Áp dụng cho
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Ngày Phát hành Ban đầu: Ngày 18 tháng 2 năm 2026

KB ID: 5080921

Bài viết này có hướng dẫn về:

  • Người quản trị CNTT cần khả năng hiển thị trạng thái cập nhật chứng chỉ Khởi động An toàn từ thiết bị Intune windows đã đăng ký của họ

  • Các tổ chức chuẩn bị hết hạn chứng chỉ Khởi động An toàn tháng 6 năm 2026

  • Teams muốn giám sát tiến độ triển khai chứng chỉ trên các thiết bị Intune Windows đã đăng ký

Trong bài viết này:

Giới thiệu

Chứng chỉ Khởi động An toàn của Microsoft (CAs 2011) sẽ hết hạn kể từ tháng 6 năm 2026. Tất cả các thiết bị Windows có bật Khởi động An toàn phải được cập nhật lên chứng chỉ năm 2023 trước khi hết hạn để đảm bảo tiếp tục hỗ trợ cập nhật bảo mật. 

Hướng dẫn này cung cấp một phương pháp tiếp cận chỉ theo dõi Microsoft Intune khắc phục sự cố (Khắc phục chủ động). Tập lệnh phát hiện thu thập trạng thái Khởi động An toàn và chứng chỉ từ mỗi thiết bị và báo cáo về cổng thông tin Intune — không có hành động khắc phục nào được thực hiện trên thiết bị. Điều này cung cấp cho người quản trị dạng xem tập trung, có thể xuất của tiến trình cập nhật chứng chỉ trên các thiết Intune Windows đã đăng ký của họ. 

Tại sao nên sử dụng phương pháp này?

Lợi ích

Mô tả

Khả năng hiển thị trên toàn thiết bị 

Xem tất cả Intune trạng thái chứng chỉ của thiết bị Windows được đăng ký ở một nơi

Xuất khẩu 

Xuất kết quả sang CSV trực tiếp từ cổng thông Intune tin

Giá trị đăng ký thô

Xem dữ liệu đăng ký thực tế, chứ không chỉ chuyển/thất bại

Ngữ cảnh thiết bị 

Bao gồm nhà sản xuất, kiểu, phiên bản BIOS và loại vi chương trình

Phép đo từ xa nhật ký sự kiện 

Chụp ID sự kiện Khởi động An toàn (1801/1808), ID bộ chứa và mức độ tin cậy

Không chạm

Chạy âm thầm dưới dạng HỆ THỐNG — không cần tương tác của người dùng

Để biết thông tin cơ bản đầy đủ về các bản cập nhật chứng chỉ, hãy xem Cập nhật chứng chỉ Khởi động An toàn: Hướng dẫn dành cho các chuyên gia CNTT và tổ chức

Điều kiện tiên quyết

Trước khi triển khai tập lệnh phát hiện, hãy đảm bảo môi trường của bạn đáp ứng các yêu cầu cần thiết. 

Giải pháp này tận dụng biện pháp khắc phục Microsoft Intune. Để biết danh sách đầy đủ các điều kiện tiên quyết, hãy xem Sử dụng Các biện pháp khắc phục để phát hiện và khắc phục sự cố hỗ trợ - Microsoft Intune.

Tập lệnh phát hiện

Tập lệnh phát hiện là một tập lệnh PowerShell thu thập dữ liệu kiểm kê Khởi động An toàn toàn diện từ từng thiết bị và xuất dữ liệu đó dưới dạng chuỗi JSON. Kịch bản đọc từ các nguồn sau đây: 

Đăng ký — Trạng thái cập nhật chứng chỉ Khởi động An toàn, khóa cung cấp dịch vụ, thuộc tính thiết bị và cài đặt chọn tham gia/chọn không tham gia từ HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot và khóa phụ của ứng dụng 

WMI/CIM — Phiên bản HĐH, thời gian khởi động gần nhất và thông tin phần cứng bảng cơ sở 

Nhật ký sự kiện — Các mục nhật ký sự kiện hệ thống cho ID Sự kiện 1801 và 1808 (Sự kiện cập nhật Khởi động An toàn) 

Đầu ra JSON xuất hiện trong cổng thông tin Intune trong Khắc phục > Màn hình > Trạng thái thiết bị > "Đầu ra phát hiện khắc phục trước" và có thể được xuất sang CSV để phân tích. 

Quan trọng: Đây là một tập lệnh chỉ phát hiện. Không có thay đổi nào được thực hiện cho thiết bị. Không cần tập lệnh khắc phục. 

Tạo Tệp Script 

  • Dẫn hướng đến tập lệnh thu thập dữ liệu kiểm kê Khởi động An toàn Mẫu (KB5072718)

  • Sao chép nội dung tập lệnh đầy đủ từ trang

  • Mở trình soạn thảo văn bản (ví dụ: Notepad, VS Code) và dán tập lệnh

  • Lưu tệp dưới dạng Detect-SecureBootCertUpdateStatus.ps1

Tạo khắc phục trong Intune 

Làm theo các bước sau để triển khai kịch bản phát hiện dưới dạng một Khắc phục (gói tập lệnh) Microsoft Intune. 

Bước 1: Tạo Gói Script 

Bước 2: Thông tin cơ bản 

  • Cấu hình các thiết đặt sau trên tab Cơ bản:

Cài đặt

Giá trị

Tên

Màn hình Trạng thái Chứng chỉ Khởi động An toàn

Mô tả

Giám sát trạng thái cập nhật chứng chỉ Khởi động An toàn trên toàn đội tàu. Chỉ phát hiện — không thực hiện hành động khắc phục nào.

Nhà xuất bản

(tên tổ chức của bạn)

  • Bấm Tiếp

Bước 3: Thiết đặt 

  • Cấu hình các thiết đặt sau trên tab Thiết đặt:

Cài đặt

Giá trị

Lưu ý

Tệp script phát hiện 

Tải lên Detect-SecureBootCertificateStatus.ps1

Tập lệnh từ mục trước đó

Tệp tập lệnh khắc phục 

(để trống)

Không cần khắc phục — đây chỉ là việc giám sát

Chạy tập lệnh này bằng cách sử dụng thông tin xác thực đã đăng nhập 

Không

Chạy dưới dạng HỆ THỐNG để đảm bảo quyền truy nhập vào Confirm-SecureBootUEFI và đăng ký

Thực thi kiểm tra chữ ký tập lệnh 

Không

Đặt là Có nếu tổ chức của bạn yêu cầu tập lệnh đã ký

Chạy tập lệnh trong PowerShell 64 bit

Bắt buộc đối với Confirm-SecureBootUEFI lệnh ghép ngắn và sổ đăng ký chính xác cho biết

  • Bấm Tiếp

Bước 4: Thẻ Phạm vi 

  • Thêm bất kỳ thẻ phạm vi nào mà tổ chức của bạn yêu cầu hoặc để mặc định

  • Bấm Tiếp

Bước 5: Bài tập 

Cài đặt

Giá trị

Lưu ý

Nhiệm vụ 

Chọn nhóm thiết bị để giám sát

Sử dụng Tất cả thiết bị để giám sát trên toàn đội tàu hoặc các nhóm cụ thể để giám sát mục tiêu

Lập lịch 

Đặt cấu hình cho nhu cầu giám sát của bạn

Được đề xuất: Mỗi ngày một lần để theo dõi triển khai chủ động hoặc một lần mỗi tuần để theo dõi liên tục

Lưu ý: Các biện pháp khắc phục chạy theo lịch biểu được đặt cấu hình của thiết bị. Lần chạy đầu tiên có thể mất đến 24 giờ sau khi gán tùy thuộc vào chu kỳ làm thủ tục của thiết bị. 

Bấm Tiếp

Bước 6: Xem lại + Tạo 

  • Xem lại tất cả cài đặt

  • Bấm Tạo

Xem và Xuất Kết quả 

Xem kết quả trong cổng thông tin 

  • Điều hướng đến Thiết bị > sửa chữa

  • Bấm vào Màn hình Trạng thái Chứng chỉ Khởi động An toàn (hoặc tên bạn đã chọn)

  • Chọn tab Màn hình

  • Bấm Trạng thái thiết bị

  • Bấm Cột và thêm đầu ra phát hiện Khắc phục trước

Màn hình trạng thái

Bạn sẽ thấy một bảng với các cột sau đây: 

Cột

Mô tả

Tên thiết bị

Tên của thiết bị

Username 

Người dùng chính của thiết bị

Trạng thái phát hiện 

Không có sự cố (chứng chỉ được cập nhật) hoặc sự cố (chứng chỉ không được cập nhật)

Đầu ra phát hiện tiền xử lý 

Đầu ra JSON đầy đủ từ tập lệnh

Sửa đổi lần cuối 

Khi tập lệnh chạy gần nhất trên thiết bị

Xuất sang CSV 

  • Trên trang Trạng thái thiết bị, bấm vào nút Xuất ở đầu bảng

  • Tệp CSV sẽ tải xuống tất cả các cột bao gồm đầu ra phát hiện JSON đầy đủ cho mọi thiết bị

  • Mở trong Excel để lọc, sắp xếp và phân tích theo trường bất kỳ

Mẹo: Trong Excel, bạn có thể sử dụng hàm TEXTJOIN hoặc JSON để phân tích đầu ra phát hiện JSON thành các cột riêng biệt để phân tích dễ dàng hơn. 

Tab Tổng quan

Intune quan

Tab Tổng quan trên Khắc phục cung cấp một bảng điều khiển tóm tắt: 

Metric

Ý nghĩa

Thiết bị gặp sự cố

Thiết bị chưa cập nhật chứng chỉ 

Thiết bị không gặp sự cố

Thiết bị có chứng chỉ được cập nhật

Thiết bị có khả năng phát hiện không thành công

Các thiết bị gặp lỗi trong tập lệnh

Câu hỏi Thường Gặp

Điều này có thay đổi bất kỳ điều gì trên thiết bị của tôi không? 

Không. Đây là một tập lệnh chỉ phát hiện. Không có giá trị sổ đăng ký nào được sửa đổi, không có cập nhật nào được kích hoạt và không có hành động khắc phục nào được thực hiện. Tập lệnh chỉ đọc các giá trị và báo cáo giá trị đó. 

"Với sự cố" có nghĩa là gì? 

"Với sự cố" có nghĩa là thiết bị chưa được áp dụng chứng chỉ Khởi động An toàn 2023 và trình quản lý khởi động đã ký năm 2023 tại chỗ. Điều này có thể là do: - Bản cập nhật chứng chỉ chưa được khởi chạy - Bản cập nhật đang diễn ra và có thể yêu cầu khởi động lại để hoàn tất - Khởi động An toàn không được bật trên thiết bị - Thiết bị không dựa trên UEFI hoặc đang chờ khởi động lại để áp dụng trình quản lý khởi động. 

"Không có sự cố" là gì? 

"Không có sự cố" có nghĩa là thiết bị đã bật Khởi động An toàn và giá trị đăng ký UEFICA2023Status được Cập nhật, cho biết các chứng chỉ 2023 đã được áp dụng thành công. 

Tập lệnh chạy thường xuyên như thế nào? 

Tập lệnh chạy trên lịch biểu bạn cấu hình trong bài tập. Để giám sát tích cực trong quá trình triển khai, hàng ngày được khuyến khích. Để theo dõi liên tục, hàng tuần là đủ. 

Điều gì sẽ xảy ra nếu khóa đăng ký Dịch vụ không tồn tại? 

Nếu khóa HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing không tồn tại trên thiết bị, trường UEFICA2023Status sẽ hiển thị NoValue. Điều này thường có nghĩa là các bản cập nhật chứng chỉ chưa được khởi tạo trên thiết bị. 

Giấy phép nào là bắt buộc? 

Các biện pháp khắc phục yêu Windows 10/11 giấy phép Enterprise E3/E5, Education A3/A5 hoặc F3. Nếu thiết bị của bạn chỉ có giấy phép Business Premium hoặc Pro, các biện pháp khắc phục sẽ không khả dụng. Xem Điều kiện tiên quyết để khắc phục

Tài nguyên 

Playbook Cập nhật Chứng chỉ Khởi động An toàn

Chứng chỉ Khởi động An Cập nhật: Hướng dẫn dành cho Chuyên gia CNTT

Khóa Đăng ký Cập nhật khởi động an toàn

Sự kiện Cập nhật Biến DB và Khởi động An toàn

Khắc phục trong Microsoft Intune 

Điều kiện tiên quyết để khắc phục

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng