Microsoft Intune düzeltmeleriyle Güvenli Önyükleme sertifikası durumunu izleme

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Not

  • Orijinal Yayın Tarihi: Şubat 18, 2026
  • KB Kimliği: 5080921

Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:

  • TIntuneIntune kayıtlı Windows cihazlarından Güvenli Önyükleme sertifikası güncelleştirme durumu hakkında görünürlüğe ihtiyaç duyan BT yöneticileri
  • Haziran 2026 Güvenli Önyükleme sertifikasının son tarihi için hazırlanan kuruluşlar
  • Intune kayıtlı Windows cihazlarında sertifika dağıtımının ilerlemesini izlemek isteyen ekipler

Bu makalede:

Giriş

Microsoft Güvenli Önyükleme sertifikalarının (2011 CA'ları) süresi Haziran 2026 tarihinden itibaren doluyor. Güvenlik güncelleştirmesi desteğinin devam etmesini sağlamak için Güvenli Önyükleme etkinleştirilmiş tüm Windows cihazlarının süresi dolmadan önce 2023 sertifikalarına güncelleştirilmesi gerekir.

Bu kılavuz, Microsoft IntuneMicrosoft Intune Remediations (Proaktif Düzeltmeler) kullanarak yalnızca izleme yaklaşımı sağlar. Algılama komut dosyası, her cihazdan Güvenli Önyükleme ve sertifika durumunu toplar ve Intune portalına geri bildirir; cihazlarda düzeltme eylemi gerçekleştirilmez. Bu, yöneticilere IntuneIntune kayıtlı Windows cihazları genelinde sertifika güncelleştirme ilerleme durumunun merkezi, dışa aktarılabilir bir görünümünü sağlar.

Bu yaklaşım neden kullanılıyor?

Yararları Açıklama
Cihaz genelinde görünürlük Tüm gör IntuneIntune kayıtlı Windows cihazının sertifika durumu tek bir yerde
Dışa aktarılabilir Sonuçları doğrudan Intune portalından CSV'ye aktarma
Ham kayıt defteri değerleri Yalnızca başarılı/başarısız değil, gerçek kayıt defteri verilerini de görün
Cihaz bağlamı Üretici, model, BIOS sürümü ve üretici yazılımı türünü içerir
Olay günlüğü telemetrisi Güvenli Önyükleme olay kimliklerini (1801/1808), klasör kimliklerini ve güvenilirlik düzeylerini yakalar
Hiç dokunma SİSTEM olarak sessizce çalışır — kullanıcı etkileşimi gerekmez

Sertifika güncelleştirmeleriyle ilgili tüm arka plan bilgileri için bkz: Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuz.

Ön koşullar

Algılama betiğini dağıtmadan önce ortamınızın gerekli gereksinimleri karşıladığından emin olun.

Bu çözüm, Microsoft IntuneMicrosoft Intune'daki Düzeltmelerden yararlanır. Ön koşulların tam listesi için Destek sorunlarını algılamak ve düzeltmek için Düzeltmeleri kullanma - Microsoft IntuneMicrosoft Intune bölümüne bakın.

Algılama komut dosyaları

Algılama betiği, her cihazdan kapsamlı Güvenli Önyükleme envanter verileri toplayan ve bunları JSON dizesi olarak çıkaran bir PowerShell betiğidir. Betik aşağıdaki kaynaklardan okur:

Kayıt Defteri — HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ve alt anahtarlarından Güvenli Önyükleme sertifikası güncelleştirme durumu, hizmet anahtarları, cihaz öznitelikleri ve kabul etme/geri çevirme ayarları

WMI/CIM — OS sürümü, son önyükleme zamanı ve anakart donanım bilgileri

Olay günlükleri — Olay Kimlikleri 1801 ve 1808 için sistem olay günlüğü girişleri (Güvenli Önyükleme güncelleştirme olayları)

JSON çıkışı Intune portalında Düzeltmeleri > İzleme > Cihazı durumu > "Ön düzeltme algılama çıkışı" altında görünür ve analiz için CSV'ye aktarılabilir.

