Observação
- Data de publicação original: 19 de fevereiro de 2026
- ID da base de dados: 5080914
Observação
Este artigo tem diretrizes para:
Administradores do Windows 365 gerenciando PCs na nuvem.
Organizações que usam PCs na nuvem habilitados para Inicialização Segura para implantações do Windows 365.
Organizações que usam imagens personalizadas para implantações do Windows 365.
Neste artigo:
Introdução
Secure Boot é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas software confiável e assinado digitalmente seja executado durante uma sequência de inicialização do dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos não receberão mais novas proteções ou mitigações da Inicialização Segura e do Gerenciador de Inicialização para vulnerabilidades no nível da inicialização recém-descobertas.
Todos os PCs na nuvem habilitados para Inicialização Segura provisionados no serviço do Windows 365 e as imagens personalizadas usadas para provisioná-los devem ser atualizados para os certificados de 2023 antes da expiração para permanecerem protegidos. Consulte Quando os certificados de Inicialização Segura expiram em dispositivos Windows.
Isso se aplica ao meu ambiente do Windows 365?
| Cenário | Inicialização Segura Ativa? | Ação necessária |
|---|---|---|
| PCs na nuvem | ||
| PC na nuvem com Inicialização Segura habilitada | Sim | Atualizar certificados no PC na nuvem |
| PC na nuvem com Inicialização Segura desabilitada | Não | Nenhuma ação necessária. |
| Imagens | ||
| Imagem da Galeria de Computação do Azure com Inicialização Segura habilitada | Sim | Atualize os certificados na imagem de origem antes de generalizar |
| Imagem da Galeria de Computação do Azure sem Inicialização Confiável | Não | Aplicar atualizações no PC na nuvem após o provisionamento |
| Imagem gerenciada (não dá suporte a Lançamento Confiável) | Não | Aplicar atualizações no PC na nuvem após o provisionamento |
Para obter informações básicas completas, consulte Atualizações de certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.
Inventário e Monitor
Antes de agir, faça um inventário do seu ambiente para identificar os dispositivos que requerem atualizações. O monitoramento é essencial para confirmar se os certificados são aplicados antes do prazo final de junho de 2026, mesmo que você dependa de métodos de implantação automática. Abaixo estão as opções para determinar se uma ação precisa ser tomada.
Opção 1: Correções do Microsoft Intune
Para PCs na nuvem registrados no Microsoft Intune, você pode implantar um script de detecção usando as correções do Intune (correções proativas) para coletar automaticamente o status do certificado de Inicialização Segura em toda a frota. O script é executado silenciosamente em cada dispositivo e relata o status da inicialização segura, o progresso da atualização do certificado e os detalhes do dispositivo de volta ao portal do Intune — nenhuma alteração é feita nos dispositivos. Os resultados podem ser exibidos e exportados para CSV diretamente do centro de administração do Intune para análise de toda a frota.
Para obter instruções passo a passo sobre como implantar o script de detecção, consulte Monitorando o Status do Certificado de Inicialização Segura com correções do Microsoft Intune.
Opção 2: Relatório de Status de Inicialização Segura do Windows Autopatch
Para PCs na nuvem registrados com o Windows Autopatch, acesse o centro> de administração do IntuneRelatórios>Windows Autopatch>Atualizações> de qualidade do WindowsGuia Relatórios>status de inicialização segura. Consulte o relatório de status de inicialização segura no Windows Autopatch.
Observação: Para usar o Windows Autopatch com o Windows 365, os PCs na nuvem devem estar registrados no serviço do Windows Autopatch. Consulte o Windows Autopatch em cargas de trabalho do Windows 365 Enterprise.
Opção 3: Chaves de registro para monitoramento de frota
Use suas ferramentas de gerenciamento de dispositivos existentes para consultar esses valores de registro em sua frota.
| Caminho do Registro | Tecla | Finalidade |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status do Voo | Status de implantação atual |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Erro | Indica erros (não deveria existir) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Indica a ID do Evento (não deveria existir) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Atualizações Disponíveis | Bits de atualização pendentes |
Para obter detalhes completos da chave do Registro, consulte Atualizações da chave do Registro para Inicialização Segura.
Opção 4: Monitoramento do log de eventos
Use suas ferramentas de gerenciamento de dispositivos existentes para coletar e monitorar esses IDs de eventos do log de eventos do sistema em toda a sua frota.
| ID de Evento | Local | Significado |
|---|---|---|
| 1808 | Sistema | Certificados aplicados com êxito |
| 1801 | Sistema | Atualizar o status ou detalhes do erro |
Para obter uma lista completa de detalhes do evento, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura.
Opção 5: Script de Inventário do PowerShell
Execute o script de Coleta de Dados do Inventário de Inicialização Segura de Exemplo da Microsoft para marcar o status de atualização do certificado de Inicialização Segura. O script coleta vários pontos de dados, incluindo o estado de Inicialização Segura, o status de atualização do UEFI CA 2023, a versão do firmware e a atividade do log de eventos.
Implantação
Importante
Independentemente da opção de implantação escolhida, recomendamos monitorar sua frota de dispositivos para confirmar se os certificados foram aplicados com êxito antes do prazo final de junho de 2026. Para imagens personalizadas, consulte Considerações sobre imagens personalizadas.
Opção 1: Atualizações Automáticas do Windows Update (Dispositivos de Alta Confiança)
A Microsoft atualiza automaticamente os dispositivos por meio de atualizações mensais do Windows quando telemetria suficiente confirma a implantação bem-sucedida em configurações de hardware semelhantes.
- Status: habilitado por padrão para dispositivos de alta confiança
- Nenhuma ação é necessária, a menos que você queira recusar
| Registro | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tecla | HighConfidenceOptOut = 1 para recusar |
| Política de Grupo | Configuração do> ComputadorModelos Administrativos>Componentes> do WindowsInicialização segura>Implantação Automática de Certificado via Atualizações> Defina como Desabilitado para recusar |
Observação
Recomendação: Mesmo com as atualizações automáticas habilitadas, monitore seus PCs na nuvem para verificar se os certificados foram aplicados. Nem todos os dispositivos podem se qualificar para implantação automática de alta confiança.
Para obter mais informações, consulte Ajudas de implantação automatizadas.
Opção 2: Implantação IT-Initiated
Dispare manualmente atualizações de certificado para distribuição imediata ou controlada.
| Preparação | Documentação |
|---|---|
| Microsoft Intune | Método do Microsoft Intune |
| Política de Grupo | Método GPO |
| Chaves do registro | Método da chave do Registro |
| WinCS CLI | WinCS APIs |
Observação
- Não misture métodos de implantação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo, eles controlam as mesmas chaves do Registro e podem entrar em conflito.
- Aguarde aproximadamente 48 horas e uma ou mais reinicializações para que os certificados sejam totalmente aplicáveis.
Considerações sobre imagens personalizadas
As imagens personalizadas são totalmente gerenciadas pela sua organização. Você é responsável por aplicar as atualizações de certificado de Inicialização Segura à imagem personalizada e carregá-la novamente antes de usá-la para provisionamento.
A aplicação de atualizações de certificado de Inicialização Segura à imagem de origem só é suportada com imagens da Galeria de Computação do Azure (versão prévia), que dão suporte ao Lançamento Confiável e à Inicialização Segura. As imagens gerenciadas não dão suporte à Inicialização Segura, portanto, as atualizações de certificado não podem ser aplicadas no nível da imagem. Para PCs na nuvem provisionados de imagens gerenciadas, aplique atualizações diretamente no PC na nuvem usando um dos métodos de implantação acima.
Antes de generalizar uma nova imagem personalizada, verifique se os certificados são atualizados:
Observação
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Problemas conhecidos
A chave do Registro de manutenção não existe
| Sintoma | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing caminho não existe |
|---|---|
| Causa | As atualizações de certificado não foram iniciadas no dispositivo |
| Resolução | Aguarde a implantação automática por meio do Windows Update ou inicie manualmente usando um dos métodos de implantação iniciados pela TI acima |
O status mostra "InProgress" por um período estendido
| Sintoma | UEFICA2023Status permanece "InProgress" após vários dias |
|---|---|
| Causa | O dispositivo pode precisar de uma reinicialização para concluir o processo de atualização |
| Resolução | Reinicie o PC na nuvem e marcar status novamente após 15 minutos. Se o problema persistir, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura para obter diretrizes de solução de problemas |
UEFICA2023Existe uma chave de registro de erro
| Sintoma | UEFICA2023Chave de registro de erro está presente |
|---|---|
| Causa | Ocorreu um erro durante a implantação do certificado |
| Resolução | Verifique o log de eventos do sistema para obter detalhes. Consulte Eventos de atualização de variável Secure Boot DB e DBX para obter diretrizes de solução de problemas |