HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态
去年11月份 gOxiA 分享了“HOWTO: 升级 Secure Boot 证书解决 2026年到期问题”的日志,看起来很多 IT 都在关注这个事情。如果当前组织正计划开始实施安全证书的更新,并且已经在基于 Intune 管理,那么强烈建议考虑通过 Intune 修正脚本来监视安全启动证书的状态。
微软官方给出了一套方案,使用一个 PowerShell 脚本来收集安全启动和证书状态,将这些清单数据输出为 JSON 字符串,并将其报告回 Intune,这样 IT 人员便可直观了解到每个设备的安全启动证书的状态信息,来采取对应的计划或措施。微软提供的脚本只用来收集对应信息,不会做任何变更动作,可放心使用。
从脚本内容可见会从以下源读取信息:
- 注册表 - HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot,获取安全启动证书更新状态、设备属性等信息。
- WMI/CIM - 获取 OS 版本、上次启动时间和主板硬件信息。
- 事件日志 - 收集事件ID 为 1801 和 1808 的系统事件,这两个 ID 事件为安全启动更新事件。
相关信息会转换为 JSON 字符串输出显示在 Intune 门户中,具体位置是“设备 - 脚本和修正”在列表中找到刚才添加的脚本条目,进入后在列中启用“修正前检测输出”,具体如下图所示,就能看到收集到的设备安全启动的相关信息。
要创建这个修正也很简单,进入 Intune 管理中心 - 设备 - 脚本和修正,添加脚本。然后定义个名称,并根据需要添加说明。
然后,上传 ps1 脚本文件,并确保“使用已登录的凭据运行此脚本”和“强制执行脚本签名检查”为“否”,并将“在 64 位 PowerShell 中运行脚本”设为“是”。
根据需要分配要收集数据额组,并配置一个计划,建议为每日执行。
在审阅界面确认配置无误便可创建。
需要注意的是,如果进入脚本和修正后无法在修正中添加脚本,则需要检查是否允许 Windows 许可证验证,为此 IT 管理员需要进入 Intune 租户管理 - 连接器和令牌中找到 Windows 数据选项来启用该配置。
推荐官方文档:
Monitoring Secure Boot certificate status with Microsoft Intune remediations | Microsoft Support
Microsoft Intune Remediations | Microsoft Learn
Enable Windows diagnostic data and license verification | Microsoft Learn
