Cấp chứng chỉ Khởi động An Cập nhật cho Windows 365
Ngày phát hành ban đầu: Ngày 19 tháng 2 năm 2026
ID KB: 5080914
Bài viết này có hướng dẫn về:
-
Windows 365 quản trị viên quản lý PC đám mây.
-
Các tổ chức sử dụng Tính năng Khởi động An toàn cho PC đám mây để Windows 365 triển khai.
-
Các tổ chức sử dụng hình ảnh tùy chỉnh để Windows 365 triển khai.
Trong bài viết này:
Giới thiệu
Khởi động An toàn là một tính năng bảo mật vi chương trình UEFI giúp đảm bảo chỉ phần mềm được ký điện tử đáng tin cậy chạy trong quá trình khởi động thiết bị. Chứng chỉ Khởi động An toàn của Microsoft được cấp vào năm 2011 sẽ bắt đầu hết hạn vào tháng 6 năm 2026. Nếu không có chứng chỉ được cập nhật năm 2023, thiết bị sẽ không còn nhận được các biện pháp bảo vệ hoặc giảm nhẹ Trình quản lý Khởi động và Khởi động An toàn mới cho các lỗ hổng mức khởi động mới được phát hiện.
Tất cả CÁC PC Đám mây hỗ trợ Khởi động An toàn được cung cấp trong dịch vụ Windows 365 và hình ảnh tùy chỉnh được sử dụng để cung cấp chúng, phải được cập nhật lên chứng chỉ 2023 trước khi hết hạn để tiếp tục được bảo vệ. Xem Khi chứng chỉ Khởi động An toàn hết hạn trên các thiết bị Windows.
Điều này có áp dụng cho môi trường Windows 365 của tôi không?
|
Kịch bản |
Khởi động An toàn Hoạt động? |
Yêu cầu Hành động |
|
PC trên nền tảng điện toán đám mây |
||
|
Pc đám mây có bật Khởi động An toàn |
Có |
Cập nhật chứng chỉ trên PC Đám mây |
|
Đã tắt Cloud PC có Khởi động An toàn |
Không |
Không cần hành động nào |
|
Hình ảnh |
||
|
Azure bộ sưu tập Tính toán với Khởi động An toàn được bật |
Có |
Cập nhật chứng chỉ trong ảnh nguồn trước khi tổng quát |
|
Azure bộ sưu tập Tính toán mà không có Khởi động Tin cậy |
Không |
Áp dụng các bản cập nhật trong Cloud PC sau khi cung cấp |
|
Ảnh được quản lý (không hỗ trợ Khởi chạy Tin cậy) |
Không |
Áp dụng các bản cập nhật trong Cloud PC sau khi cung cấp |
Để biết thông tin cơ bản đầy đủ, hãy xem cập nhật chứng chỉ Khởi động An toàn: Hướng dẫn dành cho các chuyên gia CNTT và tổ chức.
Thư mục và Màn hình
Trước khi thực hiện hành động, hãy kiểm kê môi trường của bạn để xác định các thiết bị yêu cầu cập nhật. Giám sát là cần thiết để xác nhận chứng chỉ được áp dụng trước hạn chót tháng 6 năm 2026— ngay cả khi bạn dựa vào phương pháp triển khai tự động. Dưới đây là các tùy chọn để xác định xem có cần thực hiện hành động hay không.
Tùy chọn 1: Microsoft Intune sửa chữa
Đối với các PC chạy Đám mây đã đăng ký Microsoft Intune, bạn có thể triển khai một tập lệnh phát hiện bằng cách sử dụng Intune Remediations (Proactive Remediations) để tự động thu thập trạng thái chứng chỉ Khởi động An toàn trên toàn đội máy của bạn. Tập lệnh chạy âm thầm trên mỗi thiết bị và báo cáo trạng thái Khởi động An toàn, tiến trình cập nhật chứng chỉ và chi tiết thiết bị quay lại cổng thông tin Intune — không có thay đổi nào được thực hiện đối với các thiết bị. Kết quả có thể được xem và xuất sang CSV trực tiếp từ trung tâm quản Intune để phân tích toàn đội tàu.
Để biết hướng dẫn từng bước về việc triển khai tập lệnh phát hiện, hãy xem mục Giám sát Trạng thái Chứng chỉ Khởi động An toàn với Microsoft Intune hồi.
Tùy chọn 2: Báo cáo Trạng thái Khởi động An toàn của Windows Autopatch
Đối với CÁC PC đám mây đã đăng ký với Windows Autopatch, hãy chuyển đến trung tâm quản trị Intune > Báo cáo > Cập nhật chất lượng Windows > cập nhật chất lượng Windows > tab Báo cáo > trạng thái Khởi động An toàn. Xem Báo cáo trạng thái Khởi động An toàn trong Windows Autopatch.
Lưu ý: Để sử dụng Windows Autopatch với Windows 365, pc đám mây phải được đăng ký với dịch vụ Windows Autopatch. Xem Tự động điều chỉnh Windows trên Windows 365 Enterprise công việc.
Tùy chọn 3: Khóa Đăng ký để Giám sát Đội tàu
Sử dụng các công cụ quản lý thiết bị hiện có của bạn để truy vấn các giá trị đăng ký này trên toàn đội tàu của bạn.
|
Đường dẫn Đăng ký |
Khóa |
Mục đích |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Trạng thái triển khai hiện tại |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Cho biết lỗi (không nên tồn tại) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Chỉ rõ ID Sự kiện (không nên tồn tại) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bit cập nhật đang chờ xử lý |
Để biết chi tiết về khóa đăng ký đầy đủ, hãy xem Các bản cập nhật khóa đăng ký cho Khởi động An toàn.
Tùy chọn 4: Giám sát Nhật ký Sự kiện
Sử dụng các công cụ quản lý thiết bị hiện có của bạn để thu thập và giám sát các ID sự kiện này từ nhật ký sự kiện Hệ thống trên toàn đội tàu của bạn.
|
ID Sự kiện |
Vị trí |
Ý nghĩa |
|
1808 |
Hệ thống |
Chứng chỉ được áp dụng thành công |
|
1801 |
Hệ thống |
Cập nhật trạng thái hoặc chi tiết lỗi |
Để biết danh sách đầy đủ các chi tiết sự kiện, hãy xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX.
Tùy chọn 5: Tập lệnh Kiểm kê PowerShell
Chạy tập lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn mẫu của Microsoft để kiểm tra trạng thái cập nhật chứng chỉ Khởi động An toàn. Tập lệnh thu thập một số điểm dữ liệu bao gồm trạng thái Khởi động An toàn, trạng thái cập nhật UEFI CA 2023, phiên bản vi chương trình và hoạt động nhật ký sự kiện.
Triển khai
Quan trọng: Bất kể bạn chọn tùy chọn triển khai nào, chúng tôi khuyên bạn nên giám sát đội tàu thiết bị của mình để xác nhận chứng chỉ được áp dụng thành công trước thời hạn tháng 6 năm 2026. Đối với hình ảnh tùy chỉnh, hãy xem Những điều cần cân nhắc về Hình ảnh Tùy chỉnh.
Tùy chọn 1: Tùy chọn Cập nhật động từ Windows Update (Thiết bị Tin cậy Cao)
Microsoft tự động cập nhật thiết bị thông qua các bản cập nhật windows hàng tháng khi có đủ dữ liệu đo từ xa xác nhận triển khai thành công trên các cấu hình phần cứng tương tự.
-
Trạng thái: Được bật theo mặc định cho thiết bị có độ tin cậy cao
-
Không yêu cầu hành động nào trừ khi bạn muốn chọn không tham gia
|
Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Khóa |
HighConfidenceOptOut = 1 để chọn không tham gia |
|
Chính sách Nhóm |
Cấu hình Máy tính > Mẫu Quản trị > phần Windows > Khởi động An toàn > Triển khai Chứng chỉ Tự động thông qua Cập nhật > Đặt thành Tắt để chọn không tham gia |
Khuyến nghị: Ngay cả khi đã bật cập nhật tự động, hãy giám sát PC đám mây của bạn để xác minh chứng chỉ được áp dụng. Không phải tất cả các thiết bị đều có thể đủ điều kiện để triển khai tự động với độ tin cậy cao.
Để biết thêm thông tin, hãy xem Mục Hỗ trợ triển khai tự động.
Tùy chọn 2: Triển IT-Initiated triển khai
Kích hoạt thủ công các bản cập nhật chứng chỉ để triển khai ngay lập tức hoặc có kiểm soát.
|
Phương pháp |
Tài liệu |
|
Microsoft Intune |
|
|
Chính sách Nhóm |
|
|
Khóa Đăng ký |
|
|
WinCS CLI |
Lưu ý:
-
Không kết hợp các phương pháp triển khai do bộ máy IT khởi tạo (ví dụ: Intune và GPO) trên cùng một thiết bị—chúng kiểm soát cùng một khóa đăng ký và có thể xung đột.
-
Cho phép khoảng 48 giờ và một hoặc nhiều lần khởi động lại để áp dụng đầy đủ các chứng chỉ.
Những điều cần cân nhắc về Ảnh Tùy chỉnh
Hình ảnh tùy chỉnh được quản lý đầy đủ bởi tổ chức của bạn. Bạn chịu trách nhiệm áp dụng các bản cập nhật chứng chỉ Khởi động An toàn cho hình ảnh tùy chỉnh và tải lên lại hình ảnh đó trước khi sử dụng để cung cấp.
Việc áp dụng các bản cập nhật chứng chỉ Khởi động An toàn cho hình ảnh nguồn chỉ được hỗ trợ với hình ảnh bộ sưu tập tính toán Azure (xem trước), hỗ trợ Khởi động Tin cậy và Khởi động An toàn. Hình ảnh được quản lý không hỗ trợ Khởi động An toàn, vì vậy không thể áp dụng các bản cập nhật chứng chỉ ở mức hình ảnh. Đối với PC đám mây được cung cấp từ hình ảnh được quản lý, hãy áp dụng các bản cập nhật trực tiếp trên PC đám mây bằng cách sử dụng một trong các phương pháp triển khai ở trên.
Trước khi tổng quát ảnh tùy chỉnh mới, hãy xác minh chứng chỉ được cập nhật:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Sự cố Đã biết
Khóa đăng ký dịch vụ không tồn tại
|
Triệu chứng |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing đường dẫn không tồn tại |
|
Nguyên nhân |
Bản cập nhật chứng chỉ chưa được khởi tạo trên thiết bị |
|
Giải pháp |
Chờ triển khai tự động thông qua Windows Update hoặc khởi tạo theo cách thủ công bằng cách sử dụng một trong các phương pháp triển khai được khởi tạo bởi IT ở trên |
Trạng thái hiển thị "InProgress" trong khoảng thời gian dài
|
Triệu chứng |
UEFICA2023Status vẫn còn "InProgress" sau nhiều ngày |
|
Nguyên nhân |
Thiết bị có thể cần khởi động lại để hoàn tất quá trình cập nhật |
|
Giải pháp |
Khởi động lại CLOUD PC và kiểm tra lại trạng thái sau 15 phút. Nếu sự cố vẫn tiếp diễn, hãy xem Sự kiện cập nhật biến đổi Khởi động An toàn DB và DBX để biết hướng dẫn khắc phục sự cố |
Khóa đăng ký UEFICA2023Error tồn tại
|
Triệu chứng |
Khóa đăng ký UEFICA2023Error có mặt |
|
Nguyên nhân |
Đã xảy ra lỗi trong khi triển khai chứng chỉ |
|
Giải pháp |
Kiểm tra Nhật ký sự kiện hệ thống để biết chi tiết. Xem Sự kiện cập nhật biến DB và Khởi động An toàn để biết hướng dẫn khắc phục sự cố |
Tài nguyên
Bạn cần thêm trợ giúp?
Bạn muốn xem các tùy chọn khác?
Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.
Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.
