Se aplica a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Fecha de publicación original: 10 de marzo de 2026

KB ID: 5084490

Este artículo contiene instrucciones para

  • Los profesionales de TI y los administradores de Intune que administran dispositivos Windows, implementan los controles de actualización de certificados de arranque seguro a través de las directivas del catálogo configuración y supervisan los flujos de trabajo de actualización.

  • Equipos que necesitan dirigir implementaciones a modelos de hardware específicos mediante filtros de asignación.

En este artículo:

Introducción

Esta guía ayuda a los administradores de TI a habilitar el proceso de actualización de certificados de arranque seguro mediante las directivas del catálogo configuración Microsoft Intune. Se describe cómo configurar la configuración de arranque seguro que habilita el proceso de actualización de certificados y cómo implementar esa configuración. También se resalta cómo usar filtros de asignación basados enmodelos para admitir implementación controlada y preconfigurada en hardware que ya se ha validado para administrar la actualización correctamente.

Requisitos previos

La idoneidad para la actualización del certificado de arranque seguro viene determinada por el CSP de ladirectiva de arranque seguro y el  firmware del dispositivo. Este ámbito no siempre se alinea con las escalas de tiempo de servicio de Windows (es decir, actualizaciones) ni con los requisitos de inscripción Intune.

Intune y requisitos previos de la directiva

  • Inicie sesión con una cuenta que tenga permisos para crear filtros y crear o asignar directivas del catálogo de configuración.

  • Los dispositivos deben inscribirse en Intune (los filtros de asignación solo se aplican a los dispositivos administrados).

Requisitos previos de idoneidad para arranque seguro

Paso 1: Configurar las opciones de actualización de certificados de arranque seguro en Intune (catálogo Configuración)

En este paso, creará un perfil de configuración del dispositivo del catálogo Configuración de Windows en Microsoft Intune. También puede configurar las opciones de arranque seguro que habilitan el proceso de actualización del certificado de arranque seguro.

Qué vas a crear

Un perfil de configuración del dispositivo del catálogo de configuración de Windows que habilita el Novedades Habilitar certificado de arranque seguro:

Crear el perfil del catálogo Configuración

  1. Inicie sesión en el centro de administración de Microsoft Intune.

  2. Ve a Dispositivos > Administrar dispositivos > Configuración.

  3. Seleccione Crear > nueva directiva.

  4. En Crear un perfil:

  5. Plataforma: Windows 10 y versiones posteriores

  6. Tipo de perfil: Catálogo configuración

  7. Seleccione Crear.

  8. Asigna un nombre al perfil (por ejemplo, Actualización de certificado de arranque seguro), agrega una descripción opcional y selecciona Siguiente.

  9. En Configuración, seleccione Agregar configuración.

  10. En el selector de configuración, busca Arranque seguro y selecciónalo en Examinar por categoría.

  11. Agrega al perfil la opción Habilitar certificado de arranque seguro Novedades de las tres que se presentan en la categoría Arranque seguro.

    Nota: Puedes configurar las otras opciones de arranque seguro de esta categoría del mismo modo si el escenario de implementación las requiere.

  12. Configure el valor de configuración en Habilitado.

  13. Seleccione Siguiente para continuar con las tareas. (Aplicará un filtro en el paso 3).

Paso 2: Crear un filtro de asignación para la identificación basada en modelo

A continuación, cree un filtro de asignación de Intune destinado a modelos de dispositivo específicos. La segmentación basada en modelos le permite definir el ámbito de las actualizaciones de certificados de arranque seguro para los modelos de hardware seleccionados. Esta implementación controlada y preconfigurada no requiere grupos de Microsoft Entra ID adicionales.

¿Por qué se recomienda la identificación basada en modelos para la implementación de certificados de arranque seguro?

  • Variabilidad del firmware : los OEM implementan el arranque seguro de forma diferente, por lo que el ámbito de nivel de modelo reduce el comportamiento inesperado.

  • Validación previa : puede validar las actualizaciones de certificados en un conjunto de hardware conocido y correcto antes de la implementación general.

Qué vas a crear

Filtro de asignación de dispositivos administrados que se centra (o excluye) modelos de dispositivos específicos.

Crear el filtro de asignación

  1. Inicie sesión en el centro de administración de Microsoft Intune.

  2. Vaya a Administración de inquilinos > Filtros de asignación > Crear.

  3. Selecciona Dispositivos administrados.

  4. En Conceptos básicos, establezca:

    • Nombre del filtro (descriptivo).

