Secure Boot Certificate 匯報 for Azure Virtual Desktop
套用到
原始出版日期: 2026年2月19日
KB ID:5080931
本文提供以下指引:
-
Azure Virtual Desktop administrators managing session host updates
-
使用 Secure Boot 啟用虛擬機進行 Azure 虛擬桌面部署的組織
-
使用自訂映像 (黃金映像的組織) Azure虛擬桌面部署
本文內容:
簡介
安全開機是 UEFI 韌體的安全功能,幫助確保只有受信任且數位簽章的軟體能在裝置開機序列中執行。 2011 年發行的 Microsoft 安全啟動憑證將於 2026 年 6 月開始到期。 若無更新的 2023 年憑證,裝置將無法獲得新的安全開機與開機管理員保護措施,或針對新發現的開機層級漏洞的緩解措施。
所有在 Azure 虛擬桌面服務中註冊的啟用安全啟動虛擬機,以及用於配置它們的自訂映像檔,必須在到期前更新為 2023 年憑證,以保持保護。 請參閱 Windows 裝置安全開機憑證過期
這套規則適用於我的 Azure 虛擬桌面環境嗎?
|
案例 |
安全開機啟動? |
需要採取行動 |
|
會議主持人 |
||
|
啟用安全開機的受信任啟動虛擬機 |
是 |
更新會話主機上的憑證 |
|
關閉安全開機的受信任啟動虛擬機 |
否 |
不需要任何行動 |
|
Standard 安全類型虛擬機 |
否 |
不需要任何行動 |
|
第一代虛擬機 |
不支援 |
不需要任何行動 |
|
金色影像 |
||
|
啟用 Secure Boot 的 Azure Compute Gallery 映像檔 |
是 |
更新原始映像中的憑證 |
|
Azure Compute Gallery 映像檔,沒有 Trusted Launch |
否 |
部署後在會話主機中套用更新 |
|
受管理映像 (不支援受信任啟動) |
否 |
部署後在會話主機中套用更新 |
完整背景資訊請參閱安全啟動憑證更新:IT 專業人員與組織指引。
盤點與監控
在採取行動前,先清點環境,找出需要更新的裝置。 監控是確保憑證在2026年6月截止日前生效的必要步驟——即使你依賴自動部署方法。 以下是判斷是否需要採取行動的選項。
選項 1:Microsoft Intune 修復
對於註冊在Microsoft Intune的會話主機,你可以部署偵測腳本,使用Intune修復 (主動修復) ,自動收集整個車隊的安全啟動憑證狀態。 腳本會在每台裝置上靜默執行,並將安全開機狀態、憑證更新進度及裝置細節回報給 Intune 入口網站——裝置不會被更改。 結果可直接從 Intune 管理中心查看並匯出為 CSV 格式,進行全艦隊分析。
關於部署偵測腳本的逐步說明,請參閱「監控 Microsoft Intune 修復中的安全開機憑證狀態」。
選項二:Windows 自動補丁安全開機狀態報告
對於註冊於 Windows 自動補丁的個人持續性會話主機,請Intune前往管理中心 > 報告 > Windows 自動補丁 > Windows 品質更新 > 報告標籤 >安全開機狀態。 請參閱 Windows 自動補丁中的安全開機狀態報告。
附註: Windows 自動補丁僅支援 Azure 虛擬桌面的個人持久虛擬機。 不支援多會話主機、池化非持久虛擬機及遠端應用程式串流。 請參閱 Windows 自動補丁 on Azure 虛擬桌面工作負載。
選項三:車隊監控用登錄金鑰
利用您現有的裝置管理工具,在整個機群中查詢這些登錄值。
|
登錄路徑 |
機碼 |
目的 |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023 狀態 |
目前部署狀態 |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023 錯誤 |
表示錯誤 (不應該存在) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023ErrorEvent |
表示事件 ID (不應該存在) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \控制\安全啟動 |
可用更新 |
待更新片段 |
欲了解完整的登錄檔金鑰細節,請參見安全開機登錄鍵更新:帶有 IT 管理更新的 Windows 裝置。
選項四:事件日誌監控
利用現有的裝置管理工具,從系統事件日誌中收集並監控這些事件ID,跨越整個車隊。
|
事件識別碼 |
位置 |
意義 |
|
1808 |
系統 |
成功申請的證書 |
|
1801 |
系統 |
更新狀態或錯誤細節 |
完整事件細節請參見安全開機資料庫與 DBX 變數更新事件。
選項 5:PowerShell 庫存腳本
執行 Microsoft 的範例安全開機清單資料收集腳本,以檢查安全開機憑證更新狀態。 該腳本會收集多個資料點,包括安全開機狀態、UEFI CA 2023 更新狀態、韌體版本及事件日誌活動。
部署
重要: 無論您選擇哪種部署方式,我們建議您監控您的裝置群,以確保憑證在 2026 年 6 月截止日前成功套用。 關於自訂影像,請參見黃金影像考量。
選項一:Windows Update (高信心裝置自動匯報)
當有足夠的遙測數據確認裝置在類似硬體配置上成功部署時,Microsoft 會透過 Windows 每月更新自動更新裝置。
-
狀況: 預設啟用於高信心裝置
-
除非你想選擇退出,否則不需要採取任何行動
|
登錄 |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
機碼 |
HighConfidenceOptOut = 1 以表示退出 |
|
群組原則 |
電腦設定 > 管理範本 > Windows 元件 > 安全開機 > 透過匯報 > 設為停用以選擇退出自動部署憑證。 |
推薦: 即使啟用自動更新,也要監控你的會話主機,確認憑證是否已套用。 並非所有裝置都符合高信心自動部署的資格。
欲了解更多資訊,請參閱自動部署協助。
選項二:IT-Initiated 部署
手動觸發憑證更新,以立即或受控推出。
|
方法 |
文件 |
|
Microsoft Intune |
|
|
群組原則 |
|
|
登錄檔金鑰 |
|
|
WinCS CLI |
附註:
-
請勿在同一裝置上混用 IT 發起的部署 (方法,例如Intune 與 GPO) ,因為它們控制相同的登錄鍵,可能會發生衝突。
-
請允許約48小時及一次或多次重新開始,才能完全生效。
黃金形象考量
對於使用 Azure Compute Gallery 映像並啟用 Secure Boot 的 Azure 虛擬桌面環境,請在擷取黃金映像檔前,先對 Secure Boot 2023 憑證更新。 請使用上述方法套用更新,然後確認憑證是否已更新,再進行一般化:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
未啟用 Trusted Launch 的映像檔無法透過映像接收安全開機憑證更新。 這包括不支援受信任啟動的受管理映像檔,以及未啟用信任啟動的 Azure Compute Gallery 映像檔。 對於由這些映像檔配置的裝置,請使用上述方法之一在訪客作業系統中套用更新。
已知問題
不存在服務登錄檔金鑰
|
徵兆 |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 路徑不存在 |
|
原因 |
裝置尚未啟動憑證更新 |
|
解決方案 |
請等待透過 Windows Update 自動部署,或使用上述 IT 發起的部署方式手動啟動 |
狀態顯示「進行中」,持續時間很長
|
徵兆 |
UEFICA2023狀態在多天後仍維持「進行中」 |
|
原因 |
裝置可能需要重新啟動才能完成更新流程 |
|
解決方案 |
重新啟動主機,15 分鐘後再檢查狀態。 如果問題持續,請參閱安全開機資料庫(Secure Boot DB)和 DBX 變數更新事件(DBX variable update events)以獲得故障排除指引 |
UEFICA2023 錯誤登錄檔金鑰存在
|
徵兆 |
UEFICA2023 錯誤登錄檔金鑰存在 |
|
原因 |
在憑證部署過程中發生錯誤 |
|
解決方案 |
詳情請查閱系統事件日誌。 請參考 Secure Boot DB 和 DBX 變數更新事件以獲得故障排除指引 |
資源
需要更多協助嗎?
想要其他選項嗎?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
