Se aplica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Fecha de publicación original: 18 de febrero de 2026

KB ID: 5080921

Este artículo tiene instrucciones para:

  • Administradores de TI que necesitan tener visibilidad sobre el estado de actualización del certificado de arranque seguro desde sus Intune dispositivos Windows inscritos

  • Organizaciones que se preparan para la fecha límite de expiración del certificado de arranque seguro de junio de 2026

  • Equipos que quieren supervisar el progreso de la implementación de certificados en sus Intune dispositivos Windows inscritos

En este artículo:

Introducción

Los certificados de arranque seguro de Microsoft (CA de 2011) expiran a partir de junio de 2026. Todos los dispositivos Windows con arranque seguro habilitado deben actualizarse a los certificados 2023 antes de la expiración para garantizar la compatibilidad continua con las actualizaciones de seguridad. 

Esta guía proporciona un enfoque de solo supervisión con Microsoft Intune correcciones (correcciones proactivas). El script de detección recopila el estado del certificado y el arranque seguro de cada dispositivo e informa de ello al portal de Intune ( no se realiza ninguna acción de corrección en los dispositivos). Esto ofrece a los administradores una vista centralizada y exportable del progreso de las actualizaciones de certificados en sus Intune dispositivos Windows inscritos. 

¿Por qué usar este enfoque?

Ventaja

Descripción

Visibilidad en todo el dispositivo 

Ver todas las Intune estado del certificado del dispositivo Windows inscrito en un solo lugar

Exportable 

Exportar resultados a CSV directamente desde el portal de Intune

Valores del Registro sin procesar

Ver los datos del registro real, no solo pasar/fallar

Contexto del dispositivo 

Incluye el fabricante, el modelo, la versión del BIOS y el tipo de firmware

Telemetría del registro de eventos 

Captura identificadores de eventos de arranque seguro (1801/1808), identificadores de bucket y niveles de confianza

Sin interacción

Se ejecuta en modo silencioso como SYSTEM ( no se requiere ninguna interacción del usuario)

Para obtener información general completa sobre las actualizaciones de certificados, consulte Actualizaciones de certificados de arranque seguro: instrucciones para profesionales y organizaciones de TI

Requisitos previos

Antes de implementar el script de detección, asegúrese de que el entorno cumple los requisitos necesarios. 

Esta solución aprovecha las correcciones de Microsoft Intune. Para obtener una lista completa de los requisitos previos, consulta Usar correcciones para detectar y corregir problemas de soporte técnico (Microsoft Intune).

Scripts de detección

El script de detección es un script de PowerShell que recopila datos completos de inventario de arranque seguro de cada dispositivo y lo envía como una cadena JSON. El script se lee desde los siguientes orígenes: 

Registro: estado de actualización del certificado de arranque seguro, claves de mantenimiento, atributos del dispositivo y configuración de opt-in/opt-out de HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot y sus subclaves 

WMI/CIM: versión del sistema operativo, hora de arranque más reciente e información de hardware de la placa base 

Registros de eventos: entradas del registro de eventos del sistema para los id. de evento 1801 y 1808 (eventos de actualización de arranque seguro) 

La salida JSON aparece en el portal de Intune en Correcciones > Monitor > Estado del dispositivo > "Salida de detección de pre-corrección" y se puede exportar a CSV para su análisis. 

Importante: Se trata de un script solo de detección. No se realizan cambios en el dispositivo. No es necesario ningún script de corrección. 

Crear el archivo de script 

Crear la corrección en Intune 

Siga estos pasos para implementar el script de detección como corrección (paquete de scripts) en Microsoft Intune. 

Paso 1: Crear el paquete de script 

Paso 2: Conceptos básicos 

  • Configure las siguientes opciones en la pestaña Conceptos básicos:

Setting

Valor

Nombre

Monitor de estado de certificado de arranque seguro

Descripción

Supervisa el estado de actualización del certificado de arranque seguro en toda la flota. Solo detección: no se realiza ninguna acción de corrección.

Editora

(nombre de su organización)

  • Haga clic en Siguiente

Paso 3: Configuración 

  • Configure las siguientes opciones en la pestaña Configuración:

Setting

Valor

Notas

Archivo de script de detección 

Cargar Detect-SecureBootCertificateStatus.ps1

El script de la sección anterior

Archivo de script de corrección 

(dejar vacío)

No es necesaria ninguna corrección: solo se supervisa

Ejecute este script con las credenciales con sesión iniciada 

No

Se ejecuta como SYSTEM para garantizar el acceso a Confirm-SecureBootUEFI y al registro

Exigir comprobación de firma de script 

No

Establecer en si la organización requiere scripts firmados

Ejecutar script en PowerShell de 64 bits

Necesario para Confirm-SecureBootUEFI cmdlet y lecturas precisas del Registro

  • Haga clic en Siguiente

Paso 4: Etiquetas de ámbito 

  • Agregar etiquetas de ámbito necesarias para su organización o dejarlas como predeterminadas

