Se aplica a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Fecha de publicación original: 4 de diciembre de 2025

KB ID: 5073196

Este artículo tiene instrucciones para: 

  • Organizaciones que tienen su propio departamento de TI administrando actualizaciones y dispositivos Windows.

Nota: Si eres una persona que posee un dispositivo Windows personal, consulta el artículo Dispositivos Windows para usuarios domésticos, empresas y escuelas con actualizaciones administradas por Microsoft. ​​​​​​​

Disponibilidad de este soporte técnico

  • 11 de noviembre de 2025: Para las versiones de Windows 11 y Windows 10 siguen recibiendo soporte técnico.

Cambiar fecha

Descripción del cambio

9 de marzo de 2026

Se quitaron las versiones no compatibles de Windows 10 de la sección "Se aplica a".

4 de marzo de 2026

Se ha agregado Windows 11, versión 25H2, a la lista "Se aplica a"

4 de febrero de 2026

Problema conocido resuelto

17 de diciembre de 2025

Sección Problema conocido agregado

En este artículo:

Introducción

En este documento se describe la compatibilidad para implementar, administrar y supervisar las actualizaciones de certificados de arranque seguro mediante el Microsoft Intune. Los ajustes consisten en:

  • La capacidad de desencadenar la implementación en un dispositivo

  • Una configuración para optar por participar o no en cubos de confianza alta

  • Una configuración para permitir o rechazar la administración de actualizaciones por parte de Microsoft

Microsoft Intune método de configuración

Este método ofrece la configuración de arranque seguro mediante Microsoft Intune que los administradores de dominio pueden establecer para implementar actualizaciones de arranque seguro para todos los clientes windows unidos a un dominio. Además, se pueden administrar dos asistencias de arranque seguro con la configuración de opt in/opt out.

En Microsoft Intune,

  1. En Dispositivos > Administrar dispositivos, selecciona Configuración.

  2. Seleccione Crear y seleccione Nueva directiva.

    • Vaya a Crear un perfil en el panel derecho.

    • Rellene la Plataforma con Windows 10 y versiones posteriores.

  3. Seleccione el Catálogo de configuración en Tipo de perfil Imagen agregada

  4. Comience a crear un perfil dando un nombre al perfil. En este ejemplo, usamos el nombre "Arranque seguro". Presione Siguiente.pic

  5. En Configuración, selecciona Agregar configuración y usa el selector Configuración para encontrar la configuración de Arranque seguro mediante la búsqueda de Arranque seguro. Deberías ver tres opciones de configuración en la categoría Arranque seguro. Estas son las mismas opciones de configuración que se describen en las actualizaciones de claves del Registro para arranque seguro: dispositivos Windows con actualizaciones administradas por TI y el método de objetos de directiva de grupo (GPO) de arranque seguro para dispositivos Windows con documentos de actualizaciones administradas por TI.

    • Habilitar el certificado Secureboot Novedades está seleccionado de manera predeterminada y habilitado.

    • La configuración de participación y de rechazo que se describe a continuación se puede configurar para definir las necesidades de implementación y entorno.  agregado

  6. Finaliza el perfil de los dispositivos que usarán esta configuración.

Descripción de la configuración

Configurar La opción De participar administrada de Microsoft Update

Microsoft Intune nombre de la configuración: Configurar la opción de suscripción administrada de Microsoft Update

Descripción: Esta directiva permite a las empresas participar en una implementación de características controladas de la actualización de certificados de arranque seguro administrada por Microsoft.

  • Habilitado: Microsoft ayuda a implementar certificados en los dispositivos inscritos en la implementación.

  • Deshabilitado (predeterminado): no hay participación en la implementación controlada.

Requisitos:

Configurar Opt-Out de confianza alta

Nombre de la configuración de Microsoft Intune: Configurar Opt-Out de confianza alta

Descripción: Esta directiva controla si las actualizaciones de certificados de arranque seguro se aplican automáticamente a través de actualizaciones mensuales de seguridad y no relacionadas con la seguridad de Windows. Los dispositivos que Microsoft haya validado como capaces de procesar las actualizaciones de variables de arranque seguro recibirán estas actualizaciones como parte de las actualizaciones mensuales acumulativas y las aplicarán automáticamente. Dado que no todas las combinaciones de hardware y firmware pueden validarse exhaustivamente, Microsoft se basa en datos de diagnóstico y pruebas dirigidas para determinar la disponibilidad del dispositivo. Solo los dispositivos con datos de diagnóstico suficientes se pueden considerar con alta confianza; si los datos de diagnóstico no están disponibles para un dispositivo determinado, no se pueden clasificar con alta confianza.

  • Habilitado: se bloquea la implementación automática a través de actualizaciones mensuales.

  • Deshabilitado (predeterminado):los dispositivos que hayan validado sus resultados de actualización recibirán automáticamente actualizaciones de certificados como parte de las actualizaciones mensuales.

Notas:

  • Se confirma que los dispositivos previstos procesan las actualizaciones correctamente.

  • Configure esta directiva para administrar la implementación automática a través de actualizaciones mensuales.

  • Corresponde a la clave del Registro HighConfidenceOptOut.

Habilitar el certificado Secureboot Novedades

Microsoft Intune nombre de configuración: habilitar el Novedades de certificado Secureboot

Descripción: Esta directiva controla si Windows inicia el proceso de implementación de certificados de arranque seguro en dispositivos.

  • Habilitado: Windows comienza a implementar automáticamente certificados de arranque seguro actualizados.

  • Deshabilitado (predeterminado):Windows no implementa certificados automáticamente.

Notas:

  • La tarea que procesa esta configuración se ejecuta cada 12 horas. Algunas actualizaciones pueden requerir un reinicio para completarse de forma segura.

  • Una vez que los certificados se aplican al firmware, no se pueden quitar de Windows. La compensación de certificados debe realizarse a través de la interfaz de firmware.

  • Corresponde a la clave del Registro AvailableUpdates.

Problemas conocidos

Síntomas

La configuración de arranque seguro implementada a través de Microsoft Intune Administración de dispositivos móvil (MDM) está bloqueada actualmente en las ediciones Pro de Windows 10 y Windows 11.

  • Los intentos de aplicar estas directivas dan como resultado Microsoft Intune Código de error 65000

  • Los registros de eventos pueden registrar POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, lo que indica que la característica no está disponible en esta edición.

Solución

El servicio de licencias de Microsoft Intune se actualizó el 27 de enero de 2026 para permitir la implementación de la configuración de arranque seguro en las ediciones Pro de Windows 10 y Windows 11. Los dispositivos que recibieron su licencia de Microsoft Intune antes de esta fecha tendrán que renovar su licencia para resolver este problema.  Las licencias se renuevan automáticamente cada mes, por lo que este problema se resolverá para todos los dispositivos el 27 de febrero de 2026. Para resolver este problema inmediatamente, puede renovar la licencia en el dispositivo ejecutando los siguientes comandos en nombre del usuario (en el contexto del usuario):

  • ClipDLS.exe removesubscription

  • ClipRenew.exe

Recursos

Consulta también Actualizaciones de claves del Registro para arranque seguro: dispositivos Windows con actualizaciones administradas por TI para obtener más información sobre las claves de registro UEFICA2023Status y UEFICA2023Error para supervisar los resultados del dispositivo.

Consulta Eventos de actualización de variables DB y DBX de arranque seguro para conocer los eventos útiles para comprender el estado de los dispositivos, los atributos del dispositivo y los identificadores de bucket de dispositivo. Presta especial atención a los eventos 1801 y 1808 descritos en la página de eventos.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad