Atualizações do Certificado de Arranque Seguro para o Azure Virtual Desktop

Aplica-se A
Azure Virtual Desktop

Nota

  • Data de publicação original: 19 de fevereiro de 2026
  • ID da BDC: 5080931

Nota

Este artigo tem orientações para:

  • Azure administradores do Virtual Desktop que gerem atualizações do anfitrião de sessões

  • Organizações que utilizam VMs ativadas para Arranque Seguro para implementações do Azure Virtual Desktop

  • Organizações que utilizam imagens personalizadas (imagens douradas) para implementações do Azure Virtual Desktop

Neste artigo:

Introdução

O Arranque Seguro é uma funcionalidade de segurança de firmware UEFI que ajuda a garantir que apenas o software fidedigno e assinado digitalmente é executado durante uma sequência de arranque do dispositivo. Os certificados de Arranque Seguro da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos deixarão de receber novas proteções de Arranque Seguro e Gestor de Arranque ou mitigações para vulnerabilidades de nível de arranque recentemente detetadas.

Todas as VMs ativadas para Arranque Seguro registadas no serviço Azure Virtual Desktop e imagens personalizadas utilizadas para as aprovisionar têm de ser atualizadas para os certificados 2023 antes da expiração para permanecerem protegidas. Veja Quando os certificados de Arranque Seguro expiram em dispositivos Windows

Isto aplica-se ao meu ambiente Azure Virtual Desktop?

Cenário Arranque Seguro Ativo? Ação Necessária
Anfitriões de Sessões
Iniciar A VM fidedigna com o Arranque Seguro ativado Sim Atualizar certificados no anfitrião da sessão
Iniciar A VM Fidedigna com o Arranque Seguro desativado Não Não é necessária nenhuma ação
VM de tipo de segurança standard Não Não é necessária nenhuma ação
VM de geração 1 Não suportada Não é necessária nenhuma ação
Imagens Douradas
Azure imagem da Galeria de Computação com o Arranque Seguro ativado Sim Atualizar certificados na imagem de origem
imagem da Galeria de Computação do Azure sem Iniciação Fidedigna Não Aplicar atualizações no anfitrião da sessão após a implementação
Imagem gerida (não suporta a Iniciação Fidedigna) Não Aplicar atualizações no anfitrião da sessão após a implementação

Para obter informações gerais completas, veja Atualizações de certificados de Arranque Seguro: Orientação para profissionais de TI e organizações.

Inventário e Monitorização

Antes de efetuar uma ação, faça o inventário do seu ambiente para identificar os dispositivos que necessitam de atualizações. A monitorização é essencial para confirmar que os certificados são aplicados antes do prazo de junho de 2026, mesmo que dependa de métodos de implementação automática.  Seguem-se opções para determinar se é necessário tomar medidas.

Opção 1: Microsoft Intune Remediações

Para anfitriões de sessão inscritos no Microsoft Intune, pode implementar um script de deteção com Intune Remediações (Remediações Proativas) para recolher automaticamente o estado do certificado de Arranque Seguro na sua frota. O script é executado automaticamente em cada dispositivo e comunica o estado de Arranque Seguro, o progresso da atualização do certificado e os detalhes do dispositivo de volta para o portal Intune — não são feitas alterações aos dispositivos. Os resultados podem ser visualizados e exportados para CSV diretamente a partir do centro de administração do Intune para análise ao nível da frota.

Para obter instruções passo a passo sobre como implementar o script de deteção, veja Monitorizar o Estado do Certificado de Arranque Seguro com Microsoft Intune Remediações.

Opção 2: Relatório de Estado de Arranque Seguro de Bloqueio Automático do Windows

Para anfitriões de sessões persistentes pessoais registados com o Windows Autopatch, aceda a Intune centro> de administraçãoRelatórios De>atualizações de qualidade do Windows Atualizações de qualidadedoWindows>separador Relatórios> estado >de Arranque Seguro. Veja Relatório de estado de Arranque Seguro no Windows Autopatch.

Nota

O Windows Autopatch suporta apenas máquinas virtuais persistentes pessoais para Azure Virtual Desktop. Não são suportados anfitriões de várias sessões, máquinas virtuais não persistentes agrupadas e transmissão em fluxo de aplicações remotas. Veja Windows Autopatch on Azure Virtual Desktop workloads (Bloqueio automático do Windows em cargas de trabalho do Azure Virtual Desktop).

Opção 3: Chaves de Registo para Monitorização da Frota

Utilize as ferramentas de gestão de dispositivos existentes para consultar estes valores de registo em toda a sua frota.

Caminho do Registo Tecla Objetivo
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Estado da implementação atual
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error Indica erros (não devem existir)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Indica o ID do Evento (não deve existir)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
AvailableUpdates Bits de atualização pendentes

Para obter detalhes completos da chave do registo, veja Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI.

Opção 4: Monitorização do Registo de Eventos

Utilize as ferramentas de gestão de dispositivos existentes para recolher e monitorizar estes IDs de eventos do registo de eventos do Sistema na sua frota.

ID de Evento Localização Significado
1808 Sistema Certificados aplicados com êxito
1801 Sistema Atualizar o estado ou os detalhes do erro

Para obter uma lista completa dos detalhes do evento, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot).

Opção 5: Script de Inventário do PowerShell

Execute o script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo da Microsoft para verificar o estado da atualização do certificado de Arranque Seguro. O script recolhe vários pontos de dados, incluindo o estado de Arranque Seguro, o estado de atualização do UEFI CA 2023, a versão de firmware e a atividade do registo de eventos.

Implementação

Importante

Independentemente da opção de implementação que escolher, recomendamos que monitorize a frota de dispositivos para confirmar que os certificados foram aplicados com êxito antes do prazo de junho de 2026. Para obter imagens personalizadas, consulte Considerações sobre Imagens Douradas.

Opção 1: Atualizações automática do Windows Update (Dispositivos de Alta Confiança)

A Microsoft atualiza automaticamente os dispositivos através de atualizações mensais do Windows quando a telemetria suficiente confirma a implementação com êxito em configurações de hardware semelhantes.

  • Estado: Ativado por predefinição para dispositivos de alta confiança
  • Nenhuma ação necessária, a menos que pretenda optar ativamente por não participar
Registo HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Tecla HighConfidenceOptOut = 1 para optar ativamente por não participar
Política de Grupo Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsArranque> SeguroImplementação Automática de Certificados através de Atualizações> Defina como Desativado para optar ativamente por não participar.

Nota

Recomendação: Mesmo com as atualizações automáticas ativadas, monitorize os anfitriões de sessão para verificar se os certificados são aplicados. Nem todos os dispositivos podem ser elegíveis para implementação automática de alta confiança.

Para obter mais informações, veja Assistências de implementação automatizadas.

Opção 2: Implementação do IT-Initiated

Acione manualmente atualizações de certificados para implementação imediata ou controlada.

Método Documentação
Microsoft Intune Microsoft Intune método
Política de Grupo Política de Grupo Método de Objetos (GPO)
Chaves de Registo Método de chave de registo
WinCS CLI WinCS APIs

Nota

  • Não misture métodos de implementação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo. Controlam as mesmas chaves de registo e podem entrar em conflito.
  • Permita aproximadamente 48 horas e um ou mais reinícios para que os certificados se apliquem na totalidade.

Considerações sobre Imagens Douradas

Para Azure ambientes do Virtual Desktop que utilizam imagens da Galeria de Computação Azure com o Arranque Seguro ativado, aplique a atualização do certificado de Arranque Seguro 2023 à imagem dourada antes de a capturar. Utilize um dos métodos descritos acima para aplicar a atualização e, em seguida, verifique se os certificados são atualizados antes de generalizar:

Nota

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

As imagens sem a Iniciação Fidedigna ativada não podem receber atualizações do certificado de Arranque Seguro através da imagem. Isto inclui imagens geridas, que não suportam a Iniciação Fidedigna, e Azure imagens da Galeria de Computação onde a Iniciação Fidedigna não está ativada. Para dispositivos aprovisionados a partir destas imagens, aplique atualizações no SO convidado através de um dos métodos acima.

Problemas conhecidos

A chave do registo de manutenção não existe

Sintoma HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path não existe
Causa As atualizações de certificado não foram iniciadas no dispositivo
Resolução Aguarde pela implementação automática através de Windows Update ou inicie manualmente com um dos métodos de implementação iniciados por TI acima

O estado mostra "Entrada" durante um período prolongado

Sintoma UEFICA2023Status permanece "InProgress" após vários dias
Causa O dispositivo pode precisar de um reinício para concluir o processo de atualização
Resolução Reinicie o anfitrião da sessão e verifique o estado novamente após 15 minutos. Se o problema persistir, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter orientações de resolução de problemas

A chave de registo UEFICA2023Error existe

Sintoma A chave de registo UEFICA2023Error está presente
Causa Ocorreu um erro durante a implementação do certificado
Resolução Verifique o Registo de eventos do sistema para obter detalhes. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX ) para obter orientações de resolução de problemas

Recursos