Updates ใบรับรองการบูตแบบปลอดภัยสําหรับ Windows 365
วันที่เผยแพร่ต้นฉบับ: วันที่ 19 กุมภาพันธ์ 2569
KB ID: 5080914
บทความนี้มีคําแนะนําสําหรับ:
-
ผู้ดูแลระบบ Windows 365 ที่จัดการพีซีระบบคลาวด์
-
องค์กรที่ใช้พีซีระบบคลาวด์ที่เปิดใช้งาน Secure Boot สําหรับการปรับใช้ Windows 365
-
องค์กรที่ใช้รูปภาพแบบกําหนดเองสําหรับการปรับใช้ Windows 365
ในบทความนี้:
บทนำ
การบูตแบบปลอดภัยเป็นฟีเจอร์ความปลอดภัยของเฟิร์มแวร์ UEFI ที่ช่วยให้มั่นใจได้เฉพาะซอฟต์แวร์ที่เซ็นชื่อแบบดิจิทัลที่เชื่อถือได้เท่านั้นที่ทํางานระหว่างลําดับการบูตอุปกรณ์ ใบรับรองการบูตแบบปลอดภัยของ Microsoft ที่ออกในปี 2011 จะเริ่มหมดอายุในเดือนมิถุนายน 2026 หากไม่มีใบรับรอง 2023 ที่อัปเดต อุปกรณ์จะไม่ได้รับการป้องกันหรือการลดระดับการบูตแบบปลอดภัยใหม่อีกต่อไป
การบูตแบบปลอดภัยทั้งหมดเปิดใช้งานพีซีระบบคลาวด์ที่เตรียมใช้งานในบริการ Windows 365 และอิมเมจแบบกําหนดเองที่ใช้เพื่อเตรียมใช้งาน จะต้องอัปเดตเป็นใบรับรองในปี 2023 ก่อนที่จะหมดอายุเพื่อให้ยังคงได้รับการป้องกัน ดู เมื่อใบรับรองการบูตแบบปลอดภัยหมดอายุบนอุปกรณ์ Windows
สิ่งนี้ใช้กับสภาพแวดล้อม Windows 365 ของฉันหรือไม่
|
สถานการณ์ |
การบูตแบบปลอดภัยทํางานอยู่หรือไม่ |
ต้องดําเนินการ |
|
พีซีระบบคลาวด์ |
||
|
พีซีระบบคลาวด์ที่เปิดใช้งานการบูตแบบปลอดภัย |
ใช่ |
อัปเดตใบรับรองบนพีซีระบบคลาวด์ |
|
พีซีระบบคลาวด์ที่ปิดใช้งานการบูตแบบปลอดภัย |
ไม่ใช่ |
ไม่จําเป็นต้องดําเนินการใดๆ |
|
รูปภาพ |
||
|
อิมเมจ Azure Compute Gallery ที่เปิดใช้งานการบูตแบบปลอดภัย |
ใช่ |
อัปเดตใบรับรองในรูปต้นฉบับก่อนที่จะกําหนดลักษณะทั่วไป |
|
รูปแกลเลอรีการคํานวณ Azure โดยไม่ต้องเปิดใช้ที่เชื่อถือได้ |
ไม่ใช่ |
ใช้การอัปเดตในพีซีระบบคลาวด์หลังจากการเตรียมใช้งาน |
|
รูปภาพที่มีการจัดการ (ไม่สนับสนุน Trusted Launch) |
ไม่ใช่ |
ใช้การอัปเดตในพีซีระบบคลาวด์หลังจากการเตรียมใช้งาน |
สําหรับข้อมูลพื้นหลังที่สมบูรณ์ โปรดดู การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร
สินค้าคงคลังและการตรวจสอบ
ก่อนที่จะดําเนินการ ให้ทํารายการสภาพแวดล้อมของคุณเพื่อระบุอุปกรณ์ที่ต้องการการอัปเดต การตรวจสอบเป็นสิ่งจําเป็นเพื่อยืนยันว่ามีการนําใบรับรองไปใช้ก่อนวันครบกําหนดของเดือนมิถุนายน 2026 แม้ว่าคุณจะใช้วิธีการปรับใช้อัตโนมัติก็ตาม ด้านล่างนี้เป็นตัวเลือกในการระบุว่าจําเป็นต้องดําเนินการหรือไม่
