Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data de Publicação Original: 18 de fevereiro de 2026

ID da BDC: 5080921

Este artigo tem orientações para:

  • Administradores de TI que precisam de visibilidade sobre o estado de atualização do certificado de Arranque Seguro a partir do respetivo Intune dispositivos Windows inscritos

  • Organizações que se preparam para o prazo de expiração do certificado de Arranque Seguro de junho de 2026

  • Equipas que pretendem monitorizar o progresso da implementação de certificados nos respetivos Intune dispositivos Windows inscritos

Neste artigo:

Introdução

Os certificados de Arranque Seguro da Microsoft (ACs de 2011) expiram a partir de junho de 2026. Todos os dispositivos Windows com o Arranque Seguro ativado têm de ser atualizados para os certificados 2023 antes da expiração para garantir o suporte de atualização de segurança contínuo. 

Este guia fornece uma abordagem apenas de monitorização com Microsoft Intune Remediações (Remediações Proativas). O script de deteção recolhe o Arranque Seguro e o estado do certificado de cada dispositivo e reporta-o novamente ao portal do Intune — não é efetuada qualquer ação de remediação nos dispositivos. Isto dá aos administradores uma vista centralizada e exportável do progresso da atualização de certificados nos respetivos Intune dispositivos Windows inscritos. 

Porquê utilizar esta abordagem?

Benefício

Descrição

Visibilidade em todo o dispositivo 

Ver todos os Intune estado do certificado do dispositivo Windows inscrito num único local

Exportável 

Exportar resultados para CSV diretamente a partir do portal do Intune

Valores de registo não processados

Ver dados de registo reais e não apenas passar/falhar

Contexto do dispositivo 

Inclui o fabricante, o modelo, a versão do BIOS e o tipo de firmware

Telemetria do registo de eventos 

Captura IDs de eventos de Arranque Seguro (1801/1808), IDs de registo e níveis de confiança

Sem toque

É executado automaticamente como SYSTEM — não é necessária qualquer interação do utilizador

Para obter informações gerais completas sobre as atualizações de certificados, veja Atualizações de certificados de Arranque Seguro: Orientações para profissionais de TI e organizações

Pré-requisitos

Antes de implementar o script de deteção, certifique-se de que o seu ambiente cumpre os requisitos necessários. 

Esta solução tira partido das Remediações no Microsoft Intune. Para obter uma lista completa dos pré-requisitos, veja Utilizar Remediações para detetar e corrigir problemas de suporte - Microsoft Intune.

Scripts de deteção

O script de deteção é um script do PowerShell que recolhe dados de inventário de Arranque Seguro abrangentes de cada dispositivo e os produz como uma cadeia JSON. O script lê a partir das seguintes origens: 

Registo — Estado da atualização do certificado de Arranque Seguro, chaves de manutenção, atributos do dispositivo e definições de opt-in/opt-out de HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot e respetivas subchaves 

WMI/CIM – versão do SO, hora do último arranque e informações de hardware da placa base 

Registos de eventos — Entradas de registo de eventos do sistema para IDs de Evento 1801 e 1808 (eventos de atualização de Arranque Seguro) 

A saída JSON é apresentada no portal do Intune em Remediações > Monitorizar > Estado do dispositivo > "Saída de deteção de pré-remediação" e pode ser exportada para CSV para análise. 

Importante: Este é um script apenas de deteção. Não são efetuadas alterações ao dispositivo. Não é necessário nenhum script de remediação. 

Criar o Ficheiro de Script 

Criar a Remediação no Intune 

Siga estes passos para implementar o script de deteção como uma Remediação (pacote de script) no Microsoft Intune. 

Passo 1: Criar o Pacote de Scripts 

Passo 2: Noções básicas 

  • Configure as seguintes definições no separador Noções Básicas:

Definição

Valor

Nome

Monitor de Estado do Certificado de Arranque Seguro

Descrição

Monitoriza o estado de atualização do certificado de Arranque Seguro em toda a frota. Apenas deteção — não é efetuada qualquer ação de remediação.

Publisher

(nome da sua organização)

  • Clique em Seguinte

Passo 3: Definições 

  • Configure as seguintes definições no separador Definições:

Definição

Valor

Notas

Ficheiro de script de deteção 

Carregar Detect-SecureBootCertificateStatus.ps1

O script da secção anterior

Ficheiro de script de remediação 

(deixe em branco)

Não é necessária nenhuma remediação — isto é apenas monitorização

Execute este script com as credenciais com sessão iniciada 

Não

É executado como SISTEMA para garantir o acesso ao Confirm-SecureBootUEFI e ao registo

Impor verificação de assinatura de script 

Não

Defina como Sim se a sua organização precisar de scripts assinados

Executar script no PowerShell de 64 bits

Sim

Necessário para Confirm-SecureBootUEFI cmdlet e leituras precisas do registo

  • Clique em Seguinte

Passo 4: Etiquetas de Âmbito 

  • Adicione todas as etiquetas de âmbito exigidas pela sua organização ou deixe como predefinição

  • Clique em Seguinte

Passo 5: Atribuições 

Definição

Valor

Notas

Atribuições 

Selecione os grupos de dispositivos a monitorizar

Utilizar Todos os dispositivos para monitorização em toda a frota ou grupos específicos para monitorização direcionada

Agendar 

Configurar para as suas necessidades de monitorização

Recomendado: uma vez por dia para controlo de implementação ativa ou uma vez por semana para monitorização contínua

Nota: as remediações são executadas na agenda configurada do dispositivo. A primeira execução pode demorar até 24 horas após a atribuição, dependendo do ciclo de entrada do dispositivo. 

Clique em Seguinte

Passo 6: Rever + Criar 

  • Rever todas as definições

  • Clique em Criar

Ver e Exportar Resultados 

Ver resultados no portal 

  • Navegue para Dispositivos > Remediações

  • Clique no Monitor de Estado do Certificado de Arranque Seguro (ou no nome que escolheu)

  • Selecione o separador Monitorizar

  • Clique em Estado do dispositivo

  • Clique em Colunas e adicione a saída de Deteção de pré-remediação

Monitor de estado

Verá uma tabela com as seguintes colunas: 

Coluna

Descrição

Nome do dispositivo

O nome do dispositivo

Nome de utilizador 

O utilizador principal do dispositivo

Estado da deteção 

Sem problema (certificados atualizados) ou com problema (certificados não atualizados)

Saída da deteção de pré-remediação 

A saída JSON completa do script

Última modificação 

Quando o script foi executado pela última vez no dispositivo

Exportar para CSV: 

  • Na página Estado do dispositivo, clique no botão Exportar na parte superior da tabela

  • O ficheiro CSV irá transferir todas as colunas, incluindo a saída de deteção JSON completa para cada dispositivo

  • Abrir no Excel para filtrar, ordenar e analisar por qualquer campo

Sugestão: no Excel, pode utilizar as funções TEXTJOIN ou JSON para analisar o JSON de saída de deteção em colunas separadas para uma análise mais fácil. 

Separador Descrição geral

Descrição Geral do Intune

O separador Descrição Geral na Remediação fornece um dashboard de resumo: 

Métrica

Significado

Dispositivos com problemas

Dispositivos em que os certificados ainda não estão atualizados 

Dispositivos sem problemas

Dispositivos onde os certificados estão atualizados

Dispositivos com deteção falhada

Dispositivos em que o script encontrou um erro

Perguntas Mais Frequentes

Isto altera alguma coisa nos meus dispositivos? 

Não. Este é um script apenas de deteção. Não são modificados valores de registo, não são acionadas atualizações e não é efetuada nenhuma ação de remediação. O script só lê valores e reporta-os. 

O que significa "Com problema"? 

"Com o problema" significa que o dispositivo ainda não tem os certificados de Arranque Seguro de 2023 aplicados e o gestor de arranque assinado em 2023. Tal pode dever-se ao facto de: – a atualização do certificado não ter sido iniciada – a atualização está em curso e poderá necessitar de um reinício para ser concluída – o Arranque Seguro não está ativado no dispositivo – o dispositivo não é baseado em UEFI ou está à espera de um reinício para aplicar o gestor de arranque. 

O que significa "Sem problema"? 

"Sem problema" significa que o dispositivo tem o Arranque Seguro ativado e o valor do registo UEFICA2023Status é Atualizado, o que indica que os certificados 2023 foram aplicados com êxito. 

Com que frequência é executado o script? 

O script é executado na agenda que configurar na atribuição. Para monitorização ativa durante uma implementação, recomenda-se diariamente. Para a monitorização contínua, semanalmente é suficiente. 

E se a chave de registo de manutenção não existir? 

Se a chave HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing não existir num dispositivo, o campo UEFICA2023Status mostrará NoValue. Normalmente, isto significa que as atualizações de certificado não foram iniciadas no dispositivo. 

Que licenças são necessárias? 

As remediações requerem licenças Windows 10/11 Enterprise E3/E5, Education A3/A5 ou F3. Se os seus dispositivos tiverem apenas licenças Business Premium ou Pro, as Remediações não estarão disponíveis. Veja Pré-requisitos para Remediações

Recursos 

Manual de Procedimentos de Atualização de Certificados de Arranque Seguro

Atualizações de Certificado de Arranque Seguro: Documentação de Orientação para Profissionais de TI

Atualizações de Chave de Registo para Arranque Seguro

Secure Boot DB and DBX Variable Update Events

Remediações no Microsoft Intune 

Pré-requisitos para Remediações

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.