Secure Boot certificaten verlopen in 2026

In juni 2026 verlopen de huidige Microsoft Secure Boot certificaten. Dat betekent dat organisaties vóór die tijd moeten zorgen dat hun apparaten de nieuwe certificaten hebben ontvangen. Zoek je op Secure Boot 2026 verlopen of Secure Boot certificate update Intune, dan vind je vooral technische documentatie. In dit artikel lees je wat de Secure Boot certificate rollover inhoudt, hoe je de Microsoft Secure Boot update via Intune regelt, waar de risico’s zitten en hoe Hands on ICT dit structureel meeneemt binnen YourWorkplace.

Wat verandert er bij de Secure Boot certificate rollover 2026

Secure Boot controleert tijdens het opstarten van een apparaat of alleen vertrouwde, digitaal ondertekende bootloaders worden geladen. Dit gebeurt op basis van certificaten die zijn opgeslagen in de UEFI firmware database (Secure Boot DB).

De huidige Microsoft UEFI CA certificaten zijn meer dan tien jaar oud en worden vervangen vóór juni 2026. Dit proces wordt ook wel de Secure Boot certificate rollover genoemd.

Belangrijk om te begrijpen: dit is geen standaard Windows patch. Het raakt de firmwarelaag en daarmee de volledige boot chain. Wanneer apparaten de nieuwe certificaten niet tijdig ontvangen, kunnen zij in een verzwakte beveiligingsstatus terechtkomen. Functioneel lijkt alles te werken, maar de basis van vertrouwen is niet meer actueel.

Krijg je de Microsoft Secure Boot update automatisch

Voor standalone apparaten met actieve Windows Update zal de Secure Boot firmware update in veel gevallen automatisch worden aangeboden. In een zakelijke omgeving is dat minder vanzelfsprekend.

Als je zoekt op Microsoft Secure Boot update Intune, dan kom je erachter dat alleen het feit dat een apparaat Intune managed is, niet automatisch betekent dat deze update gecontroleerd wordt toegepast.

Voor een succesvolle uitrol moeten onder andere de volgende voorwaarden kloppen:

• Ondersteunde Windows 10 of Windows 11 versie
• Secure Boot ingeschakeld
• Compatibele UEFI firmware
• Geen langdurig uitgestelde Quality Updates
• Devices die regelmatig inchecken bij Intune

Juist in omgevingen met meerdere update rings of uitzonderingsgroepen kan dit afwijken van de standaard.

Secure Boot firmware update via Intune configureren

Wil je de Secure Boot certificate update via Intune beheerst uitrollen, dan moet je expliciet instellingen configureren in het Intune Admin Center.

Stap 1 – Settings Catalog profiel aanmaken

Ga naar:
Devices → Configuration Profiles → Create profile
Platform: Windows 10 and later
Profile type: Settings catalog

Zoek op “Secure Boot”. Hier vind je onder andere instellingen zoals:

• Enable Secure Boot Certificate Update
• Configure Microsoft Update Managed Opt-In
• Configure High-Confidence Opt-Out

Deze instellingen zijn in veel omgevingen niet expliciet ingericht. Alleen een update ring configureren is dus niet voldoende als je volledige controle wilt over de Secure Boot certificate rollover.

Stap 2 – Update Rings controleren

Controleer hoe Quality Updates worden uitgesteld en of er afwijkende groepen bestaan. Denk aan testgroepen, directie-laptops, kiosk-systemen of apparaten die zelden online zijn. Dit zijn vaak de devices waar een Secure Boot update ongemerkt achterblijft.

Stap 3 – Valideren of de update is toegepast

Alleen configureren is niet genoeg. Je wilt controleren of apparaten daadwerkelijk de nieuwe certificaten hebben ontvangen.

Op device-niveau kun je bijvoorbeeld controleren:

Confirm-SecureBootUEFI

Daarnaast kun je via msinfo32 controleren of Secure Boot is ingeschakeld en of het systeem in UEFI-modus draait. Voor diepgaandere validatie is firmware-inspectie via PowerShell of aanvullende diagnostics nodig.

Waar zitten de risico’s voor organisaties

Wanneer organisaties zoeken op Secure Boot 2026 verlopen, is dat meestal omdat ze willen voorkomen dat apparaten in een ongedefinieerde beveiligingsstatus terechtkomen.

In de praktijk zien wij risico’s bij:

• Hybride Azure AD joined devices
• Devices buiten standaard compliance policies
• Remote werkplekken
• Legacy hardware
• Complexe update ring structuren

Het probleem is zelden dat Microsoft de update niet beschikbaar stelt. Het probleem is dat organisaties niet altijd kunnen aantonen dat elk device hem daadwerkelijk heeft ontvangen.

Wat dit betekent voor IT-managers

Voor engineers is dit een technisch vraagstuk rondom firmware en certificaten. Voor IT-managers gaat het om governance en beheersbaarheid.

Kun je aantonen dat jouw security baseline actueel is? Is firmwarebeheer onderdeel van je lifecycleproces? Kun je richting audit of NIS2-verplichtingen laten zien dat dit beheerst wordt uitgerold?

De Secure Boot certificate update is geen los technisch detail, maar een voorbeeld van hoe modern devicebeheer verschuift van losse patches naar structureel lifecyclemanagement.

Beheer dit structureel met YourWorkplace

De Secure Boot certificate rollover in 2026 is technisch zelf in te richten. De documentatie is beschikbaar en Intune ondersteunt het. De vraag is alleen of je dit als losse actie wilt uitvoeren of structureel wilt borgen binnen je beheerproces.

Binnen YourWorkplace nemen wij dit soort firmware- en securitywijzigingen standaard mee in het beheer van Microsoft 365- en Intune-omgevingen. Dat betekent actieve monitoring, controle op uitzonderingen, lifecyclebeheer en periodieke validatie van compliance.

Zo voorkom je dat een wijziging richting 2026 een project wordt en zorg je dat je aantoonbaar in control blijft.

Wil je weten of jouw omgeving correct is ingericht voor de Secure Boot firmware update via Intune? Neem contact met ons op. We kijken graag met je mee.