ตัวเลือกที่ 1: การแก้ไข Microsoft Intune
สําหรับพีซีระบบคลาวด์ที่ลงทะเบียนไว้ใน Microsoft Intune คุณสามารถปรับใช้สคริปต์การตรวจหาโดยใช้ Intune การแก้ไข (การแก้ไขเชิงรุก) เพื่อรวบรวมสถานะใบรับรองการบูตแบบปลอดภัยในกองเรือของคุณโดยอัตโนมัติ สคริปต์จะทํางานโดยไม่แจ้งในแต่ละอุปกรณ์ และรายงานสถานะการบูตแบบปลอดภัย ความคืบหน้าของการอัปเดตใบรับรอง และรายละเอียดอุปกรณ์กลับไปยังพอร์ทัล Intune — จะไม่มีการเปลี่ยนแปลงใดๆ กับอุปกรณ์ คุณสามารถดูและส่งออกผลลัพธ์เป็น CSV ได้โดยตรงจากศูนย์การจัดการ Intune สําหรับการวิเคราะห์ทั่วทั้งกลุ่ม
สําหรับคําแนะนําทีละขั้นตอนเกี่ยวกับการปรับใช้สคริปต์การตรวจหา ให้ดู การตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัยด้วยการแก้ไข Microsoft Intune
ตัวเลือกที่ 2: รายงานสถานะการบูตแบบปลอดภัยของ Windows Autopatch
สําหรับพีซีระบบคลาวด์ที่ลงทะเบียนด้วย Windows Autopatch ให้ไปที่ ศูนย์การจัดการ Intune> รายงาน > การส่งอัตโนมัติของ Windows > การอัปเดตคุณภาพ Windows > แท็บ รายงาน > สถานะการบูตแบบปลอดภัย ดูรายงานสถานะการบูตแบบปลอดภัยใน Windows Autopatch
หมายเหตุ: เมื่อต้องการใช้การจัดส่งอัตโนมัติของ Windows กับ Windows 365 พีซีระบบคลาวด์ต้องลงทะเบียนกับบริการการจัดส่งอัตโนมัติของ Windows ดูที่ การส่งอัตโนมัติของ Windows ในปริมาณงาน Windows 365 Enterprise
ตัวเลือกที่ 3: รีจิสทรีคีย์สําหรับการตรวจสอบกองเรือ
ใช้เครื่องมือการจัดการอุปกรณ์ที่มีอยู่ของคุณเพื่อสอบถามค่ารีจิสทรีเหล่านี้ระหว่างกลุ่มของคุณ
|
เส้นทางรีจิสทรี |
คีย์ |
วัตถุ ประสงค์ |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
สถานะการปรับใช้ปัจจุบัน |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
ระบุข้อผิดพลาด (ไม่ควรมีอยู่) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
ระบุ ID เหตุการณ์ (ไม่ควรมีอยู่) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
บิตการอัปเดตที่ค้างอยู่ |
สําหรับรายละเอียดรีจิสทรีคีย์แบบเต็ม โปรดดู การอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย
ตัวเลือกที่ 4: การตรวจสอบบันทึกเหตุการณ์
ใช้เครื่องมือการจัดการอุปกรณ์ที่มีอยู่ของคุณเพื่อรวบรวมและตรวจสอบรหัสเหตุการณ์เหล่านี้จากบันทึกเหตุการณ์ของระบบข้ามกลุ่มของคุณ
|
ID เหตุการณ์ |
ตำแหน่งที่ตั้ง |
ความหมาย |
|
1808 |
ระบบ |
นําใบรับรองไปใช้เรียบร้อยแล้ว |
|
1801 |
ระบบ |
อัปเดตสถานะหรือรายละเอียดข้อผิดพลาด |
สําหรับรายการทั้งหมดของรายละเอียดกิจกรรม โปรดดู เหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot
ตัวเลือกที่ 5: สคริปต์สินค้าคงคลังของ PowerShell
เรียกใช้ตัวอย่างสคริปต์การเก็บรวบรวมข้อมูลสําหรับบูตแบบปลอดภัยของ Microsoft เพื่อตรวจสอบสถานะการอัปเดตใบรับรองการบูตแบบปลอดภัย สคริปต์จะรวบรวมจุดข้อมูลหลายจุดรวมถึงสถานะการบูตแบบปลอดภัย สถานะการอัปเดต UEFI CA 2023 เวอร์ชันเฟิร์มแวร์ และกิจกรรมบันทึกเหตุการณ์
การปรับใช้
สิ่งสำคัญ: ไม่ว่าคุณจะเลือกตัวเลือกการปรับใช้ใด เราขอแนะนําให้ตรวจสอบกองอุปกรณ์ของคุณเพื่อยืนยันว่านําใบรับรองไปใช้ได้สําเร็จก่อนวันครบกําหนดของเดือนมิถุนายน 2026 สําหรับรูปแบบกําหนดเอง ให้ดู ข้อควรพิจารณาเกี่ยวกับรูปแบบกําหนดเอง
ตัวเลือกที่ 1: Updates อัตโนมัติจาก Windows Update (อุปกรณ์ที่มีความเชื่อมั่นสูง)
Microsoft จะอัปเดตอุปกรณ์โดยอัตโนมัติผ่านการอัปเดตรายเดือนของ Windows เมื่อการวัดและส่งข้อมูลทางไกลที่เพียงพอยืนยันว่าการปรับใช้การกําหนดค่าฮาร์ดแวร์ที่คล้ายกันเสร็จสมบูรณ์
-
สถานะ: เปิดใช้งานตามค่าเริ่มต้นสําหรับอุปกรณ์ที่มีความเชื่อมั่นสูง
-
ไม่ต้องดําเนินการใดๆ เว้นแต่ว่าคุณต้องการปฏิเสธเข้าร่วม
|
รี จิ สทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
คีย์ |
HighConfidenceOptOut = 1 เพื่อปฏิเสธการเข้าร่วม |
|
นโยบายกลุ่ม |
การกําหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > คอมโพเนนต์ของ Windows > การปรับใช้ใบรับรอง >การบูตแบบปลอดภัยโดยอัตโนมัติผ่าน Updates > ตั้งค่าเป็น ปิดใช้งาน เพื่อปฏิเสธการเข้าร่วม |
คำ แนะ นำ: แม้ว่าการอัปเดตอัตโนมัติจะเปิดใช้งานอยู่ ก็ตาม ให้ตรวจสอบพีซีระบบคลาวด์ของคุณเพื่อตรวจสอบว่ามีการนําใบรับรองไปใช้แล้ว อุปกรณ์ไม่ได้ทั้งหมดอาจมีสิทธิ์ในการปรับใช้อัตโนมัติที่มีความเชื่อมั่นสูง
สําหรับข้อมูลเพิ่มเติม ให้ดู ตัวช่วยการปรับใช้อัตโนมัติ
ตัวเลือกที่ 2: การปรับใช้ IT-Initiated
ทริกเกอร์การอัปเดตใบรับรองด้วยตนเองสําหรับการเผยแพร่ทันทีหรือที่ควบคุม
|
วิธี |
คู่มือ |
|
Microsoft Intune |
|
|
นโยบายกลุ่ม |
|
|
รีจิสทรีคีย์ |
|
|
WinCS CLI |
หมายเหตุ:
-
