Примітка.
- Дата початкової публікації: 18 лютого 2026 р.
- Ідентифікатор бази знань: 5080921
Ця стаття містить рекомендації для:
- ІТ-адміністраторам, яким потрібна перевірка стану оновлення сертифіката безпечного завантаження на пристроях Windows із Intune зареєстрованими
- Організації, які готуються до завершення терміну дії сертифіката безпечного завантаження в червні 2026 р.
- Команди, які хочуть відстежувати перебіг розгортання сертифікатів на своїх пристроях Windows Intune, зареєстрованих
У цій статті:
- Вступ
- Попередні умови
- Сценарій виявлення
- Create the Remediation in IntuneIntune
- Перегляд і експорт результатів
- Запитання й відповіді
- Ресурси
Вступ
Термін дії сертифікатів Microsoft Secure Boot (центрів сертифікації 2011) завершується, починаючи з червня 2026 р. На всіх пристроях Windows з увімкнутою функцією безпечного завантаження необхідно інсталювати сертифікати 2023 року до завершення терміну дії, щоб забезпечити постійну підтримку оновлень системи безпеки.
У цьому посібнику представлено підхід, що базується лише на моніторингу з використанням Microsoft Intune Remediations (Проактивне виправлення). Сценарій виявлення збирає відомості про безпечне завантаження та стан сертифіката з кожного пристрою та повідомляє про це порталу Intune – на пристроях не виконується жодних дій щодо виправлення. Це дає адміністраторам можливість централізованого перегляду перебігу оновлення сертифікатів на пристроях Windows, Intune зареєстрованих.
Навіщо використовувати такий підхід?
| Користь | Опис |
|---|---|
| Видимість на рівні пристрою | Перегляд усіх Intune зареєстрованих станів сертифіката пристрою Windows в одному розташуванні |
| Можливість експорту | Експорт результатів у CSV-файл безпосередньо з порталу Intune |
| Необроблені значення реєстру | Перегляд фактичних даних реєстру, а не лише даних проходження/помилки |
| Контекст пристрою | Включає виробника, модель, версію BIOS і тип мікропрограми |
| Телеметрія журналу подій | Записує ідентифікатори подій безпечного завантаження (1801/1808), ідентифікатори блоків і рівні достовірності. |
| Нульовий дотик | Працює без шуму як SYSTEM – взаємодія з користувачем не потрібна |
Докладні довідкові відомості про оновлення сертифікатів див. в статті "Оновлення сертифікатів безпечного завантаження: рекомендації для ІТ-фахівців і організацій".
Попередні умови
Перш ніж розгортати сценарій виявлення, переконайтеся, що середовище відповідає необхідним вимогам.
У цьому рішенні використовуються функції виправлення в Microsoft IntuneMicrosoft Intune. Повний список обов'язкових вимог див. в розділі "Використання засобів виправлення для виявлення й вирішення проблем із підтримкою - Microsoft IntuneMicrosoft Intune".
Сценарії виявлення
Сценарій виявлення – це сценарій PowerShell, який збирає вичерпні дані інвентаризації безпечного завантаження з кожного пристрою та виводить їх у вигляді рядка JSON. Сценарій читається з таких джерел:
Реєстр — стан оновлення сертифіката безпечного завантаження, ключі обслуговування, атрибути пристрою та параметри згоди/відмови від HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot та його підрозділів
WMI/CIM – версія ОС, час останнього завантаження та відомості про обладнання плінтуса
Журнали подій – записи в системному журналі подій для подій з ідентифікаторами 1801 та 1808 (подій оновлення безпечного завантаження)
Вихідні дані JSON відображаються на порталі Intune в розділі "Стан > пристрою > моніторингу виправлень" > "Pre-remediation detection output" (Вихідні дані виявлення попереднього виправлення) і можуть бути експортовані до файлу CSV для аналізу.
Важливо: Цей сценарій призначений лише для виявлення помилки. Зміни до пристрою не вносяться. Сценарій виправлення не потрібен.
Створення файлу сценарію
Примітка.
ВАЖЛИВО Наведену нижче статтю зі зразком сценарію застаріло. Якщо ви інсталювали оновлення Windows, випущене 12 травня 2026 р. або пізніше, зразок сценарію можна знайти в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої.
- Перейдіть до зразка сценарію збору даних інвентаризації безпечного завантаження (KB5072718)
- Копіювання повного вмісту сценарію зі сторінки
- Відкрийте текстовий редактор (наприклад, Блокнот, VS-код) і вставте сценарій
- Збереження файлу як Detect-SecureBootCertUpdateStatus.ps1
Create the Remediation in IntuneIntune
Щоб розгорнути сценарій виявлення як пакет сценаріїв у Microsoft Intune, виконайте наведені нижче дії.
Крок 1. Створення пакета сценаріїв
- Вхід у Центр адміністрування Microsoft Intune
- Перейдіть до розділу "Виправлення для пристроїв">
- Клацніть + Створити пакет сценаріїв
Крок 2. Основи
- На вкладці " Основи" налаштуйте такі параметри:
| Параметр | Value (Значення) |
|---|---|
| Ім’я | Монітор стану сертифіката безпечного завантаження |
| Опис | Відстежує стан оновлення сертифіката безпечного завантаження по всьому парку. Лише виявлення — жодних дій із виправлення не виконується. |
| Publisher | (назва організації) |
- Натисніть Далі.
