Aplicar configurações de atualização de certificado de Inicialização Segura usando direcionamento baseado em modelo no Microsoft Intune

Aplica-se a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Observação

  • Data de publicação original: 10 de março de 2026
  • ID da base de dados: 5084490

Este artigo tem diretrizes para

  • Profissionais de TI e administradores do Intune que gerenciam dispositivos Windows, implantam controles de atualização de certificado de Inicialização Segura por meio de políticas de catálogo de Configurações e supervisionam fluxos de trabalho de atualização.
  • Equipes que precisam direcionar implantações para modelos de hardware específicos usando filtros de atribuição.

Neste artigo:

Introdução

Essas diretrizes ajudam os administradores de TI a habilitar o processo de atualização de certificado de Inicialização Segura usando as políticas de catálogo de Configurações do Microsoft Intune. Ele descreve como definir a configuração de Inicialização Segura que habilita o processo de atualização de certificado e como implantar essa configuração. Ele também destaca como usar filtros de atribuição baseados em modelo para dar suporte a distribuições controladas e em estágios no hardware que já foi validado para lidar com a atualização com êxito.

Pré-requisitos

A qualificação para atualização do certificado de Inicialização Segura é determinada peloCSP da Política de Inicialização Segura e pelo firmware do  dispositivo. Esse escopo nem sempre está alinhado com as linhas do tempo de manutenção do Windows (ou seja, atualizações) ou com os requisitos de registro do Intune.

Pré-requisitos do Intune e da política

  • Entre com uma conta que tenha permissões para criar filtros e criar/atribuir políticas de Catálogo de Configurações.
  • Os dispositivos devem ser registrados no Intune (os filtros de atribuição se aplicam somente a dispositivos gerenciados).

Pré-requisitos de elegibilidade da Inicialização Segura

Etapa 1 – Definir as configurações de atualização de certificado do Secure Boot no Intune (catálogo de configurações)

Nesta etapa, você cria um perfil de configuração de dispositivo do catálogo de Configurações do Windows no Microsoft Intune. Você também define as configurações de Inicialização Segura que habilitam o processo de atualização de certificado da Inicialização Segura.

O que você vai criar

Um perfil de configuração de dispositivo do catálogo de Configurações do Windows que permite a Habilitação de Atualizações de Certificado de Inicialização Segura:

Criar o perfil do catálogo Configurações

  1. Entre no centro de administração do Microsoft Intune.

  2. Vá para Configuração de Dispositivos>Gerenciar dispositivos>.

  3. Selecione Criar>nova política.

  4. Em Criar um perfil:

  5. Plataforma: Windows 10 e posterior

  6. Tipo de perfil: Catálogo de configurações

  7. Selecione Criar.

  8. Nomeie o perfil (por exemplo, Atualização de Certificado de Inicialização Segura), adicione uma descrição opcional e selecione Avançar.

  9. Em Configurações, selecione Adicionar configurações.

  10. No seletor de configurações, pesquise Inicialização Segura e selecione-a em Procurar por categoria.

  11. Adicione ao perfil a configuração Habilitar Certificado de Inicialização Segura Atualizações das três apresentadas na categoria Inicialização Segura.

    Observação

    Você pode definir as outras configurações de Inicialização Segura nesta categoria da mesma maneira se o cenário de implantação exigir.

  12. Defina o valor de configuração como Habilitado.

  13. Selecione Avançar para continuar com as tarefas. (Você aplicará um filtro na Etapa 3).

Etapa 2 - Criar um filtro de atribuição para segmentação baseada em modelo

Em seguida, você cria um filtro de atribuição do Intune destinado a modelos de dispositivo específicos. O direcionamento baseado em modelo permite que você defina o escopo das atualizações de certificado de Inicialização Segura para os modelos de hardware selecionados. Essa implantação controlada e em estágios não requer grupos adicionais do Microsoft Entra ID.

Por que o direcionamento baseado em modelo é recomendado para a implantação de certificado de Inicialização Segura

  • Variabilidade do firmware : os OEMs implementam a Inicialização Segura de forma diferente, portanto, o escopo no nível do modelo reduz comportamentos inesperados.
  • Validação prévia – você pode validar atualizações de certificado em um conjunto de hardware válido conhecido antes da ampla distribuição.

O que você vai criar

Um filtro de atribuição de dispositivos gerenciados que visa (ou exclui) modelos de dispositivos específicos.

Criar o filtro de atribuição

  1. Entre no centro de administração do Microsoft Intune.

  2. Ir para Administração de> locatáriosFiltros> de atribuiçãoCriar.

  3. Selecione Dispositivos gerenciados.

  4. No Básico, defina:

    • Nome do filtro (descritivo).
    • Descrição (opcional, mas recomendada).
    • Plataforma: Windows 10 e posterior.
  5. Selecione Avançar.

  6. Em Regras, escolha uma abordagem:

    • Construtor de regras (recomendado para a maioria dos administradores)
    • Sintaxe da regra (edição manual de expressão)

Criar uma regra baseada em modelo (construtor de regras)

  1. No Construtor de regras, selecione a propriedade do modelo .
  2. Escolha um operador.
  3. Insira a(s) sequência(s) de modelo que deseja corresponder.
  4. Selecione Adicionar expressão para adicioná-la à regra.
  5. Se necessário, use E/Ou para estender a regra para modelos adicionais ou para adicionar critérios adicionais com base em outras propriedades filtráveis possíveis.

Dica

Use dispositivos de Visualização para validar se o filtro corresponde ao conjunto pretendido. A lista de visualização dá suporte à pesquisa por nome do dispositivo, versão do sistema operacional, modelo do dispositivo e fabricante do dispositivo.

Visualizar e criar o filtro

  1. Selecione Visualizar dispositivos para confirmar quais dispositivos registrados correspondem.
  2. Selecione Avançar.
  3. (Opcional) Atribua marcas de Escopo se você usá-las.
  4. Selecione Avançar.
  5. Em Examinar + criar, selecione Criar.

Etapa 3 – atribuir a política usando o filtro de atribuição

Por fim, você atribui o perfil do catálogo Configurações a um dispositivo ou grupo de usuários e aplica o filtro de atribuição. Isso determina quais dispositivos registrados recebem e processam as configurações de atualização do certificado de Inicialização Segura durante a avaliação da política.

O que você vai fazer

Você atribuirá o perfil de catálogo Configurações de Inicialização Segura da Etapa 1 a um grupo e, em seguida, aplicará o filtro da Etapa 2 no modo Incluir ou Excluir .

Aplicar o filtro de atribuição

  1. No centro de administração do Microsoft Intune, navegue atéConfiguração de Dispositivos>Gerenciar dispositivos>.

  2. Selecione o perfil de catálogo Configurações que você criou na Etapa 1 acima.

  3. Abra a ediçãode atribuições de> propriedades.>

  4. Atribua o perfil ao grupo de usuários ou grupo de dispositivos apropriado.

    Dica

    Se você não tiver nenhum outro critério para limitar a segmentação, atribua essa política ao grupo virtual Todos os dispositivos . Use o filtro de atribuição de modelo de dispositivo da Etapa 2 para definir o escopo da atribuição. Essa combinação é suficiente para a maioria das implantações. O grupo virtual Todos os dispositivos é interno, não requer manutenção de grupo e é otimizado para escala. Em seguida, o filtro de atribuição restringe a aplicabilidade na marcar do dispositivo com base nas propriedades do dispositivo, sem exigir grupos de Microsoft Entra adicionais.

  5. Selecione Editar filtro.

  6. Escolha uma:

    • Incluir dispositivos filtrados na atribuição: somente os dispositivos que correspondem ao filtro recebem a política.
    • Excluir dispositivos filtrados na atribuição: os dispositivos que correspondem ao filtro não recebem a política.
  7. Selecione o filtro de atribuição existente na Etapa 2 e escolha Selecionar.

  8. Selecione Revisar + salvar>Salvar.

Entender o comportamento do dispositivo

  • O Intune avalia o filtro quando o dispositivo é registrado, sempre que ele faz check-in e sempre que a política atribuída é reavaliada.
  • Habilitar a configuração de Inicialização Segura não garante a aplicação imediata do certificado. Para a configuração de Inicialização Segura que dispara o processo de atualização, a tarefa de Inicialização Segura do Windows é executada a cada 12 horas. Algumas atualizações podem exigir uma reinicialização.

Perguntas frequentes

Com que frequência os dispositivos processam a configuração "Habilitar Atualizações de Certificado de Inicialização Segura"?

A tarefa de Inicialização Segura do Windows que processa a configuração é executada a cada 12 horas.

Devo esperar reinicializações?

Iniciar a atualização por meio do Intune não causa uma reinicialização, embora uma reinicialização possa ser necessária para concluir a atualização.

Posso reverter ou remover os novos certificados após a aplicação?

Depois que os certificados são aplicados ao firmware, o Windows não pode removê-los. A limpeza de certificados deve ser feita por meio da interface de firmware.

Por que devo fazer isso antes de junho de 2026?

Os certificados mais antigos começam a expirar em junho de 2026. Os dispositivos que não receberam os certificados mais recentes de 2023 perderão a capacidade de receber novas proteções de segurança de inicialização antecipada (por exemplo, banco de dados de Inicialização Segura e atualizações de revogação).

Informações