Windows 11 で新たにシステム要件に追加されたセキュアブートについて、2026年6月以降、関連する証明書の有効期限切れを迎えます。
これらの証明書は、Windows Update により自動更新されることがほとんどですが、Intune を使い組織内デバイスからセキュアブートおよび証明書の状態を収集することで、デバイス全体の更新状況を可視化することができます。
本記事では、Microsoft が公開しているセキュア ブート証明書更新に関するガイダンスをもとに、Intune を用いたスクリプト展開手順をご紹介します。
なお、ご紹介している検出スクリプトは監視専用であり、修復を実行するものではありません。
可視化の前提条件
Windows 10/11 Enterprise E3/E5、Education A3/A5、または F3 ライセンスが必要です。
デバイスに Business Premium ライセンスまたは Pro ライセンスしかない場合、本機能は使用できません。
検出スクリプト
1.以下のリンク先にアクセスします。
Sample Secure Boot Inventory Data Collection script – Microsoft Support
2.「Sample Secure Boot Inventory Data Collection script」をすべてコピーし、メモ帳などに貼り付けます。
※リンク先の URL が en-us になっていることを確認してください。
ja-jp になっている場合、PowerShell スクリプトの内容が誤って日本語訳され、コマンドが正常に実行されません。
3.ファイルの種類で「すべてのファイル」を選択し、名前を付けて保存します。
ファイル名:Detect-SecureBootCertUpdateStatus.ps1
4.Intune 管理センターにアクセスします。
5.「デバイス」>「スクリプトと修復」の順に選択します。
6.「+作成」をクリックします。
7.下表を参考に値を入力し、「次へ」をクリックします。
| 項目 | 値 |
|---|---|
| 名前 | セキュアブート証明書の状態モニター |
| 説明 | フリート全体でセキュア ブート証明書の更新状態を監視します。 検出のみ — 修復アクションは実行されません。 |
| 公開元 | (組織名など) |
8.「検出スクリプトファイル」では、手順3.で保存した Detect-SecureBootCertificateStatus.ps1 を選択します。 修復は行いませんので、「修復スクリプトファイル」は空のままにし、「次へ」をクリックします。
9.続いて、下記の様に「64ビット PowerShell でスクリプトを実行する」のみ「はい」を選択し、「次へ」をクリックします。
10.任意のスコープタグを設定するか、変更せず「次へ」をクリックします。
11.割り当てタブでは、セキュアブート証明書の状態をチェックする対象を指定します。 すべてのデバイス、または特定のグループを選択します。 「スケジュール」からチェックの頻度を設定できます。 既定では24時間に1回、毎日実行されます。
12.最後に内容を確認し、作成ボタンをクリックします。
13.作成したスクリプトの状態は、デバイス→スクリプトと修復→「セキュアブート証明書の状態モニター」→「デバイスの状態」から確認できます。 しばらく待ちスクリプトが実行されると結果が表示されます。 「問題なし」は最新の証明書であることを表します。 「保留中」の状態が続く場合は、デバイスを少し長めに起動してスクリプトの実行タイミングと被るようにします。
14.スクリプトの実行結果をエクスポートし、詳細を確認できます。 「列」ボタンから「修復前の検出の出力」を選択し、「エクスポート」をクリックします。
まとめ
セキュア ブート証明書は、有効期限が切れたからといってすぐにデバイスが起動しなくなるわけではありません。しかしながら、まずは自社環境における現状を正しく把握することが、適切な対応に向けた第一歩となります。
Intune などのデバイス管理基盤を活用し、更新状況の可視化や一元管理を行うことで、管理者の負担軽減と対応漏れの防止につながり、効率的な運用を実現できます。
デバイス管理や運用についてお困りの際は、いつでもお気軽にご相談ください。