  • Haga clic en Siguiente

Paso 5: Tareas 

Setting

Valor

Notas

Assignments 

Seleccionar los grupos de dispositivos que se supervisarán

Usar todos los dispositivos para la supervisión de toda la flota o grupos específicos para la supervisión dirigida

Programación 

Configurar según sus necesidades de supervisión

Recomendación: Una vez al día para realizar un seguimiento activo de la implementación, o una vez a la semana para la supervisión continua

Nota: Las correcciones se ejecutan en la programación configurada del dispositivo. La primera ejecución puede tardar hasta 24 horas después de la asignación, según el ciclo de comprobación del dispositivo. 

Haga clic en Siguiente

Paso 6: Revisar + Crear 

  • Revisar todas las opciones de configuración

  • Haga clic en Crear

Ver y exportar resultados 

Ver resultados en el portal 

  • Ir a Dispositivos > Correcciones

  • Haz clic en monitor de estado de certificado de arranque seguro (o el nombre que elegiste)

  • Seleccionar la pestaña Monitor

  • Haga clic en Estado del dispositivo

  • Haga clic en Columnas y agregue la salida de detección de corrección previa

Monitor de estado

Verá una tabla con las siguientes columnas: 

Familias de

Descripción

Nombre del dispositivo

El nombre del dispositivo

Username 

El usuario principal del dispositivo

Estado de detección 

Sin problema (certificados actualizados) o con problemas (certificados no actualizados)

Salida de detección de corrección previa 

La salida JSON completa del script

Modificado por última vez 

Cuando el script se ejecutó por última vez en el dispositivo

Exportar a CSV 

  • En la página Estado del dispositivo, haga clic en el botón Exportar de la parte superior de la tabla

  • El archivo CSV descargará todas las columnas, incluida la salida de detección JSON completa para cada dispositivo.

  • Abrir en Excel para filtrar, ordenar y analizar por cualquier campo

Sugerencia: En Excel, puede usar las funciones UNIRCADENAS o JSON para analizar el JSON de salida de detección en columnas independientes para facilitar el análisis. 

Pestaña Información general

Información general de Intune

La pestaña Información general de la corrección proporciona un panel de resumen: 

Métrica

Significado

Dispositivos con problemas

Dispositivos en los que los certificados aún no se han actualizado 

Dispositivos sin problemas

Dispositivos en los que los certificados están actualizados

Dispositivos con detección de errores

Dispositivos en los que el script encontró un error

Preguntas más frecuentes

¿Esto cambia algo en mis dispositivos? 

No. Se trata de un script solo de detección. No se modifican valores del Registro, no se desencadenan actualizaciones y no se realiza ninguna acción de corrección. El script solo lee valores e informa de ellos. 

¿Qué significa "Con problema"? 

"Con problema" significa que el dispositivo aún no tiene aplicados los certificados de arranque seguro de 2023 y el administrador de arranque firmado con 2023. Esto puede deberse a que: - No se ha iniciado la actualización del certificado - La actualización está en curso y puede requerir un reinicio para completarse - Arranque seguro no está habilitado en el dispositivo - El dispositivo no está basado en UEFI o está esperando a que se reinicie para aplicar el administrador de arranque. 

¿Qué significa "Sin problema"? 

"Sin problema" significa que el dispositivo tiene habilitado arranque seguro y se actualiza el valor del registro UEFICA2023Status, lo que indica que los certificados de 2023 se han aplicado correctamente. 

¿Con qué frecuencia se ejecuta el script? 

El script se ejecuta en la programación que configure en la tarea. Para la supervisión activa durante una implementación, se recomienda realizar a diario. Para un seguimiento continuo, la supervisión semanal es suficiente. 

¿Qué ocurre si la clave del Registro de mantenimiento no existe? 

Si la clave HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing no existe en un dispositivo, el campo UEFICA2023Status mostrará NoValue. Esto normalmente significa que no se han iniciado actualizaciones de certificados en el dispositivo. 

¿Qué licencias son necesarias? 

Las correcciones requieren licencias Windows 10/11 Enterprise E3/E5, Education A3/A5 o F3. Si los dispositivos solo tienen licencias de Empresa Premium o Pro, las correcciones no estarán disponibles. Consulte Requisitos previos para correcciones

Recursos 

Playbook de actualización de certificados de arranque seguro

Novedades de certificados de arranque seguro: instrucciones para profesionales de TI

Novedades de clave del Registro para arranque seguro

Eventos de actualización de variables DB y DBX de arranque seguro

Correcciones en Microsoft Intune 

Requisitos previos para correcciones

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad