Atualizações de Certificado de Inicialização Segura para Windows 365

Observação

  • Data de publicação original: 19 de fevereiro de 2026
  • ID da base de dados: 5080914

Observação

Este artigo tem diretrizes para:

  • Administradores do Windows 365 gerenciando PCs na nuvem.

  • Organizações que usam PCs na nuvem habilitados para Inicialização Segura para implantações do Windows 365.

  • Organizações que usam imagens personalizadas para implantações do Windows 365.

Neste artigo:

Introdução

Secure Boot é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas software confiável e assinado digitalmente seja executado durante uma sequência de inicialização do dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos não receberão mais novas proteções ou mitigações da Inicialização Segura e do Gerenciador de Inicialização para vulnerabilidades no nível da inicialização recém-descobertas.

Todos os PCs na nuvem habilitados para Inicialização Segura provisionados no serviço do Windows 365 e as imagens personalizadas usadas para provisioná-los devem ser atualizados para os certificados de 2023 antes da expiração para permanecerem protegidos. Consulte Quando os certificados de Inicialização Segura expiram em dispositivos Windows.

Isso se aplica ao meu ambiente do Windows 365?

Cenário Inicialização Segura Ativa? Ação necessária
PCs na nuvem
PC na nuvem com Inicialização Segura habilitada Sim Atualizar certificados no PC na nuvem
PC na nuvem com Inicialização Segura desabilitada Não Nenhuma ação necessária.
Imagens
Imagem da Galeria de Computação do Azure com Inicialização Segura habilitada Sim Atualize os certificados na imagem de origem antes de generalizar
Imagem da Galeria de Computação do Azure sem Inicialização Confiável Não Aplicar atualizações no PC na nuvem após o provisionamento
Imagem gerenciada (não dá suporte a Lançamento Confiável) Não Aplicar atualizações no PC na nuvem após o provisionamento

Para obter informações básicas completas, consulte Atualizações de certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.

Inventário e Monitor

Antes de agir, faça um inventário do seu ambiente para identificar os dispositivos que requerem atualizações. O monitoramento é essencial para confirmar se os certificados são aplicados antes do prazo final de junho de 2026, mesmo que você dependa de métodos de implantação automática. Abaixo estão as opções para determinar se uma ação precisa ser tomada.

Opção 1: Correções do Microsoft Intune

Para PCs na nuvem registrados no Microsoft Intune, você pode implantar um script de detecção usando as correções do Intune (correções proativas) para coletar automaticamente o status do certificado de Inicialização Segura em toda a frota. O script é executado silenciosamente em cada dispositivo e relata o status da inicialização segura, o progresso da atualização do certificado e os detalhes do dispositivo de volta ao portal do Intune — nenhuma alteração é feita nos dispositivos. Os resultados podem ser exibidos e exportados para CSV diretamente do centro de administração do Intune para análise de toda a frota.

Para obter instruções passo a passo sobre como implantar o script de detecção, consulte Monitorando o Status do Certificado de Inicialização Segura com correções do Microsoft Intune.

Opção 2: Relatório de Status de Inicialização Segura do Windows Autopatch

Para PCs na nuvem registrados com o Windows Autopatch, acesse o centro> de administração do IntuneRelatórios>Windows Autopatch>Atualizações> de qualidade do WindowsGuia Relatórios>status de inicialização segura. Consulte o relatório de status de inicialização segura no Windows Autopatch.

Observação: Para usar o Windows Autopatch com o Windows 365, os PCs na nuvem devem estar registrados no serviço do Windows Autopatch. Consulte o Windows Autopatch em cargas de trabalho do Windows 365 Enterprise.

Opção 3: Chaves de registro para monitoramento de frota

Use suas ferramentas de gerenciamento de dispositivos existentes para consultar esses valores de registro em sua frota.

Caminho do Registro Tecla Finalidade
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status do Voo Status de implantação atual
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Erro Indica erros (não deveria existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Indica a ID do Evento (não deveria existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Atualizações Disponíveis Bits de atualização pendentes

Para obter detalhes completos da chave do Registro, consulte Atualizações da chave do Registro para Inicialização Segura.

Opção 4: Monitoramento do log de eventos

Use suas ferramentas de gerenciamento de dispositivos existentes para coletar e monitorar esses IDs de eventos do log de eventos do sistema em toda a sua frota.

ID de Evento Local Significado
1808 Sistema Certificados aplicados com êxito
1801 Sistema Atualizar o status ou detalhes do erro

Para obter uma lista completa de detalhes do evento, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura.

Opção 5: Script de Inventário do PowerShell

Execute o script de Coleta de Dados do Inventário de Inicialização Segura de Exemplo da Microsoft para marcar o status de atualização do certificado de Inicialização Segura. O script coleta vários pontos de dados, incluindo o estado de Inicialização Segura, o status de atualização do UEFI CA 2023, a versão do firmware e a atividade do log de eventos.

Implantação

Importante

Independentemente da opção de implantação escolhida, recomendamos monitorar sua frota de dispositivos para confirmar se os certificados foram aplicados com êxito antes do prazo final de junho de 2026. Para imagens personalizadas, consulte Considerações sobre imagens personalizadas.

Opção 1: Atualizações Automáticas do Windows Update (Dispositivos de Alta Confiança)

A Microsoft atualiza automaticamente os dispositivos por meio de atualizações mensais do Windows quando telemetria suficiente confirma a implantação bem-sucedida em configurações de hardware semelhantes.

  • Status: habilitado por padrão para dispositivos de alta confiança
  • Nenhuma ação é necessária, a menos que você queira recusar
Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tecla HighConfidenceOptOut = 1 para recusar
Política de Grupo Configuração do> ComputadorModelos Administrativos>Componentes> do WindowsInicialização segura>Implantação Automática de Certificado via Atualizações> Defina como Desabilitado para recusar

Observação

Recomendação: Mesmo com as atualizações automáticas habilitadas, monitore seus PCs na nuvem para verificar se os certificados foram aplicados. Nem todos os dispositivos podem se qualificar para implantação automática de alta confiança.

Para obter mais informações, consulte Ajudas de implantação automatizadas.

Opção 2: Implantação IT-Initiated

Dispare manualmente atualizações de certificado para distribuição imediata ou controlada.

Preparação Documentação
Microsoft Intune Método do Microsoft Intune
Política de Grupo Método GPO
Chaves do registro Método da chave do Registro
WinCS CLI WinCS APIs

Observação

  • Não misture métodos de implantação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo, eles controlam as mesmas chaves do Registro e podem entrar em conflito.
  • Aguarde aproximadamente 48 horas e uma ou mais reinicializações para que os certificados sejam totalmente aplicáveis.

Considerações sobre imagens personalizadas

As imagens personalizadas são totalmente gerenciadas pela sua organização. Você é responsável por aplicar as atualizações de certificado de Inicialização Segura à imagem personalizada e carregá-la novamente antes de usá-la para provisionamento.

A aplicação de atualizações de certificado de Inicialização Segura à imagem de origem só é suportada com imagens da Galeria de Computação do Azure (versão prévia), que dão suporte ao Lançamento Confiável e à Inicialização Segura. As imagens gerenciadas não dão suporte à Inicialização Segura, portanto, as atualizações de certificado não podem ser aplicadas no nível da imagem. Para PCs na nuvem provisionados de imagens gerenciadas, aplique atualizações diretamente no PC na nuvem usando um dos métodos de implantação acima.

Antes de generalizar uma nova imagem personalizada, verifique se os certificados são atualizados:

Observação

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problemas conhecidos

A chave do Registro de manutenção não existe

Sintoma HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing caminho não existe
Causa As atualizações de certificado não foram iniciadas no dispositivo
Resolução Aguarde a implantação automática por meio do Windows Update ou inicie manualmente usando um dos métodos de implantação iniciados pela TI acima

O status mostra "InProgress" por um período estendido

Sintoma UEFICA2023Status permanece "InProgress" após vários dias
Causa O dispositivo pode precisar de uma reinicialização para concluir o processo de atualização
Resolução Reinicie o PC na nuvem e marcar status novamente após 15 minutos. Se o problema persistir, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura para obter diretrizes de solução de problemas

UEFICA2023Existe uma chave de registro de erro

Sintoma UEFICA2023Chave de registro de erro está presente
Causa Ocorreu um erro durante a implantação do certificado
Resolução Verifique o log de eventos do sistema para obter detalhes. Consulte Eventos de atualização de variável Secure Boot DB e DBX para obter diretrizes de solução de problemas

Informações