Aplica-se a
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Data de publicação original: 10 de março de 2026

ID da BDC: 5084490

Este artigo tem orientações para

  • Os profissionais de TI e Intune administradores que gerem dispositivos Windows, implementam controlos de atualização de certificados de Arranque Seguro através de políticas de catálogo de Definições e supervisionam os fluxos de trabalho de atualização.

  • Equipas que precisam de direcionar implementações para modelos de hardware específicos através de filtros de atribuição.

Neste Artigo:

Introdução

Esta documentação de orientação ajuda os administradores de TI a ativar o processo de atualização do certificado de Arranque Seguro com políticas de catálogo de Definições do Microsoft Intune. Descreve como configurar a definição de Arranque Seguro que permite o processo de atualização de certificados e como implementar essa configuração. Também realça como utilizar filtros de atribuição baseados em modelos para suportar implementações faseadas e controladas em hardware que já foi validado para processar a atualização com êxito.

Pré-requisitos

A elegibilidade da atualização do certificado de Arranque Seguro é determinada pelo firmware do dispositivo edo CSP da  Política de Arranque Seguro. Este âmbito nem sempre está alinhado com as linhas cronológicas de manutenção do Windows (ou seja, atualizações) ou Intune requisitos de inscrição.

pré-requisitos de política e Intune

  • Inicie sessão com uma conta que tenha permissões para criar filtros e criar/atribuir políticas de Catálogo de Definições.

  • Os dispositivos têm de estar inscritos no Intune (os filtros de atribuição aplicam-se apenas a dispositivos geridos).

Pré-requisitos de elegibilidade do Arranque Seguro

Passo 1 – Configurar as definições de atualização do certificado de Arranque Seguro no Intune (catálogo de Definições)

Neste passo, vai criar um perfil de configuração de dispositivo de catálogo de Definições do Windows no Microsoft Intune. Também pode configurar as definições de Arranque Seguro que permitem o processo de atualização do certificado de Arranque Seguro.

O que irá criar

Um perfil de configuração do dispositivo do catálogo de Definições do Windows que permite ativar o Certificado de Arranque Seguro Atualizações:

Criar o perfil do catálogo de Definições

  1. Inicie sessão no centro de administração do Microsoft Intune.

  2. Aceda a Dispositivos > Gerir dispositivos > Configuração.

  3. Selecione Criar > Nova política.

  4. Em Criar um perfil:

  5. Plataforma: Windows 10 e posterior

  6. Tipo de perfil: Catálogo de definições

  7. Selecione Criar.

  8. Atribua um nome ao perfil (por exemplo, Atualização do Certificado de Arranque Seguro), adicione uma descrição opcional e selecione Seguinte.

  9. Em Definições de configuração, selecione Adicionar definições.

  10. No seletor de definições, procure Arranque Seguro e selecione-o em Procurar por categoria.

  11. Adicione a definição Ativar Certificado de Arranque Seguro Atualizações dos três apresentados na categoria Arranque Seguro ao perfil.

    Observação: Pode configurar as outras definições de Arranque Seguro nesta categoria da mesma forma se o cenário de implementação as exigir.

  12. Configure o valor de definição como Ativado.

  13. Selecione Seguinte para continuar para as tarefas. (Irá aplicar um filtro no Passo 3).

Passo 2 – Criar um filtro de atribuição para filtragem baseada em modelos

Em seguida, vai criar um filtro de atribuição de Intune que visa modelos de dispositivos específicos. A segmentação baseada em modelos permite-lhe definir o âmbito das atualizações de certificados de Arranque Seguro para modelos de hardware selecionados. Esta implementação controlada e faseada não requer grupos de Microsoft Entra ID adicionais.

Por que motivo a segmentação baseada em modelos é recomendada para a implementação de certificados de Arranque Seguro

  • Variabilidade do firmware – os OEMs implementam o Arranque Seguro de forma diferente, pelo que o âmbito ao nível do modelo reduz o comportamento inesperado.

  • Validação prévia – pode validar as atualizações de certificados num bom conjunto de hardware conhecido antes da implementação geral.

O que irá criar

Um filtro de atribuição de dispositivos geridos que visa (ou exclui) modelos de dispositivos específicos.

Criar o filtro de atribuição

  1. Inicie sessão no centro de administração do Microsoft Intune.

  2. Aceda a Administração de inquilinos > filtros de Atribuição > Criar.

  3. Selecione Dispositivos geridos.

  4. Noções básicas, defina:

    • Nome do filtro (descritivo).

    • Descrição (opcional, mas recomendada).

    • Plataforma: Windows 10 e posterior.

  5. Selecione Avançar.

  6. Em Regras, escolha uma abordagem:

    • Construtor de regras (recomendado para a maioria dos administradores)

    • Sintaxe da regra (edição manual de expressões)

Criar uma regra baseada em modelos (construtor de regras)

  1. No Construtor de regras, selecione a propriedade do modelo .

  2. Escolha um operador.

  3. Introduza as cadeias de modelo que pretende que correspondam.

  4. Selecione Adicionar expressão para adicioná-la à regra.

  5. Se necessário, utilize And/Or para expandir a regra para modelos adicionais ou para adicionar critérios adicionais com base noutras propriedades filtráveis possíveis.

Dica: Utilize dispositivos de Pré-visualização para confirmar que o filtro corresponde ao conjunto pretendido. A lista de pré-visualização suporta a pesquisa por nome do dispositivo, versão do SO, modelo de dispositivo e fabricante do dispositivo.

Pré-visualizar e criar o filtro

  1. Selecione Pré-visualizar dispositivos para confirmar que dispositivos inscritos correspondem.

  2. Selecione Avançar.

  3. (Opcional) Atribua etiquetas de Âmbito se as utilizar.

  4. Selecione Avançar.

  5. Em Rever + criar, selecione Criar.

Passo 3 – Atribuir a política com o filtro de atribuição

Por fim, atribua o perfil do catálogo definições a um dispositivo ou grupo de utilizadores e aplique o filtro de atribuição. Isto determina que dispositivos inscritos recebem e processam as definições de atualização do certificado de Arranque Seguro durante a avaliação da política.

O que vai fazer

Irá atribuir o perfil de catálogo Definições de Arranque Seguro do Passo 1 a um grupo e, em seguida, aplicar o filtro do Passo 2 no modo Incluir ou Excluir .

Aplicar o filtro de atribuição

  1. No centro de administração do Microsoft Intune, navegue para Dispositivos > Gerir dispositivos > Configuração.

  2. Selecione o perfil de catálogo definições que criou no Passo 1 acima.

  3. Abra Propriedades > Atribuições > Editar.

  4. Atribua o perfil ao grupo de utilizadores ou grupo de dispositivos adequado.

    Dica: Se não tiver outros critérios para limitar a filtragem, atribua esta política ao grupo virtual Todos os dispositivos . Utilize o filtro de atribuição de modelo de dispositivo do Passo 2 para definir o âmbito da atribuição. Esta combinação é suficiente para a maioria das implementações. O grupo virtual Todos os dispositivos está incorporado, não necessita de manutenção de grupo e está otimizado para dimensionamento. Em seguida, o filtro de atribuição restringe a aplicabilidade no dispositivo marcar com base nas propriedades do dispositivo, sem que seja necessário um Microsoft Entra grupos adicionais.

  5. Selecione Editar filtro.

  6. Escolha um:

    • Incluir dispositivos filtrados na atribuição: apenas os dispositivos que correspondem ao filtro recebem a política.

    • Excluir dispositivos filtrados na atribuição: os dispositivos que correspondem ao filtro não recebem a política.

  7. Selecione o filtro de atribuição existente no Passo 2 e selecione Selecionar.

  8. Selecione Rever + guardar > Guardar.

Compreender o comportamento do dispositivo

  • Intune avalia o filtro quando o dispositivo é inscrito, sempre que faz o check-in e sempre que a política atribuída é reavaliada.

  • Ativar a definição Arranque Seguro não garante a aplicação de certificado imediata. Para a definição Arranque Seguro que aciona o processo de atualização, a tarefa arranque seguro do Windows é executada a cada 12 horas. Algumas atualizações podem exigir um reinício.

Perguntas frequentes

A tarefa de Arranque Seguro do Windows que processa a definição é executada a cada 12 horas.

Iniciar a atualização através de Intune não causa um reinício, embora possa ser necessário reiniciar para concluir a atualização.

Depois de os certificados serem aplicados ao firmware, o Windows não pode removê-los. A limpeza de certificados tem de ser feita através da interface de firmware.

Os certificados mais antigos começam a expirar em junho de 2026. Os dispositivos que não receberam os certificados 2023 mais recentes perderão a capacidade de receber novas proteções de segurança de arranque antecipado (por exemplo, a base de dados de Arranque Seguro e atualizações de revogação).

Recursos

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade