Mises à jour de certificat de démarrage sécurisé pour Azure Virtual Desktop
S’applique à
Date de publication d’origine : 19 février 2026
ID de la base de connaissances : 5080931
Cet article contient des conseils pour :
-
Azure administrateurs Virtual Desktop qui gèrent les mises à jour de l’hôte de session
-
Organisations utilisant des machines virtuelles avec démarrage sécurisé pour les déploiements Azure Virtual Desktop
-
Organisations utilisant des images personnalisées (images dorées) pour les déploiements Azure Virtual Desktop
Dans cet article :
Introduction
Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI qui permet de garantir que seuls les logiciels approuvés et signés numériquement s’exécutent pendant une séquence de démarrage d’appareil. Les certificats De démarrage sécurisé Microsoft émis en 2011 commencent à expirer en juin 2026. Sans les certificats 2023 mis à jour, les appareils ne recevront plus de nouvelles protections ou atténuations du démarrage sécurisé et du Gestionnaire de démarrage pour les vulnérabilités de niveau de démarrage nouvellement découvertes.
Toutes les machines virtuelles avec démarrage sécurisé inscrites dans le service Azure Virtual Desktop et les images personnalisées utilisées pour les provisionner doivent être mises à jour vers les certificats 2023 avant l’expiration pour rester protégées. Consultez Quand les certificats de démarrage sécurisé expirent sur les appareils Windows
Cela s’applique-t-il à mon environnement Azure Virtual Desktop ?
|
Scénario |
Démarrage sécurisé actif ? |
Action requise |
|
Hôtes de session |
||
|
Machine virtuelle de lancement fiable avec démarrage sécurisé activé |
Oui |
Mettre à jour les certificats sur l’hôte de session |
|
Machine virtuelle de lancement approuvé avec démarrage sécurisé désactivé |
Non |
Aucune action nécessaire |
|
machine virtuelle de type de sécurité Standard |
Non |
Aucune action nécessaire |
|
Machine virtuelle de génération 1 |
Non pris en charge |
Aucune action nécessaire |
|
Images d’or |
||
|
image Azure Compute Gallery avec démarrage sécurisé activé |
Oui |
Mettre à jour les certificats dans l’image source |
|
image Azure Compute Gallery sans lancement approuvé |
Non |
Appliquer les mises à jour dans l’hôte de session après le déploiement |
|
Image managée (ne prend pas en charge le lancement approuvé) |
Non |
Appliquer les mises à jour dans l’hôte de session après le déploiement |
Pour obtenir des informations générales complètes, consultez Mises à jour des certificats de démarrage sécurisé : conseils pour les professionnels de l’informatique et les organisations.
Inventaire et surveillance
Avant de prendre des mesures, stockez votre environnement pour identifier les appareils qui nécessitent des mises à jour. La surveillance est essentielle pour confirmer que les certificats sont appliqués avant l’échéance de juin 2026, même si vous vous appuyez sur des méthodes de déploiement automatique. Vous trouverez ci-dessous des options permettant de déterminer si une action doit être effectuée.
Option 1 : corrections Microsoft Intune
Pour les hôtes de session inscrits dans Microsoft Intune, vous pouvez déployer un script de détection à l’aide de corrections Intune (corrections proactives) pour collecter automatiquement les status de certificat de démarrage sécurisé dans votre flotte. Le script s’exécute en mode silencieux sur chaque appareil et signale les status de démarrage sécurisé, la progression de la mise à jour des certificats et les détails de l’appareil dans le portail Intune. Aucune modification n’est apportée aux appareils. Les résultats peuvent être affichés et exportés au format CSV directement à partir du centre d’administration Intune pour une analyse à l’échelle de la flotte.
Pour obtenir des instructions pas à pas sur le déploiement du script de détection, consultez Surveillance de l’état du certificat de démarrage sécurisé avec Microsoft Intune corrections.
Option 2 : Rapport d’état de démarrage sécurisé Windows Autopatch
Pour les hôtes de session persistants personnels inscrits auprès de Windows Autopatch, accédez à Intune Centre d’administration > Rapports > Mise à jour automatique Windows > mises à jour qualité Windows > l’onglet Rapports > status démarrage sécurisé. Consultez le rapport de démarrage sécurisé status dans Windows Autopatch.
Remarque : Windows Autopatch prend uniquement en charge les machines virtuelles persistantes personnelles pour Azure Virtual Desktop. Les hôtes multisession, les machines virtuelles non persistantes mises en pool et la diffusion en continu d’applications distantes ne sont pas pris en charge. Consultez Autopatch windows sur Azure charges de travail Virtual Desktop.
Option 3 : Clés de Registre pour la surveillance de la flotte
Utilisez vos outils de gestion d’appareils existants pour interroger ces valeurs de Registre dans votre flotte.
|
Chemin d'accès du Registre |
Clé |
Fonction |
|
HKEY_LOCAL_MACHINE :\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Status de déploiement actuel |
|
HKEY_LOCAL_MACHINE :\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Indique des erreurs (ne doit pas exister) |
|
HKEY_LOCAL_MACHINE :\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Indique l’ID d’événement (ne doit pas exister) |
|
HKEY_LOCAL_MACHINE :\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bits de mise à jour en attente |
Pour plus d’informations sur la clé de Registre, consultez Mises à jour de la clé de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique.
Option 4 : Analyse du journal des événements
Utilisez vos outils de gestion d’appareils existants pour collecter et surveiller ces ID d’événements à partir du journal des événements système dans votre flotte.
|
ID d’événement |
Emplacement |
Signification |
|
1808 |
Système |
Certificats correctement appliqués |
|
1801 |
Système |
Mettre à jour les status ou les détails de l’erreur |
Pour obtenir la liste complète des détails des événements, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX.
Option 5 : Script d’inventaire PowerShell
Exécutez l’exemple de script de collecte de données d’inventaire de démarrage sécurisé de Microsoft pour case activée status de mise à jour du certificat de démarrage sécurisé. Le script collecte plusieurs points de données, notamment l’état de démarrage sécurisé, les status de mise à jour UEFI CA 2023, la version du microprogramme et l’activité du journal des événements.
Déploiement
Important : Quelle que soit l’option de déploiement que vous choisissez, nous vous recommandons de surveiller votre flotte d’appareils pour vérifier que les certificats sont correctement appliqués avant l’échéance de juin 2026. Pour obtenir des images personnalisées, consultez Considérations relatives aux images d’or.
Option 1 : Mises à jour automatique à partir de Windows Update (appareils à haut niveau de confiance)
Microsoft met automatiquement à jour les appareils via des mises à jour mensuelles Windows lorsque des données de télémétrie suffisantes confirment la réussite du déploiement sur des configurations matérielles similaires.
-
Statut: Activé par défaut pour les appareils à haut niveau de confiance
-
Aucune action requise, sauf si vous souhaitez refuser
|
Registre |
HKEY_LOCAL_MACHINE :\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Clé |
HighConfidenceOptOut = 1 pour refuser |
|
Stratégie de groupe |
Configuration ordinateur > modèles d’administration > composants Windows > démarrage sécurisé > déploiement automatique de certificats via Mises à jour > Défini sur Désactivé pour refuser. |
Recommandation : Même si les mises à jour automatiques sont activées, surveillez vos hôtes de session pour vérifier que les certificats sont appliqués. Tous les appareils ne peuvent pas être éligibles pour un déploiement automatique à haut niveau de confiance.
Pour plus d’informations, consultez Assistances au déploiement automatisé.
Option 2 : déploiement IT-Initiated
Déclenchez manuellement les mises à jour de certificat pour un déploiement immédiat ou contrôlé.
|
Méthode |
Documentation |
|
Microsoft Intune |
|
|
Stratégie de groupe |
|
|
Clés de Registre |
|
|
WinCS CLI |
Remarques :
-
Ne mélangez pas les méthodes de déploiement lancées par le service informatique (par exemple, Intune et objet de stratégie de groupe) sur le même appareil : elles contrôlent les mêmes clés de Registre et peuvent être en conflit.
-
Prévoyez environ 48 heures et un ou plusieurs redémarrages pour que les certificats s’appliquent entièrement.
Considérations relatives à l’image d’or
Pour Azure environnements Virtual Desktop utilisant Azure images Compute Gallery avec démarrage sécurisé activé, appliquez la mise à jour du certificat Démarrage sécurisé 2023 à l’image dorée avant de la capturer. Utilisez l’une des méthodes décrites ci-dessus pour appliquer la mise à jour, puis vérifiez que les certificats sont mis à jour avant de généraliser :
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Les images sans lancement approuvé activé ne peuvent pas recevoir les mises à jour de certificat de démarrage sécurisé via l’image. Cela inclut les images managées, qui ne prennent pas en charge le lancement approuvé, et Azure les images Compute Gallery pour lesquelles le lancement approuvé n’est pas activé. Pour les appareils approvisionnés à partir de ces images, appliquez les mises à jour dans le système d’exploitation invité à l’aide de l’une des méthodes ci-dessus.
Problèmes connus
La clé de Registre de maintenance n’existe pas
|
Symptôme |
HKEY_LOCAL_MACHINE :\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing n’existe pas |
|
Cause |
Les mises à jour de certificat n’ont pas été lancées sur l’appareil |
|
Résolution |
Attendez le déploiement automatique via Windows Update, ou démarrez manuellement à l’aide de l’une des méthodes de déploiement lancées par le service informatique ci-dessus |
L’état indique « InProgress » pour une période prolongée
|
Symptôme |
UEFICA2023Status reste « InProgress » après plusieurs jours |
|
Cause |
L’appareil peut avoir besoin d’un redémarrage pour terminer le processus de mise à jour |
|
Résolution |
Redémarrez l’hôte de session et case activée status à nouveau après 15 minutes. Si le problème persiste, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour obtenir des conseils de résolution des problèmes |
La clé de Registre UEFICA2023Error existe
|
Symptôme |
La clé de Registre UEFICA2023Error est présente |
|
Cause |
Une erreur s’est produite lors du déploiement du certificat |
|
Résolution |
Consultez le journal des événements système pour plus d’informations. Consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour obtenir des conseils de résolution des problèmes |
Ressources
Besoin d’aide ?
Vous voulez plus d’options ?
Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.
Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.
