Atualizações de Certificado de Arranque Seguro para Windows 365

Introdução

A Inicialização Segura é um recurso de segurança de firmware UEFI que ajuda a garantir apenas execuções de software confiáveis e assinadas digitalmente durante uma sequência de inicialização de dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos não receberão mais novas proteções ou mitigações do Gerenciador de Inicialização e Inicialização seguras para vulnerabilidades recém-descobertas no nível de inicialização.

Todos os PCs de Nuvem habilitados para Inicialização Segura provisionados no serviço Windows 365 e imagens personalizadas usadas para provisioná-los devem ser atualizados para os certificados de 2023 antes da expiração para permanecer protegidos. Consulte Quando os certificados de Inicialização Segura expirarem em dispositivos Windows.

Isso se aplica ao meu ambiente de Windows 365?

Cenário	Inicialização segura ativa?	Ação Necessária
PCs de nuvem
Computador de nuvem com Inicialização Segura habilitada	Sim	Atualizar certificados no PC na nuvem
Computador de nuvem com Inicialização Segura desabilitada	Não	Nenhuma ação necessária
Pré-capturadas
Azure imagem da Galeria de Computação com Inicialização Segura habilitada	Sim	Atualizar certificados na imagem de origem antes de generalizar
Azure imagem da Galeria de Computação sem Lançamento Confiável	Não	Aplicar atualizações no Cloud PC após o provisionamento
Imagem gerenciada (não dá suporte ao Lançamento Confiável)	Não	Aplicar atualizações no Cloud PC após o provisionamento

Para obter informações completas em segundo plano, confira Atualizações de certificado de Inicialização Segura: Diretrizes para profissionais e organizações de TI.

Inventário e Monitor

Antes de tomar medidas, inventário seu ambiente para identificar dispositivos que exigem atualizações. O monitoramento é essencial para confirmar se os certificados são aplicados antes do prazo final de junho de 2026, mesmo que você dependa de métodos de implantação automática. Abaixo estão as opções para determinar se a ação precisa ser tomada.

Opção 1: Microsoft Intune Correções

Para computadores de nuvem registrados em Microsoft Intune, você pode implantar um script de detecção usando Intune Correções (Correções Proativas) para coletar automaticamente o certificado de Inicialização Segura status em toda a sua frota. O script é executado silenciosamente em cada dispositivo e relata status de Inicialização Segura, progresso da atualização de certificado e detalhes do dispositivo de volta ao portal Intune — nenhuma alteração é feita nos dispositivos. Os resultados podem ser exibidos e exportados para CSV diretamente do centro de administração Intune para análise em toda a frota.

Para obter instruções passo a passo sobre como implantar o script de detecção, consulte Monitoramento do status do certificado de inicialização segura com Microsoft Intune Correções.

Opção 2: Relatório de status de inicialização segura do Windows Autopatch

Para computadores de nuvem registrados no Windows Autopatch, acesse Intune centro de administração > Relatórios > Autopatch do Windows > atualizações de qualidade do Windows > Guia Relatórios > Status de Inicialização Segura. Consulte Relatório de status de Inicialização Segura no Windows Autopatch.

Observação: para usar o Windows Autopatch com Windows 365, os PCs de nuvem devem ser registrados no serviço de autopatch do Windows. Consulte Autopatch do Windows em cargas de trabalho Windows 365 Enterprise.

Opção 3: Chaves do Registro para Monitoramento de Frota

Use suas ferramentas de gerenciamento de dispositivo existentes para consultar esses valores de registro em toda a frota.

Caminho do Registro	Chave	Finalidade
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Implantação atual status
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Indica erros (não devem existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Indica A ID do Evento (não deve existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bits de atualização pendentes

Para obter detalhes completos da chave do registro, consulte Atualizações de chave do Registro para Inicialização Segura.

Opção 4: Monitoramento de Log de Eventos

Use as ferramentas de gerenciamento de dispositivos existentes para coletar e monitorar essas IDs de eventos do log de eventos do Sistema em toda a frota.

ID de Evento	Local	Significado
1808	Sistema	Certificados aplicados com êxito
1801	Sistema	Atualizar status ou detalhes de erro

Para obter uma lista completa de detalhes do evento, consulte Eventos de atualização de variável DB e DBX de Inicialização Segura.

Opção 5: Script de Inventário do PowerShell

Execute o script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo da Microsoft para marcar status de atualização do certificado de Inicialização Segura. O script coleta vários pontos de dados, incluindo estado de Inicialização Segura, status de atualização da UEFI CA 2023, versão do firmware e atividade de log de eventos.

Implantação

Importante: Independentemente da opção de implantação escolhida, recomendamos monitorar a frota de dispositivos para confirmar que os certificados são aplicados com êxito antes do prazo final de junho de 2026. Para imagens personalizadas, consulte Considerações de imagem personalizada.

Opção 1: Atualizações automática de Windows Update (dispositivos de alta confiança)

A Microsoft atualiza automaticamente dispositivos por meio de atualizações mensais do Windows quando a telemetria suficiente confirma a implantação bem-sucedida em configurações de hardware semelhantes.

Status: habilitado por padrão para dispositivos de alta confiança
Nenhuma ação necessária, a menos que você queira optar por sair

Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Chave	HighConfidenceOptOut = 1 para optar por sair
Política de Grupo	Configuração do Computador > Modelos Administrativos > Componentes do Windows > Arranque Seguro > Implementação Automática de Certificados através de Atualizações > Definir como Desativado para optar ativamente por não participar

Recomendação: Mesmo com as atualizações automáticas ativadas, monitorize os seus PCs na Cloud para verificar se os certificados são aplicados. Nem todos os dispositivos podem ser elegíveis para implementação automática de alta confiança.

Para obter mais informações, veja Assistências de implementação automatizadas.

Opção 2: Implementação do IT-Initiated

Acione manualmente atualizações de certificados para implementação imediata ou controlada.

Método	Documentação
Microsoft Intune	Microsoft Intune método
Política de Grupo	Método GPO
Chaves de Registo	Método de chave de registo
WinCS CLI	APIs WinCS

Observações:

Não misture métodos de implementação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo. Controlam as mesmas chaves de registo e podem entrar em conflito.
Permita aproximadamente 48 horas e um ou mais reinícios para que os certificados se apliquem na totalidade.

Considerações sobre Imagens Personalizadas

As imagens personalizadas são totalmente geridas pela sua organização. É responsável por aplicar as atualizações do certificado de Arranque Seguro à imagem personalizada e voltar a carregá-la antes de a utilizar para aprovisionamento.

A aplicação de atualizações de certificados de Arranque Seguro à imagem de origem só é suportada com Azure imagens da Galeria de Computação (pré-visualização), que suportam a Iniciação Fidedigna e o Arranque Seguro. As imagens geridas não suportam o Arranque Seguro, pelo que as atualizações de certificados não podem ser aplicadas ao nível da imagem. Para PCs na Cloud aprovisionados a partir de imagens geridas, aplique atualizações diretamente no PC na Cloud através de um dos métodos de implementação acima.

Antes de generalizar uma nova imagem personalizada, verifique se os certificados são atualizados:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problemas Conhecidos

A chave do registo de manutenção não existe

Sintoma	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing caminho não existe
Motivo	As atualizações de certificado não foram iniciadas no dispositivo
Resolução	Aguarde pela implementação automática através de Windows Update ou inicie manualmente com um dos métodos de implementação iniciados por TI acima

O estado mostra "Entrada" durante um período prolongado

Sintoma	UEFICA2023Status permanece "InProgress" após vários dias
Motivo	O dispositivo pode precisar de um reinício para concluir o processo de atualização
Resolução	Reinicie o CLOUD PC e marcar status novamente após 15 minutos. Se o problema persistir, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter orientações de resolução de problemas

A chave de registo UEFICA2023Error existe

Sintoma	A chave de registo UEFICA2023Error está presente
Motivo	Ocorreu um erro durante a implementação do certificado
Resolução	Verifique o Registo de eventos do sistema para obter detalhes. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX) para obter orientações de resolução de problemas