Observação
- Data de publicação original: 10 de março de 2026
- ID da base de dados: 5084490
Este artigo tem diretrizes para
- Profissionais de TI e administradores do Intune que gerenciam dispositivos Windows, implantam controles de atualização de certificado de Inicialização Segura por meio de políticas de catálogo de Configurações e supervisionam fluxos de trabalho de atualização.
- Equipes que precisam direcionar implantações para modelos de hardware específicos usando filtros de atribuição.
Neste artigo:
- Introdução
- Pré-requisitos
- Etapa 1 – Definir as configurações de atualização de certificado do Secure Boot no Intune (catálogo de configurações)
- Etapa 2 - Criar um filtro de atribuição para segmentação baseada em modelo
- Etapa 3 – atribuir a política usando o filtro de atribuição
- Perguntas frequentes
- Informações
Introdução
Essas diretrizes ajudam os administradores de TI a habilitar o processo de atualização de certificado de Inicialização Segura usando as políticas de catálogo de Configurações do Microsoft Intune. Ele descreve como definir a configuração de Inicialização Segura que habilita o processo de atualização de certificado e como implantar essa configuração. Ele também destaca como usar filtros de atribuição baseados em modelo para dar suporte a distribuições controladas e em estágios no hardware que já foi validado para lidar com a atualização com êxito.
Pré-requisitos
A qualificação para atualização do certificado de Inicialização Segura é determinada peloCSP da Política de Inicialização Segura e pelo firmware do dispositivo. Esse escopo nem sempre está alinhado com as linhas do tempo de manutenção do Windows (ou seja, atualizações) ou com os requisitos de registro do Intune.
Pré-requisitos do Intune e da política
- Entre com uma conta que tenha permissões para criar filtros e criar/atribuir políticas de Catálogo de Configurações.
- Os dispositivos devem ser registrados no Intune (os filtros de atribuição se aplicam somente a dispositivos gerenciados).
Pré-requisitos de elegibilidade da Inicialização Segura
- A lista de versões com suporte do Windows está disponível no método Microsoft Intune de Inicialização Segura para dispositivos Windows com atualizações gerenciadas por TI.
- Os dispositivos devem ter a Inicialização Segura habilitada e devem estar em uma atualização de manutenção atual.
Etapa 1 – Definir as configurações de atualização de certificado do Secure Boot no Intune (catálogo de configurações)
Nesta etapa, você cria um perfil de configuração de dispositivo do catálogo de Configurações do Windows no Microsoft Intune. Você também define as configurações de Inicialização Segura que habilitam o processo de atualização de certificado da Inicialização Segura.
O que você vai criar
Um perfil de configuração de dispositivo do catálogo de Configurações do Windows que permite a Habilitação de Atualizações de Certificado de Inicialização Segura:
Criar o perfil do catálogo Configurações
Vá para Configuração de Dispositivos>Gerenciar dispositivos>.
Selecione Criar>nova política.
Em Criar um perfil:
Plataforma: Windows 10 e posterior
Tipo de perfil: Catálogo de configurações
Selecione Criar.
Nomeie o perfil (por exemplo, Atualização de Certificado de Inicialização Segura), adicione uma descrição opcional e selecione Avançar.
Em Configurações, selecione Adicionar configurações.
No seletor de configurações, pesquise Inicialização Segura e selecione-a em Procurar por categoria.
Adicione ao perfil a configuração Habilitar Certificado de Inicialização Segura Atualizações das três apresentadas na categoria Inicialização Segura.
Observação
Você pode definir as outras configurações de Inicialização Segura nesta categoria da mesma maneira se o cenário de implantação exigir.
Defina o valor de configuração como Habilitado.
Selecione Avançar para continuar com as tarefas. (Você aplicará um filtro na Etapa 3).
Etapa 2 - Criar um filtro de atribuição para segmentação baseada em modelo
Em seguida, você cria um filtro de atribuição do Intune destinado a modelos de dispositivo específicos. O direcionamento baseado em modelo permite que você defina o escopo das atualizações de certificado de Inicialização Segura para os modelos de hardware selecionados. Essa implantação controlada e em estágios não requer grupos adicionais do Microsoft Entra ID.
Por que o direcionamento baseado em modelo é recomendado para a implantação de certificado de Inicialização Segura
- Variabilidade do firmware : os OEMs implementam a Inicialização Segura de forma diferente, portanto, o escopo no nível do modelo reduz comportamentos inesperados.
- Validação prévia – você pode validar atualizações de certificado em um conjunto de hardware válido conhecido antes da ampla distribuição.
O que você vai criar
Um filtro de atribuição de dispositivos gerenciados que visa (ou exclui) modelos de dispositivos específicos.
Criar o filtro de atribuição
Ir para Administração de> locatáriosFiltros> de atribuiçãoCriar.
Selecione Dispositivos gerenciados.
No Básico, defina:
- Nome do filtro (descritivo).
- Descrição (opcional, mas recomendada).
- Plataforma: Windows 10 e posterior.
Selecione Avançar.
Em Regras, escolha uma abordagem:
- Construtor de regras (recomendado para a maioria dos administradores)
- Sintaxe da regra (edição manual de expressão)
Criar uma regra baseada em modelo (construtor de regras)
- No Construtor de regras, selecione a propriedade do modelo .
- Escolha um operador.
- Insira a(s) sequência(s) de modelo que deseja corresponder.
- Selecione Adicionar expressão para adicioná-la à regra.
- Se necessário, use E/Ou para estender a regra para modelos adicionais ou para adicionar critérios adicionais com base em outras propriedades filtráveis possíveis.
Dica
Use dispositivos de Visualização para validar se o filtro corresponde ao conjunto pretendido. A lista de visualização dá suporte à pesquisa por nome do dispositivo, versão do sistema operacional, modelo do dispositivo e fabricante do dispositivo.
Visualizar e criar o filtro
- Selecione Visualizar dispositivos para confirmar quais dispositivos registrados correspondem.
- Selecione Avançar.
- (Opcional) Atribua marcas de Escopo se você usá-las.
- Selecione Avançar.
- Em Examinar + criar, selecione Criar.
Etapa 3 – atribuir a política usando o filtro de atribuição
Por fim, você atribui o perfil do catálogo Configurações a um dispositivo ou grupo de usuários e aplica o filtro de atribuição. Isso determina quais dispositivos registrados recebem e processam as configurações de atualização do certificado de Inicialização Segura durante a avaliação da política.
O que você vai fazer
Você atribuirá o perfil de catálogo Configurações de Inicialização Segura da Etapa 1 a um grupo e, em seguida, aplicará o filtro da Etapa 2 no modo Incluir ou Excluir .
Aplicar o filtro de atribuição
No centro de administração do Microsoft Intune, navegue atéConfiguração de Dispositivos>Gerenciar dispositivos>.
Selecione o perfil de catálogo Configurações que você criou na Etapa 1 acima.
Abra a ediçãode atribuições de> propriedades.>
Atribua o perfil ao grupo de usuários ou grupo de dispositivos apropriado.
Dica
Se você não tiver nenhum outro critério para limitar a segmentação, atribua essa política ao grupo virtual Todos os dispositivos . Use o filtro de atribuição de modelo de dispositivo da Etapa 2 para definir o escopo da atribuição. Essa combinação é suficiente para a maioria das implantações. O grupo virtual Todos os dispositivos é interno, não requer manutenção de grupo e é otimizado para escala. Em seguida, o filtro de atribuição restringe a aplicabilidade na marcar do dispositivo com base nas propriedades do dispositivo, sem exigir grupos de Microsoft Entra adicionais.
Selecione Editar filtro.
Escolha uma:
- Incluir dispositivos filtrados na atribuição: somente os dispositivos que correspondem ao filtro recebem a política.
- Excluir dispositivos filtrados na atribuição: os dispositivos que correspondem ao filtro não recebem a política.
Selecione o filtro de atribuição existente na Etapa 2 e escolha Selecionar.
Selecione Revisar + salvar>Salvar.
Entender o comportamento do dispositivo
- O Intune avalia o filtro quando o dispositivo é registrado, sempre que ele faz check-in e sempre que a política atribuída é reavaliada.
- Habilitar a configuração de Inicialização Segura não garante a aplicação imediata do certificado. Para a configuração de Inicialização Segura que dispara o processo de atualização, a tarefa de Inicialização Segura do Windows é executada a cada 12 horas. Algumas atualizações podem exigir uma reinicialização.
Perguntas frequentes
Com que frequência os dispositivos processam a configuração "Habilitar Atualizações de Certificado de Inicialização Segura"?
A tarefa de Inicialização Segura do Windows que processa a configuração é executada a cada 12 horas.
Devo esperar reinicializações?
Iniciar a atualização por meio do Intune não causa uma reinicialização, embora uma reinicialização possa ser necessária para concluir a atualização.
Posso reverter ou remover os novos certificados após a aplicação?
Depois que os certificados são aplicados ao firmware, o Windows não pode removê-los. A limpeza de certificados deve ser feita por meio da interface de firmware.
Por que devo fazer isso antes de junho de 2026?
Os certificados mais antigos começam a expirar em junho de 2026. Os dispositivos que não receberam os certificados mais recentes de 2023 perderão a capacidade de receber novas proteções de segurança de inicialização antecipada (por exemplo, banco de dados de Inicialização Segura e atualizações de revogação).
Informações
- Definições de configurações e valores permitidos: CSP da Política de Inicialização Segura
- Fluxo do catálogo de configurações e comportamento de configuração: método do Microsoft Intune para Inicialização Segura em dispositivos Windows com atualizações gerenciadas por TI.
- Histórico e linhas do tempo: expiração do certificado de Inicialização Segura do Windows e atualizações da AC
- Crie, visualize e aplique filtros: Criar filtros de atribuição no Microsoft Intune
- Propriedades, operadores e sintaxe com suporte: Referência de propriedades e operadores de filtro de atribuição
- Planejamento geral da distribuição e o Intune apontados como uma opção recomendada: Guia estratégico de inicialização segura para certificados que expiram em 2026
- Abordagem somente monitoramento e relatórios do Intune): Monitorando o status do certificado Secure Boot com correções do Microsoft Intune