Expiration des certificats Secure Boot : le dashboard Log Analytics

Dans cet article, je vais partager un dashboard Log Analytics vous permettant de surveiller l’état de l’expiration des certificats Windows Secure Boot sur vos appareils Intune.

Comme vous le savez sûrement, les certificats Secure Boot expireront en juin 2026. Je ne vais pas aborder ce sujet en détail ici, car de nombreuses ressources existent déjà sur le sujet.

Vous trouverez ci‑dessous quelques articles intéressants :

https://www.tbone.se/2026/01/09/update-secure-boot-certificate-by-using-intune-remediation
https://patchmypc.com/blog/the-secure-boot-status-report-intune
https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
https://blog.mindcore.dk/2026/02/windows-secure-boot-certificate-expiration-2026/
https://scloud.work/intune-secure-boot-certificate-updates/

Dans cet article, je vais partager un dashboard Log Analytics permettant de surveiller l’état de ces certificats sur vos appareils. Vous pourrez ainsi visualiser :

• L’état du certificat sur les appareils
• L’état de mise à jour minimale du BIOS pour le certificat
• L’état de Secure Boot
• L’état du déploiement du certificat UEFICA2023

État du certificat sur les appareils

Ici, nous vérifions l’état du déploiement du certificat via la clé de registre suivante : HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\UEFICA2023Status

État de la version minimale du BIOS pour le certificat

Dans cette partie, nous vérifions le résultat de la commande suivante :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

Cette commande permet de vérifier si dbdefault contient le certificat Windows UEFI CA 2023.

Elle peut retourner True ou False :

• True : l’appareil dispose de la version minimale du BIOS
• False : l’appareil n’a pas la version minimale du BIOS

⚠️ Cette commande peut échouer sur certains modèles ou machines virtuelles.

État de Secure Boot

Dans cette partie, nous vérifions si Secure Boot est activé ou non.

Tâche planifiée Secure Boot

Nous vérifions ici l’état de la tâche planifiée Secure-Boot-Update.

Journaux d’événements

Nous vérifions les ID d’événements suivants dans le journal Système :

• 1801 : Mise à jour initiée, redémarrage requis
• 1808 : Mise à jour terminée avec succès
• 1795 : Erreur renvoyée par le firmware
• 1796 : Erreur enregistrée avec code d’erreur
• 1800 : Redémarrage nécessaire
• 1802 : Problème de firmware connu, mise à jour bloquée
• 1803 : Mise à jour KEK correspondante introuvable

La solution

1. Création d’un script de remédiation
2. Script exécuté chaque jour
3. Il collecte les infos sur le poste
4. Et les envoie à Log Analytics

Le dashboard

Le tableau de bord est organisé en deux onglets :

• Overview
• Details

Vous trouverez d’abord un résumé rapide de votre situation.

Premiers compteurs :

• État global du certificat Secure Boot
• État de mise à jour minimale du BIOS
• Certificat trouvé dans ActiveDB
• Certificat trouvé dans ActiveDB
• État du Secure Boot
• État de la tâche planifiée Secure Boot Update
• État du déploiement du certificat UEFICA2023

Puis :

• Modèles nécessitant une mise à jour BIOS
• Modèles avec BIOS à jour
• Modèles nécessitant une mise à jour du certificat
• Modèles avec certificat à jour

Détails

Cet onglet fournit les détails sur ce qui doit être mis à jour et sur quels appareils.

Appareils avec certificat non prêt

Nous vérifions la clé de registre UEFICA2023Status située dans : HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Le champ « Deployment status » correspondant à UEFICA2023Status peut être :

• Updated : Mise à jour Secure Boot CA 2023 terminée
• InProgress : Mise à jour en cours, en attente d’un redémarrage ou de l’exécution de la tâche planifiée
• NotStarted : Déploiement prévu mais non encore exécuté

Appareils en attente de redémarrage

Nous listons les appareils où :

• UEFICA2023Status = InProgress
• Dernier redémarrage > 7 jours
• Dernier event ID = 1800

Appareils nécessitant une mise à jour BIOS

Nous vérifions la valeur retournée par : (Get-SecureBootUEFI dbdefault).bytes

Deux valeurs possibles :

• True : BIOS à jour
• False : BIOS non à jour

Sources à télécharger

Cliquez sur l’image GitHub ci‑dessous pour récupérer les fichiers suivants :

Utilisation de Log Analytics v1

Cette partie concerne l’envoi de données vers Log Analytics via l’API Data Collector.

