Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data original publicada: 4 de dezembro de 2025

ID da BDC: 5073196

Este artigo tem orientações para: 

  • Organizações que têm o seu próprio departamento de TI a gerir dispositivos e atualizações do Windows.

Nota: se for um indivíduo proprietário de um dispositivo Windows pessoal, consulte o artigo Dispositivos Windows para utilizadores domésticos, empresas e escolas com atualizações geridas pela Microsoft. ​​​​​​​

Disponibilidade deste suporte

  • 11 de novembro de 2025: para versões de Windows 11 e Windows 10 ainda em suporte.

Neste Artigo:

Introdução

Este documento descreve o suporte para implementar, gerir e monitorizar as atualizações do certificado de Arranque Seguro com o Microsoft Intune. As definições consistem em:

  • A capacidade de acionar a implementação num dispositivo

  • Uma definição para optar ativamente por participar/optar ativamente por não participar em registos de alta confiança

  • Uma definição para optar ativamente por não participar/optar ativamente por não participar na gestão de atualizações da Microsoft

Microsoft Intune método de configuração

Este método oferece a definição de Arranque Seguro através de Microsoft Intune que os administradores de domínio podem definir para implementar atualizações de Arranque Seguro em todos os clientes Windows associados a um domínio. Além disso, dois auxiliares de Arranque Seguro podem ser geridos com definições de optar ativamente por participar/optar ativamente por não participar.

Em Microsoft Intune,

  1. Em Dispositivos > Gerir dispositivos, selecione Configuração.

  2. Selecione Criar e selecione Nova Política.

    • Aceda a Criar um perfil no painel da direita.

    • Preencha a Plataforma com Windows 10 e posterior.

  3. Selecione o Catálogo de Definições em Tipo de Perfil Imagem adicionada

  4. Comece a criar um perfil ao atribuir um nome ao perfil. Neste exemplo, estamos a utilizar "Arranque Seguro" como o nome. Prima Seguinte.foto

  5. Em Definições de configuração, selecione Adicionar definições e utilize o seletor definições para encontrar as definições de Arranque Seguro ao procurar Arranque Seguro. Deverá ver três definições na categoria Arranque Seguro. Estas são as mesmas definições descritas nas atualizações da chave de Registo para o Arranque Seguro: dispositivos Windows com atualizações geridas por TI e o método Política de Grupo Objects (GPO) de Arranque Seguro para dispositivos Windows com documentos de atualizações geridas por TI.

    • Ativar o Certificado secureboot Atualizações está selecionado por predefinição e ativado.

    • As definições de optar ativamente por participar e optar ativamente por não participar descritas abaixo podem ser configuradas para ajustar as necessidades de ambiente e implementação.  recentemente

  6. Conclua o perfil dos dispositivos que irão utilizar estas definições.

Descrição da Definição

Configurar a Opção Ativada Gerida do Microsoft Update

Microsoft Intune Nome da Definição: Configurar o Microsoft Update Gerido Optar aTivamente por Participar

Descrição: Esta política permite que as empresas participem numa implementação controlada de funcionalidades da atualização de certificados de Arranque Seguro gerida pela Microsoft.

  • Ativado: a Microsoft ajuda na implementação de certificados em dispositivos inscritos na implementação.

  • Desativado (predefinição): nenhuma participação na implementação controlada.

Requisitos:

Configurar Opt-Out de Alta Confiança

Nome da Definição do Microsoft Intune: Configurar Opt-Out de Alta Confiança

Descrição: Esta política controla se as atualizações de certificados de Arranque Seguro são aplicadas automaticamente através de atualizações de segurança e não relacionadas com segurança do Windows. Os dispositivos que a Microsoft validou como capazes de processar atualizações de variáveis de Arranque Seguro receberão estas atualizações como parte das atualizações mensais cumulativas e serão aplicados automaticamente. Uma vez que nem todas as combinações de hardware e firmware podem ser validadas exaustivamente, a Microsoft baseia-se em testes direcionados e dados de diagnóstico para determinar a preparação do dispositivo. Apenas os dispositivos com dados de diagnóstico suficientes podem ser considerados com elevada confiança; se os dados de diagnóstico não estiverem disponíveis para um determinado dispositivo, não podem ser classificados com elevada confiança.

  • Ativado: a implementação automática através de atualizações mensais está bloqueada.

  • Desativado (predefinição): os dispositivos que validaram os resultados da atualização receberão automaticamente atualizações de certificado como parte das atualizações mensais.

Observações:

  • Os dispositivos pretendidos são confirmados para processar atualizações com êxito.

  • Configure esta política para gerir a implementação automática através de atualizações mensais.

  • Corresponde à chave de registo HighConfidenceOptOut.

Ativar a Atualizações do Certificado Secureboot

Nome da Definição do Microsoft Intune: Ativar Atualizações de Certificado secureboot

Descrição: Esta política controla se o Windows inicia o processo de implementação do certificado de Arranque Seguro nos dispositivos.

  • Ativado: o Windows começa automaticamente a implementar certificados de Arranque Seguro atualizados.

  • Desativado (predefinição): o Windows não implementa certificados automaticamente.

Observações:

  • A tarefa que processa esta definição é executada a cada 12 horas. Algumas atualizações podem exigir um reinício para serem concluídas em segurança.

  • Depois de os certificados serem aplicados ao firmware, não podem ser removidos do Windows. A limpeza de certificados tem de ser feita através da interface de firmware.

  • Corresponde à chave de registo AvailableUpdates.

Recursos

Consulte também Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI para obter detalhes sobre as chaves de registo UEFICA2023Status e UEFICA2023Erro para monitorizar os resultados do dispositivo.

Veja Secure Boot DB and DBX variable update events for events useful in understanding the status of devices, device attributes, and device bucket IDs (Eventos de atualização de variáveis DBX e Secure Boot DBX) para obter eventos úteis para compreender a status de dispositivos, atributos do dispositivo e IDs de registo de dispositivos. Preste especial atenção aos eventos 1801 e 1808 descritos na página de eventos.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade