้อกําหนดที่จําเป็น

โซลูชันนี้ใช้ประโยชน์จากการแก้ไขใน Microsoft Intune สําหรับรายการข้อกําหนดเบื้องต้นทั้งหมด โปรดดู ใช้การแก้ไขเพื่อตรวจหาและแก้ไขปัญหาการสนับสนุน - Microsoft Intune

สคริปต์การตรวจหา

สคริปต์การตรวจสอบเป็นสคริปต์ PowerShell ที่รวบรวมข้อมูลสินค้าคงคลัง Secure Boot ที่ครอบคลุมจากอุปกรณ์แต่ละเครื่องและแสดงผลเป็นสตริง JSON สคริปต์จะอ่านจากแหล่งข้อมูลต่อไปนี้:

รีจิสทรี — สถานะการอัปเดตใบรับรองการบูตแบบปลอดภัย, คีย์การให้บริการ, แอตทริบิวต์ของอุปกรณ์ และการตั้งค่าการเลือกรับ/ปฏิเสธการเข้าร่วมจาก HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot และคีย์ย่อย

WMI/CIM — เวอร์ชันของระบบปฏิบัติการ เวลาในการบูตครั้งล่าสุด และข้อมูลฮาร์ดแวร์ของฐาน

บันทึกเหตุการณ์ — รายการบันทึกเหตุการณ์ของระบบสําหรับรหัสเหตุการณ์ 1801 และ 1808 (เหตุการณ์การอัปเดตการบูตแบบปลอดภัย)

ผลลัพธ์ของ JSON จะปรากฏในพอร์ทัล Intune ภายใต้ การแก้ไข > ตรวจสอบ > สถานะอุปกรณ์ > "ผลลัพธ์การตรวจสอบการแก้ไขล่วงหน้า" และสามารถส่งออกเป็น CSV สําหรับการวิเคราะห์

สำคัญ: นี่คือสคริปต์แบบตรวจหาเท่านั้น ไม่มีการเปลี่ยนแปลงกับอุปกรณ์ ไม่จําเป็นต้องใช้สคริปต์การแก้ไข

การสร้างแฟ้มสคริปต์

นําทางไปยังสคริปต์การเก็บรวบรวมข้อมูลสินค้าคงคลังของ Sample Secure Boot (KB5072718)
คัดลอกเนื้อหาสคริปต์แบบเต็มจากหน้า
เปิดตัวแก้ไขข้อความ (เช่น Notepad, VS Code) และวางสคริปต์
บันทึกไฟล์เป็น Detect-SecureBootCertUpdateStatus.ps1

สร้างการแก้ไขใน Intune

ทําตามขั้นตอนเหล่านี้เพื่อปรับใช้สคริปต์การตรวจหาเป็น การแก้ไข (แพคเกจสคริปต์) ใน Microsoft Intune

ขั้นตอนที่ 1: สร้างแพคเกจสคริปต์

ลงชื่อเข้าใช้ศูนย์การจัดการ Microsoft Intune
นําทางไปยังอุปกรณ์ > การแก้ไข
คลิก + สร้างแพคเกจสคริปต์

ขั้นตอนที่ 2: พื้นฐาน

กําหนดค่าการตั้งค่าต่อไปนี้บนแท็บ พื้นฐาน:

การตั้งค่า	ค่า
ชื่อ	การตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัย
คำอธิบาย	ตรวจสอบสถานะการอัปเดตใบรับรองการบูตแบบปลอดภัยทั่วทั้งกลุ่ม การตรวจหาเท่านั้น — ไม่มีการดําเนินการแก้ไข
Publisher	(ชื่อองค์กรของคุณ)

คลิก ถัดไป

ขั้นตอนที่ 3: การตั้งค่า

กําหนดค่าการตั้งค่าต่อไปนี้บนแท็บ การตั้งค่า:

