Se aplica a
Azure Virtual Desktop

Fecha de publicación original: 19 de febrero de 2026

KB ID: 5080931

Este artículo tiene instrucciones para:  

  • Azure administradores de Virtual Desktop que administran las actualizaciones del host de sesión

  • Organizaciones que usan máquinas virtuales habilitadas para arranque seguro para Azure implementaciones de Escritorio virtual

  • Organizaciones que usan imágenes personalizadas (imágenes doradas) para Azure implementaciones de Escritorio virtual

En este artículo: 

Introducción

Arranque seguro es una función de seguridad de firmware UEFI que ayuda a garantizar que solo se ejecute software de confianza firmado digitalmente durante una secuencia de arranque del dispositivo. Los certificados de arranque seguro de Microsoft emitidos en 2011 empiezan a expirar en junio de 2026. Sin los certificados de 2023 actualizados, los dispositivos ya no recibirán nuevas protecciones ni mitigaciones del Administrador de arranque seguro para las vulnerabilidades de nivel de arranque recién descubiertas. ​​​​​​

Todas las máquinas virtuales habilitadas para arranque seguro registradas en el servicio Azure Virtual Desktop y las imágenes personalizadas que se usan para aprovisionarlas deben actualizarse a los certificados de 2023 antes de la expiración para seguir estando protegidas. Consulta Cuándo expiran los certificados de arranque seguro en dispositivos Windows

¿Se aplica esto a mi entorno de Azure Virtual Desktop?

Escenario 

¿Arranque seguro activo? 

Acción necesaria 

Anfitriones de sesión 

Vm de inicio de confianza con arranque seguro habilitado 

Sí 

Actualizar certificados en el host de la sesión 

Vm de inicio de confianza con arranque seguro deshabilitado 

No 

No es necesario realizar ninguna acción 

VM de tipo de seguridad Standard 

No 

No es necesario realizar ninguna acción 

VM de generación 1 

No se admite 

No es necesario realizar ninguna acción 

Imágenes doradas 

imagen de la Galería de procesos de Azure con arranque seguro habilitado 

Sí 

Actualizar certificados en la imagen de origen 

Azure galería de procesos sin inicio de confianza 

No 

Aplicar actualizaciones en el host de sesión después de la implementación 

Imagen administrada (no admite el inicio de confianza) 

No 

Aplicar actualizaciones en el host de sesión después de la implementación

Para obtener información general completa, consulte Actualizaciones de certificados de arranque seguro: instrucciones para profesionales y organizaciones de TI. ​​​​​​

Inventario y monitor

Antes de realizar una acción, realiza un inventario de tu entorno para identificar los dispositivos que requieren actualizaciones. La supervisión es esencial para confirmar que los certificados se apliquen antes de la fecha límite de junio de 2026, incluso si depende de los métodos de implementación automática.  A continuación se muestran opciones para determinar si es necesario realizar una acción.

Opción 1: Microsoft Intune correcciones

Para los hosts de sesión inscritos en Microsoft Intune, puede implementar un script de detección mediante Intune Remediations (Proactive Remediations) para recopilar automáticamente el estado del certificado de arranque seguro en toda la flota. El script se ejecuta de forma silenciosa en cada dispositivo e informa del estado del arranque seguro, el progreso de la actualización del certificado y los detalles del dispositivo al portal de Intune( no se realizan cambios en los dispositivos). Los resultados se pueden ver y exportar a CSV directamente desde el centro de administración de Intune para realizar análisis en toda la flota. 

Para obtener instrucciones paso a paso sobre cómo implementar el script de detección, consulte Supervisión del estado del certificado de arranque seguro con Microsoft Intune correcciones.

Opción 2: Informe de estado de arranque seguro de Windows Autopatch

Para los hosts de sesión persistente personales registrados con El autopatch de Windows, ve a Intune centro de administración > Informes > autopatch de Windows > las actualizaciones de calidad de Windows > pestaña Informes > estado de arranque seguro. Consulta Informe de estado de arranque seguro en El autopatch de Windows

Nota: Autopatch de Windows solo admite máquinas virtuales personales persistentes para Azure Escritorio virtual. No se admiten los hosts de varias sesiones, las máquinas virtuales agrupadas no persistentes y el streaming remoto de aplicaciones. Consulte Autopatch de Windows en Azure cargas de trabajo de Escritorio virtual.

Opción 3: Claves de registro para la supervisión de flotas

Use las herramientas de administración de dispositivos existentes para consultar estos valores del Registro en toda la flota.

Ruta de acceso del Registro 

Key 

Finalidad 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

Estado de UEFICA2023 

Estado de implementación actual 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023Error 

Indica errores (no debería existir) 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023ErrorEvento 

Indica el id. de evento (no debería existir) 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot 

AvailableUpdates 

Bits de actualización pendientes 

Para obtener detalles completos de la clave del Registro, consulta Actualizaciones de claves del Registro para arranque seguro: dispositivos Windows con actualizaciones administradas por TI

Opción 4: Supervisión del registro de eventos 

Usa las herramientas de administración de dispositivos existentes para recopilar y supervisar estos id. de evento desde el registro de eventos del sistema en toda la flota.

Id. del evento 

Ubicación 

Significado 

1808 

Sistema 

Certificados aplicados correctamente 

1801 

Sistema 

Detalles del estado o del error de actualización

Para obtener una lista completa de detalles de eventos, consulta Eventos de actualización de variables DB y DBX de arranque seguro.

Opción 5: Script de inventario de PowerShell

Ejecuta el script de recopilación de datos de inventario de arranque seguro de ejemplo de Microsoft para comprobar el estado de actualización del certificado de arranque seguro. El script recopila varios puntos de datos, incluidos el estado de arranque seguro, el estado de actualización de la CA de UEFI 2023, la versión de firmware y la actividad del registro de eventos.

Implementación

Importante: Independientemente de la opción de implementación que elija, recomendamos supervisar la flota de dispositivos para confirmar que los certificados se apliquen correctamente antes de la fecha límite de junio de 2026. Para imágenes personalizadas, vea Consideraciones de imágenes doradas.

Opción 1: Novedades automático desde Windows Update (dispositivos de alta confianza)

Microsoft actualiza automáticamente los dispositivos a través de actualizaciones mensuales de Windows cuando la telemetría suficiente confirma la implementación correcta en configuraciones de hardware similares.

  • Estado: Habilitado de forma predeterminada para dispositivos de confianza alta

  • No es necesario realizar ninguna acción a menos que quieras dejar de participar

Registro 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot 

Key 

HighConfidenceOptOut = 1 para no participar 

Directiva de grupo 

Plantillas administrativas de configuración del equipo > > componentes de Windows > arranque seguro > Implementación automática de certificados a través de Novedades > Establecido en Deshabilitado para optar por no participar.

Recomendación: Incluso con las actualizaciones automáticas habilitadas, supervise los hosts de sesión para comprobar si se aplican certificados. Es posible que no todos los dispositivos reúnan los requisitos para una implementación automática de alta confianza. ​​​​​​​

Para obtener más información, consulte Asistencias de implementación automatizada.

Opción 2: Implementación de IT-Initiated

Desencadene manualmente las actualizaciones de certificados para su implementación inmediata o controlada.

Método 

Documentación 

Microsoft Intune 

método Microsoft Intune 

Directiva de grupo 

método objetos de directiva de grupo (GPO) 

Claves del Registro 

Método de clave del Registro 

WinCS CLI 

API de WinCS

Notas: 

  • No mezcle métodos de implementación iniciados por TI (por ejemplo, Intune y GPO) en el mismo dispositivo: controlan las mismas claves del Registro y pueden entrar en conflicto.

  • Permita aproximadamente 48 horas y uno o más reinicios para que los certificados se apliquen por completo.

Consideraciones de la imagen dorada

Para Azure entornos de Virtual Desktop que usen Azure imágenes de la Galería de procesos con arranque seguro habilitado, aplique la actualización del certificado de Arranque seguro 2023 a la imagen dorada antes de capturarla. Usa uno de los métodos descritos anteriormente para aplicar la actualización y, a continuación, comprueba que los certificados se actualicen antes de generalizar:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Las imágenes sin Inicio de confianza habilitado no pueden recibir actualizaciones de certificados de arranque seguro a través de la imagen. Esto incluye imágenes administradas, que no admiten el inicio de confianza, y Azure imágenes de la Galería de procesos donde Inicio de confianza no está habilitado. Para los dispositivos aprovisionados a partir de estas imágenes, aplique actualizaciones en el SO invitado mediante uno de los métodos anteriores.

Problemas conocidos

La clave del Registro de mantenimiento no existe

Síntoma 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing no existe 

Causa 

Las actualizaciones de certificados no se han iniciado en el dispositivo 

Solución 

Espere a la implementación automática a través de Windows Update o inicie manualmente usando uno de los métodos de implementación iniciados por TI anteriores 

El estado muestra "InProgress" durante un período prolongado

Síntoma 

UEFICA2023Status permanece "InProgress" después de varios días 

Causa 

Es posible que el dispositivo necesite reiniciarse para completar el proceso de actualización 

Solución 

Reinicia el host de la sesión y vuelve a comprobar el estado después de 15 minutos. Si el problema continúa, consulta Eventos de actualización de variables DB y DBX de arranque seguro para obtener instrucciones de solución de problemas 

Existe la clave del Registro UEFICA2023Error

Síntoma 

La clave del Registro UEFICA2023Error está presente 

Causa 

Se ha producido un error durante la implementación de certificados 

Solución 

Comprueba el registro de eventos del sistema para obtener detalles. Consulta Eventos de actualización de variables DB y DBX de arranque seguro para obtener instrucciones de solución de problemas 

Recursos

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad