Monitoramento do certificado de Inicialização Segura status com correções de Microsoft Intune
Aplica-se a
Data de publicação original: 18 de fevereiro de 2026
ID do KB: 5080921
Este artigo tem diretrizes para:
-
Administradores de TI que precisam de visibilidade sobre status de atualização de certificado de Inicialização Segura de seus Intune dispositivos Windows registrados
-
Organizações que se preparam para o prazo de validade do certificado de Inicialização Segura de junho de 2026
-
Equipes que desejam monitorar o progresso da distribuição de certificados em seus Intune dispositivos Windows registrados
Neste artigo:
Introdução
Os certificados de Inicialização Segura da Microsoft (2011 CAs) estão expirando a partir de junho de 2026. Todos os dispositivos Windows com Inicialização Segura habilitados devem ser atualizados para os certificados de 2023 antes da expiração para garantir o suporte contínuo à atualização de segurança.
Este guia fornece uma abordagem somente monitoramento usando Microsoft Intune Correções (Correções Proativas). O script de detecção coleta status de inicialização segura e certificado de cada dispositivo e o relata de volta ao portal Intune — nenhuma ação de correção é tomada em dispositivos. Isso fornece aos administradores uma visão centralizada e exportável do progresso da atualização de certificado em seus Intune dispositivos Windows registrados.
Por que usar essa abordagem?
|
Benefício |
Descrição |
|---|---|
|
Visibilidade em todo o dispositivo |
Consulte cada Intune status de certificado do dispositivo Windows registrado em um só lugar |
|
Exportável |
Exportar resultados para CSV diretamente do portal do Intune |
|
Valores brutos do registro |
Consulte dados reais do registro, não apenas passar/falhar |
|
Contexto do dispositivo |
Inclui o fabricante, o modelo, a versão do BIOS e o tipo de firmware |
|
Telemetria de log de eventos |
Captura IDs de evento de Inicialização Segura (1801/1808), IDs de bucket e níveis de confiança |
|
Sem toque |
É executado silenciosamente como SYSTEM – nenhuma interação do usuário necessária |
Para obter informações completas em segundo plano sobre as atualizações de certificado, consulte Atualizações de certificado de Inicialização Segura: Diretrizes para profissionais e organizações de TI.
Pré-requisitos
Antes de implantar o script de detecção, verifique se o ambiente atende aos requisitos necessários.
Essa solução aproveita correções em Microsoft Intune. Para obter uma lista completa de pré-requisitos, consulte Usar Correções para detectar e corrigir problemas de suporte – Microsoft Intune.
Scripts de detecção
O script de detecção é um script do PowerShell que coleta dados abrangentes de inventário de Inicialização Segura de cada dispositivo e o gera como uma cadeia de caracteres JSON. O script lê das seguintes fontes:
Registro – Atualização de certificado de Inicialização Segura status, chaves de manutenção, atributos do dispositivo e configurações de opt-in/opt-out de HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot e suas subchaves
WMI/CIM — versão do sistema operacional, última hora de inicialização e informações de hardware de base
Logs de eventos – Entradas de log de eventos do sistema para IDs de evento 1801 e 1808 (eventos de atualização de inicialização segura)
A saída JSON aparece no portal Intune em Correções > Monitor > Dispositivo status > "Saída de detecção de pré-correção" e pode ser exportada para CSV para análise.
Importante: Este é um script somente de detecção. Nenhuma alteração é feita no dispositivo. Nenhum script de correção é necessário.
Criando o arquivo de script
-
Navegue até o script de coleta de dados de inventário de Inicialização Segura de Exemplo (KB5072718)
-
Copiar o conteúdo completo do script da página
-
Abra um editor de texto (por exemplo, Bloco de Notas, VS Code) e cole o script
-
Salvar o arquivo como Detect-SecureBootCertUpdateStatus.ps1
Criar a Correção no Intune
Siga estas etapas para implantar o script de detecção como correção (pacote de script) no Microsoft Intune.
Etapa 1: criar o pacote script
-
Navegue até Dispositivos > Correções
-
Clique em + Criar pacote de script
Etapa 2: Noções básicas
-
Configure as seguintes configurações na guia Noções básicas:
|
Setting |
Valor |
|---|---|
|
Nome |
Monitor de Status do Certificado de Inicialização Segura |
|
Descrição |
Monitora status de atualização de certificado de Inicialização Segura em toda a frota. Somente detecção – nenhuma ação de correção é tomada. |
|
OPC |
(nome da organização) |
-
Clique em Avançar
Etapa 3: Configurações
-
Configure as seguintes configurações na guia Configurações:
|
Setting |
Valor |
Observações |
|---|---|---|
|
Arquivo de script de detecção |
Carregar Detect-SecureBootCertificateStatus.ps1 |
O script da seção anterior |
|
Arquivo de script de correção |
(deixe vazio) |
Nenhuma correção é necessária – isso é apenas monitoramento |
|
Execute este script usando as credenciais de logon |
Não |
É executado como SYSTEM para garantir o acesso a Confirm-SecureBootUEFI e registro |
|
Impor marcar de assinatura de script |
Não |
Defina como Sim se sua organização exigir scripts assinados |
|
Executar script no PowerShell de 64 bits |
Sim |
Necessário para Confirm-SecureBootUEFI cmdlet e leituras precisas do registro |
-
Clique em Avançar
Etapa 4: Marcas de escopo
-
Adicionar todas as marcas de escopo necessárias por sua organização ou sair como padrão
-
Clique em Avançar
Etapa 5: Atribuições
|
Setting |
Valor |
Observações |
|---|---|---|
|
Atribuições |
Selecione os grupos de dispositivos a monitorizar |
Utilizar Todos os dispositivos para monitorização em toda a frota ou grupos específicos para monitorização direcionada |
|
Agenda |
Configurar para as suas necessidades de monitorização |
Recomendado: uma vez por dia para controlo de implementação ativa ou uma vez por semana para monitorização contínua |
Nota: as remediações são executadas na agenda configurada do dispositivo. A primeira execução pode demorar até 24 horas após a atribuição, dependendo do ciclo de marcar de entrada do dispositivo.
Clique em Seguinte
Passo 6: Rever + Criar
-
Rever todas as definições
-
Clique em Criar
Ver e Exportar Resultados
Ver resultados no portal
-
Navegue para Dispositivos > Remediações
-
Clique no Monitor de Estado do Certificado de Arranque Seguro (ou no nome que escolheu)
-
Selecione o separador Monitorizar
-
Clique em Status de Dispositivos
-
Clique em Colunas e adicione a saída de Deteção de pré-remediação
Verá uma tabela com as seguintes colunas:
|
Famílias |
Descrição |
|---|---|
|
Nome do dispositivo |
O nome do dispositivo |
|
Nome de usuário |
O utilizador principal do dispositivo |
|
Status da detecção |
Sem problema (certificados atualizados) ou com problema (certificados não atualizados) |
|
Saída da deteção de pré-remediação |
A saída JSON completa do script |
|
Última modificação |
Quando o script foi executado pela última vez no dispositivo |
Exportação para CSV
-
Na página Status dispositivo, clique no botão Exportar na parte superior da tabela
-
O ficheiro CSV irá transferir todas as colunas, incluindo a saída de deteção JSON completa para cada dispositivo
-
Abrir no Excel para filtrar, ordenar e analisar por qualquer campo
Sugestão: no Excel, pode utilizar as funções TEXTJOIN ou JSON para analisar o JSON de saída de deteção em colunas separadas para uma análise mais fácil.
Separador Descrição geral
O separador Descrição Geral na Remediação fornece um resumo dashboard:
|
Métrica |
Significado |
|---|---|
|
Dispositivos com problemas |
Dispositivos em que os certificados ainda não estão atualizados |
|
Dispositivos sem problemas |
Dispositivos onde os certificados estão atualizados |
|
Dispositivos com deteção falhada |
Dispositivos em que o script encontrou um erro |
Perguntas Mais Frequentes
Isto altera alguma coisa nos meus dispositivos?
Não. Este é um script apenas de deteção. Não são modificados valores de registo, não são acionadas atualizações e não é efetuada nenhuma ação de remediação. O script só lê valores e reporta-os.
O que significa "Com problema"?
"Com o problema" significa que o dispositivo ainda não tem os certificados de Arranque Seguro de 2023 aplicados e o gestor de arranque assinado em 2023. Tal pode dever-se ao facto de: – a atualização do certificado não ter sido iniciada – a atualização está em curso e poderá necessitar de um reinício para ser concluída – o Arranque Seguro não está ativado no dispositivo – o dispositivo não é baseado em UEFI ou está à espera de um reinício para aplicar o gestor de arranque.
O que significa "Sem problema"?
"Sem problema" significa que o dispositivo tem o Arranque Seguro ativado e o valor do registo UEFICA2023Status é Atualizado, o que indica que os certificados 2023 foram aplicados com êxito.
Com que frequência é executado o script?
O script é executado na agenda que configurar na atribuição. Para monitorização ativa durante uma implementação, recomenda-se diariamente. Para a monitorização contínua, semanalmente é suficiente.
E se a chave de registo de manutenção não existir?
Se a chave HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing não existir num dispositivo, o campo UEFICA2023Status mostrará NoValue. Normalmente, isto significa que as atualizações de certificado não foram iniciadas no dispositivo.
Que licenças são necessárias?
As remediações requerem licenças Windows 10/11 Enterprise E3/E5, Education A3/A5 ou F3. Se os seus dispositivos tiverem apenas licenças Business Premium ou Pro, as Remediações não estarão disponíveis. Veja Pré-requisitos para Remediações.
Recursos
Manual de Procedimentos de Atualização de Certificados de Arranque Seguro
Atualizações de Certificado de Arranque Seguro: Documentação de Orientação para Profissionais de TI
Atualizações de Chave de Registo para Arranque Seguro
Secure Boot DB and DBX Variable Update Events
Precisa de mais ajuda?
Quer mais opções
Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.
As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.
