Cấp chứng chỉ Khởi động An Cập nhật cho Azure Nền Ảo
Áp dụng cho
Ngày phát hành ban đầu: Ngày 19 tháng 2 năm 2026
ID KB: 5080931
Bài viết này có hướng dẫn về:
-
Azure quản trị viên Máy tính Ảo quản lý bản cập nhật máy chủ phiên
-
Các tổ chức sử dụng máy ảo hỗ trợ Khởi động An toàn để triển Azure Bàn làm việc Ảo
-
Các tổ chức sử dụng hình ảnh tùy chỉnh (hình ảnh vàng) Azure triển khai Màn hình nền Ảo
Trong bài viết này:
Giới thiệu
Khởi động An toàn là một tính năng bảo mật vi chương trình UEFI giúp đảm bảo chỉ phần mềm được ký điện tử đáng tin cậy chạy trong quá trình khởi động thiết bị. Chứng chỉ Khởi động An toàn của Microsoft được cấp vào năm 2011 sẽ bắt đầu hết hạn vào tháng 6 năm 2026. Nếu không có chứng chỉ được cập nhật năm 2023, thiết bị sẽ không còn nhận được các biện pháp bảo vệ hoặc giảm nhẹ Trình quản lý Khởi động và Khởi động An toàn mới cho các lỗ hổng mức khởi động mới được phát hiện.
Tất cả các máy ảo hỗ trợ Khởi động An toàn được đăng ký trong dịch vụ Azure Virtual Desktop và hình ảnh tùy chỉnh được sử dụng để cung cấp chúng, phải được cập nhật lên chứng chỉ 2023 trước khi hết hạn để tiếp tục được bảo vệ. Xem Khi chứng chỉ Khởi động An toàn hết hạn trên các thiết bị Windows
Điều này có áp dụng cho môi trường Màn Azure nền Ảo của tôi không?
|
Kịch bản |
Khởi động An toàn Hoạt động? |
Yêu cầu Hành động |
|
Người chủ trì Phiên |
||
|
Khởi chạy Máy ảo Đáng tin cậy có bật Khởi động An toàn |
Có |
Cập nhật chứng chỉ trên máy chủ phiên |
|
Máy ảo Ra mắt Đáng tin cậy với Khởi động An toàn bị vô hiệu hóa |
Không |
Không cần hành động nào |
|
Standard máy ảo loại bảo mật |
Không |
Không cần hành động nào |
|
Thế hệ 1 VM |
Không hỗ trợ |
Không cần hành động nào |
|
Hình ảnh Vàng |
||
|
Azure bộ sưu tập Tính toán với Khởi động An toàn được bật |
Có |
Ảnh Cập nhật chứng chỉ trong nguồn |
|
Azure bộ sưu tập Tính toán mà không có Khởi động Tin cậy |
Không |
Áp dụng các bản cập nhật trong máy chủ phiên sau khi triển khai |
|
Ảnh được quản lý (không hỗ trợ Khởi chạy Tin cậy) |
Không |
Áp dụng các bản cập nhật trong máy chủ phiên sau khi triển khai |
Để biết thông tin cơ bản đầy đủ, hãy xem cập nhật chứng chỉ Khởi động An toàn: Hướng dẫn dành cho các chuyên gia CNTT và tổ chức.
Thư mục và Màn hình
Trước khi thực hiện hành động, hãy kiểm kê môi trường của bạn để xác định các thiết bị yêu cầu cập nhật. Giám sát là cần thiết để xác nhận chứng chỉ được áp dụng trước hạn chót tháng 6 năm 2026— ngay cả khi bạn dựa vào phương pháp triển khai tự động. Dưới đây là các tùy chọn để xác định xem có cần thực hiện hành động hay không.
Tùy chọn 1: Microsoft Intune sửa chữa
Đối với người chủ trì phiên đăng ký Microsoft Intune, bạn có thể triển khai một tập lệnh phát hiện bằng cách sử dụng khắc phục Intune (Khắc phục Chủ động) để tự động thu thập trạng thái chứng chỉ Khởi động An toàn trên toàn đội tàu của bạn. Tập lệnh chạy âm thầm trên mỗi thiết bị và báo cáo trạng thái Khởi động An toàn, tiến trình cập nhật chứng chỉ và chi tiết thiết bị quay lại cổng thông tin Intune — không có thay đổi nào được thực hiện đối với các thiết bị. Kết quả có thể được xem và xuất sang CSV trực tiếp từ trung tâm quản Intune để phân tích toàn đội tàu.
Để biết hướng dẫn từng bước về việc triển khai tập lệnh phát hiện, hãy xem mục Giám sát Trạng thái Chứng chỉ Khởi động An toàn với Microsoft Intune hồi.
Tùy chọn 2: Báo cáo Trạng thái Khởi động An toàn của Windows Autopatch
Đối với các máy chủ phiên liên tục cá nhân đã đăng ký với Tự động điều khiển Windows, hãy đi tới trung tâm quản trị Intune > > Báo cáo > Tự động gửi windows > cập nhật chất lượng Windows > tab Báo cáo > trạng thái Khởi động An toàn. Xem Báo cáo trạng thái Khởi động An toàn trong Windows Autopatch.
Lưu ý: Windows Autopatch chỉ hỗ trợ các máy ảo liên tục cá nhân Azure Bàn làm việc Ảo. Máy chủ nhiều phiên, máy ảo không liên tục được gắp chung và phát trực tuyến ứng dụng từ xa không được hỗ trợ. Xem Tự động điều chỉnh Windows trên Azure lượng công việc Màn hình nền Ảo.
Tùy chọn 3: Khóa Đăng ký để Giám sát Đội tàu
Sử dụng các công cụ quản lý thiết bị hiện có của bạn để truy vấn các giá trị đăng ký này trên toàn đội tàu của bạn.
|
Đường dẫn Đăng ký |
Khóa |
Mục đích |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Trạng thái triển khai hiện tại |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Cho biết lỗi (không nên tồn tại) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Chỉ rõ ID Sự kiện (không nên tồn tại) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bit cập nhật đang chờ xử lý |
Để biết chi tiết về khóa đăng ký đầy đủ, hãy xem Các bản cập nhật khóa đăng ký cho Khởi động An toàn: Thiết bị Windows có bản cập nhật do CNTT quản lý.
Tùy chọn 4: Giám sát Nhật ký Sự kiện
Sử dụng các công cụ quản lý thiết bị hiện có của bạn để thu thập và giám sát các ID sự kiện này từ nhật ký sự kiện Hệ thống trên toàn đội tàu của bạn.
|
ID Sự kiện |
Vị trí |
Ý nghĩa |
|
1808 |
Hệ thống |
Chứng chỉ được áp dụng thành công |
|
1801 |
Hệ thống |
Cập nhật trạng thái hoặc chi tiết lỗi |
Để biết danh sách đầy đủ các chi tiết sự kiện, hãy xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX.
Tùy chọn 5: Tập lệnh Kiểm kê PowerShell
Chạy tập lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn mẫu của Microsoft để kiểm tra trạng thái cập nhật chứng chỉ Khởi động An toàn. Tập lệnh thu thập một số điểm dữ liệu bao gồm trạng thái Khởi động An toàn, trạng thái cập nhật UEFI CA 2023, phiên bản vi chương trình và hoạt động nhật ký sự kiện.
Triển khai
Quan trọng: Bất kể bạn chọn tùy chọn triển khai nào, chúng tôi khuyên bạn nên giám sát đội tàu thiết bị của mình để xác nhận chứng chỉ được áp dụng thành công trước thời hạn tháng 6 năm 2026. Đối với hình ảnh tùy chỉnh, hãy xem Những điều cần cân nhắc về Hình ảnh Vàng.
Tùy chọn 1: Tùy chọn Cập nhật động từ Windows Update (Thiết bị Tin cậy Cao)
Microsoft tự động cập nhật thiết bị thông qua các bản cập nhật windows hàng tháng khi có đủ dữ liệu đo từ xa xác nhận triển khai thành công trên các cấu hình phần cứng tương tự.
-
Trạng thái: Được bật theo mặc định cho thiết bị có độ tin cậy cao
-
Không yêu cầu hành động nào trừ khi bạn muốn chọn không tham gia
|
Registry |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Khóa |
HighConfidenceOptOut = 1 để chọn không tham gia |
|
Chính sách Nhóm |
Cấu hình Máy tính > Mẫu Quản > phần Windows > Khởi động An toàn > Triển khai Chứng chỉ Tự động thông qua Cập nhật > Đặt thành Tắt để chọn không tham gia. |
Khuyến nghị: Ngay cả khi đã bật cập nhật tự động, hãy giám sát máy chủ phiên của bạn để xác minh chứng chỉ được áp dụng. Không phải tất cả các thiết bị đều có thể đủ điều kiện để triển khai tự động với độ tin cậy cao.
Để biết thêm thông tin, hãy xem Mục Hỗ trợ triển khai tự động.
Tùy chọn 2: Triển IT-Initiated triển khai
Kích hoạt thủ công các bản cập nhật chứng chỉ để triển khai ngay lập tức hoặc có kiểm soát.
|
Phương pháp |
Tài liệu |
|
Microsoft Intune |
|
|
Chính sách Nhóm |
|
|
Khóa Đăng ký |
|
|
WinCS CLI |
Lưu ý:
-
Không kết hợp các phương pháp triển khai do bộ máy IT khởi tạo (ví dụ: Intune và GPO) trên cùng một thiết bị—chúng kiểm soát cùng một khóa đăng ký và có thể xung đột.
-
Cho phép khoảng 48 giờ và một hoặc nhiều lần khởi động lại để áp dụng đầy đủ các chứng chỉ.
Những điều cần cân nhắc về Hình ảnh Vàng
Đối với Azure môi trường Máy tính Ảo bằng Azure Hình ảnh Bộ sưu tập Tính toán có bật Khởi động An toàn, hãy áp dụng bản cập nhật chứng chỉ Khởi động An toàn năm 2023 cho hình ảnh vàng trước khi chụp. Sử dụng một trong các phương pháp được mô tả ở trên để áp dụng bản cập nhật, sau đó xác minh chứng chỉ được cập nhật trước khi tổng quát:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Hình ảnh không được bật Khởi chạy Tin cậy không thể nhận được cập nhật chứng chỉ Khởi động An toàn thông qua hình ảnh. Điều này bao gồm các hình ảnh được quản lý, vốn không hỗ trợ Khởi chạy Tin cậy và Azure hình ảnh của Bộ sưu tập Tính toán khi Khởi chạy Tin cậy không được bật. Đối với các thiết bị được cung cấp từ các hình ảnh này, hãy áp dụng các bản cập nhật trong HĐH khách bằng một trong các phương pháp ở trên.
Sự cố đã biết
Khóa đăng ký dịch vụ không tồn tại
|
Triệu chứng |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|
Nguyên nhân |
Bản cập nhật chứng chỉ chưa được khởi tạo trên thiết bị |
|
Giải pháp |
Chờ triển khai tự động thông qua Windows Update hoặc khởi tạo theo cách thủ công bằng cách sử dụng một trong các phương pháp triển khai được khởi tạo bởi IT ở trên |
Trạng thái hiển thị "InProgress" trong khoảng thời gian dài
|
Triệu chứng |
UEFICA2023Status vẫn còn "InProgress" sau nhiều ngày |
|
Nguyên nhân |
Thiết bị có thể cần khởi động lại để hoàn tất quá trình cập nhật |
|
Giải pháp |
Khởi động lại máy chủ phiên và kiểm tra lại trạng thái sau 15 phút. Nếu sự cố vẫn tiếp diễn, hãy xem Sự kiện cập nhật biến đổi Khởi động An toàn DB và DBX để biết hướng dẫn khắc phục sự cố |
Khóa đăng ký UEFICA2023Error tồn tại
|
Triệu chứng |
Khóa đăng ký UEFICA2023Error có mặt |
|
Nguyên nhân |
Đã xảy ra lỗi trong khi triển khai chứng chỉ |
|
Giải pháp |
Kiểm tra Nhật ký sự kiện hệ thống để biết chi tiết. Xem Sự kiện cập nhật biến DB và Khởi động An toàn để biết hướng dẫn khắc phục sự cố |
Tài nguyên
Bạn cần thêm trợ giúp?
Bạn muốn xem các tùy chọn khác?
Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.
Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.
