Novedades de certificado de arranque seguro para Windows 365

Introducción

Arranque seguro es una función de seguridad de firmware UEFI que ayuda a garantizar que solo se ejecute software de confianza firmado digitalmente durante una secuencia de arranque del dispositivo. Los certificados de arranque seguro de Microsoft emitidos en 2011 empiezan a expirar en junio de 2026. Sin los certificados de 2023 actualizados, los dispositivos ya no recibirán nuevas protecciones ni mitigaciones del Administrador de arranque seguro para las vulnerabilidades de nivel de arranque recién descubiertas.

Todos los equipos en la nube habilitados para arranque seguro aprovisionados en el servicio Windows 365 e imágenes personalizadas usadas para aprovisionarlos deben actualizarse a los certificados de 2023 antes de la expiración para seguir estando protegidos. Consulta Cuándo expiran los certificados de arranque seguro en dispositivos Windows.

¿Se aplica a mi entorno Windows 365?

Escenario	¿Arranque seguro activo?	Acción necesaria
Equipos en la nube
PC en la nube con arranque seguro habilitado	Sí	Actualizar certificados en el equipo en la nube
PC en la nube con arranque seguro deshabilitado	No	No es necesario realizar ninguna acción
hecha previamente
imagen de la Galería de procesos de Azure con arranque seguro habilitado	Sí	Actualizar certificados en la imagen de origen antes de generalizar
Azure galería de procesos sin inicio de confianza	No	Aplicar actualizaciones en el PC en la nube después del aprovisionamiento
Imagen administrada (no admite el inicio de confianza)	No	Aplicar actualizaciones en el PC en la nube después del aprovisionamiento

Para obtener información general completa, consulte Actualizaciones de certificados de arranque seguro: instrucciones para profesionales y organizaciones de TI.

Inventario y monitor

Antes de realizar una acción, realiza un inventario de tu entorno para identificar los dispositivos que requieren actualizaciones. La supervisión es esencial para confirmar que los certificados se apliquen antes de la fecha límite de junio de 2026, incluso si depende de los métodos de implementación automática. A continuación se muestran opciones para determinar si es necesario realizar una acción.

Opción 1: Microsoft Intune correcciones

Para los equipos en la nube inscritos en Microsoft Intune, puede implementar un script de detección mediante Intune Remediations (Proactive Remediations) para recopilar automáticamente el estado del certificado de arranque seguro en toda la flota. El script se ejecuta de forma silenciosa en cada dispositivo e informa del estado del arranque seguro, el progreso de la actualización del certificado y los detalles del dispositivo al portal de Intune( no se realizan cambios en los dispositivos). Los resultados se pueden ver y exportar a CSV directamente desde el centro de administración de Intune para realizar análisis en toda la flota.

Para obtener instrucciones paso a paso sobre cómo implementar el script de detección, consulte Supervisión del estado del certificado de arranque seguro con Microsoft Intune correcciones.

Opción 2: Informe de estado de arranque seguro de Windows Autopatch

Para los equipos en la nube registrados con Autopatch de Windows, ve a Intune centro de administración > Informes > autopatch de Windows > las actualizaciones de calidad de Windows > pestaña Informes > estado de arranque seguro. Consulta Informe de estado de arranque seguro en El autopatch de Windows.

Nota: Para usar El autoparche de Windows con Windows 365, los equipos en la nube deben estar registrados con el servicio Autopatch de Windows. Consulte Autopatch de Windows en Windows 365 Enterprise cargas de trabajo.

Opción 3: Claves de registro para la supervisión de flotas

Use las herramientas de administración de dispositivos existentes para consultar estos valores del Registro en toda la flota.

Ruta de acceso del Registro	Key	Finalidad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	Estado de UEFICA2023	Estado de implementación actual
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Indica errores (no debería existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvento	Indica el id. de evento (no debería existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bits de actualización pendientes

Para obtener detalles completos de la clave del Registro, consulta Actualizaciones de claves del Registro para arranque seguro.

Opción 4: Supervisión del registro de eventos

Usa las herramientas de administración de dispositivos existentes para recopilar y supervisar estos id. de evento desde el registro de eventos del sistema en toda la flota.

Id. del evento	Ubicación	Significado
1808	Sistema	Certificados aplicados correctamente
1801	Sistema	Detalles del estado o del error de actualización

Para obtener una lista completa de detalles de eventos, consulta Eventos de actualización de variables DB y DBX de arranque seguro.

Opción 5: Script de inventario de PowerShell

Ejecuta el script de recopilación de datos de inventario de arranque seguro de ejemplo de Microsoft para comprobar el estado de actualización del certificado de arranque seguro. El script recopila varios puntos de datos, incluidos el estado de arranque seguro, el estado de actualización de la CA de UEFI 2023, la versión de firmware y la actividad del registro de eventos.

Implementación

Importante: Independientemente de la opción de implementación que elija, recomendamos supervisar la flota de dispositivos para confirmar que los certificados se apliquen correctamente antes de la fecha límite de junio de 2026. Para imágenes personalizadas, vea Consideraciones de imágenes personalizadas.

Opción 1: Novedades automático desde Windows Update (dispositivos de alta confianza)

Microsoft actualiza automáticamente los dispositivos a través de actualizaciones mensuales de Windows cuando la telemetría suficiente confirma la implementación correcta en configuraciones de hardware similares.

Estado: Habilitado de forma predeterminada para dispositivos de confianza alta
No es necesario realizar ninguna acción a menos que quieras dejar de participar

Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Key	HighConfidenceOptOut = 1 para no participar
Directiva de grupo	Plantillas administrativas > de configuración del equipo > componentes de Windows > arranque seguro > implementación automática de certificados a través de Novedades > Establecido en Deshabilitado para no participar

Recomendación: Incluso con las actualizaciones automáticas habilitadas, supervise los equipos en la nube para comprobar si se aplican certificados. Es posible que no todos los dispositivos reúnan los requisitos para una implementación automática de alta confianza.

Para obtener más información, consulte Asistencias de implementación automatizada.

Opción 2: Implementación de IT-Initiated

Desencadene manualmente las actualizaciones de certificados para su implementación inmediata o controlada.

Método	Documentación
Microsoft Intune	método Microsoft Intune
Directiva de grupo	Método de GPO
Claves del Registro	Método de clave del Registro
WinCS CLI	API de WinCS

Notas:

No mezcle métodos de implementación iniciados por TI (por ejemplo, Intune y GPO) en el mismo dispositivo: controlan las mismas claves del Registro y pueden entrar en conflicto.
Permita aproximadamente 48 horas y uno o más reinicios para que los certificados se apliquen por completo.

Consideraciones de imágenes personalizadas

Las imágenes personalizadas las administra por completo su organización. Eres responsable de aplicar las actualizaciones del certificado de arranque seguro a la imagen personalizada y volver a cargarla antes de usarla para el aprovisionamiento.

Aplicar actualizaciones de certificados de arranque seguro a la imagen de origen solo es compatible con Azure imágenes de la Galería de procesos (versión preliminar), que admiten el inicio de confianza y el arranque seguro. Las imágenes administradas no admiten el arranque seguro, por lo que las actualizaciones de certificados no se pueden aplicar en el nivel de imagen. Para equipos en la nube aprovisionados a partir de imágenes administradas, aplica las actualizaciones directamente en el equipo en la nube mediante uno de los métodos de implementación anteriores.

Antes de generalizar una nueva imagen personalizada, compruebe que los certificados se actualicen:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problemas conocidos

La clave del Registro de mantenimiento no existe

Síntoma	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ruta de acceso no existe
Causa	Las actualizaciones de certificados no se han iniciado en el dispositivo
Solución	Espere a la implementación automática a través de Windows Update o inicie manualmente usando uno de los métodos de implementación iniciados por TI anteriores

El estado muestra "InProgress" durante un período prolongado

Síntoma	UEFICA2023Status permanece "InProgress" después de varios días
Causa	Es posible que el dispositivo necesite reiniciarse para completar el proceso de actualización
Solución	Reinicia el EQUIPO en la nube y vuelve a comprobar el estado después de 15 minutos. Si el problema continúa, consulta Eventos de actualización de variables DB y DBX de arranque seguro para obtener instrucciones de solución de problemas

Existe la clave del Registro UEFICA2023Error

Síntoma	La clave del Registro UEFICA2023Error está presente
Causa	Se ha producido un error durante la implementación de certificados
Solución	Comprueba el registro de eventos del sistema para obtener detalles. Consulta Eventos de actualización de variables DB y DBX de arranque seguro para obtener instrucciones de solución de problemas