Atualizações de Certificado de Arranque Seguro para Windows 365

Introdução

O Arranque Seguro é uma funcionalidade de segurança de firmware UEFI que ajuda a garantir que apenas o software fidedigno e assinado digitalmente é executado durante uma sequência de arranque do dispositivo. Os certificados de Arranque Seguro da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos deixarão de receber novas proteções de Arranque Seguro e Gestor de Arranque ou mitigações para vulnerabilidades de nível de arranque recentemente detetadas.

Todos os PCs cloud preparados para Arranque Seguro aprovisionados no serviço Windows 365 e imagens personalizadas utilizadas para os aprovisionar têm de ser atualizados para os certificados de 2023 antes da expiração para permanecerem protegidos. Veja Quando os certificados de Arranque Seguro expiram em dispositivos Windows.

Isto aplica-se ao meu ambiente de Windows 365?

Cenário	Arranque Seguro Ativo?	Ação Necessária
Cloud PCs
CLOUD PC com Arranque Seguro ativado	Sim	Atualizar certificados no PC na Cloud
CLOUD PC com Arranque Seguro desativado	Não	Não é necessária nenhuma ação
Imagens
Azure imagem da Galeria de Computação com o Arranque Seguro ativado	Sim	Atualizar certificados na imagem de origem antes de generalizar
imagem da Galeria de Computação do Azure sem Iniciação Fidedigna	Não	Aplicar atualizações no CLOUD PC após o aprovisionamento
Imagem gerida (não suporta a Iniciação Fidedigna)	Não	Aplicar atualizações no CLOUD PC após o aprovisionamento

Para obter informações gerais completas, veja Atualizações de certificados de Arranque Seguro: Orientação para profissionais de TI e organizações.

Inventário e Monitorização

Antes de efetuar uma ação, faça o inventário do seu ambiente para identificar os dispositivos que necessitam de atualizações. A monitorização é essencial para confirmar que os certificados são aplicados antes do prazo de junho de 2026, mesmo que dependa de métodos de implementação automática. Seguem-se opções para determinar se é necessário tomar medidas.

Opção 1: Microsoft Intune Remediações

Para PCs na Cloud inscritos no Microsoft Intune, pode implementar um script de deteção com Intune Remediações (Remediações Proativas) para recolher automaticamente o estado do certificado de Arranque Seguro na sua frota. O script é executado automaticamente em cada dispositivo e comunica o estado de Arranque Seguro, o progresso da atualização do certificado e os detalhes do dispositivo de volta para o portal Intune — não são feitas alterações aos dispositivos. Os resultados podem ser visualizados e exportados para CSV diretamente a partir do centro de administração do Intune para análise ao nível da frota.

Para obter instruções passo a passo sobre como implementar o script de deteção, veja Monitorizar o Estado do Certificado de Arranque Seguro com Microsoft Intune Remediações.

Opção 2: Relatório de Estado de Arranque Seguro de Bloqueio Automático do Windows

Para PCs na Cloud registados com o Windows Autopatch, aceda ao Intune centro de administração > Relatórios > Atualizações de qualidade do Windows > atualizações de qualidade do Windows > separador Relatórios > estado de Arranque Seguro. Veja Relatório de estado de Arranque Seguro no Windows Autopatch.

Nota: para utilizar a Correção Automática do Windows com Windows 365, os PCs na Cloud têm de estar registados no serviço Depatch Automático do Windows. Veja Windows Autopatch on Windows 365 Enterprise workloads (Bloqueio automático do Windows em cargas de trabalho Windows 365 Enterprise).

Opção 3: Chaves de Registo para Monitorização da Frota

Utilize as ferramentas de gestão de dispositivos existentes para consultar estes valores de registo em toda a sua frota.

Caminho do Registo	Chave	Objetivo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Estado da implementação atual
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Indica erros (não devem existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Indica o ID do Evento (não deve existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bits de atualização pendentes

Para obter detalhes completos da chave do registo, veja Atualizações da chave de registo para o Arranque Seguro.

Opção 4: Monitorização do Registo de Eventos

Utilize as ferramentas de gestão de dispositivos existentes para recolher e monitorizar estes IDs de eventos do registo de eventos do Sistema na sua frota.

ID de Evento	Localização	Significado
1808	Sistema	Certificados aplicados com êxito
1801	Sistema	Atualizar o estado ou os detalhes do erro

Para obter uma lista completa dos detalhes do evento, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot).

Opção 5: Script de Inventário do PowerShell

Execute o script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo da Microsoft para verificar o estado da atualização do certificado de Arranque Seguro. O script recolhe vários pontos de dados, incluindo o estado de Arranque Seguro, o estado de atualização do UEFI CA 2023, a versão de firmware e a atividade do registo de eventos.

Implementação

Importante: Independentemente da opção de implementação que escolher, recomendamos que monitorize a frota de dispositivos para confirmar que os certificados foram aplicados com êxito antes do prazo de junho de 2026. Para obter imagens personalizadas, veja Considerações sobre Imagens Personalizadas.

Opção 1: Atualizações automática do Windows Update (Dispositivos de Alta Confiança)

A Microsoft atualiza automaticamente os dispositivos através de atualizações mensais do Windows quando a telemetria suficiente confirma a implementação com êxito em configurações de hardware semelhantes.

Estado: Ativado por predefinição para dispositivos de alta confiança
Nenhuma ação necessária, a menos que pretenda optar ativamente por não participar

Registo	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Chave	HighConfidenceOptOut = 1 para optar ativamente por não participar
Política de Grupo	Configuração do Computador > Modelos Administrativos > Componentes do Windows > Arranque Seguro > Implementação Automática de Certificados através de Atualizações > Definir como Desativado para optar ativamente por não participar

Recomendação: Mesmo com as atualizações automáticas ativadas, monitorize os seus PCs na Cloud para verificar se os certificados são aplicados. Nem todos os dispositivos podem ser elegíveis para implementação automática de alta confiança.

Para obter mais informações, veja Assistências de implementação automatizadas.

Opção 2: Implementação do IT-Initiated

Acione manualmente atualizações de certificados para implementação imediata ou controlada.

Método	Documentação
Microsoft Intune	Microsoft Intune método
Política de Grupo	Método GPO
Chaves de Registo	Método de chave de registo
WinCS CLI	APIs WinCS

Notas:

Não misture métodos de implementação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo. Controlam as mesmas chaves de registo e podem entrar em conflito.
Permita aproximadamente 48 horas e um ou mais reinícios para que os certificados se apliquem na totalidade.

Considerações sobre Imagens Personalizadas

As imagens personalizadas são totalmente geridas pela sua organização. É responsável por aplicar as atualizações do certificado de Arranque Seguro à imagem personalizada e voltar a carregá-la antes de a utilizar para aprovisionamento.

A aplicação de atualizações de certificados de Arranque Seguro à imagem de origem só é suportada com Azure imagens da Galeria de Computação (pré-visualização), que suportam a Iniciação Fidedigna e o Arranque Seguro. As imagens geridas não suportam o Arranque Seguro, pelo que as atualizações de certificados não podem ser aplicadas ao nível da imagem. Para PCs na Cloud aprovisionados a partir de imagens geridas, aplique atualizações diretamente no PC na Cloud através de um dos métodos de implementação acima.

Antes de generalizar uma nova imagem personalizada, verifique se os certificados são atualizados:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problemas Conhecidos

A chave do registo de manutenção não existe

Sintoma	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing caminho não existe
Causa	As atualizações de certificado não foram iniciadas no dispositivo
Resolução	Aguarde pela implementação automática através de Windows Update ou inicie manualmente com um dos métodos de implementação iniciados por TI acima

O estado mostra "Entrada" durante um período prolongado

Sintoma	UEFICA2023Status permanece "InProgress" após vários dias
Causa	O dispositivo pode precisar de um reinício para concluir o processo de atualização
Resolução	Reinicie o PC na Cloud e verifique novamente o estado após 15 minutos. Se o problema persistir, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter orientações de resolução de problemas

A chave de registo UEFICA2023Error existe

Sintoma	A chave de registo UEFICA2023Error está presente
Causa	Ocorreu um erro durante a implementação do certificado
Resolução	Verifique o Registo de eventos do sistema para obter detalhes. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX) para obter orientações de resolução de problemas