Моніторинг стану сертифіката безпечного завантаження з виправленнями Microsoft Intune
Застосовується до
Вихідна дата публікації: 18 лютого 2026 р.
Ідентифікатор KB: 5080921
У цій статті наведено рекомендації щодо:
-
ІТ-адміністратори, яким потрібна видимість у стані оновлення сертифіката безпечного завантаження зі своїх Intune зареєстрованих пристроїв Windows
-
Організації готуються до завершення терміну дії сертифіката безпечного завантаження за червень 2026 р.
-
Teams, які хочуть відстежувати перебіг розгортання сертифікатів на пристроях Intune зареєстрованих Windows
У цій статті:
Вступ
Термін дії сертифікатів захищеного завантаження Microsoft (CAs 2011) завершується з червня 2026 року. Перед завершенням терміну дії всі пристрої Windows із увімкнутим безпечним завантаженням потрібно оновити до сертифікатів 2023 року, щоб забезпечити подальшу підтримку оновлень системи безпеки.
Цей посібник забезпечує підхід лише для моніторингу з використанням Microsoft Intune виправлень (проактивних виправлень). Сценарій виявлення збирає стан безпечного завантаження та сертифіката з кожного пристрою та повідомляє про це на порталі Intune – на пристроях не виконується жодна дія з виправлення. Це дає адміністраторам централізоване подання перебігу оновлення сертифіката, доступного для експорту, на Intune зареєстрованих пристроях Windows.
Навіщо використовувати такий підхід?
|
Користь |
Опис |
|---|---|
|
Видимість на рівні пристрою |
Перегляд стану сертифіката кожного Intune зареєстрованого пристрою Windows в одному місці |
|
Експортувати |
Експорт результатів до CSV безпосередньо з порталу Intune |
|
Необроблені значення реєстру |
Перегляд фактичних даних реєстру, а не лише передавання/невдача |
|
Контекст пристрою |
Включає виробника, модель, версію BIOS і тип мікропрограми |
|
Телеметрія журналу подій |
Записує ідентифікатори подій безпечного завантаження (1801/1808), ідентифікатори сегментів і рівні достовірності |
|
Нульове сенсорне керування |
Автоматично запускається як СИСТЕМА – взаємодія з користувачем не потрібна |
Докладні відомості про оновлення сертифіката див. в статті Оновлення сертифіката безпечного завантаження: інструкції для ІТ-фахівців і організацій.
Обов’язкові вимоги
Перш ніж розгортати сценарій виявлення, переконайтеся, що середовище відповідає необхідним вимогам.
Це рішення використовує виправлення в Microsoft Intune. Повний список передумов див. в статті Виявлення та усунення проблем із підтримкою за допомогою виправлень – Microsoft Intune.
Сценарії виявлення
Сценарій виявлення – це сценарій PowerShell, який збирає комплексні дані про запаси безпечного завантаження з кожного пристрою та виводить їх як рядок JSON. Сценарій читається з таких джерел:
Registry – стан оновлення сертифіката безпечного завантаження, ключі обслуговування, атрибути пристрою та параметри opt-in/opt-out від HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot та його підрозділів
WMI/CIM – версія ОС, час останнього завантаження та відомості про апаратне забезпечення базової плати
Журнали подій – записи журналу системних подій для ідентифікаторів подій 1801 і 1808 (події оновлення безпечного завантаження)
Вивід JSON відображається на порталі Intune в розділі Виправлення > Монітор > Стан пристрою > "Вивід виявлення попереднього виправлення", і його можна експортувати в CSV для аналізу.
Важливо: Це сценарій, доступний лише для виявлення. На пристрої не внесено жодних змін. Сценарій виправлення не потрібен.
Створення файлу сценарію
-
Перейдіть до сценарію збирання даних зразка реєстру безпечного завантаження (KB5072718)
-
Копіювання повного вмісту сценарію зі сторінки
-
Відкрийте текстовий редактор (наприклад, Блокнот, код VS) і вставте сценарій
-
Зберегти файл як Detect-SecureBootCertUpdateStatus.ps1
Створення виправлення в Intune
Виконайте наведені нижче дії, щоб розгорнути сценарій виявлення як виправлення (пакет сценаріїв) у Microsoft Intune.
Крок 1. Створення пакета сценаріїв
-
Перейдіть до розділу Пристрої > виправлення
-
Click + Create script package
Крок 2. Основи роботи
-
Настройте такі параметри на вкладці Основи:
|
Параметр |
Значення |
|---|---|
|
Ім’я |
Монітор стану сертифіката безпечного завантаження |
|
Опис |
Відстежує стан оновлення сертифіката безпечного завантаження по всьому флоту. Лише виявлення– не виконується жодних дій із виправлення. |
|
Publisher |
(назва вашої організації) |
-
Натисніть кнопку "Далі"
Крок 3. Настройки
-
Настройте такі параметри на вкладці Параметри:
|
Параметр |
Значення |
Примітки |
|---|---|---|
|
Файл сценарію виявлення |
Передати Detect-SecureBootCertificateStatus.ps1 |
Сценарій із попереднього розділу |
|
Файл сценарію відновлення |
(залиште пустим) |
Виправлення не потрібне – це лише моніторинг |
|
Виконайте цей сценарій, використовуючи облікові дані, що ввійшли |
Ні |
Запускається як СИСТЕМА для забезпечення доступу до Confirm-SecureBootUEFI та реєстру |
|
Примусова перевірка підпису сценарію |
Ні |
Установити значення "Так", якщо ваша організація вимагає підписаних сценаріїв |
|
Виконання сценарію в 64-розрядній версії PowerShell |
Так |
Обов'язково для командлета Confirm-SecureBootUEFI і точних читань реєстру |
-
Натисніть кнопку "Далі"
Крок 4. Теги області
-
Додайте будь-які теги області, необхідні для вашої організації, або залиште їх за замовчуванням
-
Натисніть кнопку "Далі"
Крок 5. Призначення
|
Параметр |
Значення |
Примітки |
|---|---|---|
|
Команди |
Виберіть групи пристроїв для моніторингу |
Використання всіх пристроїв для моніторингу на рівні флоту або певних груп для цільового моніторингу |
|
Планування |
Налаштування для своїх потреб моніторингу |
Рекомендовано: один раз на день для активного відстеження розгортання або один раз на тиждень для поточного моніторингу |
Примітка. Виправлення виконуються на застроєному розкладі пристрою. Перший запуск може тривати до 24 годин після призначення залежно від циклу реєстрації пристрою.
Натисніть кнопку "Далі"
Крок 6. Рецензування та створення
-
Переглянути всі настройки
-
Натисніть кнопку "Створити"
Перегляд і експорт результатів
Перегляд результатів на порталі
-
Перейдіть до розділу Пристрої > виправлення
-
Клацніть монітор стану сертифіката безпечного завантаження (або вибране ім'я)
-
Перейдіть на вкладку Монітор
-
Натисніть кнопку Стан пристрою
-
Натисніть кнопку Стовпці та додайте результат виявлення попереднього виправлення
Відобразиться таблиця з такими стовпцями:
|
Стовпець |
Опис |
|---|---|
|
Ім'я пристрою |
Ім'я пристрою |
|
Ім'я користувача |
Основний користувач пристрою |
|
Стан виявлення |
Без проблем (сертифікати оновлено) або з проблемою (сертифікати не оновлено) |
|
Вивід виявлення попереднього виправлення |
Повний вивід JSON зі сценарію |
|
Востаннє змінено |
Під час останнього запуску сценарію на пристрої |
Експорт до CSV-файлу
-
На сторінці "Стан пристрою" натисніть кнопку "Експорт" у верхній частині таблиці.
-
CSV-файл завантажить усі стовпці, включно з повним виводом виявлення JSON для кожного пристрою
-
Відкриття в Excel для фільтрування, сортування та аналізу за будь-яким полем
Порада. В Excel можна використовувати функції TEXTJOIN або JSON, щоб проаналізувати результат виявлення JSON в окремі стовпці, щоб спростити аналіз.
Вкладка "Огляд"
На вкладці "Огляд" у розділі "Виправлення" наведено прикладну приладну дошку:
|
Метричні |
Значення |
|---|---|
|
Пристрої з проблемами |
Пристрої, на яких ще не оновлено сертифікати |
|
Пристрої без проблем |
Пристрої, на яких оновлено сертифікати |
|
Пристрої з невдалим виявленням |
Пристрої, на яких сценарій виявив помилку |
Запитання й відповіді
Чи змінює це щось на моїх пристроях?
Ні. Це сценарій, доступний лише для виявлення. Значення реєстру не змінюються, оновлення не активуються та не виконуються жодні дії з виправлення. Сценарій лише читає значення та повідомляє про них.
Що означає "З проблемою"?
"З проблемою" означає, що на пристрої ще немає застосованих сертифікатів безпечного завантаження 2023 і диспетчер завантаження з підписом 2023. Це може полягає в тому, що: - Оновлення сертифіката не ініційовано – оновлення триває, і для завершення може знадобитися перезавантаження – безпечне завантаження не ввімкнуто на пристрої – пристрій не базується на UEFI або чекає перезавантаження, щоб застосувати диспетчер завантаження.
Що означає "Без проблем"?
"Без проблем" означає, що на пристрої ввімкнуто безпечне завантаження, а значення реєстру UEFICA2023Status оновлюється, що вказує на успішне застосування сертифікатів 2023.
Як часто виконується сценарій?
Сценарій виконується за розкладом, який ви налаштовуєте в призначенні. Для активного моніторингу під час розгортання рекомендовано щоденно. Для постійного моніторингу достатньо щотижнево.
Що робити, якщо розділ реєстру обслуговування не існує?
Якщо ключ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing не існує на пристрої, у полі UEFICA2023Status відображатиметься значення NoValue. Зазвичай це означає, що оновлення сертифіката не ініційовано на пристрої.
Які ліцензії потрібні?
Щоб виправити це, потрібно Windows 10/11 Для підприємств E3/E5, Education A3/A5 або F3. Якщо на ваших пристроях є лише ліцензії "Business преміум" або "Pro", виправлення будуть недоступні. Див. статтю Обов'язкові умови для виправлення.
Ресурси
План оновлення сертифіката безпечного завантаження
Оновлення сертифіката безпечного завантаження: рекомендації для ІТ-фахівців
Оновлення розділу реєстру для безпечного завантаження
Події оновлення змінних оновлення бази даних безпечного завантаження та DBX
Потрібна додаткова довідка?
Потрібні додаткові параметри?
Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.
Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.