Крок 3. Налаштування параметрів
- На вкладці "Параметри " налаштуйте такі параметри:
| Параметр | Value (Значення) | Примітки |
|---|---|---|
| Файл сценарію виявлення | Передати Detect-SecureBootCertificateStatus.ps1 | Сценарій із попереднього розділу |
| Файл сценарію виправлення | (залиште пустим) | Виправлення не потрібне — це лише моніторинг |
| Запустіть цей сценарій, використовуючи облікові дані, які виконано в системі | Ні | Запускається як SYSTEM для забезпечення доступу до Confirm-SecureBootUEFI та реєстру |
| Примусова перевірка підписів сценаріїв | Ні | Установіть значення " Так ", якщо ваша організація вимагає підписаних сценаріїв |
| Виконання сценарію в 64-розрядній версії PowerShell | Ні | Обов'язковий для Confirm-SecureBootUEFI командлета та точного читання реєстру |
- Натисніть Далі.
Крок 4. Теги області
- Додайте позначки областей, необхідні вашій організації, або залиште стандартними
- Натисніть Далі.
Крок 5. Призначення
| Параметр | Value (Значення) | Примітки |
|---|---|---|
| Команди | Виберіть групи пристроїв для моніторингу | Використовуйте всі пристрої для моніторингу автопарку або окремі групи для цілеспрямованого моніторингу |
| Розклад | Налаштування відповідно до потреб моніторингу | Рекомендовано: один раз на день для активного відстеження впровадження або раз на тиждень для поточного моніторингу |
Примітка. Виправлення виконуються за налаштованим розкладом пристрою. Перший запуск може тривати до 24 годин після призначення залежно від циклу реєстрації пристрою.
Натисніть Далі.
Крок 6. Рецензування+створення
- Перегляд усіх параметрів
- Натисніть кнопку "Створити"
Перегляд і експорт результатів
Перегляд результатів на порталі
- Перейдіть до розділу "Виправлення для пристроїв">
- Натисніть " Монітор стану сертифіката безпечного завантаження " (або ім'я, яке ви вибрали)
- Вибрати вкладку "Монітор "
- Клацніть пункт "Стан пристрою"
- Клацніть "Стовпці" й додайте результати виявлення попереднього виправлення
Відобразиться таблиця з такими стовпцями:
| Стовпець | Опис |
|---|---|
| Ім'я пристрою | Ім'я пристрою |
| Ім’я користувача | Основний користувач пристрою |
| Стан виявлення | Без проблем (сертифікати оновлено) або з питаннями (сертифікати не оновлено) |
| Вихідні дані виявлення попереднього виправлення | повний вихід JSON сценарію. |
| Востаннє змінено | дата останнього запуску сценарію на пристрої; |
Експорт до CSV-файлу
- На сторінці "Стан пристрою" вгорі таблиці натисніть кнопку "Експорт "
- CSV-файл завантажить усі стовпці, зокрема повний вихід виявлення JSON для кожного пристрою.
- Відкриття в Excel для фільтрування, сортування та аналізу за будь-яким полем
Порада. У програмі Excel можна скористатися функціями TEXTJOIN або JSON, щоб розділити вихідні дані виявлення у форматі JSON на окремі стовпці для легшого аналізу.
Вкладка "Огляд"
На вкладці "Огляд " у розділі "Виправлення" міститься зведена приладна дошка.
| Метрична система показників | Значення |
|---|---|
| Пристрої з проблемами | Пристрої, на яких сертифікати ще не оновлено |
| Пристрої без проблем | Пристрої, на яких оновлюються сертифікати |
| Пристрої з невдало виявленим | Пристрої, на яких сталася помилка сценарію |
Запитання й відповіді
Чи зміниться щось це на моїх пристроях?
Ні. Цей сценарій призначений лише для виявлення помилки. Жодні значення реєстру не змінюються, оновлення не ініціюються, а дії з виправлення не виконуються. Сценарій лише читає значення та повідомляє про них.
Що означає «З питанням»?
"З проблемою" означає, що на пристрої ще не застосовано сертифікати безпечного завантаження 2023 року та диспетчер завантаження, підписаний у 2023 році. Можливі причини: - Оновлення сертифіката не ініційовано. - Оновлення триває, і для його виконання може знадобитися перезавантаження; - Безпечне завантаження не ввімкнуто на пристрої - Пристрій не працює на базі UEFI або очікує на перезавантаження, щоб застосувати диспетчер завантаження.
Що означає «Без проблем»?
"Без проблем" означає, що на пристрої ввімкнуто безпечне завантаження та значення реєстру UEFICA2023Status оновлено, що вказує на те, що сертифікати 2023 року успішно застосовано.
Як часто запускається сценарій?
Сценарій запускається за розкладом, визначеним у завданні. Для активного моніторингу під час розгортання рекомендовано щоденно. Для постійного моніторингу достатньо щотижневого.
Що робити, якщо розділу реєстру обслуговування не існує?
Якщо ключа HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing не існує на пристрої, у полі UEFICA2023Status відображатиметься NoValue. Зазвичай це означає, що оновлення сертифікатів не ініційовано на пристрої.
Які ліцензії потрібні?
Для виправлення потрібні ліцензії Windows 10/11 для підприємств E3/E5, Education A3/A5 або F3. Якщо для ваших пристроїв доступні лише ліцензії Business Premium або Pro, засоби виправлення будуть недоступні. Перегляньте передумови для виправлення.
Ресурси
Посібник з оновлення сертифікатів безпечного завантаження
Сертифікат безпечного завантаження Оновлення: рекомендації для ІТ-фахівців
Розділ реєстру Оновлення для безпечного завантаження
Події оновлення змінних баз даних безпечного завантаження та DBX