การตั้งค่า	ค่า	หมายเหตุ
ไฟล์สคริปต์การตรวจหา	อัปโหลด Detect-SecureBootCertificateStatus.ps1	สคริปต์จากส่วนก่อนหน้า
ไฟล์สคริปต์การแก้ไข	(ปล่อยว่างไว้)	ไม่จําเป็นต้องแก้ไข เพราะนี่คือการตรวจสอบเท่านั้น
เรียกใช้สคริปต์นี้โดยใช้ข้อมูลประจําตัวการเข้าสู่ระบบ	ไม่ใช่	ทํางานเป็นระบบเพื่อให้แน่ใจว่าการเข้าถึง Confirm-SecureBootUEFI และรีจิสทรี
บังคับใช้การตรวจสอบลายเซ็นของสคริปต์	ไม่ใช่	ตั้งค่าเป็น ใช่ ถ้าองค์กรของคุณต้องการสคริปต์ที่มีลายเซ็น
เรียกใช้สคริปต์ใน PowerShell 64 บิต	ใช่	จําเป็นสําหรับ Confirm-SecureBootUEFI cmdlet และการอ่านรีจิสทรีที่ถูกต้อง

คลิก ถัดไป

ขั้นตอนที่ 4: ขอบเขตแท็ก

เพิ่มแท็กขอบเขตที่องค์กรของคุณต้องการ หรือปล่อยไว้เป็นค่าเริ่มต้น
คลิก ถัดไป

ขั้นตอนที่ 5: งานที่มอบหมาย

การตั้งค่า	ค่า	หมายเหตุ
การกำหนด	เลือกกลุ่มอุปกรณ์ที่จะตรวจสอบ	ใช้อุปกรณ์ทั้งหมดสําหรับการตรวจสอบทั่วทั้งกอง หรือกลุ่มเฉพาะสําหรับการตรวจสอบแบบกําหนดเป้าหมาย
จัดกำหนดการ	กําหนดค่าตามความต้องการในการตรวจสอบของคุณ	แนะนํา: ทุกวันสําหรับการติดตามการเปิดตัวที่ใช้งานอยู่ หรือทุกสัปดาห์สําหรับการตรวจสอบอย่างต่อเนื่อง

หมายเหตุ: การแก้ไขจะทํางานตามกําหนดเวลาที่กําหนดค่าไว้ของอุปกรณ์ การทํางานครั้งแรกอาจใช้เวลาถึง 24 ชั่วโมงหลังจากงานที่มอบหมาย โดยขึ้นอยู่กับรอบการเช็คอินของอุปกรณ์

คลิก ถัดไป

ขั้นตอนที่ 6: ตรวจสอบ + สร้าง

ตรวจสอบการตั้งค่าทั้งหมด
คลิก สร้าง

การดูและการส่งออกผลลัพธ์

ดูผลลัพธ์ในพอร์ทัล

นําทางไปยังอุปกรณ์ > การแก้ไข
คลิก ตัวตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัย (หรือชื่อที่คุณเลือก)
เลือกแท็บ จอภาพ
คลิก สถานะอุปกรณ์
คลิก คอลัมน์ และเพิ่ม ผลลัพธ์การตรวจหาการแก้ไขล่วงหน้า

ตัวตรวจสอบสถานะ

คุณจะเห็นตารางที่มีคอลัมน์ต่อไปนี้:

คอลัมน์	คำอธิบาย
ชื่ออุปกรณ์	ชื่อของอุปกรณ์
ชื่อ	ผู้ใช้หลักของอุปกรณ์
สถานะการตรวจหา	ไม่มีปัญหา (ใบรับรองที่อัปเดต) หรือมีปัญหา (ใบรับรองไม่ได้รับการอัปเดต)
เอาท์พุทการตรวจจับการแก้ไขล่วงหน้า	ผลลัพธ์ JSON แบบเต็มจากสคริปต์
ปรับเปลี่ยนล่าสุด	เมื่อสคริปต์ทํางานครั้งล่าสุดบนอุปกรณ์

ส่งออกเป็น CSV

บนหน้า สถานะอุปกรณ์ ให้คลิกปุ่ม ส่งออก ที่ด้านบนของตาราง
ไฟล์ CSV จะดาวน์โหลดคอลัมน์ทั้งหมดรวมถึงผลลัพธ์การตรวจจับ JSON แบบเต็มสําหรับทุกอุปกรณ์
เปิดใน Excel เพื่อกรอง เรียงลําดับ และวิเคราะห์ตามเขตข้อมูลใดๆ