ห้ามใช้วิธีการปรับใช้ที่เริ่มต้นโดย IT ร่วมกัน (เช่น Intune และ GPO) บนอุปกรณ์เครื่องเดียวกัน โดยจะควบคุมรีจิสทรีคีย์เดียวกันและอาจขัดแย้งกันได้
-
ใช้เวลาประมาณ 48 ชั่วโมงในการเริ่มระบบใหม่อย่างน้อยหนึ่งครั้งเพื่อให้ใบรับรองมีผลอย่างสมบูรณ์
ข้อควรพิจารณาเกี่ยวกับรูปแบบกําหนดเอง
รูปภาพแบบกําหนดเองได้รับการจัดการอย่างเต็มรูปแบบโดยองค์กรของคุณ คุณต้องรับผิดชอบในการนําการอัปเดตใบรับรองการบูตแบบปลอดภัยไปใช้กับอิมเมจแบบกําหนดเองและอัปโหลดอีกครั้งก่อนที่จะใช้สําหรับการเตรียมใช้งาน
การใช้การอัปเดตใบรับรองการบูตแบบปลอดภัยกับอิมเมจต้นฉบับจะได้รับการสนับสนุนเฉพาะกับอิมเมจแกลเลอรีการประมวลผล Azure (ตัวอย่าง) ที่สนับสนุน Trusted Launch และการบูตแบบปลอดภัยเท่านั้น รูปที่มีการจัดการไม่สนับสนุนการบูตแบบปลอดภัย จึงไม่สามารถใช้การอัปเดตใบรับรองในระดับรูปได้ สําหรับพีซีระบบคลาวด์ที่เตรียมใช้งานจากรูปภาพที่มีการจัดการ ให้ใช้การอัปเดตโดยตรงบนพีซีระบบคลาวด์โดยใช้หนึ่งในวิธีการปรับใช้ข้างต้น
ก่อนที่จะกําหนดรูปแบบกําหนดเองใหม่ให้เป็นแบบทั่วไป ให้ตรวจสอบว่ามีการอัปเดตใบรับรองแล้ว:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
ปัญหาที่พบ
ไม่มีรีจิสทรีคีย์การให้บริการ
|
อาการ |
ไม่มีเส้นทาง HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing อยู่ |
|
สาเหตุ |
ไม่ได้เริ่มต้นการอัปเดตใบรับรองบนอุปกรณ์ |
|
การแก้ไขปัญหา |
รอการปรับใช้อัตโนมัติผ่าน Windows Update หรือเริ่มด้วยตนเองโดยใช้หนึ่งในวิธีการปรับใช้ที่เริ่มต้นโดย IT ด้านบน |
สถานะแสดง "InProgress" สําหรับรอบระยะเวลาที่ขยาย
|
อาการ |
สถิติ UEFICA2023 ยังคงเป็น "InProgress" หลังจากหลายวัน |
|
สาเหตุ |
อุปกรณ์อาจจําเป็นต้องเริ่มระบบใหม่เพื่อให้กระบวนการอัปเดตเสร็จสมบูรณ์ |
|
การแก้ไขปัญหา |
รีสตาร์ตพีซีระบบคลาวด์และตรวจสอบสถานะอีกครั้งหลังจาก 15 นาที หากปัญหายังคงอยู่ ดูที่ เหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot สําหรับคําแนะนําในการแก้ไขปัญหา |
มีรีจิสทรีคีย์ UEFICA2023Error อยู่
|
อาการ |
มีรีจิสทรีคีย์ UEFICA2023Error |
|
สาเหตุ |
เกิดข้อผิดพลาดระหว่างการปรับใช้ใบรับรอง |
|
การแก้ไขปัญหา |
ตรวจสอบบันทึกเหตุการณ์ของระบบเพื่อดูรายละเอียด ดูเหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับการแก้ไขปัญหา |
แหล่งข้อมูล
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
