監控 Microsoft Intune 修復時的安全啟動憑證狀態
套用到
原始發佈日期: 2026年2月18日
KB ID: 5080921
本文提供以下指引:
-
需要從 Intune 註冊的 Windows 裝置查看安全開機憑證更新狀態的 IT 管理員
-
準備迎接 2026 年 6 月 Secure Boot 憑證到期截止日期的組織
-
想要監控其 Intune 註冊 Windows 裝置上憑證推廣進度的團隊
本文內容:
簡介
Microsoft 2011 年授權 () 的安全啟動憑證將於 2026 年 6 月起到期。 所有啟用安全開機的 Windows 裝置必須在到期前更新至 2023 年憑證,以確保持續支援安全更新。
本指南提供僅監控的方法,採用Microsoft Intune修復 (主動修復) 。 偵測腳本會從每台裝置收集安全開機與憑證狀態,並回報給 Intune 入口網站——裝置不會採取修復行動。 這讓管理員能集中且可匯出,檢視其 Intune 註冊 Windows 裝置間的憑證更新進度。
為什麼要用這種方法?
|
效益 |
描述 |
|---|---|
|
裝置範圍的可視性 |
在一處查看所有 Intune 註冊 Windows 裝置的憑證狀態 |
|
Exportable(已出境) |
直接從 Intune 入口網站匯出結果為 CSV |
|
原始登錄檔值 |
要看實際的登錄檔資料,而不只是通過/不通過 |
|
裝置背景 |
包含製造商、型號、BIOS 版本及韌體類型 |
|
事件日誌遙測 |
擷取安全啟動事件 ID (1801/1808) 、桶 ID 及信心等級 |
|
零接觸 |
以 SYSTEM 靜音方式執行——無需使用者互動 |
關於憑證更新的完整背景資訊,請參閱安全啟動憑證更新:IT 專業人員與組織指引。
必要條件
在部署偵測腳本前,請確保您的環境符合必要條件。
此解決方案利用 Microsoft Intune 中的修復功能。 欲了解完整的前置條件清單,請參閱使用修復措施偵測並修正支援問題 - Microsoft Intune。
偵測腳本
偵測腳本是一個 PowerShell 腳本,會從每台裝置收集完整的 Secure Boot 庫存資料,並輸出為 JSON 字串。 劇本內容如下:
登錄檔 — 來自 HKLM:\SYSTEM\CurrentControlSet\Control\Control\SecureBoot 及其子鍵的 Secure Boot 憑證更新狀態、維修金鑰、裝置屬性,以及選擇加入/退出設定
WMI/CIM — 作業系統版本、最後開機時間及基板硬體資訊
事件日誌 — 系統事件日誌條目,針對事件 ID 1801 和 1808 (安全啟動更新事件)
JSON 輸出會出現在 Intune 入口網站的修復 > 監控 > 裝置狀態 >「修復前偵測輸出」並可匯出為 CSV 進行分析。
重要: 這是只用於偵測的腳本。 裝置本身沒有做任何更改。 不需要補救處方。
建立腳本檔案
-
前往範例安全啟動庫存資料收集腳本 (KB5072718)
-
從頁面複製完整劇本內容
-
打開文字編輯器 (例如記事本、VS Code) ,然後貼上腳本
-
將檔案存為 Detect-SecureBootCertUpdateStatus.ps1
在 Intune 中建立修復程序
請依照以下步驟部署偵測腳本,作為修復 (腳本套件) Microsoft Intune。
步驟 1:建立腳本套件
-
前往修復裝置 >
-
點擊 + 建立腳本套件
步驟二:基礎
-
請在基礎標籤中設定以下設定:
|
設定 |
值 |
|---|---|
|
姓名 |
安全開機憑證狀態監控 |
|
描述 |
監控整個車隊的安全開機憑證更新狀態。 僅偵測——不採取補救措施。 |
|
Publisher |
(你們組織名稱) |
-
點擊 下一頁
步驟三:設定
-
請在設定標籤中設定以下設定:
|
設定 |
值 |
注意事項 |
|---|---|---|
|
偵測腳本檔案 |
上傳 Detect-SecureBootCertificateStatus.ps1 |
前一段的劇本 |
|
修復腳本檔 |
(空置) |
不需要修復——這只是監測而已 |
|
用登入的憑證執行這個腳本 |
否 |
以 SYSTEM 形式執行,以確保存取 Confirm-SecureBootUEFI 與登錄檔 |
|
強制執行腳本簽章檢查 |
否 |
若您的組織要求簽署處方,請設為「是」 |
|
在 64 位元 PowerShell 中執行腳本 |
是 |
Confirm-SecureBootUEFI 指令和準確登錄讀取的必要條件 |
-
點擊 下一頁
步驟四:範圍標籤
-
請加上組織要求的範圍標籤,或保留為預設
-
點擊下一頁
步驟五:分配
|
設定 |
值 |
注意事項 |
|---|---|---|
|
指派 |
選擇要監控的裝置群組 |
使用所有裝置進行全艦隊監控,或使用特定群組進行針對性監控 |
|
排程 |
根據你的監控需求進行配置 |
建議:每天一次用於積極追蹤部署,或每週一次用於持續監控 |
注意:修復作業會依照裝置設定的排程執行。 根據裝置的入住週期,首次執行可能需要長達24小時。
點擊 下一頁
步驟六:檢視 + 創建
-
檢查所有設定
-
點擊建立
檢視與匯出結果
在入口網站查看結果
-
前往修復裝置 >
-
點擊安全開機憑證狀態監控 (或您選擇的名稱)
-
選擇「監視器」標籤
-
點擊裝置狀態
-
點擊 欄位 並新增 預先整治偵測輸出
你會看到一張包含以下欄位的表格:
|
柱狀 |
描述 |
|---|---|
|
裝置名稱 |
裝置名稱 |
|
用戶名 |
裝置的主要使用者 |
|
偵測狀態 |
若無問題 (證書已更新) 或有問題 (證書未更新) |
|
修復前偵測輸出 |
腳本的完整 JSON 輸出 |
|
最後修改 |
腳本最後一次在裝置上執行的時間 |
匯出至 CSV
-
在裝置狀態頁面,點擊表格頂端的匯出按鈕
-
CSV 檔案會下載所有欄位,包括每台裝置的完整 JSON 偵測輸出
-
在 Excel 中開啟,可以依任意欄位篩選、排序和分析
提示:在 Excel 中,你可以使用 TEXTJOIN 或 JSON 函式,將偵測輸出的 JSON 解析成獨立欄位,方便分析。
概覽標籤
修復專案中的概覽標籤提供摘要儀表板:
|
計量 |
意義 |
|---|---|
|
有問題的裝置 |
憑證尚未更新的裝置 |
|
沒有問題的裝置 |
憑證為最新版本的裝置 |
|
偵測失敗的裝置 |
腳本遇到錯誤的裝置 |
常見問題
這會改變我的裝置嗎?
否。 這是只用於偵測的腳本。 登錄檔值不會被修改,不會觸發更新,也不會採取修復行動。 腳本只會讀取數值並回報它們。
「有問題」是什麼意思?
「有問題」表示裝置尚未套用 2023 年的安全開機憑證,且尚未啟用 2023 年簽署的開機管理器。 這可能的原因有:- 憑證更新尚未啟動 - 更新正在進行中,可能需要重開機才能完成 - 裝置上沒有啟用安全開機 - 裝置不是基於 UEFI,或正在等待重啟來套用開機管理器。
「無子嗣」是什麼意思?
「無問題」表示裝置已啟用安全開機,且 UEFICA2023Status 登錄檔值為更新,表示 2023 年的憑證已成功套用。
劇本多久播一次?
腳本會依照你在指派中設定的排程執行。 在推廣期間,建議每日進行主動監控。 持續監測則每週一次即可。
如果服務登錄檔金鑰不存在怎麼辦?
如果 HKLM:\SYSTEM\CurrentControlSet\Control\Control\SecureBoot\Servicing 金鑰在裝置上不存在,UEFICA2023Status 欄位將顯示 NoValue。 這通常表示裝置尚未啟動憑證更新。
需要哪些執照?
修復需要 Windows 10/11 Enterprise E3/E5、Education A3/A5 或 F3 授權。 如果您的裝置僅有商業高級或專業授權,則無法提供修復服務。 詳見修復的先決條件。
資源
需要更多協助嗎?
想要其他選項嗎?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
