Monitorizar o estado do certificado de Arranque Seguro com remediações do Microsoft Intune

Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Nota

  • Data de Publicação Original: 18 de fevereiro de 2026
  • ID da BDC: 5080921

Este artigo tem orientações para:

  • Administradores de TI que precisam de visibilidade sobre o estado de atualização do certificado de Arranque Seguro a partir do respetivo Intune dispositivos Windows inscritos
  • Organizações que se preparam para o prazo de expiração do certificado de Arranque Seguro de junho de 2026
  • Equipas que pretendem monitorizar o progresso da implementação de certificados nos respetivos Intune dispositivos Windows inscritos

Neste artigo:

Introdução

Os certificados de Arranque Seguro da Microsoft (ACs de 2011) expiram a partir de junho de 2026. Todos os dispositivos Windows com o Arranque Seguro ativado têm de ser atualizados para os certificados 2023 antes da expiração para garantir o suporte de atualização de segurança contínuo.

Este guia fornece uma abordagem apenas de monitorização com Microsoft Intune Remediações (Remediações Proativas). O script de deteção recolhe o Arranque Seguro e o estado do certificado de cada dispositivo e reporta-o novamente ao portal do Intune — não é efetuada qualquer ação de remediação nos dispositivos. Isto dá aos administradores uma vista centralizada e exportável do progresso da atualização de certificados nos respetivos Intune dispositivos Windows inscritos.

Porquê utilizar esta abordagem?

Benefício Descrição
Visibilidade em todo o dispositivo Ver todos os Intune estado do certificado do dispositivo Windows inscrito num único local
Exportável Exportar resultados para CSV diretamente a partir do portal do Intune
Valores de registo não processados Ver dados de registo reais e não apenas passar/falhar
Contexto do dispositivo Inclui o fabricante, o modelo, a versão do BIOS e o tipo de firmware
Telemetria do registo de eventos Captura IDs de eventos de Arranque Seguro (1801/1808), IDs de registo e níveis de confiança
Sem toque É executado automaticamente como SYSTEM — não é necessária qualquer interação do utilizador

Para obter informações gerais completas sobre as atualizações de certificados, veja Atualizações de certificados de Arranque Seguro: Orientações para profissionais de TI e organizações.

Pré-requisitos

Antes de implementar o script de deteção, certifique-se de que o seu ambiente cumpre os requisitos necessários.

Esta solução tira partido das Remediações no Microsoft Intune. Para obter uma lista completa dos pré-requisitos, veja Utilizar Remediações para detetar e corrigir problemas de suporte - Microsoft Intune.

Scripts de deteção

O script de deteção é um script do PowerShell que recolhe dados de inventário de Arranque Seguro abrangentes de cada dispositivo e os produz como uma cadeia JSON. O script lê a partir das seguintes origens:

Registo — Estado da atualização do certificado de Arranque Seguro, chaves de manutenção, atributos do dispositivo e definições de opt-in/opt-out de HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot e respetivas subchaves

WMI/CIM – versão do SO, hora do último arranque e informações de hardware da placa base

Registos de eventos — Entradas de registo de eventos do sistema para IDs de Evento 1801 e 1808 (eventos de atualização de Arranque Seguro)

A saída JSON é apresentada no portal Intune em Remediações > Monitorizar > Estado do dispositivo > "Saída de deteção de pré-remediação" e pode ser exportada para CSV para análise.

Importante: Este é um script apenas de deteção. Não são efetuadas alterações ao dispositivo. Não é necessário nenhum script de remediação.

Criar o Ficheiro de Script

Nota

IMPORTANTE O seguinte artigo que contém o script de exemplo foi descontinuado. Se tiver instalado uma atualização do Windows lançada em ou depois de 12 de maio de 2026, o script de exemplo pode ser encontrado na pasta %systemroot%\SecureBoot\ExampleRolloutScripts no seu dispositivo.

Criar a Remediação no Intune

Siga estes passos para implementar o script de deteção como uma Remediação (pacote de script) no Microsoft Intune.

Passo 1: Criar o Pacote de Scripts

Passo 2: Noções básicas

  • Configure as seguintes definições no separador Noções Básicas :
Definição Valor
Nome Monitor de Estado do Certificado de Arranque Seguro
Descrição Monitoriza o estado de atualização do certificado de Arranque Seguro em toda a frota. Apenas deteção — não é efetuada qualquer ação de remediação.
Fabricante: (nome da sua organização)
  • Clique em Seguinte

Passo 3: Definições

  • Configure as seguintes definições no separador Definições :
Definição Valor Notas
Ficheiro de script de deteção Carregar Detect-SecureBootCertificateStatus.ps1 O script da secção anterior
Ficheiro de script de remediação (deixe em branco) Não é necessária nenhuma remediação — isto é apenas monitorização
Execute este script com as credenciais com sessão iniciada Não É executado como SISTEMA para garantir o acesso ao Confirm-SecureBootUEFI e ao registo
Impor verificação de assinatura de script Não Defina como Sim se a sua organização precisar de scripts assinados
Executar script no PowerShell de 64 bits Sim Necessário para Confirm-SecureBootUEFI cmdlet e leituras precisas do registo
  • Clique em Seguinte

