Оновлення сертифікатів безпечного завантаження для Azure Virtual Desktop

Застосовується до
Azure Virtual Desktop

Примітка.

  • Дата початкової публікації: 19 лютого 2026 р.
  • Ідентифікатор бази знань: 5080931

Примітка.

Ця стаття містить рекомендації для:

  • AzureAzure Адміністратори віртуального робочого стола керування оновленнями хоста сеансу

  • організації, що використовують віртуальні машини з підтримкою безпечного завантаження для розгортання Azure віртуальних столів

  • Організації, що використовують користувацькі зображення (золоті зображення) для розгортання Azure Virtual Desktop

У цій статті:

Вступ

Безпечне завантаження – це функція захисту мікропрограми інтерфейсу UEFI, яка допомагає забезпечити запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження пристрою. Сертифікати Microsoft Secure Boot, видані у 2011 році, припиняють дію в червні 2026 р. Без оновлених сертифікатів 2023 року пристрої більше не отримуватимуть нові засоби захисту Secure Boot і Boot Manager або засоби захисту від нещодавно виявлених вразливостей на рівні завантаження.

Усі віртуальні машини з підтримкою безпечного завантаження, зареєстровані в службі Azure Virtual Desktop, і користувацькі зображення, які використовуються для їх підготовки, необхідно оновити на сертифікати 2023 року до завершення терміну дії, щоб залишатися захищеними. Перегляд терміну дії сертифікатів безпечного завантаження на пристроях Windows

Чи стосується це середовища Azure Virtual Desktop?

Сценарій Безпечне завантаження активне? Потрібна дія
Хости сеансів
Віртуальна машина з надійним запуском з увімкнутою функцією безпечного завантаження Так Оновлення сертифікатів на хості сеансів
Віртуальна машина надійного запуску з вимкнутим безпечним завантаженням Ні Не потрібно жодних дій
StandardStandard security type VM Ні Не потрібно жодних дій
Віртуальна машина 1-го покоління Не підтримується Не потрібно жодних дій
Золоті образи
AzureAzure Compute Gallery image with Secure Boot enabled Так Оновлення сертифікатів на вихідному зображенні
AzureAzure Compute Gallery image without Trusted Launch Ні Застосування оновлень у вузлі сеансів після розгортання
Кероване зображення (не підтримує надійний запуск) Ні Застосування оновлень у вузлі сеансів після розгортання

Докладні довідкові відомості див. в статті "Оновлення сертифікатів безпечного завантаження: рекомендації для ІТ-фахівців і організацій".

Інвентаризація та моніторинг

Перш ніж діяти, проведіть інвентаризацію середовища, щоб визначити пристрої, які потребують оновлення. Моніторинг важливий, щоб переконатися, що сертифікати було застосовано до крайнього терміну в червні 2026 р., навіть якщо ви покладаєтеся на автоматичне розгортання.  Нижче наведено варіанти визначення, чи потрібно вжити заходів.

Варіант 1. Microsoft Intune Засоби виправлення

Для хостів сеансів, зареєстрованих у Microsoft Intune, можна розгорнути сценарій виявлення за допомогою Intune Remediations (Проактивне виправлення), щоб автоматично збирати відомості про стан сертифіката безпечного завантаження на всьому парку транспортних засобів. Сценарій непомітно запускається на кожному пристрої та повідомляє про стан безпечного завантаження, перебіг оновлення сертифіката та відомості про пристрій на порталі Intune – зміни не вносяться. Результати можна переглянути та експортувати в CSV безпосередньо з Центру адміністрування Intune для аналізу на рівні всього флоту.

Покрокові інструкції з розгортання сценарію виявлення див. в розділі "Моніторинг стану сертифіката безпечного завантаження з Microsoft Intune виправленнями.

Варіант 2. Звіт про стан безпечного завантаження Windows Autopatch

Для особистих хостів постійного сеансу, зареєстрованих за допомогою Windows Autopatch, перейдіть на сторінку IntuneIntune admin>center Звіти> WindowsAutopatch>Покращення> WindowsВкладка>"Звіти" Стан безпечного завантаження. Див. розділ "Звіт про стан безпечного завантаження" в системі Windows Autopatch.

Примітка.

Windows Autopatch підтримує лише персональні постійні віртуальні машини для Azure Virtual Desktop. Хости з кількома сеансами, пуловані непостійні віртуальні машини та віддалене потокове передавання програм не підтримуються. Див. засіб автоматичного виправлення Windows у Azure навантаженні віртуального робочого стола.

Варіант 3: Розділи реєстру для моніторингу автопарку

Використовуйте наявні інструменти керування пристроями для надсилання запиту до цих значень реєстру у вашому автопарку.

Registry Path Клавіша Мета
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Статус Поточний стан розгортання
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Помилка Указує на помилки (не повинно)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Указує на ідентифікатор події (не має існувати)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Доступні оновлення Біти відкладеного оновлення

Докладні відомості про розділ реєстру див. в статті "Оновлення розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-фахівцями".

Варіант 4. Моніторинг журналу подій

Використовуйте наявні засоби керування пристроями для збору та моніторингу цих ідентифікаторів подій із системного журналу подій у вашому автопарку.

Ідентифікатор події Розташування Значення
1808 Система Сертифікати успішно застосовано
1801 Система Стан оновлення або відомості про помилку

Повний список відомостей про подію див. у розділі Події оновлення змінних бази даних безпечного завантаження та DBX.

Варіант 5. Сценарій інвентаризації PowerShell

Запустіть сценарій збору даних про інвентаризацію безпечного завантаження Microsoft, щоб перевірити стан оновлення сертифіката безпечного завантаження. Сценарій збирає кілька точок даних, зокрема стан безпечного завантаження, стан оновлення UEFI CA 2023, версію мікропрограми та активність журналу подій.

Розгортання

Важливо

Незалежно від того, який варіант розгортання ви виберете, ми рекомендуємо перевірити парк пристроїв, щоб переконатися, що сертифікати успішно застосовано до крайнього терміну в червні 2026 року. Для користувацьких зображень див. Золоті міркування про зображення.

Варіант 1. Automatic UpdatesОновлення від Windows UpdateWindows Update (пристрої з високою впевненістю)

Корпорація Майкрософт автоматично оновлює пристрої за допомогою щомісячних оновлень Windows, якщо достатня кількість телеметрії підтверджує успішне розгортання на подібних конфігураціях устаткування.

  • Стан: Увімкнуто за замовчуванням для пристроїв із високою надійністю
  • Жодних дій, якщо ви не хочете відмовитися від реклами
Реєстр HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Клавіша HighConfidenceOptOut = 1 для відмови
Групова політика Конфігурація> комп'ютераАдміністративні шаблони>Компоненти> WindowsБезпечне завантаження>Автоматичне розгортання сертифікатів через Оновлення> Установіть значення "Вимкнуто", щоб відмовитися.

Примітка.

Рекомендація: Навіть якщо ввімкнуто автоматичні оновлення, стежте за хостами сеансів, щоб перевірити, чи застосовуються сертифікати. Не всі пристрої відповідають вимогам для автоматичного розгортання з високою достовірністю.

Докладні відомості див. в статті "Допомога в автоматичному розгортанні".

Варіант 2. IT-Initiated Розгортання

Ініціювати оновлення сертифікатів вручну для негайного або контрольованого розгортання.

Спосіб приготування Документація
Microsoft Intune Microsoft IntuneMicrosoft Intune method
Групова політика Group PolicyГрупова політика Метод Objects (GPO)
Розділи реєстру Спосіб за допомогою розділу реєстру
WinCS CLI API WinCS

Примітка.

  • Не змішуйте методи розгортання, ініційовані ІТ-спеціалістами (наприклад, IntuneIntune і GPO) на одному пристрої. Вони керують тими самими розділами реєстру й можуть конфліктувати.
  • Щоб сертифікати повністю застосувалися, зачекайте приблизно 48 годин і перезапустите пристрій.

Міркування про золотий імідж

Для Azure середовищ віртуального робочого стола, які використовують зображення Azure Обчислювальної галереї з увімкнутою функцією безпечного завантаження, застосуйте оновлення сертифіката безпечного завантаження 2023 до золотого зображення, перш ніж робити його. Застосуйте оновлення одним з описаних вище способів, потім переконайтеся, що сертифікати оновлено, перш ніж узагальнювати:

Примітка.

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Зображення, для яких не ввімкнуто надійний запуск, не можуть отримувати оновлення сертифікатів безпечного завантаження через образ. Це стосується керованих зображень, які не підтримують надійний запуск, і зображень Azure Обчислювальної галереї, для яких надійний запуск не ввімкнуто. Для пристроїв, підготовлених на основі цих зображень, застосуйте оновлення в гостьовій ОС одним із методів, наведених вище.

Відомі проблеми

Обслуговування розділу реєстру не існує

Ознака HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing шлях не існує
Причина На пристрої не ініційовано оновлення сертифікатів
Спосіб усунення проблеми Зачекайте на автоматичне розгортання за допомогою Windows Update або ініціюйте розгортання вручну за допомогою одного з методів розгортання, ініційованого ІТ-спеціалістами

Стан "Виконується" протягом тривалого періоду

Ознака UEFICA2023Status залишається "InProgress" через кілька днів
Причина Для завершення процесу оновлення може знадобитися перезавантаження пристрою
Спосіб усунення проблеми Перезапустіть хост сеансу та знову перевірте стан через 15 хвилин. Якщо проблема не зникне, перегляньте вказівки з виправлення неполадок у розділі "Оновлення бази даних безпечного завантаження" та змінних DBX

UEFICA2023Існує розділ реєстру з помилкою

Ознака UEFICA2023Присутній розділ реєстру помилки
Причина Під час розгортання сертифіката сталася помилка
Спосіб усунення проблеми Докладні відомості див. в системному журналі подій. Керівництва з виправлення неполадок див. в статтях про події змінного оновлення бази даних безпечного завантаження та DBX

Ресурси