注意
- 原始出版日期: 2026年2月19日
- KB ID: 5080914
注意
本文提供以下指引:
Windows 365 管理員管理雲端電腦。
使用安全開機的組織會啟用雲端電腦以執行 Windows 365 部署。
組織使用自訂映像檔進行 Windows 365 部署。
本文內容:
簡介
安全開機是 UEFI 韌體的安全功能,確保裝置開機序列中只有可信且數位簽章的軟體能執行。 2011 年發行的 Microsoft 安全啟動憑證將於 2026 年 6 月開始到期。 若無更新的 2023 年憑證,裝置將無法獲得新的安全開機與開機管理員保護措施,或針對新發現的開機層級漏洞的緩解措施。
所有在 Windows 365 服務中配置的啟用安全開機雲端電腦,以及用於配置的自訂映像檔,都必須在過期前更新至 2023 年憑證,以保持保護。 請參閱 Windows 裝置的安全開機憑證過期時。
這套規則適用於我的 Windows 365 環境嗎?
| 案例 | 安全開機啟動? | 需要採取行動 |
|---|---|---|
| 雲端個人電腦 | ||
| 啟用安全開機的雲端電腦 | 是 | 在雲端電腦上更新憑證 |
| 雲端電腦關閉安全開機 | 否 | 不需要任何行動 |
| 圖像 | ||
| 啟用 Secure Boot 的 Azure Compute Gallery 映像檔 | 是 | 在泛化前先更新原始映像中的憑證 |
| Azure Compute Gallery 映像檔,沒有 Trusted Launch | 否 | 配置完成後,在雲端電腦套用更新 |
| 受管理映像 (不支援受信任啟動) | 否 | 配置完成後,在雲端電腦套用更新 |
完整背景資訊請參閱 安全啟動憑證更新:IT 專業人員與組織指引。
盤點與監控
在採取行動前,先清點環境,找出需要更新的裝置。 監控是確保憑證在2026年6月截止日前生效的必要步驟——即使你依賴自動部署方法。 以下是判斷是否需要採取行動的選項。
選項 1:Microsoft Intune 修復
對於註冊於 Microsoft Intune 的雲端電腦,你可以使用Intune修復 (主動修復) 部署偵測腳本,自動收集整個車隊的安全啟動憑證狀態。 腳本會在每台裝置上靜默執行,並將安全開機狀態、憑證更新進度及裝置細節回報給 Intune 入口網站——裝置不會被更改。 結果可直接從 Intune 管理中心查看並匯出為 CSV 格式,進行全艦隊分析。
關於部署偵測腳本的逐步說明,請參閱「監控 Microsoft Intune 修復中的安全開機憑證狀態」。
選項二:Windows 自動補丁安全開機狀態報告
對於已註冊 Windows 自動修補的雲端電腦,請到 Intune 管理中心>報告>Windows 自動補丁>Windows 品質更新>報告標籤>安全開機狀態。 請參閱 Windows 自動補丁中的安全開機狀態報告。
注意:若要在 Windows 365 使用 Windows 自動補丁,雲端電腦必須註冊於 Windows 自動補丁服務。 請參閱 Windows Windows 365 企業版工作負載的 Windows 自動修補程式。
選項三:車隊監控用登錄金鑰
利用您現有的裝置管理工具,在整個機群中查詢這些登錄值。
| 登錄路徑 | 按鍵 | 用途 |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023 狀態 | 目前部署狀態 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023 錯誤 | 表示錯誤 (不應該存在) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023ErrorEvent | 表示事件 ID (不應該存在) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動 |
可用更新 | 待更新片段 |
完整登錄檔金鑰細節,請參閱 安全啟動的登錄檔金鑰更新。
選項四:事件日誌監控
利用現有的裝置管理工具,從系統事件日誌中收集並監控這些事件ID,跨越整個車隊。
| 事件識別碼 | 位置 | 意義 |
|---|---|---|
| 1808 | 系統 | 成功申請的證書 |
| 1801 | 系統 | 更新狀態或錯誤細節 |
完整事件細節請參見 安全開機資料庫與 DBX 變數更新事件。
選項 5:PowerShell 庫存腳本
執行 Microsoft 的範例安全開機清單資料收集 腳本,以檢查安全開機憑證更新狀態。 該腳本會收集多個資料點,包括安全開機狀態、UEFI CA 2023 更新狀態、韌體版本及事件日誌活動。
部署
重要
無論您選擇哪種部署方式,我們建議您監控您的裝置群,以確保憑證在 2026 年 6 月截止日前成功套用。 關於自訂圖片,請參見 自訂圖片考量。
選項一:Windows Update (高信心裝置自動匯報)
當有足夠的遙測數據確認裝置在類似硬體配置上成功部署時,Microsoft 會透過 Windows 每月更新自動更新裝置。
- 狀態:高信心裝置預設啟用
- 除非你想選擇退出,否則不需要採取任何行動
| 登錄 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| 按鍵 | HighConfidenceOptOut = 1 以決定退出 |
| 群組原則 | 電腦配置>行政範本>Windows 元件>安全啟動>透過匯報>自動部署憑證設定為停用以選擇退出 |
注意
推薦: 即使啟用自動更新,也要監控你的雲端電腦,確認憑證是否已套用。 並非所有裝置都符合高信心自動部署的資格。
欲了解更多資訊,請參閱 自動部署協助。
選項二:IT-Initiated 部署
手動觸發憑證更新,以立即或受控推出。
| 方法 | 文件 |
|---|---|
| Microsoft Intune | Microsoft Intune 方法 |
| 群組原則 | GPO 方法 |
| 登錄檔金鑰 | 登錄檔金鑰方法 |
| WinCS CLI | WinCS API |
注意
- 請勿在同一裝置上混用 IT 發起的部署 (方法,例如Intune 與 GPO) ,因為它們控制相同的登錄鍵,可能會發生衝突。
- 請允許約48小時及一次或多次重新開始,才能完全生效。
自訂映像考量
自訂映像由您的組織完全管理。 你必須負責將安全開機憑證更新套用到自訂映像檔,並在使用來配置映像檔前重新上傳。
僅支援支援 Trusted Launch 與 Secure Boot) Azure (Compute Gallery 映像檔,對原始映像檔套用安全開機憑證更新。 受管理映像檔不支援安全開機,因此無法在映像層級套用憑證更新。 對於由受管理映像檔配置的雲端電腦,請直接使用上述部署方法在雲端電腦上套用更新。
在泛化新的自訂映像檔之前,先驗證憑證是否更新:
注意
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
已知問題
不存在服務登錄檔金鑰
| 徵兆 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 路徑不存在 |
|---|---|
| 原因 | 裝置尚未啟動憑證更新 |
| 解決方法 | 請等待透過 Windows Update 自動部署,或使用上述 IT 發起的部署方式手動啟動 |
狀態顯示「進行中」,持續時間很長
| 徵兆 | UEFICA2023狀態在多天後仍維持「進行中」 |
|---|---|
| 原因 | 裝置可能需要重新啟動才能完成更新流程 |
| 解決方法 | 重新啟動雲端電腦,15 分鐘後再檢查一次狀態。 如果問題持續,請參閱 安全開機資料庫(Secure Boot DB)和 DBX 變數更新事件(DBX variable update events )以獲得故障排除指引 |
UEFICA2023 錯誤登錄檔金鑰存在
| 徵兆 | UEFICA2023 錯誤登錄檔金鑰存在 |
|---|---|
| 原因 | 在憑證部署過程中發生錯誤 |
| 解決方法 | 詳情請查閱系統事件日誌。 請參考 Secure Boot DB 和 DBX 變數更新事件 以獲得故障排除指引 |