    • Descripción (opcional, pero recomendado).

    • Plataforma: Windows 10 y versiones posteriores.

  5. Seleccione Siguiente.

  6. En Reglas, elija un enfoque:

    • Generador de reglas (recomendado para la mayoría de los administradores)

    • Sintaxis de la regla (edición manual de expresiones)

Crear una regla basada en modelo (generador de reglas)

  1. En generador de reglas, seleccione la propiedad de modelo .

  2. Elige un operador.

  3. Escriba las cadenas de modelo que desea que coincidan.

  4. Seleccione Agregar expresión para agregarla a la regla.

  5. Si es necesario, use Y/O para extender la regla a modelos adicionales o para agregar criterios adicionales basados en otras posibles propiedades filtrables.

Sugerencia: Usar dispositivos de vista previa para validar que el filtro coincide con el conjunto previsto. La lista de vista previa admite la búsqueda por nombre de dispositivo, versión del sistema operativo, modelo de dispositivo y fabricante del dispositivo.

Obtener una vista previa y crear el filtro

  1. Selecciona Dispositivos de vista previa para confirmar qué dispositivos inscritos coinciden.

  2. Seleccione Siguiente.

  3. (Opcional) Asigne etiquetas de ámbito si las usa.

  4. Seleccione Siguiente.

  5. En Revisar y crear, seleccione Crear.

Paso 3: Asignar la directiva mediante el filtro de asignación

Por último, asigne el perfil del catálogo Configuración a un dispositivo o grupo de usuarios y aplique el filtro de asignación. Esto determina qué dispositivos inscritos reciben y procesan la configuración de actualización del certificado de arranque seguro durante la evaluación de directivas.

Qué harás

Asignarás el perfil del catálogo Configuración de arranque seguro del paso 1 a un grupo y, a continuación, aplicarás el filtro del paso 2 en el modo Incluir o Excluir .

Aplicar el filtro de asignación

  1. En el Centro de administración de Microsoft Intune, vaya a Dispositivos > Administrar dispositivos > Configuración.

  2. Seleccione el perfil del catálogo Configuración que creó en el paso 1 anterior.

  3. Abra Propiedades > Tareas > Editar.

  4. Asigne el perfil al grupo de usuarios o al grupo de dispositivos adecuados.

    Sugerencia: Si no tiene ningún otro criterio para limitar la segmentación, asigne esta directiva al grupo virtual Todos los dispositivos . Use el filtro de asignación del modelo de dispositivo del paso 2 para definir el ámbito de la asignación. Esta combinación es suficiente para la mayoría de las implementaciones. El grupo virtual Todos los dispositivos está integrado, no requiere mantenimiento de grupo y está optimizado para escala. Después, el filtro de asignación reduce la aplicabilidad en la comprobación del dispositivo en función de las propiedades del dispositivo, sin necesidad de grupos de Microsoft Entra adicionales.

  5. Seleccione Editar filtro.

  6. Elige una:

    • Incluir dispositivos filtrados en la tarea: solo los dispositivos que coincidan con el filtro recibirán la directiva.

    • Excluir los dispositivos filtrados en la tarea: los dispositivos que coinciden con el filtro no reciben la directiva.

  7. Seleccione el filtro de tareas existente en el paso 2 y elija Seleccionar.

  8. Selecciona Revisar + guardar > Guardar.

Comprender el comportamiento del dispositivo

  • Intune evalúa el filtro cuando se inscribe el dispositivo, cada vez que se comprueba y siempre que se vuelve a evaluar la directiva asignada.

  • Habilitar la configuración de arranque seguro no garantiza la aplicación de certificado inmediata. Para la configuración de arranque seguro que desencadena el proceso de actualización, la tarea de arranque seguro de Windows se ejecuta cada 12 horas. Algunas actualizaciones pueden requerir un reinicio.

preguntas más frecuentes

La tarea de arranque seguro de Windows que procesa la configuración se ejecuta cada 12 horas.

Iniciar la actualización a través de Intune no provoca un reinicio, aunque puede ser necesario reiniciar para completar la actualización.

Una vez que los certificados se aplican al firmware, Windows no puede quitarlos. La compensación de certificados debe realizarse a través de la interfaz de firmware.

Los certificados antiguos empiezan a expirar en junio de 2026. Los dispositivos que no hayan recibido los certificados 2023 más recientes perderán la capacidad de recibir nuevas protecciones de seguridad de arranque anticipado (por ejemplo, bases de datos de arranque seguro y actualizaciones de revocación).

Recursos

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad