Monitorando o status do certificado Secure Boot com correções do Microsoft Intune

Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Observação

  • Data de publicação original: 18 de fevereiro de 2026
  • ID da base de dados: 5080921

Este artigo tem diretrizes para:

  • Administradores de TI que precisam de visibilidade do status de atualização do certificado de Inicialização Segura de seus dispositivos Windows registrados no Intune
  • Organizações que se preparam para o prazo de expiração do certificado de Inicialização Segura de junho de 2026
  • Equipes que desejam monitorar o progresso da distribuição do certificado em seus dispositivos Windows registrados no Intune

Neste artigo:

Introdução

Os certificados de Inicialização Segura da Microsoft (CAs de 2011) expiram a partir de junho de 2026. Todos os dispositivos Windows com a Inicialização Segura habilitada devem ser atualizados para os certificados de 2023 antes da expiração para garantir o suporte contínuo à atualização de segurança.

Este guia fornece uma abordagem somente de monitoramento usando correções do Microsoft Intune (correções proativas). O script de detecção coleta a inicialização segura e o status do certificado de cada dispositivo e os relata de volta ao portal do Intune — nenhuma ação de correção é executada nos dispositivos. Isso oferece aos administradores uma exibição centralizada e exportável do progresso da atualização do certificado em seus dispositivos Windows registrados no Intune.

Por que usar essa abordagem?

Benefício Descrição
Visibilidade de todo o dispositivo Veja o status do certificado de cada dispositivo Windows registrado no Intune em um só lugar
Exportável Exportar resultados para CSV diretamente do portal do Intune
Valores brutos do Registro Veja os dados reais do registro, não apenas aprovados/reprovados
Contexto do dispositivo Inclui fabricante, modelo, versão do BIOS e tipo de firmware
Telemetria do log de eventos Captura IDs de eventos de Inicialização Segura (1801/1808), IDs de bucket e níveis de confiança
Sem toque Funciona silenciosamente como SYSTEM — sem necessidade de interação do usuário

Para obter informações básicas completas sobre as atualizações de certificado, consulte Atualizações de certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.

Pré-requisitos

Antes de implantar o script de detecção, verifique se o seu ambiente atende aos requisitos necessários.

Esta solução aproveita as correções no Microsoft Intune. Para obter uma lista completa de pré-requisitos, consulte Usar correções para detectar e corrigir problemas de suporte – Microsoft Intune.

Scripts de detecção

O script de detecção é um script do PowerShell que coleta dados abrangentes de inventário de Inicialização Segura de cada dispositivo e os gera como uma cadeia de caracteres JSON. O script é lido das seguintes fontes:

Registro — status de atualização do certificado de Inicialização Segura, chaves de manutenção, atributos do dispositivo e configurações de ativação/recusa de HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot e suas subchaves

WMI/CIM — Versão do sistema operacional, última hora de inicialização e informações de hardware da placa de base

Logs de eventos — entradas de log de eventos do sistema para IDs de evento 1801 e 1808 (eventos de atualização de Inicialização Segura)

A saída JSON aparece no portal do Intune em Monitor de Correções >>, status > do dispositivo "Saída de detecção de pré-correção" e pode ser exportada para CSV para análise.

Importante: Este é um script somente de detecção. Nenhuma alteração é feita no dispositivo. Nenhum script de correção é necessário.

Criando o Arquivo de Script

Observação

IMPORTANTE O seguinte artigo contendo o script de exemplo foi desativado. Se você instalou uma atualização do Windows lançada em ou após 12 de maio de 2026, o script de exemplo poderá ser encontrado na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.

Criar a correção no Intune

Siga estas etapas para implantar o script de detecção como uma correção (pacote de scripts) no Microsoft Intune.

Etapa 1: Criar o pacote de script

Etapa 2: Conceitos básicos

  • Defina as seguintes configurações na guia Básico :
Configuração Valor
Nome Monitor de Status do Certificado de Inicialização Segura
Descrição Monitora o status de atualização do certificado Secure Boot em toda a frota. Somente detecção — nenhuma ação de correção é executada.
Fornecedor (nome da sua organização)
  • Clique em Avançar

Etapa 3: Configurações

  • Defina as seguintes configurações na guia Configurações :
Configuração Valor Observações
Arquivo de script de detecção Carregar Detect-SecureBootCertificateStatus.ps1 O script da seção anterior
Arquivo de script de correção (deixe em branco) Nenhuma correção é necessária - isso é apenas monitoramento
Execute este script usando as credenciais conectadas Não Executado como SYSTEM para garantir o acesso ao Confirm-SecureBootUEFI e ao Registro
Impor a marca de assinatura de script Não Defina como Sim se sua organização exigir scripts assinados
Executar script no PowerShell de 64 bits Sim Necessário para Confirm-SecureBootUEFI cmdlet e leituras precisas do registro
  • Clique em Avançar

Etapa 4: Marcas de escopo

  • Adicione as marcas de escopo necessárias para sua organização ou deixe como padrão
  • Clique em Avançar

Etapa 5: Atribuições

Configuração Valor Observações
Atribuições Selecione os grupos de dispositivos a serem monitorados Use todos os dispositivos para monitoramento de toda a frota ou grupos específicos para monitoramento direcionado
Horário Configure de acordo com suas necessidades de monitoramento Recomendado: uma vez por dia para o acompanhamento de implantação ativa ou uma vez por semana para monitoramento contínuo

Observação: as correções são executadas na programação configurada do dispositivo. A primeira execução pode levar até 24 horas após a atribuição, dependendo do ciclo de marcar do dispositivo.

Clique em Avançar

Etapa 6: Examinar + Criar

  • Examinar todas as configurações
  • Clique em Criar

Exibindo e exportando resultados

Exibir resultados no portal

  • Navegue até Correções de dispositivos >
  • Clique em Monitor de Status do Certificado de Inicialização Segura (ou no nome que você escolheu)
  • Selecione a guia Monitor
  • Clique em Status do dispositivo
  • Clique em Colunas e adicione saída de detecção de pré-correção

Monitor de status

Você verá uma tabela com as seguintes colunas:

Coluna Descrição
Nome do dispositivo O nome do dispositivo
Nome de usuário O usuário principal do dispositivo
Status da detecção Sem problema (certificados atualizados) ou com problema (certificados não atualizados)
Saída de detecção de pré-correção A saída JSON completa do script
Última modificação Quando o script foi executado pela última vez no dispositivo

Exportação para CSV

  • Na página de status do dispositivo, clique no botão Exportar na parte superior da tabela
  • O arquivo CSV baixará todas as colunas, incluindo a saída completa da detecção JSON para cada dispositivo
  • Abra no Excel para filtrar, classificar e analisar por qualquer campo

Dica: No Excel, você pode usar as funções TEXTJOIN ou JSON para analisar o JSON de saída de detecção em colunas separadas para facilitar a análise.

Guia Visão geral

Visão geral do Intune

A guia Visão geral na correção fornece um dashboard de resumo:

Métrica Significado
Dispositivos com problemas Dispositivos em que os certificados ainda não foram atualizados
Dispositivos sem problemas Dispositivos em que os certificados estão atualizados
Dispositivos com falha na detecção Dispositivos em que o script encontrou um erro

Perguntas frequentes

Isso muda alguma coisa em meus dispositivos?

Não. Este é um script somente de detecção. Nenhum valor do Registro é modificado, nenhuma atualização é disparada e nenhuma ação de correção é tomada. O script apenas lê valores e os relata.

O que significa "Com problema"?

"Com problema" significa que o dispositivo ainda não tem os certificados de Inicialização Segura de 2023 aplicados e o gerenciador de inicialização assinado de 2023 em vigor. Isso pode ser porque: - A atualização do certificado não foi iniciada - A atualização está em andamento e pode exigir uma reinicialização para ser concluída - A inicialização segura não está habilitada no dispositivo - O dispositivo não é baseado em UEFI ou está aguardando uma reinicialização para aplicar o gerenciador de inicialização.

O que significa "Sem problemas"?

"Sem problema" significa que o dispositivo tem a Inicialização Segura habilitada e o valor do registro UEFICA2023Status é Atualizado, indicando que os certificados de 2023 foram aplicados com êxito.

Com que frequência o script é executado?

O script é executado na agenda que você configurar na atribuição. Para monitoramento ativo durante uma implantação, recomenda-se o uso diário. Para monitoramento contínuo, semanalmente é suficiente.

E se a chave do Registro de manutenção não existir?

Se a chave HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing não existir em um dispositivo, o campo UEFICA2023Status mostrará NoValue. Isso geralmente significa que as atualizações de certificado não foram iniciadas no dispositivo.

Quais licenças são necessárias?

As correções exigem licenças do Windows 10/11 Enterprise E3/E5, Education A3/A5 ou F3. Se seus dispositivos tiverem apenas licenças Business Premium ou Pro, as correções não estarão disponíveis. Consulte os pré-requisitos para correções.

Informações

Guia Estratégico de Atualização de Certificado de Inicialização Segura

Atualizações de Certificado de Inicialização Segura: diretrizes para profissionais de TI

Atualizações de Chave do Registro para Inicialização Segura

Eventos de atualização de variável DB e DBX de inicialização segura

Correções no Microsoft Intune

Pré-requisitos para correções