Önemli: Bu, yalnızca algılama betiğidir. Cihazda herhangi bir değişiklik yapılmaz. Düzeltme betiği gerekmez.

Betik Dosyasını Oluşturma

Not

ÖNEMLİ Örnek betiği içeren aşağıdaki makale kullanımdan kaldırılmıştır. 12 Mayıs 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesini yüklediyseniz örnek betik cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunabilir.

TIntuneIntune'da Düzeltme oluşturma

Algılama betiğini Microsoft IntuneMicrosoft Intune'da bir Düzeltme (betik paketi) olarak dağıtmak için bu adımları izleyin.

1. Adım: Betik paketini oluşturma

2. Adım: Temel Bilgiler

  • Temel Bilgiler sekmesinde aşağıdaki ayarları yapılandırın:
Ayar Değer
Ad Güvenli Önyükleme Sertifika Durumu İzleyicisi
Açıklama Filo genelinde Güvenli Önyükleme sertifikası güncelleme durumunu izler. Yalnızca algılama — düzeltme eylemi gerçekleştirilmez.
Yayımcı (kuruluşunuzun adı)
  • İleri’ye tıklayın.

3. Adım: Ayarlar

  • Ayarlar sekmesinde aşağıdaki ayarları yapılandırın:
Ayar Değer Notlar
Algılama komut dosyası Karşıya yükleme Detect-SecureBootCertificateStatus.ps1 Önceki bölümün senaryosu
Düzeltme betik dosyası (boş bırakın) Düzeltmeye gerek yoktur — bu yalnızca izlemedir
Oturum açmış kimlik bilgilerini kullanarak bu betiği çalıştırın Hayır Confirm-SecureBootUEFI ve kayıt defterine erişim sağlamak için SİSTEM olarak çalışır
Komut dosyası imza denetimini zorunlu kıl Hayır Kuruluşunuz imzalı betikler gerektiriyorsa Evet olarak ayarlayın
Betiği 64 bit PowerShell'de çalıştırma Evet Confirm-SecureBootUEFI cmdlet ve doğru kayıt defteri okumaları için gereklidir
  • İleri’ye tıklayın.

Adım 4: Kapsam Etiketleri

  • Kuruluşunuzun gerektirdiği tüm kapsam etiketlerini ekleyin veya varsayılan olarak bırakın
  • İleri’ye tıklayın.

5. Adım: Ödevler

Ayar Değer Notlar
Atamalar İzlenecek cihaz gruplarını seçin Filo genelinde izleme için Tüm cihazları veya hedefli izleme için belirli grupları kullanın
Çizelge İzleme gereksinimlerinize göre yapılandırın Önerilen: Etkin dağıtım izleme için günde bir kez veya sürekli izleme için haftada bir

Not: Düzeltmeler, cihazın yapılandırılmış zamanlamasına göre çalışır. İlk çalıştırma, cihazın iade döngüsüne bağlı olarak atamadan sonra 24 saate kadar sürebilir.

İleri’ye tıklayın.

6. Adım: Gözden Geçirme + Oluşturma

  • Tüm ayarları gözden geçir
  • Oluştur'a tıklayın

Sonuçları görüntüleme ve dışarı aktarma

Sonuçları portalda görüntüleme

  • Cihaz > Düzeltmelerine Gidin
  • Güvenli Önyükleme Sertifika Durumu İzleyicisi'ne (veya seçtiğiniz ada) tıklayın
  • Monitör sekmesini seçin
  • Cihaz durumu'na tıklayın
  • Sütunlar'a tıklayın ve Düzeltme öncesi algılama çıktısını ekleyin

Durum izleyicisi

Aşağıdaki sütunlara sahip bir tablo göreceksiniz:

