次の方法で共有

新しいセキュア ブート2023証明書への更新について

Hideyuki Saito 20 評価のポイント
2026-05-15T05:18:55.12+00:00

以下のメールを受け取りましたが、証明書の更新が必要かどうかを包括的に確認する方法を教えてほしいです。

Action recommended: Update Secure Boot 2023 certificates for Azure Windows VMs created before April 2024 (推奨される対策:2024年4月より前に作成されたAzure Windows VMのSecure Boot 2023証明書を更新する)

以下の観点で対象かどうかを判断する認識で合っているでしょうか?

・以下の全てに合致するものは、更新が必要な対象である。

  • OS:Windows ※「Linux」なら対象外。
  • セキュリティの種類:トラステッド起動 ※「Standard」なら対象外。
  • (VM)世代:v2 ※「v1」なら対象外。
  • 2024年4月以前に作成されたイメージからデプロイされているVM

・上記のうち、以下のコマンドの結果が「NotStarted」の場合は、更新が必要である。

 「Updated」ならば更新不要である。

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" -Name UEFICA2023Status

Azure Virtual Machines
Azure Virtual Machines

Windows および Linux 仮想マシンのプロビジョニングに使用される Azure サービス。

2 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Ankit Yadav 14,455 評価のポイント Microsoft 外部スタッフ モデレーター
    2026-05-15T05:51:13.4733333+00:00

    齋藤秀幸様、こんにちは。

    Microsoftの推奨事項によると、まずAzure VMがTrusted LaunchとSecure Bootが有効になっている第2世代VMとして構成されているかどうかを確認する必要があります。このガイダンスはTrusted Launchセキュリティを使用しているVMに特に適用され、第1世代VMまたはStandardセキュリティタイプを使用しているVMはSecure Boot証明書の更新の影響を受けません。

    影響を受けるWindows VMについては、UEFICA2023Statusの値と関連するシステムイベントログを確認して、ゲストOSの状態を確認してください。状態がNot Updatedと表示されている場合、Secure Boot証明書の修復がまだそのVMに適用されていないことを意味します。

    このような場合は、Windowsデバイス向けのサポートされているSecure Boot更新プロセスに従い、更新完了後に更新状態を確認することをお勧めします。

    Microsoftは、まず影響を受けるVMを評価し、テストシステムで状態を検証し、必要に応じてファームウェアの準備状況を確認してから、段階的なロールアウトを実施し、その後、本番環境に変更を適用することを推奨しています。

    現在、Microsoftから特定の地域におけるAzureサービス障害に関する公式発表はありません。調査の結果、これはAzureプラットフォームの問題ではなく、VM側でのアップデート準備と検証に関連する問題である可能性が高いことが示唆されました。

    参考資料:

    [注:私は日本語が堪能ではないため、Google翻訳を使用してコミュニケーションを取っています。不明瞭な点や不正確な点がありましたら、お知らせください。できる限り明確に説明いたします。]

    この回答は役に立ちましたか?

    1 人がこの回答が役に立ったと思いました。
    0 件のコメント
  2. Nikhil Duserla 9,940 評価のポイント Microsoft 外部スタッフ モデレーター
    2026-05-20T14:24:37.4233333+00:00

    Hey Hideyuki, you’re on the right track—those four points are exactly how you identify which Windows VMs need the 2023 Secure Boot CA update. Here’s a concise recipe to confirm end-to-end:

    1. Filter your VMs by these properties
      • OS: Windows
      • Security profile: Trusted Launch (not Standard)
      • VM generation: V2 (Gen2)
      • Creation date: before 2024-04-01
      You can do that at scale with Azure Resource Graph or Azure PowerShell. For example, with PowerShell + Resource Graph: 
      
   Search-AzGraph -Query @"

     Resources

     | where type =~ 'microsoft.compute/virtualmachines'

     | where properties.storageProfile.osDisk.osType == 'Windows'

     | where properties.securityProfile.securityType == 'TrustedLaunch'

     | where properties.hardwareProfile.vmGeneration == 'V2'

     | where properties.timeCreated < datetime(2024-04-01T00:00:00Z)

   "@
    2. Check the Secure Boot CA update status inside each VM
      • Use Run Command (Azure portal / CLI) or RDP/PowerShell directly: 
        
     Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" -Name UEFICA2023Status
      • If it returns “NotStarted,” the VM still needs the 2023 CA update.
      • If it returns “Updated,” you’re good—no further action required.
    3. Update any “NotStarted” machines
      • Follow the Windows Server Secure Boot playbook (links below) to stage and apply the new 2023 CA certificates.
      • A reboot is required to pick up the new CA in UEFI.
    4. Automate and audit
      • You can roll this out automatically with Azure Update Manager or DSC.
      • Consider an Azure Policy or Resource Graph query to continuously audit new VMs for drift.

    Reference links

    Hope this helps you validate and roll out the Secure Boot CA update smoothly!

    Note: This content was drafted with the help of an AI system. Please verify the information before relying on it for decision-making.

    この回答は役に立ちましたか?

    0 件のコメント

お客様の回答

質問作成者は回答に "承認済み"、モデレーターは "おすすめ" とマークできます。これにより、ユーザーは作成者の問題が回答によって解決したことを把握できます。