HOWTO: 使用 Intune 执行设备安全启动证书更新
HOWTO: 使用 Intune 执行设备安全启动证书更新
距离6月所剩无几,回顾 gOxiA 之前的日志“HOWTO: 升级 Secure Boot 证书解决2026年到期问题”,可见关注该问题的用户还是比较多的。对于正在使用 Intune 现代管理技术的组织,可以借助 Intune 来轻松执行设备安全启动证书的更新任务,如果之前阅读过“HOWTO: 通过 Intune 修正脚本监视安全启动证书状态”并已实施监测,那应该会有可靠的数据支撑来执行更新工作。
为了确保可靠高效的更新建议采用分步执行的策略,这里推荐使用 Intune 的分配筛选器创建不同的筛选策略来分配安全启动证书更新策略。例如计划先为 Microsoft Surface 品牌的设备执行安全证书更新,为此登录 Intune 管理中心转到“租户管理 - 分配筛选器 - 创建 - 托管设备”,之后跟随向导完成设置,主要的设置在“规则”配置中,可以根据不同属性创建表达式。
表达式创建完毕后,即可转到“设备 - 管理设备 -配置”中创建安全启动证书更新策略,平台为“Windows 10 及更高版本”,配置文件类型为“设置目录”,跟随向导完成配置,其中配置设置里可搜索关键词“Secure”来找到“安全启动”配置,并勾选“启用安全启动证书更新”。
因为我们计划此更新策略只先行在 Microsoft Surface 品牌的设备上执行,所以在“分配”配置页面中,对分配的条目添加“分配筛选器”,选择“在分配中包含已筛选的设备”,并选择我们前面添加的筛选即可。这表示只有符合过滤条件的设备才能获得策略!如果选择“在分配中排除已筛选的设备”,则匹配过滤器的设备不会收到该策略。
完成上述配置后即可等待策略执行,需要注意的是安全启动设置并不会立即开始应用,为每 12小时运行一次。在应用了安全启动更新后并不会导致重启,但需要重启才能完成更新。
推荐官方文档:
适用于组织的 Windows Backup 首次登录还原体验现已发布
适用于组织的 Windows Backup 首次登录还原体验现已发布
2026年2月24日微软公布首次登录还原体验已作为 Windows Backup for Organizations 的一部分正式提供。首次登录还原体验即允许组织用户在完成 OOBE 后首次登录 Windows 时可以再次选择是否要从备份恢复设备。如果你对 Windows Backup for Organizations 还感到陌生,建议先阅读以下几篇日志:
默认情况下,当 IT 启用了 Windows Backup for Organizations 后,用户可以在自己的设备上使用 Windows Backup 对当前系统进行备份,当重装系统或使用新设备时,在 OOBE 完成组织账户验证后,便会提示选择还原电脑,可将之前的备份信息恢复到当前设备上。在早期,用户只有在 OOBE 阶段才能进行这个恢复选择,但现在用户即使在 OOBE 错过了恢复操作,也可以在首次登录 Windows 桌面时根据提示再次选择是否执行恢复,这一体验将会极大的方便用户。
需要注意,首次登录期间的还原要求如下:
- Windows 11 24H2 26100.7922 或更高版本
- Windows 11 25H2 26200.7922 或更高版本
- 设备已完成注册
- 注册后,用户首次登录
- 用户至少有一个备份配置文件
- 必须 Microsoft Entra 联接或 Microsoft Entra 混合联接
推荐官方文档:
HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态
HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态
去年11月份 gOxiA 分享了“HOWTO: 升级 Secure Boot 证书解决 2026年到期问题”的日志,看起来很多 IT 都在关注这个事情。如果当前组织正计划开始实施安全证书的更新,并且已经在基于 Intune 管理,那么强烈建议考虑通过 Intune 修正脚本来监视安全启动证书的状态。
微软官方给出了一套方案,使用一个 PowerShell 脚本来收集安全启动和证书状态,将这些清单数据输出为 JSON 字符串,并将其报告回 Intune,这样 IT 人员便可直观了解到每个设备的安全启动证书的状态信息,来采取对应的计划或措施。微软提供的脚本只用来收集对应信息,不会做任何变更动作,可放心使用。
从脚本内容可见会从以下源读取信息:
- 注册表 - HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot,获取安全启动证书更新状态、设备属性等信息。
- WMI/CIM - 获取 OS 版本、上次启动时间和主板硬件信息。
- 事件日志 - 收集事件ID 为 1801 和 1808 的系统事件,这两个 ID 事件为安全启动更新事件。
相关信息会转换为 JSON 字符串输出显示在 Intune 门户中,具体位置是“设备 - 脚本和修正”在列表中找到刚才添加的脚本条目,进入后在列中启用“修正前检测输出”,具体如下图所示,就能看到收集到的设备安全启动的相关信息。
要创建这个修正也很简单,进入 Intune 管理中心 - 设备 - 脚本和修正,添加脚本。然后定义个名称,并根据需要添加说明。
然后,上传 ps1 脚本文件,并确保“使用已登录的凭据运行此脚本”和“强制执行脚本签名检查”为“否”,并将“在 64 位 PowerShell 中运行脚本”设为“是”。
根据需要分配要收集数据额组,并配置一个计划,建议为每日执行。
在审阅界面确认配置无误便可创建。
需要注意的是,如果进入脚本和修正后无法在修正中添加脚本,则需要检查是否允许 Windows 许可证验证,为此 IT 管理员需要进入 Intune 租户管理 - 连接器和令牌中找到 Windows 数据选项来启用该配置。
推荐官方文档:
Monitoring Secure Boot certificate status with Microsoft Intune remediations | Microsoft Support
Microsoft Intune Remediations | Microsoft Learn
Enable Windows diagnostic data and license verification | Microsoft Learn