Cette API est dépréciée, mais vous pouvez encore l’utiliser pour surveiller votre certificat Secure Boot.

Pour créer ce rapport, nous aurons besoin des informations suivantes :

• Workspace ID
• Primary key
• Nom du custom log

Pour les obtenir : Log Analytics Workspace > Agents management

Vous y trouverez Workspace ID et Primary key.

Si la clé primaire n’est pas visible :

1. Ouvrez Azure Portal
2. Ouvrez Cloud Shell
3. Exécutez :

az monitor log-analytics workspace get-shared-keys --resource-group <Your resource group> --workspace-name <Your workspace> --query "primarySharedKey"

Ensuite :

1. Ouvrez le fichier Detection.ps1
2. Renseignez :

• $CustomerID : Workspace ID
• $ShareKey : Primary key

Utilisation de Log Analytics v2

L’API Data Collector est dépréciée. Voici comment configurer le processus Log Ingestion API.

Création de l’App Registration

Cette application servira à s’authentifier et envoyer les données à Log Analytics.

1. Allez dans le portail Azure
2. Allez dans App registrations
3. Cliquez sur New registration
4. Nommez l’application
5. Laissez les valeurs par défaut
6. Cliquez sur Register
7. Allez dans Certificates & secrets
8. Allez dans Client secrets
9. Cliquez sur New client secret
10. Nommez le secret
11. Choisir une durée
12. Cliquez sur Add
13. Copiez le secret

Créer un Data Collection Endpoint

1. Allez dans le portail Azure
2. Allez dans Monitor
3. Allez dans Data Collection Endpoints
4. Cliquez sur Create
5. Nommez le DCE
6. Choisissez Subscription, resource group, région
7. Cliquez sur Review + Create
8. Une fois créé, ouvrir le DCE
9. Allez dans Overview
10. Copiez la valeur Logs Ingestion

Créer un custom log (DCR)

Le DCR définit la structure de la table et la manière dont les données sont envoyées.

1. Allez dans Log Analytics workspace
2. Allez dans Settings > Tables
3. Cliquez sur Create
4. Cliquez sur New custom log (DCR based)
5. Nommez le : SecureBootCertificate
6. Cliquez sur Create a new data collection rule
7. Choisissez Subscription, resource group
8. Nommez le DCR
9. Sélectionnez le DCR
10. Cliquez sur Next
11. Cliquez sur Browse for files
12. Sélectionnez SecureBootCertificate_CL.json
13. Cliquez sur Next puis Create
14. Ouvrir le DCR
15. Allez dans Overview
16. Copiez immutableId

Donner les permissions à l’application

1. Ouvrir le DCR
2. Allez dans Access Control (IAM)
3. Cliquez sur Add role assignment
4. Cherchez et ajoutez le rôle Monitoring Metrics Publisher
5. Cliquez sur Next
6. Cliquez sur User, group, or service principal
7. Cliquez sur Select members
8. Sélectionnez l’app registration
9. Cliquez sur Review + assign

Créer le script de remédiation

1. Allez dans Devices
2. Allez dans Remediations
3. Cliquez sur Create script package
4. Nommez le
5. Next
6. Detection script file
7. Pour Data Collector API : Detection.ps1
8. Pour Log Ingestion API : Detection_LAv2.ps1
9. Cliquez sur Next
10. Sélectionnez le groupe
11. Choisissez la planification
12. Cliquez sur Apply
13. Cliquez sur Create

Ajouter le workbook

Le rapport est disponible sur GitHub.

Fichiers disponibles :

• Log Analytics v1 : Workbook.json ou Workbook2.json
• Log Analytics v2 : Workbook_LAv2.json

Il faudra procéder comme ci-dessous :

1. Allez dans Log Analytics workspace
2. Allez dans votre workspace
3. Allez dans Monitoring > Workbooks
4. Cliquez sur New
5. Cliquez sur Advanced editor
6. Supprimez le contenu
7. Collez le contenu du JSON
8. Cliquez sur Apply
9. Cliquez sur Done editing > Save