注意
- 原始發佈日期: 2026年2月18日
- KB ID: 5080921
本文提供以下指引:
- 需要從 Intune 註冊的 Windows 裝置查看安全開機憑證更新狀態的 IT 管理員
- 準備迎接 2026 年 6 月 Secure Boot 憑證到期截止日期的組織
- 想要監控其 Intune 註冊 Windows 裝置上憑證推廣進度的團隊
本文內容:
簡介
Microsoft 2011 年授權 () 的安全啟動憑證將於 2026 年 6 月起到期。 所有啟用安全開機的 Windows 裝置必須在到期前更新至 2023 年憑證,以確保持續支援安全更新。
本指南提供僅監控的方法,採用Microsoft Intune修復 (主動修復) 。 偵測腳本會從每台裝置收集安全開機與憑證狀態,並回報給 Intune 入口網站——裝置不會採取修復行動。 這讓管理員能集中且可匯出,檢視其 Intune 註冊 Windows 裝置間的憑證更新進度。
為什麼要用這種方法?
| 效益 | 描述 |
|---|---|
| 裝置範圍的可視性 | 在一處查看所有 Intune 註冊 Windows 裝置的憑證狀態 |
| Exportable(已出境) | 直接從 Intune 入口網站匯出結果為 CSV |
| 原始登錄檔值 | 要看實際的登錄檔資料,而不只是通過/不通過 |
| 裝置背景 | 包含製造商、型號、BIOS 版本及韌體類型 |
| 事件日誌遙測 | 擷取安全啟動事件 ID (1801/1808) 、桶 ID 及信心等級 |
| 零接觸 | 以 SYSTEM 靜音方式執行——無需使用者互動 |
關於憑證更新的完整背景資訊,請參閱 安全啟動憑證更新:IT 專業人員與組織指引。
必要條件
在部署偵測腳本前,請確保您的環境符合必要條件。
此解決方案利用 Microsoft Intune 中的修復功能。 完整前置條件清單,請參見「使用修復措施偵測並修正支援問題」— Microsoft Intune。
偵測腳本
偵測腳本是一個 PowerShell 腳本,會從每台裝置收集完整的 Secure Boot 庫存資料,並輸出為 JSON 字串。 劇本內容如下:
登錄檔 — 來自 HKLM:\SYSTEM\CurrentControlSet\Control\Control\SecureBoot 及其子鍵的安全性啟動憑證更新狀態、維修金鑰、裝置屬性,以及選擇加入/退出設定
WMI/CIM — 作業系統版本、最後開機時間及基板硬體資訊
事件日誌 — 系統事件日誌條目,針對事件 ID 1801 和 1808 (安全啟動更新事件)
JSON 輸出會顯示在 Intune 入口網站的修復>監控>裝置狀態>「修復前偵測輸出」中,並可匯出為 CSV 進行分析。
重要: 這是只用於偵測的腳本。 裝置本身沒有做任何更改。 不需要補救處方。
建立腳本檔案
注意
重要 以下包含範例腳本的文章已退版。 如果你安裝了 2026 年 5 月 12 日或之後發布的 Windows 更新,範例腳本可以在你裝置的 %systemroot%\SecureBoot\ExampleRolloutScripts 資料夾中找到。
- 前往 範例安全啟動庫存資料收集腳本 (KB5072718)
- 從頁面複製完整劇本內容
- 打開文字編輯器 (例如記事本、VS Code) ,然後貼上腳本
- 將檔案存為 Detect-SecureBootCertUpdateStatus.ps1
在 Intune 中建立修復程序
請依照以下步驟部署偵測腳本,作為修復 (腳本套件) Microsoft Intune。
步驟 1:建立腳本套件
- 登入 Microsoft Intune 管理中心
- 導航至 裝置 > 修復
- 點擊 + 建立腳本套件
步驟二:基礎
- 請在 基礎 標籤中設定以下設定:
| 設定 | 值 |
|---|---|
| 名稱 | 安全開機憑證狀態監控 |
| 描述 | 監控整個車隊的安全開機憑證更新狀態。 僅偵測——不採取補救措施。 |
| 發行者 | (你們組織名稱) |
- 按一下 [下一步]。
步驟三:設定
- 請在 設定 標籤中設定以下設定:
| 設定 | 值 | 附註 |
|---|---|---|
| 偵測腳本檔案 | 上傳 Detect-SecureBootCertificateStatus.ps1 | 前一段的劇本 |
| 修復腳本檔 | (空置) | 不需要修復——這只是監測而已 |
| 用登入的憑證執行這個腳本 | 否 | 以 SYSTEM 形式執行,以確保存取 Confirm-SecureBootUEFI 與登錄檔 |
| 強制執行腳本簽章檢查 | 否 | 若您的組織要求簽署處方,請設為「是」 |
| 在 64 位元 PowerShell 中執行腳本 | 是 | Confirm-SecureBootUEFI 指令和準確登錄讀取的必要條件 |
- 按一下 [下一步]。
步驟四:範圍標籤
- 請加上組織要求的範圍標籤,或保留為預設
- 按一下 [下一步]。
步驟五:分配
| 設定 | 值 | 附註 |
|---|---|---|
| 指派 | 選擇要監控的裝置群組 | 使用所有裝置進行全艦隊監控,或使用特定群組進行針對性監控 |
| 賽程 | 根據你的監控需求進行配置 | 建議:每天 一次 用於積極追蹤部署,或 每週一次 用於持續監控 |
注意:修復作業會依照裝置設定的排程執行。 根據裝置的入住週期,首次執行可能需要長達24小時。
按一下 [下一步]。
步驟六:檢視 + 創建
- 檢查所有設定
- 點擊 建立
檢視與匯出結果
在入口網站查看結果
- 導航至 裝置 > 修復
- 點擊 安全開機憑證狀態監控 (或您選擇的名稱)
- 選擇 「監視器 」標籤
- 點擊 裝置狀態
- 點擊 欄位 並新增 預先整治偵測輸出
你會看到一張包含以下欄位的表格:
| 柱狀 | 描述 |
|---|---|
| 裝置名稱 | 裝置名稱 |
| 使用者名稱 | 裝置的主要使用者 |
| 偵測狀態 | 若無問題 (證書已更新) 或 有問題 (證書未更新) |
| 修復前偵測輸出 | 腳本的完整 JSON 輸出 |
| 最後修改 | 腳本最後一次在裝置上執行的時間 |
匯出至 CSV
- 在 裝置狀態頁面,點擊表格頂端的 匯出 按鈕
- CSV 檔案會下載所有欄位,包括每台裝置的完整 JSON 偵測輸出
- 在 Excel 中開啟,可以依任意欄位篩選、排序和分析
提示:在 Excel 中,你可以使用 TEXTJOIN 或 JSON 函式,將偵測輸出的 JSON 解析成獨立欄位,方便分析。
概覽標籤
修復專案中的 概覽 標籤提供摘要儀表板:
| 計量 | 意義 |
|---|---|
| 有問題的裝置 | 憑證尚未更新的裝置 |
| 沒有問題的裝置 | 憑證為最新版本的裝置 |
| 偵測失敗的裝置 | 腳本遇到錯誤的裝置 |
常見問題集
這會改變我的裝置嗎?
否。 這是只用於偵測的腳本。 登錄檔值不會被修改,不會觸發更新,也不會採取修復行動。 腳本只會讀取數值並回報它們。
「有問題」是什麼意思?
「有問題」表示裝置尚未套用 2023 年的安全開機憑證,且尚未啟用 2023 年簽署的開機管理器。 這可能的原因有:- 憑證更新尚未啟動 - 更新正在進行中,可能需要重開機才能完成 - 裝置上沒有啟用安全開機 - 裝置不是基於 UEFI,或正在等待重啟來套用開機管理器。
「無子嗣」是什麼意思?
「無問題」表示裝置已啟用安全開機,且 UEFICA2023Status 登錄檔值為更新,表示 2023 年的憑證已成功套用。
劇本多久播一次?
腳本會依照你在指派中設定的排程執行。 在推廣期間,建議每日進行主動監控。 持續監測則每週一次即可。
如果服務登錄檔金鑰不存在怎麼辦?
如果 HKLM:\SYSTEM\CurrentControlSet\Control\Control\SecureBoot\Servicing 金鑰在裝置上不存在,UEFICA2023Status 欄位將顯示 NoValue。 這通常表示裝置尚未啟動憑證更新。
需要哪些執照?
修復需要 Windows 10/11 Enterprise E3/E5、Education A3/A5 或 F3 授權。 如果您的裝置僅有商業高級或專業授權,則無法提供修復服務。 詳見 修復的先決條件。