Azure 虚拟桌面的安全启动证书更新

应用对象
Azure Virtual Desktop

注意

  • 原始发布日期: 2026 年 2 月 19 日
  • KB ID: 5080931

注意

本文提供以下指南:

  • Azure虚拟桌面管理员管理会话主机更新

  • 使用已启用安全启动的 VM 进行Azure虚拟桌面部署的组织

  • 使用自定义映像 (黄金映像) 进行Azure虚拟桌面部署的组织

本文内容:

简介

安全启动是一项 UEFI 固件安全功能,可帮助确保在设备启动序列期间仅运行受信任的数字签名软件。 2011 年颁发的Microsoft安全启动证书将于 2026 年 6 月到期。 如果没有更新的 2023 证书,设备将不再收到针对新发现的启动级别漏洞的新安全启动和启动管理器保护或缓解措施。

在Azure虚拟桌面服务中注册的所有已启用安全启动的 VM 以及用于预配它们的自定义映像,必须在过期前更新为 2023 证书,才能保持受保护状态。 请参阅 Windows 设备上的安全启动证书过期时间

这是否适用于我的Azure虚拟桌面环境?

方案 安全启动活动? 所需操作
会话主机
启用了安全启动的受信任启动 VM 更新会话主机上的证书
禁用安全启动的受信任启动 VM 无需执行任何操作
Standard安全类型 VM 无需执行任何操作
第 1 代 VM 不支持 无需执行任何操作
黄金图像
启用了安全启动的Azure Compute Gallery 映像 更新源映像中的证书
在没有受信任启动的情况下Azure计算库映像 部署后在会话主机中应用更新
托管映像 (不支持受信任的启动) 部署后在会话主机中应用更新

有关完整背景信息,请参阅 安全启动证书更新:面向 IT 专业人员和组织的指导

清单和监视器

在采取行动之前,请清点环境以识别需要更新的设备。 监视对于确认证书在 2026 年 6 月截止时间之前应用至关重要,即使你依赖于自动部署方法也是如此。  下面是用于确定是否需要采取措施的选项。

选项 1:Microsoft Intune修正

对于在 Microsoft Intune 中注册的会话主机,可以使用Intune修正 (主动修正) 部署检测脚本,以自动收集整个队列中的安全启动证书状态。 该脚本在每个设备上以静默方式运行,并将安全启动状态、证书更新进度和设备详细信息报告回Intune门户 - 不会对设备进行更改。 可以直接从Intune管理中心查看结果并将其导出到 CSV 中,以便进行车队范围的分析。

有关部署检测脚本的分步说明,请参阅使用Microsoft Intune修正监视安全启动证书状态

选项 2:Windows 自动修补安全启动状态报告

对于注册到 Windows 自动修补的个人持久会话主机,请转到Intune管理中心>“报告>Windows 自动修补>Windows 质量更新>”选项卡“>安全启动状态”。 请参阅 Windows 自动修补中的安全启动状态报告

注意

Windows 自动修补仅支持Azure虚拟桌面的个人持久性虚拟机。 不支持多会话主机、共用非持久性虚拟机和远程应用流式处理。 请参阅Azure虚拟桌面工作负载上的 Windows 自动修补

选项 3:用于队列监视的注册表项

使用现有设备管理工具在整个队列中查询这些注册表值。

注册表路径 用途
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status 当前部署状态
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error 指示错误 (不应存在)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent 指示事件 ID (不应存在)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
AvailableUpdates 挂起的更新位

有关完整注册表项的详细信息,请参阅 安全启动的注册表项更新:具有 IT 托管更新的 Windows 设备

选项 4:事件日志监视

使用现有的设备管理工具从整个队列中的系统事件日志中收集和监视这些事件 ID。

事件 ID 位置 含义
1808 机制 证书已成功应用
1801 机制 更新状态或错误详细信息

有关事件详细信息的完整列表,请参阅 安全启动 DB 和 DBX 变量更新事件

选项 5:PowerShell 清单脚本

运行Microsoft的示例安全启动清单数据收集脚本,以检查安全启动证书更新状态。 该脚本收集多个数据点,包括安全启动状态、UEFI CA 2023 更新状态、固件版本和事件日志活动。

部署

重要

无论选择哪种部署选项,我们都建议监视设备群,以确认在 2026 年 6 月截止时间之前已成功应用证书。 有关自定义映像,请参阅 黄金映像注意事项

选项 1:从Windows 更新 (高置信度设备自动汇报)

当足够的遥测数据确认在类似硬件配置上成功部署时,Microsoft通过 Windows 每月更新自动更新设备。

  • 地位: 默认为高置信度设备启用
  • 无需执行任何操作,除非你想要选择退出
注册表 HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
快捷键 HighConfidenceOptOut = 1 以选择退出
组策略 计算机配置>管理模板>Windows 组件>安全启动>通过 汇报> 自动部署证书设置为“已禁用”以选择退出。

注意

建议: 即使启用了自动更新,也可以监视会话主机以验证是否已应用证书。 并非所有设备都有资格进行高置信度自动部署。

有关详细信息,请参阅 自动部署助手

选项 2:IT-Initiated 部署

手动触发证书更新以立即或受控推出。

方法 文档
Microsoft Intune Microsoft Intune 方法
组策略 组策略 对象 (GPO) 方法
注册表项 注册表项方法
WinCS CLI WinCS API

注意

  • 请勿在同一设备上混合使用 IT 发起的部署方法 (例如,Intune和 GPO) ,它们控制着相同的注册表项,并且可能会发生冲突。
  • 请等待大约 48 小时并重启一个或多个证书才能完全应用。

黄金映像注意事项

对于使用启用了安全启动的 Azure Compute Gallery 映像的Azure虚拟桌面环境,请在捕获黄金映像之前将安全启动 2023 证书更新应用到该映像。 使用上述方法之一应用更新,然后在通用化之前验证证书是否已更新:

注意

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

未启用受信任启动的映像无法通过映像接收安全启动证书更新。 这包括不支持受信任启动的托管映像,以及未启用受信任启动的Azure计算库映像。 对于从这些映像预配的设备,请使用上述方法之一在来宾 OS 中应用更新。

已知问题

服务注册表项不存在

问题 HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 路径不存在
原因 尚未在设备上启动证书更新
解决方案 通过Windows 更新等待自动部署,或使用上述 IT 发起的部署方法之一手动启动

状态显示长时间的“InProgress”

问题 UEFICA2023Status 在几天后保持“InProgress”
原因 设备可能需要重启才能完成更新过程
解决方案 重启会话主机,并在 15 分钟后再次检查状态。 如果问题仍然存在,请参阅 安全启动 DB 和 DBX 变量更新事件 以获取故障排除指南

UEFICA2023Error 注册表项存在

问题 存在 UEFICA2023Error 注册表项
原因 证书部署期间发生错误
解决方案 有关详细信息,请查看系统事件日志。 有关故障排除指南,请参阅安全启动 DB 和 DBX 变量更新事件

资源