Atualizações do Certificado de Arranque Seguro para o Windows 365

Nota

  • Data de publicação original: 19 de fevereiro de 2026
  • ID da BDC: 5080914

Nota

Este artigo tem orientações para:

  • Windows 365 administradores que gerem PCs na Cloud.

  • Organizações que utilizam PCs na Cloud com Arranque Seguro ativado para implementações de Windows 365.

  • Organizações que utilizam imagens personalizadas para implementações Windows 365 .

Neste artigo:

Introdução

O Arranque Seguro é uma funcionalidade de segurança de firmware UEFI que ajuda a garantir que apenas o software fidedigno e assinado digitalmente é executado durante uma sequência de arranque do dispositivo. Os certificados de Arranque Seguro da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos deixarão de receber novas proteções de Arranque Seguro e Gestor de Arranque ou mitigações para vulnerabilidades de nível de arranque recentemente detetadas.

Todos os PCs cloud preparados para Arranque Seguro aprovisionados no serviço Windows 365 e imagens personalizadas utilizadas para os aprovisionar têm de ser atualizados para os certificados de 2023 antes da expiração para permanecerem protegidos. Veja Quando os certificados de Arranque Seguro expiram em dispositivos Windows.

Isto aplica-se ao meu ambiente de Windows 365?

Cenário Arranque Seguro Ativo? Ação Necessária
Cloud PCs
CLOUD PC com Arranque Seguro ativado Sim Atualizar certificados no PC na Cloud
CLOUD PC com Arranque Seguro desativado Não Não é necessária nenhuma ação
Imagens
Azure imagem da Galeria de Computação com o Arranque Seguro ativado Sim Atualizar certificados na imagem de origem antes de generalizar
imagem da Galeria de Computação do Azure sem Iniciação Fidedigna Não Aplicar atualizações no CLOUD PC após o aprovisionamento
Imagem gerida (não suporta a Iniciação Fidedigna) Não Aplicar atualizações no CLOUD PC após o aprovisionamento

Para obter informações gerais completas, veja Atualizações de certificados de Arranque Seguro: Orientação para profissionais de TI e organizações.

Inventário e Monitorização

Antes de efetuar uma ação, faça o inventário do seu ambiente para identificar os dispositivos que necessitam de atualizações. A monitorização é essencial para confirmar que os certificados são aplicados antes do prazo de junho de 2026, mesmo que dependa de métodos de implementação automática. Seguem-se opções para determinar se é necessário tomar medidas.

Opção 1: Microsoft Intune Remediações

Para PCs na Cloud inscritos no Microsoft Intune, pode implementar um script de deteção com Intune Remediações (Remediações Proativas) para recolher automaticamente o estado do certificado de Arranque Seguro na sua frota. O script é executado automaticamente em cada dispositivo e comunica o estado de Arranque Seguro, o progresso da atualização do certificado e os detalhes do dispositivo de volta para o portal Intune — não são feitas alterações aos dispositivos. Os resultados podem ser visualizados e exportados para CSV diretamente a partir do centro de administração do Intune para análise ao nível da frota.

Para obter instruções passo a passo sobre como implementar o script de deteção, veja Monitorizar o Estado do Certificado de Arranque Seguro com Microsoft Intune Remediações.

Opção 2: Relatório de Estado de Arranque Seguro de Bloqueio Automático do Windows

Para PCs na Nuvem registados com o Windows Autopatch, aceda a Intune centro> de administraçãoRelatórios de>atualizações de qualidadedoWindows Autopatch> Windowsseparador Relatórios> estado >de Arranque Seguro. Veja Relatório de estado de Arranque Seguro no Windows Autopatch.

Nota: para utilizar a Correção Automática do Windows com Windows 365, os PCs na Cloud têm de estar registados no serviço Depatch Automático do Windows. Veja Windows Autopatch on Windows 365 Enterprise workloads (Bloqueio automático do Windows em cargas de trabalho Windows 365 Enterprise).

Opção 3: Chaves de Registo para Monitorização da Frota

Utilize as ferramentas de gestão de dispositivos existentes para consultar estes valores de registo em toda a sua frota.

Caminho do Registo Tecla Objetivo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Estado da implementação atual
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error Indica erros (não devem existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Indica o ID do Evento (não deve existir)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
AvailableUpdates Bits de atualização pendentes

Para obter detalhes completos da chave do registo, veja Atualizações da chave de registo para o Arranque Seguro.

Opção 4: Monitorização do Registo de Eventos

Utilize as ferramentas de gestão de dispositivos existentes para recolher e monitorizar estes IDs de eventos do registo de eventos do Sistema na sua frota.

ID de Evento Localização Significado
1808 Sistema Certificados aplicados com êxito
1801 Sistema Atualizar o estado ou os detalhes do erro

Para obter uma lista completa dos detalhes do evento, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot).

Opção 5: Script de Inventário do PowerShell

Execute o script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo da Microsoft para verificar o estado da atualização do certificado de Arranque Seguro. O script recolhe vários pontos de dados, incluindo o estado de Arranque Seguro, o estado de atualização do UEFI CA 2023, a versão de firmware e a atividade do registo de eventos.

Implementação

Importante

Independentemente da opção de implementação que escolher, recomendamos que monitorize a frota de dispositivos para confirmar que os certificados foram aplicados com êxito antes do prazo de junho de 2026. Para obter imagens personalizadas, veja Considerações sobre Imagens Personalizadas.

Opção 1: Atualizações automática do Windows Update (Dispositivos de Alta Confiança)

A Microsoft atualiza automaticamente os dispositivos através de atualizações mensais do Windows quando a telemetria suficiente confirma a implementação com êxito em configurações de hardware semelhantes.

  • Estado: Ativado por predefinição para dispositivos de alta confiança
  • Nenhuma ação necessária, a menos que pretenda optar ativamente por não participar
Registo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tecla HighConfidenceOptOut = 1 para optar ativamente por não participar
Política de Grupo Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsArranque> SeguroImplementação Automática de Certificados através de Atualizações> Defina como Desativado para optar ativamente por não participar

Nota

Recomendação: Mesmo com as atualizações automáticas ativadas, monitorize os seus PCs na Cloud para verificar se os certificados são aplicados. Nem todos os dispositivos podem ser elegíveis para implementação automática de alta confiança.

Para obter mais informações, veja Assistências de implementação automatizadas.

Opção 2: Implementação do IT-Initiated

Acione manualmente atualizações de certificados para implementação imediata ou controlada.

Método Documentação
Microsoft Intune Microsoft Intune método
Política de Grupo Método GPO
Chaves de Registo Método de chave de registo
WinCS CLI WinCS APIs

Nota

  • Não misture métodos de implementação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo. Controlam as mesmas chaves de registo e podem entrar em conflito.
  • Permita aproximadamente 48 horas e um ou mais reinícios para que os certificados se apliquem na totalidade.

Considerações sobre Imagens Personalizadas

As imagens personalizadas são totalmente geridas pela sua organização. É responsável por aplicar as atualizações do certificado de Arranque Seguro à imagem personalizada e voltar a carregá-la antes de a utilizar para aprovisionamento.

A aplicação de atualizações de certificados de Arranque Seguro à imagem de origem só é suportada com Azure imagens da Galeria de Computação (pré-visualização), que suportam a Iniciação Fidedigna e o Arranque Seguro. As imagens geridas não suportam o Arranque Seguro, pelo que as atualizações de certificados não podem ser aplicadas ao nível da imagem. Para PCs na Cloud aprovisionados a partir de imagens geridas, aplique atualizações diretamente no PC na Cloud através de um dos métodos de implementação acima.

Antes de generalizar uma nova imagem personalizada, verifique se os certificados são atualizados:

Nota

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problemas Conhecidos

A chave do registo de manutenção não existe

Sintoma HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing caminho não existe
Causa As atualizações de certificado não foram iniciadas no dispositivo
Resolução Aguarde pela implementação automática através de Windows Update ou inicie manualmente com um dos métodos de implementação iniciados por TI acima

O estado mostra "Entrada" durante um período prolongado

Sintoma UEFICA2023Status permanece "InProgress" após vários dias
Causa O dispositivo pode precisar de um reinício para concluir o processo de atualização
Resolução Reinicie o PC na Cloud e verifique novamente o estado após 15 minutos. Se o problema persistir, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter orientações de resolução de problemas

A chave de registo UEFICA2023Error existe

Sintoma A chave de registo UEFICA2023Error está presente
Causa Ocorreu um erro durante a implementação do certificado
Resolução Verifique o Registo de eventos do sistema para obter detalhes. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX ) para obter orientações de resolução de problemas

Recursos