เคล็ดลับ: ใน Excel คุณสามารถใช้ฟังก์ชัน TEXTJOIN หรือ JSON เพื่อแยกวิเคราะห์ผลลัพธ์การตรวจหา JSON ลงในคอลัมน์ที่แยกจากกันเพื่อการวิเคราะห์ที่ง่ายขึ้น

แท็บภาพรวม

ภาพรวม Intune

แท็บภาพรวมบนการแก้ไขมีแดชบอร์ดสรุป:

เมตริก	ความหมาย
อุปกรณ์ที่มีปัญหา	อุปกรณ์ที่ยังไม่ได้อัปเดตใบรับรอง
อุปกรณ์ที่ไม่มีปัญหา	อุปกรณ์ที่มีใบรับรองล่าสุด
อุปกรณ์ที่มีการตรวจหาที่ล้มเหลว	อุปกรณ์ที่สคริปต์พบข้อผิดพลาด

คำ ถาม

การดําเนินการนี้เปลี่ยนแปลงอะไรบนอุปกรณ์ของฉันหรือไม่

ไม่ได้ นี่คือสคริปต์แบบตรวจหาเท่านั้น ไม่มีการแก้ไขค่ารีจิสทรี ไม่มีการทริกเกอร์การอัปเดต และไม่มีการดําเนินการแก้ไข สคริปต์จะอ่านเฉพาะค่าและรายงานค่าเหล่านั้น

"มีปัญหา" หมายถึงอะไร

"มีปัญหา" หมายความว่าอุปกรณ์ยังไม่มีใบรับรองการบูตแบบปลอดภัย 2023 ที่ใช้และตัวจัดการการบูตที่ลงนามในปี 2023 ซึ่งอาจเป็นเพราะ: - การอัปเดตใบรับรองไม่ได้เริ่มต้นขึ้น - การอัปเดตกําลังดําเนินการอยู่และอาจต้องเริ่มต้นระบบใหม่เพื่อให้เสร็จสมบูรณ์ - การบูตแบบปลอดภัยไม่ได้เปิดใช้งานบนอุปกรณ์ - อุปกรณ์ไม่ได้ใช้ UEFI หรือกําลังรอการเริ่มระบบใหม่เพื่อนําตัวจัดการการเริ่มต้นระบบไปใช้

"ไม่มีปัญหา" หมายถึงอะไร

"ไม่มีปัญหา" หมายความว่าอุปกรณ์เปิดใช้งานการบูตแบบปลอดภัยและค่ารีจิสทรี UEFICA2023Status ได้รับการอัปเดต ซึ่งระบุว่านําใบรับรอง 2023 ไปใช้เรียบร้อยแล้ว

สคริปต์ทํางานบ่อยเพียงใด

สคริปต์จะทํางานตามกําหนดการที่คุณกําหนดค่าในงานที่มอบหมาย สําหรับการตรวจสอบที่ใช้งานอยู่ระหว่างการเปิดตัวแนะนําให้ใช้ทุกวัน สําหรับการตรวจสอบอย่างต่อเนื่องทุกสัปดาห์ก็เพียงพอแล้ว

จะเกิดอะไรขึ้นถ้าไม่มีรีจิสทรีคีย์การให้บริการ

ถ้าไม่มีคีย์ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing บนอุปกรณ์ เขตข้อมูล UEFICA2023Status จะแสดง NoValue ซึ่งโดยปกติจะหมายความว่าไม่ได้เริ่มต้นการอัปเดตใบรับรองบนอุปกรณ์

สิทธิ์การใช้งานใดที่จําเป็น

การแก้ไขจําเป็นต้องใช้สิทธิ์การใช้งาน Windows 10/11 Enterprise E3/E5, Education A3/A5 หรือ F3 หากอุปกรณ์ของคุณมีสิทธิการใช้งาน Business Premium หรือ Pro เท่านั้น การแก้ไขจะไม่พร้อมใช้งาน ดู ข้อกําหนดเบื้องต้นสําหรับการแก้ไข