Not
- Orijinal Yayın Tarihi: Şubat 18, 2026
- KB Kimliği: 5080921
Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:
- TIntuneIntune kayıtlı Windows cihazlarından Güvenli Önyükleme sertifikası güncelleştirme durumu hakkında görünürlüğe ihtiyaç duyan BT yöneticileri
- Haziran 2026 Güvenli Önyükleme sertifikasının son tarihi için hazırlanan kuruluşlar
- Intune kayıtlı Windows cihazlarında sertifika dağıtımının ilerlemesini izlemek isteyen ekipler
Bu makalede:
- Giriş
- Ön koşullar
- Algılama Komut Dosyası
- TIntuneIntune'da Düzeltme oluşturma
- Sonuçları görüntüleme ve dışarı aktarma
- Sık Sorulan Sorular
- Kaynaklar
Giriş
Microsoft Güvenli Önyükleme sertifikalarının (2011 CA'ları) süresi Haziran 2026 tarihinden itibaren doluyor. Güvenlik güncelleştirmesi desteğinin devam etmesini sağlamak için Güvenli Önyükleme etkinleştirilmiş tüm Windows cihazlarının süresi dolmadan önce 2023 sertifikalarına güncelleştirilmesi gerekir.
Bu kılavuz, Microsoft IntuneMicrosoft Intune Remediations (Proaktif Düzeltmeler) kullanarak yalnızca izleme yaklaşımı sağlar. Algılama komut dosyası, her cihazdan Güvenli Önyükleme ve sertifika durumunu toplar ve Intune portalına geri bildirir; cihazlarda düzeltme eylemi gerçekleştirilmez. Bu, yöneticilere IntuneIntune kayıtlı Windows cihazları genelinde sertifika güncelleştirme ilerleme durumunun merkezi, dışa aktarılabilir bir görünümünü sağlar.
Bu yaklaşım neden kullanılıyor?
| Yararları | Açıklama |
|---|---|
| Cihaz genelinde görünürlük | Tüm gör IntuneIntune kayıtlı Windows cihazının sertifika durumu tek bir yerde |
| Dışa aktarılabilir | Sonuçları doğrudan Intune portalından CSV'ye aktarma |
| Ham kayıt defteri değerleri | Yalnızca başarılı/başarısız değil, gerçek kayıt defteri verilerini de görün |
| Cihaz bağlamı | Üretici, model, BIOS sürümü ve üretici yazılımı türünü içerir |
| Olay günlüğü telemetrisi | Güvenli Önyükleme olay kimliklerini (1801/1808), klasör kimliklerini ve güvenilirlik düzeylerini yakalar |
| Hiç dokunma | SİSTEM olarak sessizce çalışır — kullanıcı etkileşimi gerekmez |
Sertifika güncelleştirmeleriyle ilgili tüm arka plan bilgileri için bkz: Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuz.
Ön koşullar
Algılama betiğini dağıtmadan önce ortamınızın gerekli gereksinimleri karşıladığından emin olun.
Bu çözüm, Microsoft IntuneMicrosoft Intune'daki Düzeltmelerden yararlanır. Ön koşulların tam listesi için Destek sorunlarını algılamak ve düzeltmek için Düzeltmeleri kullanma - Microsoft IntuneMicrosoft Intune bölümüne bakın.
Algılama komut dosyaları
Algılama betiği, her cihazdan kapsamlı Güvenli Önyükleme envanter verileri toplayan ve bunları JSON dizesi olarak çıkaran bir PowerShell betiğidir. Betik aşağıdaki kaynaklardan okur:
Kayıt Defteri — HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ve alt anahtarlarından Güvenli Önyükleme sertifikası güncelleştirme durumu, hizmet anahtarları, cihaz öznitelikleri ve kabul etme/geri çevirme ayarları
WMI/CIM — OS sürümü, son önyükleme zamanı ve anakart donanım bilgileri
Olay günlükleri — Olay Kimlikleri 1801 ve 1808 için sistem olay günlüğü girişleri (Güvenli Önyükleme güncelleştirme olayları)
JSON çıkışı Intune portalında Düzeltmeleri > İzleme > Cihazı durumu > "Ön düzeltme algılama çıkışı" altında görünür ve analiz için CSV'ye aktarılabilir.
Önemli: Bu, yalnızca algılama betiğidir. Cihazda herhangi bir değişiklik yapılmaz. Düzeltme betiği gerekmez.
Betik Dosyasını Oluşturma
Not
ÖNEMLİ Örnek betiği içeren aşağıdaki makale kullanımdan kaldırılmıştır. 12 Mayıs 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesini yüklediyseniz örnek betik cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunabilir.
- Örnek Güvenli Önyükleme envanter veri toplama betiğine gidin (KB5072718)
- Sayfadan tam senaryo içeriğini kopyalama
- Bir metin düzenleyicisi (örneğin, Not Defteri, VS Code) açın ve betiği yapıştırın
- Dosyayı Detect-SecureBootCertUpdateStatus.ps1 olarak kaydedin
TIntuneIntune'da Düzeltme oluşturma
Algılama betiğini Microsoft IntuneMicrosoft Intune'da bir Düzeltme (betik paketi) olarak dağıtmak için bu adımları izleyin.
1. Adım: Betik paketini oluşturma
- TMicrosoft IntuneMicrosoft Intune yönetim merkezinde oturum açın
- Cihaz > Düzeltmelerine Gidin
- Tıkla + Komut dosyası paketi oluştur
2. Adım: Temel Bilgiler
- Temel Bilgiler sekmesinde aşağıdaki ayarları yapılandırın:
| Ayar | Değer |
|---|---|
| Ad | Güvenli Önyükleme Sertifika Durumu İzleyicisi |
| Açıklama | Filo genelinde Güvenli Önyükleme sertifikası güncelleme durumunu izler. Yalnızca algılama — düzeltme eylemi gerçekleştirilmez. |
| Yayımcı | (kuruluşunuzun adı) |
- İleri’ye tıklayın.
3. Adım: Ayarlar
- Ayarlar sekmesinde aşağıdaki ayarları yapılandırın:
| Ayar | Değer | Notlar |
|---|---|---|
| Algılama komut dosyası | Karşıya yükleme Detect-SecureBootCertificateStatus.ps1 | Önceki bölümün senaryosu |
| Düzeltme betik dosyası | (boş bırakın) | Düzeltmeye gerek yoktur — bu yalnızca izlemedir |
| Oturum açmış kimlik bilgilerini kullanarak bu betiği çalıştırın | Hayır | Confirm-SecureBootUEFI ve kayıt defterine erişim sağlamak için SİSTEM olarak çalışır |
| Komut dosyası imza denetimini zorunlu kıl | Hayır | Kuruluşunuz imzalı betikler gerektiriyorsa Evet olarak ayarlayın |
| Betiği 64 bit PowerShell'de çalıştırma | Evet | Confirm-SecureBootUEFI cmdlet ve doğru kayıt defteri okumaları için gereklidir |
- İleri’ye tıklayın.
Adım 4: Kapsam Etiketleri
- Kuruluşunuzun gerektirdiği tüm kapsam etiketlerini ekleyin veya varsayılan olarak bırakın
- İleri’ye tıklayın.
5. Adım: Ödevler
| Ayar | Değer | Notlar |
|---|---|---|
| Atamalar | İzlenecek cihaz gruplarını seçin | Filo genelinde izleme için Tüm cihazları veya hedefli izleme için belirli grupları kullanın |
| Çizelge | İzleme gereksinimlerinize göre yapılandırın | Önerilen: Etkin dağıtım izleme için günde bir kez veya sürekli izleme için haftada bir |
Not: Düzeltmeler, cihazın yapılandırılmış zamanlamasına göre çalışır. İlk çalıştırma, cihazın iade döngüsüne bağlı olarak atamadan sonra 24 saate kadar sürebilir.
İleri’ye tıklayın.