Köşe Yazısı Açıklama
Cihaz adı Cihazın adı
Kullanıcı Adı Cihazın birincil kullanıcısı
Algılama durumu Sorunsuz (sertifikalar güncelleştirildi) veya sorunlu (sertifikalar güncelleştirilmedi)
Düzeltme öncesi algılama çıktısı Betikten tam JSON çıktısı
Son değiştirme tarihi Betiğin cihazda en son çalıştırılma zamanı

CSV’ye Aktar

  • Cihaz durumu sayfasında, tablonun en üstünde yer alan Dışarı Aktar düğmesine tıklayın
  • CSV dosyası, her cihaz için tam JSON algılama çıkışı da dahil olmak üzere tüm sütunları indirir
  • Herhangi bir alana göre filtrelemek, sıralamak ve çözümlemek için Excel'de açın

İpucu: Excel'de, daha kolay analiz için algılama çıktısı JSON'unu ayrı sütunlara ayrıştırmak için TEXTJOIN veya JSON işlevlerini kullanabilirsiniz.

Genel Bakış sekmesi

IntuneIntune Overview

Düzeltmedeki Genel Bakış sekmesinde bir özet panosu sağlanır:

Ölçüm Anlamı
Sorunlu cihazlar Sertifikaları henüz güncelleştirilmemiş cihazlar
Sorunsuz cihazlar Sertifikaları güncel olan cihazlar
Algılanamayan cihazlar Betiğin hatayla karşılaştığı cihazlar

Sık Sorulan Sorular

Bu, cihazlarımda herhangi bir şeyi değiştirir mi?

Hayır. Bu, yalnızca algılama betiğidir. Hiçbir kayıt defteri değeri değiştirilmez, hiçbir güncelleştirme tetiklenmez ve hiçbir düzeltme eylemi gerçekleştirilmez. Betik yalnızca değerleri okur ve raporlar.

"Sorunlu" ne anlama geliyor?

"Sorunlu" ifadesi, cihazda henüz 2023 Güvenli Önyükleme sertifikalarının uygulanmadığı ve 2023 imzalı önyükleme yöneticisinin yerinde olmadığı anlamına gelir. Bunun nedeni şunlar olabilir: - Sertifika güncelleştirmesi başlatılmadı - Güncelleştirme devam ediyor ve tamamlanması için yeniden başlatma gerekebilir - Cihazda Güvenli Önyükleme etkin değil - Aygıt UEFI tabanlı değil veya önyükleme yöneticisini uygulamak için yeniden başlatmayı bekliyor.

"Sorunsuz" ne anlama geliyor?

"Sorunsuz", cihazda Güvenli Önyükleme'nin etkinleştirildiği ve 2023 sertifikalarının başarıyla uygulandığını gösteren UEFICA2023Status kayıt defteri değerinin Güncelleştirildiği anlamına gelir.

Betik ne sıklıkta çalışır?

Betik, ödevde yapılandırdığınız zamanlamaya göre çalıştırılır. Dağıtım sırasında etkin izleme için günlük önerilir. Devam eden izleme için haftalık yeterlidir.

Hizmet kayıt defteri anahtarı yoksa ne olur?

HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing anahtarı bir cihazda mevcut değilse UEFICA2023Status alanında NoValue değeri gösterilir. Bu normalde, cihazda sertifika güncelleştirmelerinin başlatılmadığı anlamına gelir.

Hangi lisanslar gereklidir?

Düzeltmeler için Windows 10/11 Kurumsal E3/E5, Eğitim A3/A5 veya F3 lisansları gerekir. Cihazlarınızda yalnızca İş Ekstra veya Pro lisansları varsa Düzeltmeler kullanılamaz. Düzeltmeler için önkoşullara bakın.

Kaynaklar

Güvenli Önyükleme Sertifikası Güncelleştirme Akış Planı

Secure Boot Certificate UpdatesGüncelleştirmeler: Guidance for IT Professionals

Registry Key UpdatesGüncelleştirmeler for Secure Boot

Güvenli Önyükleme DB ve DBX Değişken Güncelleştirme Olayları

TMicrosoft Intunebölümündeki düzeltmeler Microsoft Intune

Düzeltmeler için önkoşullar