Windows 365 的安全启动证书更新

注意

  • 原始发布日期: 2026 年 2 月 19 日
  • KB ID: 5080914

注意

本文提供以下指南:

  • Windows 365管理云电脑的管理员。

  • 使用已启用安全启动的云电脑进行Windows 365部署的组织。

  • 使用自定义映像进行Windows 365部署的组织。

本文内容:

简介

安全启动是一项 UEFI 固件安全功能,可帮助确保在设备启动序列期间仅运行受信任的数字签名软件。 2011 年颁发的Microsoft安全启动证书将于 2026 年 6 月到期。 如果没有更新的 2023 证书,设备将不再收到针对新发现的启动级别漏洞的新安全启动和启动管理器保护或缓解措施。

在Windows 365服务中预配的所有已启用安全启动的云电脑以及用于预配它们的自定义映像,必须在过期前更新为 2023 证书,才能保持受保护状态。 请参阅 Windows 设备上的安全启动证书过期时间

这是否适用于我的Windows 365环境?

方案 安全启动活动? 所需操作
云电脑
已启用安全启动的云电脑 在云电脑上更新证书
禁用安全启动的云电脑 无需执行任何操作
图像
启用了安全启动的Azure Compute Gallery 映像 在通用化之前更新源映像中的证书
在没有受信任启动的情况下Azure计算库映像 预配后在云电脑中应用更新
托管映像 (不支持受信任的启动) 预配后在云电脑中应用更新

有关完整背景信息,请参阅 安全启动证书更新:面向 IT 专业人员和组织的指导

清单和监视器

在采取行动之前,请清点环境以识别需要更新的设备。 监视对于确认证书在 2026 年 6 月截止时间之前应用至关重要,即使你依赖于自动部署方法也是如此。 下面是用于确定是否需要采取措施的选项。

选项 1:Microsoft Intune修正

对于在 Microsoft Intune 中注册的云电脑,可以使用Intune修正 (主动修正) 部署检测脚本,以自动收集整个队列中的安全启动证书状态。 该脚本在每个设备上以静默方式运行,并将安全启动状态、证书更新进度和设备详细信息报告回Intune门户 - 不会对设备进行更改。 可以直接从Intune管理中心查看结果并将其导出到 CSV 中,以便进行车队范围的分析。

有关部署检测脚本的分步说明,请参阅使用Microsoft Intune修正监视安全启动证书状态

选项 2:Windows 自动修补安全启动状态报告

对于注册到 Windows 自动修补的云电脑,请转到Intune管理中心>“报告>Windows 自动修补>Windows 质量更新>”选项卡“>安全启动状态”。 请参阅 Windows 自动修补中的安全启动状态报告

注意:若要将 Windows 自动修补与Windows 365配合使用,必须将云电脑注册到 Windows 自动修补服务。 请参阅有关Windows 365 企业版工作负荷的 Windows 自动修补

选项 3:用于队列监视的注册表项

使用现有设备管理工具在整个队列中查询这些注册表值。

注册表路径 用途
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status 当前部署状态
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error 指示错误 (不应存在)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent 指示事件 ID (不应存在)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
AvailableUpdates 挂起的更新位

有关完整注册表项的详细信息,请参阅 安全启动的注册表项更新

选项 4:事件日志监视

使用现有的设备管理工具从整个队列中的系统事件日志中收集和监视这些事件 ID。

事件 ID 位置 含义
1808 机制 证书已成功应用
1801 机制 更新状态或错误详细信息

有关事件详细信息的完整列表,请参阅 安全启动 DB 和 DBX 变量更新事件。

选项 5:PowerShell 清单脚本

运行Microsoft的示例安全启动清单数据收集脚本,以检查安全启动证书更新状态。 该脚本收集多个数据点,包括安全启动状态、UEFI CA 2023 更新状态、固件版本和事件日志活动。

部署

重要

无论选择哪种部署选项,我们都建议监视设备群,以确认在 2026 年 6 月截止时间之前已成功应用证书。 有关自定义映像,请参阅 自定义映像注意事项

选项 1:从Windows 更新 (高置信度设备自动汇报)

当足够的遥测数据确认在类似硬件配置上成功部署时,Microsoft通过 Windows 每月更新自动更新设备。

  • 状态:默认为高置信度设备启用
  • 无需执行任何操作,除非你想要选择退出
注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
HighConfidenceOptOut = 1 以选择退出
组策略 计算机配置>管理模板>Windows 组件>安全启动>通过 汇报> 自动部署证书设置为“已禁用”以选择退出

注意

建议: 即使启用了自动更新,也可以监视云电脑以验证是否已应用证书。 并非所有设备都有资格进行高置信度自动部署。

有关详细信息,请参阅 自动部署助手

选项 2:IT-Initiated 部署

手动触发证书更新以立即或受控推出。

方法 文档
Microsoft Intune Microsoft Intune 方法
组策略 GPO 方法
注册表项 注册表项方法
WinCS CLI WinCS API

注意

  • 请勿在同一设备上混合使用 IT 发起的部署方法 (例如,Intune和 GPO) ,它们控制着相同的注册表项,并且可能会发生冲突。
  • 请等待大约 48 小时并重启一个或多个证书才能完全应用。

自定义映像注意事项

自定义映像完全由组织管理。 你负责将安全启动证书更新应用到自定义映像,并在使用它进行预配之前重新上传该映像。

仅支持 Azure Compute Gallery 映像 (支持受信任启动和安全启动的预览版) ,才支持将安全启动证书更新应用于源映像。 托管映像不支持安全启动,因此无法在映像级别应用证书更新。 对于从托管映像预配的云电脑,请使用上述部署方法之一直接在云电脑上应用更新。

在通用化新的自定义映像之前,请验证证书是否已更新:

注意

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

已知问题

服务注册表项不存在

问题 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 路径不存在
原因 尚未在设备上启动证书更新
解决方案 通过Windows 更新等待自动部署,或使用上述 IT 发起的部署方法之一手动启动

状态显示长时间的“InProgress”

问题 UEFICA2023Status 在几天后保持“InProgress”
原因 设备可能需要重启才能完成更新过程
解决方案 重启云电脑,并在 15 分钟后再次检查状态。 如果问题仍然存在,请参阅 安全启动 DB 和 DBX 变量更新事件 以获取故障排除指南

UEFICA2023Error 注册表项存在

问题 存在 UEFICA2023Error 注册表项
原因 证书部署期间发生错误
解决方案 有关详细信息,请查看系统事件日志。 有关故障排除指南,请参阅安全启动 DB 和 DBX 变量更新事件

资源