6. Adım: Gözden Geçirme + Oluşturma
- Tüm ayarları gözden geçir
- Oluştur'a tıklayın
Sonuçları görüntüleme ve dışarı aktarma
Sonuçları portalda görüntüleme
- Cihaz > Düzeltmelerine Gidin
- Güvenli Önyükleme Sertifika Durumu İzleyicisi'ne (veya seçtiğiniz ada) tıklayın
- Monitör sekmesini seçin
- Cihaz durumu'na tıklayın
- Sütunlar'a tıklayın ve Düzeltme öncesi algılama çıktısını ekleyin
Aşağıdaki sütunlara sahip bir tablo göreceksiniz:
| Köşe Yazısı | Açıklama |
|---|---|
| Cihaz adı | Cihazın adı |
| Kullanıcı Adı | Cihazın birincil kullanıcısı |
| Algılama durumu | Sorunsuz (sertifikalar güncelleştirildi) veya sorunlu (sertifikalar güncelleştirilmedi) |
| Düzeltme öncesi algılama çıktısı | Betikten tam JSON çıktısı |
| Son değiştirme tarihi | Betiğin cihazda en son çalıştırılma zamanı |
CSV’ye Aktar
- Cihaz durumu sayfasında, tablonun en üstünde yer alan Dışarı Aktar düğmesine tıklayın
- CSV dosyası, her cihaz için tam JSON algılama çıkışı da dahil olmak üzere tüm sütunları indirir
- Herhangi bir alana göre filtrelemek, sıralamak ve çözümlemek için Excel'de açın
İpucu: Excel'de, daha kolay analiz için algılama çıktısı JSON'unu ayrı sütunlara ayrıştırmak için TEXTJOIN veya JSON işlevlerini kullanabilirsiniz.
Genel Bakış sekmesi
Düzeltmedeki Genel Bakış sekmesinde bir özet panosu sağlanır:
| Ölçüm | Anlamı |
|---|---|
| Sorunlu cihazlar | Sertifikaları henüz güncelleştirilmemiş cihazlar |
| Sorunsuz cihazlar | Sertifikaları güncel olan cihazlar |
| Algılanamayan cihazlar | Betiğin hatayla karşılaştığı cihazlar |
Sık Sorulan Sorular
Bu, cihazlarımda herhangi bir şeyi değiştirir mi?
Hayır. Bu, yalnızca algılama betiğidir. Hiçbir kayıt defteri değeri değiştirilmez, hiçbir güncelleştirme tetiklenmez ve hiçbir düzeltme eylemi gerçekleştirilmez. Betik yalnızca değerleri okur ve raporlar.
"Sorunlu" ne anlama geliyor?
"Sorunlu" ifadesi, cihazda henüz 2023 Güvenli Önyükleme sertifikalarının uygulanmadığı ve 2023 imzalı önyükleme yöneticisinin yerinde olmadığı anlamına gelir. Bunun nedeni şunlar olabilir: - Sertifika güncelleştirmesi başlatılmadı - Güncelleştirme devam ediyor ve tamamlanması için yeniden başlatma gerekebilir - Cihazda Güvenli Önyükleme etkin değil - Aygıt UEFI tabanlı değil veya önyükleme yöneticisini uygulamak için yeniden başlatmayı bekliyor.
"Sorunsuz" ne anlama geliyor?
"Sorunsuz", cihazda Güvenli Önyükleme'nin etkinleştirildiği ve 2023 sertifikalarının başarıyla uygulandığını gösteren UEFICA2023Status kayıt defteri değerinin Güncelleştirildiği anlamına gelir.
Betik ne sıklıkta çalışır?
Betik, ödevde yapılandırdığınız zamanlamaya göre çalıştırılır. Dağıtım sırasında etkin izleme için günlük önerilir. Devam eden izleme için haftalık yeterlidir.
Hizmet kayıt defteri anahtarı yoksa ne olur?
HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing anahtarı bir cihazda mevcut değilse UEFICA2023Status alanında NoValue değeri gösterilir. Bu normalde, cihazda sertifika güncelleştirmelerinin başlatılmadığı anlamına gelir.
Hangi lisanslar gereklidir?
Düzeltmeler için Windows 10/11 Kurumsal E3/E5, Eğitim A3/A5 veya F3 lisansları gerekir. Cihazlarınızda yalnızca İş Ekstra veya Pro lisansları varsa Düzeltmeler kullanılamaz. Düzeltmeler için önkoşullara bakın.
Kaynaklar
Güvenli Önyükleme Sertifikası Güncelleştirme Akış Planı
Secure Boot Certificate UpdatesGüncelleştirmeler: Guidance for IT Professionals
Registry Key UpdatesGüncelleştirmeler for Secure Boot
Güvenli Önyükleme DB ve DBX Değişken Güncelleştirme Olayları