Passo 4: Etiquetas de Âmbito

  • Adicione todas as etiquetas de âmbito exigidas pela sua organização ou deixe como predefinição
  • Clique em Seguinte

Passo 5: Atribuições

Definição Valor Notas
Atribuições Selecione os grupos de dispositivos a monitorizar Utilizar Todos os dispositivos para monitorização em toda a frota ou grupos específicos para monitorização direcionada
Agenda Configurar para as suas necessidades de monitorização Recomendado: uma vez por dia para controlo de implementação ativa ou uma vez por semana para monitorização contínua

Nota: as remediações são executadas na agenda configurada do dispositivo. A primeira execução pode demorar até 24 horas após a atribuição, dependendo do ciclo de entrada do dispositivo.

Clique em Seguinte

Passo 6: Rever + Criar

  • Rever todas as definições
  • Clique em Criar

Ver e Exportar Resultados

Ver resultados no portal

  • Navegue para Remediações > de Dispositivos
  • Clique no Monitor de Estado do Certificado de Arranque Seguro (ou no nome que escolheu)
  • Selecione o separador Monitorizar
  • Clique em Estado do dispositivo
  • Clique em Colunas e adicione a saída de Deteção de pré-remediação

Monitor de estado

Verá uma tabela com as seguintes colunas:

Coluna Descrição
Nome do dispositivo O nome do dispositivo
Nome de utilizador O utilizador principal do dispositivo
Estado da deteção Sem problema (certificados atualizados) ou com problema (certificados não atualizados)
Saída da deteção de pré-remediação A saída JSON completa do script
Última modificação Quando o script foi executado pela última vez no dispositivo

Exportar para CSV:

  • Na página Estado do dispositivo, clique no botão Exportar na parte superior da tabela
  • O ficheiro CSV irá transferir todas as colunas, incluindo a saída de deteção JSON completa para cada dispositivo
  • Abrir no Excel para filtrar, ordenar e analisar por qualquer campo

Sugestão: no Excel, pode utilizar as funções TEXTJOIN ou JSON para analisar o JSON de saída de deteção em colunas separadas para uma análise mais fácil.

Separador Descrição geral

Descrição Geral do Intune

O separador Descrição Geral na Remediação fornece um dashboard de resumo:

Métrica Significado
Dispositivos com problemas Dispositivos em que os certificados ainda não estão atualizados
Dispositivos sem problemas Dispositivos onde os certificados estão atualizados
Dispositivos com deteção falhada Dispositivos em que o script encontrou um erro

Perguntas Mais Frequentes

Isto altera alguma coisa nos meus dispositivos?

Não. Este é um script apenas de deteção. Não são modificados valores de registo, não são acionadas atualizações e não é efetuada nenhuma ação de remediação. O script só lê valores e reporta-os.

O que significa "Com problema"?

"Com o problema" significa que o dispositivo ainda não tem os certificados de Arranque Seguro de 2023 aplicados e o gestor de arranque assinado em 2023. Tal pode dever-se ao facto de: – a atualização do certificado não ter sido iniciada – a atualização está em curso e poderá necessitar de um reinício para ser concluída – o Arranque Seguro não está ativado no dispositivo – o dispositivo não é baseado em UEFI ou está à espera de um reinício para aplicar o gestor de arranque.

O que significa "Sem problema"?

"Sem problema" significa que o dispositivo tem o Arranque Seguro ativado e o valor do registo UEFICA2023Status é Atualizado, o que indica que os certificados 2023 foram aplicados com êxito.

Com que frequência é executado o script?

O script é executado na agenda que configurar na atribuição. Para monitorização ativa durante uma implementação, recomenda-se diariamente. Para a monitorização contínua, semanalmente é suficiente.

E se a chave de registo de manutenção não existir?

Se a chave HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing não existir num dispositivo, o campo UEFICA2023Status mostrará NoValue. Normalmente, isto significa que as atualizações de certificado não foram iniciadas no dispositivo.

Que licenças são necessárias?

As remediações requerem licenças Windows 10/11 Enterprise E3/E5, Education A3/A5 ou F3. Se os seus dispositivos tiverem apenas licenças Business Premium ou Pro, as Remediações não estarão disponíveis. Veja Pré-requisitos para Remediações.

Recursos

Manual de Procedimentos de Atualização de Certificados de Arranque Seguro

Atualizações de Certificado de Arranque Seguro: Documentação de Orientação para Profissionais de TI

Atualizações de Chave de Registo para Arranque Seguro

Secure Boot DB and DBX Variable Update Events

Remediações no Microsoft Intune

Pré-requisitos para Remediações