Observação
- Data de publicação original: 18 de fevereiro de 2026
- ID da base de dados: 5080921
Este artigo tem diretrizes para:
- Administradores de TI que precisam de visibilidade do status de atualização do certificado de Inicialização Segura de seus dispositivos Windows registrados no Intune
- Organizações que se preparam para o prazo de expiração do certificado de Inicialização Segura de junho de 2026
- Equipes que desejam monitorar o progresso da distribuição do certificado em seus dispositivos Windows registrados no Intune
Neste artigo:
- Introdução
- Pré-requisitos
- Script de detecção
- Criar a correção no Intune
- Exibindo e exportando resultados
- Perguntas frequentes
- Informações
Introdução
Os certificados de Inicialização Segura da Microsoft (CAs de 2011) expiram a partir de junho de 2026. Todos os dispositivos Windows com a Inicialização Segura habilitada devem ser atualizados para os certificados de 2023 antes da expiração para garantir o suporte contínuo à atualização de segurança.
Este guia fornece uma abordagem somente de monitoramento usando correções do Microsoft Intune (correções proativas). O script de detecção coleta a inicialização segura e o status do certificado de cada dispositivo e os relata de volta ao portal do Intune — nenhuma ação de correção é executada nos dispositivos. Isso oferece aos administradores uma exibição centralizada e exportável do progresso da atualização do certificado em seus dispositivos Windows registrados no Intune.
Por que usar essa abordagem?
| Benefício | Descrição |
|---|---|
| Visibilidade de todo o dispositivo | Veja o status do certificado de cada dispositivo Windows registrado no Intune em um só lugar |
| Exportável | Exportar resultados para CSV diretamente do portal do Intune |
| Valores brutos do Registro | Veja os dados reais do registro, não apenas aprovados/reprovados |
| Contexto do dispositivo | Inclui fabricante, modelo, versão do BIOS e tipo de firmware |
| Telemetria do log de eventos | Captura IDs de eventos de Inicialização Segura (1801/1808), IDs de bucket e níveis de confiança |
| Sem toque | Funciona silenciosamente como SYSTEM — sem necessidade de interação do usuário |
Para obter informações básicas completas sobre as atualizações de certificado, consulte Atualizações de certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.
Pré-requisitos
Antes de implantar o script de detecção, verifique se o seu ambiente atende aos requisitos necessários.
Esta solução aproveita as correções no Microsoft Intune. Para obter uma lista completa de pré-requisitos, consulte Usar correções para detectar e corrigir problemas de suporte – Microsoft Intune.
Scripts de detecção
O script de detecção é um script do PowerShell que coleta dados abrangentes de inventário de Inicialização Segura de cada dispositivo e os gera como uma cadeia de caracteres JSON. O script é lido das seguintes fontes:
Registro — status de atualização do certificado de Inicialização Segura, chaves de manutenção, atributos do dispositivo e configurações de ativação/recusa de HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot e suas subchaves
WMI/CIM — Versão do sistema operacional, última hora de inicialização e informações de hardware da placa de base
Logs de eventos — entradas de log de eventos do sistema para IDs de evento 1801 e 1808 (eventos de atualização de Inicialização Segura)
A saída JSON aparece no portal do Intune em Monitor de Correções >>, status > do dispositivo "Saída de detecção de pré-correção" e pode ser exportada para CSV para análise.
Importante: Este é um script somente de detecção. Nenhuma alteração é feita no dispositivo. Nenhum script de correção é necessário.
Criando o Arquivo de Script
Observação
IMPORTANTE O seguinte artigo contendo o script de exemplo foi desativado. Se você instalou uma atualização do Windows lançada em ou após 12 de maio de 2026, o script de exemplo poderá ser encontrado na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.
- Navegue até o script de coleta de dados de inventário de inicialização segura de exemplo (KB5072718)
- Copiar o conteúdo completo do script da página
- Abra um editor de texto (por exemplo, Bloco de notas, VS Code) e cole o script
- Salve o arquivo como Detect-SecureBootCertUpdateStatus.ps1
Criar a correção no Intune
Siga estas etapas para implantar o script de detecção como uma correção (pacote de scripts) no Microsoft Intune.
Etapa 1: Criar o pacote de script
- Entrar no centro de administração do Microsoft Intune
- Navegue até Correções de dispositivos >
- Clique em + Criar pacote de scripts
Etapa 2: Conceitos básicos
- Defina as seguintes configurações na guia Básico :
| Configuração | Valor |
|---|---|
| Nome | Monitor de Status do Certificado de Inicialização Segura |
| Descrição | Monitora o status de atualização do certificado Secure Boot em toda a frota. Somente detecção — nenhuma ação de correção é executada. |
| Fornecedor | (nome da sua organização) |
- Clique em Avançar
Etapa 3: Configurações
- Defina as seguintes configurações na guia Configurações :
| Configuração | Valor | Observações |
|---|---|---|
| Arquivo de script de detecção | Carregar Detect-SecureBootCertificateStatus.ps1 | O script da seção anterior |
| Arquivo de script de correção | (deixe em branco) | Nenhuma correção é necessária - isso é apenas monitoramento |
| Execute este script usando as credenciais conectadas | Não | Executado como SYSTEM para garantir o acesso ao Confirm-SecureBootUEFI e ao Registro |
| Impor a marca de assinatura de script | Não | Defina como Sim se sua organização exigir scripts assinados |
| Executar script no PowerShell de 64 bits | Sim | Necessário para Confirm-SecureBootUEFI cmdlet e leituras precisas do registro |
- Clique em Avançar
Etapa 4: Marcas de escopo
- Adicione as marcas de escopo necessárias para sua organização ou deixe como padrão
- Clique em Avançar
Etapa 5: Atribuições
| Configuração | Valor | Observações |
|---|---|---|
| Atribuições | Selecione os grupos de dispositivos a serem monitorados | Use todos os dispositivos para monitoramento de toda a frota ou grupos específicos para monitoramento direcionado |
| Horário | Configure de acordo com suas necessidades de monitoramento | Recomendado: uma vez por dia para o acompanhamento de implantação ativa ou uma vez por semana para monitoramento contínuo |
Observação: as correções são executadas na programação configurada do dispositivo. A primeira execução pode levar até 24 horas após a atribuição, dependendo do ciclo de marcar do dispositivo.
Clique em Avançar
Etapa 6: Examinar + Criar
- Examinar todas as configurações
- Clique em Criar
Exibindo e exportando resultados
Exibir resultados no portal
- Navegue até Correções de dispositivos >
- Clique em Monitor de Status do Certificado de Inicialização Segura (ou no nome que você escolheu)
- Selecione a guia Monitor
- Clique em Status do dispositivo
- Clique em Colunas e adicione saída de detecção de pré-correção
Você verá uma tabela com as seguintes colunas:
| Coluna | Descrição |
|---|---|
| Nome do dispositivo | O nome do dispositivo |
| Nome de usuário | O usuário principal do dispositivo |
| Status da detecção | Sem problema (certificados atualizados) ou com problema (certificados não atualizados) |
| Saída de detecção de pré-correção | A saída JSON completa do script |
| Última modificação | Quando o script foi executado pela última vez no dispositivo |
Exportação para CSV
- Na página de status do dispositivo, clique no botão Exportar na parte superior da tabela
- O arquivo CSV baixará todas as colunas, incluindo a saída completa da detecção JSON para cada dispositivo
- Abra no Excel para filtrar, classificar e analisar por qualquer campo
Dica: No Excel, você pode usar as funções TEXTJOIN ou JSON para analisar o JSON de saída de detecção em colunas separadas para facilitar a análise.
Guia Visão geral
A guia Visão geral na correção fornece um dashboard de resumo:
| Métrica | Significado |
|---|---|
| Dispositivos com problemas | Dispositivos em que os certificados ainda não foram atualizados |
| Dispositivos sem problemas | Dispositivos em que os certificados estão atualizados |
| Dispositivos com falha na detecção | Dispositivos em que o script encontrou um erro |
Perguntas frequentes
Isso muda alguma coisa em meus dispositivos?
Não. Este é um script somente de detecção. Nenhum valor do Registro é modificado, nenhuma atualização é disparada e nenhuma ação de correção é tomada. O script apenas lê valores e os relata.
O que significa "Com problema"?
"Com problema" significa que o dispositivo ainda não tem os certificados de Inicialização Segura de 2023 aplicados e o gerenciador de inicialização assinado de 2023 em vigor. Isso pode ser porque: - A atualização do certificado não foi iniciada - A atualização está em andamento e pode exigir uma reinicialização para ser concluída - A inicialização segura não está habilitada no dispositivo - O dispositivo não é baseado em UEFI ou está aguardando uma reinicialização para aplicar o gerenciador de inicialização.
O que significa "Sem problemas"?
"Sem problema" significa que o dispositivo tem a Inicialização Segura habilitada e o valor do registro UEFICA2023Status é Atualizado, indicando que os certificados de 2023 foram aplicados com êxito.
Com que frequência o script é executado?
O script é executado na agenda que você configurar na atribuição. Para monitoramento ativo durante uma implantação, recomenda-se o uso diário. Para monitoramento contínuo, semanalmente é suficiente.
E se a chave do Registro de manutenção não existir?
Se a chave HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing não existir em um dispositivo, o campo UEFICA2023Status mostrará NoValue. Isso geralmente significa que as atualizações de certificado não foram iniciadas no dispositivo.
Quais licenças são necessárias?
As correções exigem licenças do Windows 10/11 Enterprise E3/E5, Education A3/A5 ou F3. Se seus dispositivos tiverem apenas licenças Business Premium ou Pro, as correções não estarão disponíveis. Consulte os pré-requisitos para correções.
Informações
Guia Estratégico de Atualização de Certificado de Inicialização Segura
Atualizações de Certificado de Inicialização Segura: diretrizes para profissionais de TI
Atualizações de Chave do Registro para Inicialização Segura
Eventos de atualização de variável DB e DBX de inicialização segura