使用Microsoft Intune修正监视安全启动证书状态
应用对象
原始发布日期: 2026 年 2 月 18 日
KB ID: 5080921
本文提供以下指南:
-
IT 管理员需要从其已注册Intune Windows 设备查看安全启动证书更新状态
-
准备 2026 年 6 月安全启动证书过期截止时间的组织
-
想要监视其Intune已注册 Windows 设备的证书推出进度的团队
本文内容:
简介
Microsoft安全启动证书 (2011 CA) 从 2026 年 6 月开始过期。 所有启用了安全启动的 Windows 设备必须在过期前更新为 2023 证书,以确保继续支持安全更新。
本指南提供了一种仅监视方法,使用Microsoft Intune修正 (主动修正) 。 检测脚本从每个设备收集安全启动和证书状态,并将其报告回Intune门户 - 不会对设备执行任何修正作。 这为管理员提供了一个集中的、可导出的视图,查看其Intune注册的 Windows 设备的证书更新进度。
为何使用此方法?
|
效益 |
描述 |
|---|---|
|
设备范围的可见性 |
在一个位置查看每个Intune注册的 Windows 设备的证书状态 |
|
出口 |
直接从Intune门户将结果导出到 CSV |
|
原始注册表值 |
查看实际的注册表数据,而不仅仅是通过/失败 |
|
设备上下文 |
包括制造商、型号、BIOS 版本和固件类型 |
|
事件日志遥测 |
捕获安全启动事件 ID (1801/1808) 、存储桶 ID 和置信度级别 |
|
零接触 |
以 SYSTEM 无提示方式运行 - 无需用户交互 |
有关证书更新的完整背景信息,请参阅安全启动证书更新:面向 IT 专业人员和组织的指导。
先决条件
在部署检测脚本之前,请确保环境满足必要的要求。
此解决方案利用Microsoft Intune中的修正。 有关先决条件的完整列表,请参阅使用修正来检测和修复支持问题 - Microsoft Intune。
检测脚本
检测脚本是一个 PowerShell 脚本,它从每个设备收集全面的安全启动清单数据,并将其输出为 JSON 字符串。 该脚本从以下源读取:
注册表 — 安全启动证书更新状态、服务密钥、设备属性以及来自 HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot 及其子项的选择加入/选择退出设置
WMI/CIM - OS 版本、上次启动时间和基板硬件信息
事件日志 — 事件 ID 1801 和 1808 的系统事件日志条目 (安全启动更新事件)
JSON 输出显示在Intune门户中的“修正 > 监视 > 设备状态”>“修正前检测输出”下,可以导出到 CSV 进行分析。
重要说明: 这是一个仅限检测的脚本。 不会对设备进行更改。 不需要修正脚本。
创建脚本文件
-
导航到示例安全启动清单数据收集脚本 (KB5072718)
-
从页面复制完整的脚本内容
-
打开文本编辑器 (例如记事本、VS Code) 并粘贴脚本
-
将文件另存为 Detect-SecureBootCertUpdateStatus.ps1
在 Intune 中创建修正
按照以下步骤将检测脚本部署为 Microsoft Intune 中的修正 (脚本包) 。
步骤 1:创建脚本包
-
导航到“设备 > 修正”
-
单击“+ 创建脚本包”
步骤 2:基本信息
-
在“基本信息”选项卡上配置以下设置:
|
Setting |
值 |
|---|---|
|
名称 |
安全启动证书状态监视器 |
|
描述 |
监视整个队列的安全启动证书更新状态。 仅检测 - 不采取修正作。 |
|
发布服务器 |
(组织名称) |
-
单击“ 下一步”
步骤 3:设置
-
在“设置”选项卡上配置以下设置:
|
Setting |
值 |
注意 |
|---|---|---|
|
检测脚本文件 |
上传 Detect-SecureBootCertificateStatus.ps1 |
上一部分中的脚本 |
|
修正脚本文件 |
(留空) |
无需修正 — 这只是监视 |
|
使用登录凭据运行此脚本 |
否 |
作为 SYSTEM 运行,以确保访问 Confirm-SecureBootUEFI 和注册表 |
|
强制检查脚本签名 |
否 |
如果组织需要签名的脚本,则设置为“是” |
|
在 64 位 PowerShell 中运行脚本 |
是 |
Confirm-SecureBootUEFI cmdlet 和准确的注册表读取所必需的 |
-
单击“ 下一步”
步骤 4:作用域标记
-
添加组织所需的任何范围标记,或保留为默认值
-
单击“下一步”
步骤 5:分配
|
Setting |
值 |
注意 |
|---|---|---|
|
分配 |
选择要监视的设备组 |
使用所有设备进行车队范围的监视,或使用特定组进行有针对性的监视 |
|
日程安排 |
根据监视需求进行配置 |
建议:每天进行一次主动推出跟踪,每周一次进行持续监视 |
注意:修正按设备的配置计划运行。 首次运行可能需要分配后最多 24 小时,具体取决于设备的检查周期。
单击“ 下一步”
步骤 6:查看 + 创建
-
查看所有设置
-
单击“创建”
查看和导出结果
在门户中查看结果
-
导航到“设备 > 修正”
-
单击安全启动证书状态监视器 (或所选名称)
-
选择“监视”选项卡
-
单击“设备状态”
-
单击“ 列 ”并添加 修正前检测输出
你将看到一个包含以下列的表:
|
Column |
描述 |
|---|---|
|
设备名称 |
设备的名称 |
|
用户名 |
设备的主要用户 |
|
检测状态 |
没有问题 (证书更新) 或有问题 (证书未更新) |
|
修正前检测输出 |
脚本的完整 JSON 输出 |
|
上次修改时间 |
上次在设备上运行脚本时 |
导出到 CSV
-
在“设备状态”页上,单击表顶部的“导出”按钮
-
CSV 文件将下载所有列,包括每个设备的完整 JSON 检测输出
-
在 Excel 中打开,按任何字段筛选、排序和分析
提示:在 Excel 中,可以使用 TEXTJOIN 或 JSON 函数将检测输出 JSON 分析为单独的列,以便于分析。
“概述”选项卡
“修正”上的“概述”选项卡提供了摘要仪表板:
|
跃点数 |
含义 |
|---|---|
|
有问题的设备 |
证书尚未更新的设备 |
|
没有问题的设备 |
证书处于最新状态的设备 |
|
检测失败的设备 |
脚本遇到错误的设备 |
常见问题
这会更改我的设备上的任何内容吗?
不可以。 这是一个仅限检测的脚本。 不修改注册表值,不触发更新,也不执行修正作。 该脚本仅读取值并报告它们。
“有问题”是什么意思?
“有问题”表示设备尚未应用 2023 安全启动证书和 2023 签名的启动管理器。 这可能是因为: - 证书更新尚未启动 - 更新正在进行,可能需要重新启动才能完成 - 设备上未启用安全启动 - 设备不基于 UEFI 或正在等待重新启动以应用启动管理器。
“无问题”是什么意思?
“无问题”表示设备已启用安全启动,UEFICA2023Status 注册表值为“更新”,指示已成功应用 2023 证书。
脚本多久运行一次?
脚本按在分配中配置的计划运行。 若要在推出期间进行主动监视,建议每天进行监视。 对于持续监视,每周就足够了。
如果服务注册表项不存在,该怎么办?
如果设备上不存在 HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 密钥,则 UEFICA2023Status 字段将显示 NoValue。 这通常意味着尚未在设备上启动证书更新。
需要哪些许可证?
修正需要 Windows 10/11 企业版 E3/E5、教育版 A3/A5 或 F3 许可证。 如果设备仅具有 Business Premium 或 Pro 许可证,则修正将不可用。 请参阅修正的先决条件。
资源
需要更多帮助?
需要更多选项?
了解订阅权益、浏览培训课程、了解如何保护设备等。
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
