HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态

        去年11月份 gOxiA 分享了“HOWTO: 升级 Secure Boot 证书解决 2026年到期问题”的日志，看起来很多 IT 都在关注这个事情。如果当前组织正计划开始实施安全证书的更新，并且已经在基于 Intune 管理，那么强烈建议考虑通过 Intune 修正脚本来监视安全启动证书的状态。

        微软官方给出了一套方案，使用一个 PowerShell 脚本来收集安全启动和证书状态，将这些清单数据输出为 JSON 字符串，并将其报告回 Intune，这样 IT 人员便可直观了解到每个设备的安全启动证书的状态信息，来采取对应的计划或措施。微软提供的脚本只用来收集对应信息，不会做任何变更动作，可放心使用。

        该脚本的获取地址：https://support.microsoft.com/en-us/topic/sample-secure-boot-inventory-data-collection-script-d02971d2-d4b5-42c9-b58a-8527f0ffa30b

        从脚本内容可见会从以下源读取信息：

• 注册表 - HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot，获取安全启动证书更新状态、设备属性等信息。
• WMI/CIM - 获取 OS 版本、上次启动时间和主板硬件信息。
• 事件日志 - 收集事件ID 为 1801 和 1808 的系统事件，这两个 ID 事件为安全启动更新事件。

        相关信息会转换为 JSON 字符串输出显示在 Intune 门户中，具体位置是“设备 - 脚本和修正”在列表中找到刚才添加的脚本条目，进入后在列中启用“修正前检测输出”，具体如下图所示，就能看到收集到的设备安全启动的相关信息。

        要创建这个修正也很简单，进入 Intune 管理中心 - 设备 - 脚本和修正，添加脚本。然后定义个名称，并根据需要添加说明。

        然后，上传 ps1 脚本文件，并确保“使用已登录的凭据运行此脚本”和“强制执行脚本签名检查”为“否”，并将“在 64 位 PowerShell 中运行脚本”设为“是”。

        根据需要分配要收集数据额组，并配置一个计划，建议为每日执行。

        在审阅界面确认配置无误便可创建。

        需要注意的是，如果进入脚本和修正后无法在修正中添加脚本，则需要检查是否允许 Windows 许可证验证，为此 IT 管理员需要进入 Intune 租户管理 - 连接器和令牌中找到 Windows 数据选项来启用该配置。

推荐官方文档：

Monitoring Secure Boot certificate status with Microsoft Intune remediations | Microsoft Support

Microsoft Intune Remediations | Microsoft Learn

Enable Windows diagnostic data and license verification | Microsoft Learn ]]>