S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Date de publication d’origine : 30 octobre 2025

ID de la base de connaissances : 5068198

Cet article contient des conseils pour : 

  • Organisations qui ont leur propre service informatique qui gère les appareils et les mises à jour Windows.

Remarque : Si vous êtes un particulier qui possède un appareil Windows personnel, consultez l’article Appareils Windows pour les particuliers, les entreprises et les établissements scolaires avec des mises à jour gérées par Microsoft

Disponibilité de cette prise en charge

  • 14 octobre 2025 : les versions prises en charge incluent Windows 10, la version 22H2 et les versions ultérieures (y compris 21H2 LTSC), toutes les versions prises en charge de Windows 11 ainsi que Windows Server 2022 et versions ultérieures.

  • 11 novembre 2025 : pour les versions de Windows toujours prises en charge.

Dans cet article :

Introduction

Ce document décrit la prise en charge du déploiement, de la gestion et de la surveillance des mises à jour de certificat de démarrage sécurisé à l’aide de l’objet stratégie de groupe de démarrage sécurisé. Les paramètres se composent des éléments suivants : 

  • La possibilité de déclencher le déploiement sur un appareil

  • Paramètre permettant d’accepter/de refuser des compartiments à haut niveau de confiance

  • Paramètre permettant d’accepter/de refuser la gestion des mises à jour par Microsoft

Méthode de configuration de l’objet stratégie de groupe (GPO)

Cette méthode offre un paramètre de démarrage sécurisé simple stratégie de groupe que les administrateurs de domaine peuvent définir pour déployer des mises à jour de démarrage sécurisé sur tous les clients et serveurs Windows joints à un domaine. En outre, deux assistances de démarrage sécurisé peuvent être gérées avec les paramètres d’adhésion/refus. 

Pour obtenir les mises à jour qui incluent la stratégie de déploiement des mises à jour de certificat de démarrage sécurisé, consultez la section Ressources ci-dessous.

Cette stratégie se trouve sous le chemin d’accès suivant dans l’interface utilisateur stratégie de groupe : 

           Configuration de l’ordinateur >modèles d’administration >composants Windows >démarrage sécurisé 

Important : Les mises à jour du démarrage sécurisé dépendent du microprogramme de l’appareil, et certains appareils peuvent rencontrer des problèmes de compatibilité. Pour garantir un déploiement sécurisé :

  1. Validez la stratégie de mise à jour sur au moins un appareil représentatif pour chaque type d’appareil dans votre organization.

  2. Vérifiez que les certificats de démarrage sécurisé sont correctement appliqués à la base de données UEFI et à la clé KEK. Pour obtenir des instructions détaillées, consultez Mises à jour des certificats de démarrage sécurisé : Conseils pour les professionnels de l’informatique et les organisations.

  3. Après validation, regroupez les appareils par hachage de compartiment et appliquez la stratégie à ces appareils pour un déploiement contrôlé.

Paramètres de configuration disponibles 

Image

Les trois paramètres disponibles pour le déploiement de certificat de démarrage sécurisé sont décrits ici. Ces paramètres correspondent aux clés de Registre décrites dans Mises à jour des clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique

Activer le déploiement de certificat de démarrage sécurisé 

stratégie de groupe nom du paramètre : Activer le déploiement du certificat de démarrage sécurisé 

dans les images

Description : Cette stratégie détermine si Windows lance le processus de déploiement de certificat de démarrage sécurisé sur les appareils. 

  • Activé : Windows commence automatiquement à déployer des certificats de démarrage sécurisé mis à jour une fois la tâche de démarrage sécurisé exécutée.

  • Désactivé : Windows ne déploie pas automatiquement les certificats.

  • Non configuré : le comportement par défaut s’applique (aucun déploiement automatique).

Remarques : 

  • La tâche qui traite ce paramètre s’exécute toutes les 12 heures. Certaines mises à jour peuvent nécessiter un redémarrage pour être effectuées en toute sécurité.

  • Une fois que les certificats sont appliqués au microprogramme, ils ne peuvent pas être supprimés de Windows. L’effacement des certificats doit être effectué via l’interface du microprogramme.

  • Ce paramètre est considéré comme une préférence ; si l’objet de stratégie de groupe est supprimé, la valeur de Registre reste.

  • Correspond à la clé de Registre AvailableUpdates.

Déploiement automatique de certificats via Mises à jour 

stratégie de groupe nom du paramètre : Déploiement automatique des certificats via Mises à jour 

Images.

Description : Cette stratégie contrôle si les mises à jour de certificat de démarrage sécurisé sont appliquées automatiquement via des mises à jour de sécurité mensuelles windows et non liées à la sécurité. Les appareils que Microsoft a validés comme étant capables de traiter les mises à jour des variables de démarrage sécurisé recevront ces mises à jour dans le cadre de la maintenance cumulative et les appliqueront automatiquement. 

  • Activé : les appareils avec les résultats de mise à jour validés recevront automatiquement des mises à jour de certificat pendant la maintenance.

  • Désactivé : le déploiement automatique est bloqué ; les mises à jour doivent être gérées manuellement.

  • Non configuré : le déploiement automatique se produit par défaut.

Remarques : 

  • Appareils prévus confirmés pour traiter correctement les mises à jour.

  • Configurez cette stratégie pour opter pour le déploiement automatique.

  • Correspond à la clé de Registre HighConfidenceOptOut.

Déploiement de certificats via le déploiement de fonctionnalités contrôlées 

stratégie de groupe nom du paramètre : Déploiement de certificats via le déploiement de fonctionnalités contrôlées 

image

Description : Cette stratégie permet aux entreprises de participer au déploiement de fonctionnalités contrôlées de la mise à jour de certificat de démarrage sécurisé gérée par Microsoft.

  • Activé : Microsoft aide à déployer des certificats sur des appareils inscrits dans le cadre du déploiement.

  • Désactivé ou non configuré : aucune participation au déploiement contrôlé.

Configuration requise

Ressources

Pour plus d’informations sur les clés de registre UEFICA2023Status et UEFICA2023Error, consultez également Mises à jour de clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique pour plus d’informations sur les clés de Registre UEFICA2023Status et UEFICA2023Error

Consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour les événements utiles pour comprendre les status des appareils, des attributs d’appareil et des ID de compartiment d’appareil. Portez une attention particulière aux événements 1801 et 1808 décrits sur la page des événements. 

Pour les stratégie de groupe les msis et la feuille de calcul de référence des paramètres de stratégie de groupe, utilisez les liens ci-dessous ou assurez-vous que les modèles d’administration que vous utilisez sont publiés à ou après les dates indiquées dans le tableau. 

Plateforme

MSI publié

Feuille de référence des paramètres de stratégie de groupe publiée

Client

Télécharger les modèles d’administration (.admx) pour Windows 11 mise à jour 2025 (25H2) - V2.0 à partir du site officiel de Microsoft

Date de publication : 29/9/2025

Télécharger stratégie de groupe feuille de calcul de référence paramètres pour Windows 11 mise à jour 2025 (25H2) - V2.0 à partir du site officiel de Microsoft

Date de publication : 2/10/2025

Serveur

Télécharger les modèles d’administration (.admx) pour Windows Server 2025 (version du 25 octobre) à partir du site officiel de Microsoft

Date de publication : 27/10/2025

Télécharger stratégie de groupe feuille de calcul de référence paramètres pour Windows Server 2025 (version du 25 octobre) à partir du site officiel de Microsoft

Date de publication : 27/10/2025
Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité