Método do Microsoft Intune para Inicialização Segura em dispositivos Windows com atualizações gerenciadas por TI.

Aplica-se a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Observação

  • Data de Publicação Original: 4 de dezembro de 2025
  • ID da base de dados: 5073196

Este artigo tem diretrizes para:

  • Organizações que têm seu próprio departamento de TI gerenciando atualizações e dispositivos Windows.

Observação: Se você possui um dispositivo Windows pessoal, consulte o artigo Dispositivos Windows para usuários domésticos, empresas e escolas com atualizações gerenciadas pela Microsoft.

Observação

Disponibilidade deste suporte

  • 11 de novembro de 2025: para versões do Windows 11 e do Windows 10 ainda com suporte.
Log de alterações
Data da Alteração Descrição da alteração
23 de março de 2026 Atualização do problema conhecido do código de erro 65000 do Microsoft Intune.
9 de março de 2026 Removidas as versões sem suporte do Windows 10 da seção "Aplica-se a".
4 de março de 2026 Adicionado o Windows 11, versão 25H2 à lista "Aplica-se a"
4 de fevereiro de 2026 Problema conhecido resolvido
17 de dezembro de 2025 Seção de Problemas Conhecidos adicionada

Neste artigo:

Introdução

Este documento descreve o suporte para implantar, gerenciar e monitorar as atualizações de certificado de Inicialização Segura usando o Microsoft Intune. As configurações consistem em:

  • A capacidade de disparar a implantação em um dispositivo
  • Uma configuração para aceitar/recusar buckets de alta confiança
  • Uma configuração para aceitar/recusar o gerenciamento de atualizações pela Microsoft

Método de configuração do Microsoft Intune

Esse método oferece configuração de Inicialização Segura usando o Microsoft Intune que os administradores de domínio podem definir para implantar atualizações de Inicialização Segura em todos os clientes Windows ingressados no domínio. Além disso, duas assistências de inicialização segura podem ser gerenciadas com configurações de ativação/desativação.

No Microsoft Intune,

  1. Em Dispositivos>Gerenciar dispositivos, selecione Configuração.

  2. Selecione Criar e selecione Nova Política.

    • Vá para Criar um perfil no painel direito.
    • Preencha a Plataforma com o Windows 10 e posterior.
  3. Selecione o Catálogo de Configurações no tipo de perfil

    Imagem adicionada

  4. Comece a criar um perfil dando um nome ao perfil. Neste exemplo, estamos usando "Inicialização Segura" como o nome. Pressione Avançar.
    foto

  5. Em Configurações, selecione Adicionar configurações e use o seletor de configurações para encontrar as configurações de Inicialização Segura pesquisando Inicialização Segura. Você deve ver três configurações na categoria Inicialização Segura. Essas são as mesmas configurações descritas nas atualizações de chave do Registro para Inicialização Segura: Dispositivos Windows com atualizações gerenciadas por TI e o método de Objetos de Política de Grupo (GPO) da Inicialização Segura para dispositivos Windows com documentos de atualizações gerenciadas por TI.

    • Habilitar Atualizações de Certificado Secureboot é selecionado por padrão e habilitado.

    • As configurações de aceitação e recusa descritas abaixo podem ser definidas para atender às suas necessidades de ambiente e implantação. 

      adicionado

  6. Conclua o perfil dos dispositivos que usarão essas configurações.

Descrição da configuração

Configurar a aceitação gerenciada do Microsoft Update

Nome da configuração do Microsoft Intune: configurar a aceitação gerenciada do Microsoft Update

Descrição:
Essa política permite que as empresas participem de uma distribuição de Recurso Controlado da atualização de certificado de Inicialização Segura gerenciada pela Microsoft.

  • Habilitado: a Microsoft auxilia na implantação de certificados em dispositivos registrados na distribuição.
  • Desabilitado (padrão): nenhuma participação na distribuição controlada.

Requisitos:

Configurar a recusa de alta confiança

Microsoft Intune Nome da configuração: Configurar Opt-Out de alta confiança

Descrição:
Essa política controla se as atualizações de certificado de Inicialização Segura são aplicadas automaticamente por meio de atualizações mensais de segurança e não de segurança do Windows. Os dispositivos validados pela Microsoft como capazes de processar atualizações de variáveis do Secure Boot receberão essas atualizações como parte das atualizações mensais cumulativas e as aplicarão automaticamente. Como nem todas as combinações de hardware e firmware podem ser validadas exaustivamente, a Microsoft depende de testes e dados de diagnóstico direcionados para determinar a preparação do dispositivo. Somente dispositivos com dados de diagnóstico suficientes podem ser considerados com alta confiança; se os dados de diagnóstico não estiverem disponíveis para um determinado dispositivo, eles não poderão ser classificados com alta confiança.

  • Habilitada: a implantação automática por meio de atualizações mensais está bloqueada.
  • Desabilitado (padrão): os dispositivos que validaram os resultados da atualização receberão automaticamente atualizações de certificados como parte das atualizações mensais.

Observações:

  • Os dispositivos pretendidos são confirmados para processar atualizações com êxito.
  • Configure essa política para gerenciar a implantação automática por meio de atualizações mensais.
  • Corresponde à chave do Registro HighConfidenceOptOut.

Habilitar as Atualizações de Certificado Secureboot

Nome da configuração do Microsoft Intune: habilitar as Atualizações de Certificado Secureboot

Descrição:
Essa política controla se o Windows inicia o processo de implantação de certificado de Inicialização Segura em dispositivos.

  • Habilitado: o Windows começa automaticamente a implantar certificados de Inicialização Segura atualizados.
  • Desabilitado (padrão): o Windows não implanta certificados automaticamente.

Observações:

  • A tarefa que processa essa configuração é executada a cada 12 horas. Algumas atualizações podem exigir uma reinicialização para serem concluídas com segurança.
  • Depois que os certificados são aplicados ao firmware, eles não podem ser removidos do Windows. A limpeza de certificados deve ser feita por meio da interface de firmware.
  • Corresponde à chave do Registro AvailableUpdates.

Problemas conhecidos

Código de erro 65000 do Microsoft Intune em edições Pro do Windows

Sintomas

As configurações de Inicialização Segura implantadas por meio do MDM (Gerenciamento de Dispositivos Móveis) do Microsoft Intune estão bloqueadas atualmente nas edições Pro do Windows 10 e do Windows 11.

  • As tentativas de aplicar essas políticas resultam no código de erro 65000 do Microsoft Intune.
  • Os logs de eventos podem registrar POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION, indicando que o recurso não está disponível nesta edição.

Resolução

O serviço de licenciamento do Microsoft Intune foi atualizado em 27 de janeiro de 2026 para permitir a implantação de configurações de inicialização segura nas edições Pro do Windows 10 e do Windows 11.

Observação

O código de erro 65000 do Microsoft Intune ainda pode ocorrer nas edições Pro do Windows 11, versão 23H2. Uma resolução para esse problema está planejada para ser lançada em uma atualização futura do Windows.

Os dispositivos que receberam a licença do Microsoft Intune antes dessa data precisarão renovar a licença para resolver esse problema.  As licenças são renovadas automaticamente todos os meses, portanto, esse problema será resolvido para dispositivos até 27 de fevereiro de 2026 (excluindo alguns dispositivos Windows 11, versão 23H2, conforme observado acima). Para renovar a licença em seu dispositivo manualmente, execute os seguintes comandos em nome do usuário (no contexto do usuário):

  • ClipDLS.exe removesubscription
  • ClipRenew.exe

Informações

Consulte também Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI para obter detalhes sobre o UEFICA2023Status e UEFICA2023Chaves de registro de erro para monitorar os resultados do dispositivo.

Consulte Eventos de atualização de variável Secure Boot DB e DBX para eventos úteis para entender o status de dispositivos, atributos de dispositivo e IDs de bucket de dispositivo. Preste atenção especial aos eventos 1801 e 1808 descritos na página de eventos.