S’applique à
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows 11 version 25H2, all editions

Date de publication d’origine : 10 mars 2026

ID de la base de connaissances : 5084490

Cet article contient des conseils pour

  • Les professionnels de l’informatique et les administrateurs Intune qui gèrent des appareils Windows, déploient des contrôles de mise à jour de certificat de démarrage sécurisé via des stratégies de catalogue de paramètres et supervisent les flux de travail de mise à jour.

  • Équipes qui doivent cibler des déploiements vers des modèles matériels spécifiques à l’aide de filtres d’affectation.

Dans cet article :

Introduction

Ces conseils aident les administrateurs informatiques à activer le processus de mise à jour du certificat de démarrage sécurisé à l’aide des stratégies de catalogue paramètres Microsoft Intune. Il explique comment configurer le paramètre démarrage sécurisé qui active le processus de mise à jour du certificat et comment déployer cette configuration. Il montre également comment utiliser des filtres d’affectation basés sur des modèles pour prendre en charge des déploiements intermédiaires contrôlés sur du matériel qui a déjà été validé pour gérer correctement la mise à jour.

Conditions préalables

L’éligibilité à la mise à jour du certificat de démarrage sécurisé est déterminée par le programme CSP et le  microprogramme de l’appareil de lastratégie de démarrage sécurisé. Cette étendue ne s’aligne pas toujours sur les chronologies de maintenance Windows (c’est-à-dire les mises à jour) ou sur les exigences d’inscription Intune.

Intune et les conditions préalables à la stratégie

  • Connectez-vous avec un compte disposant des autorisations nécessaires pour créer des filtres et créer/affecter des stratégies de catalogue de paramètres.

  • Les appareils doivent être inscrits dans Intune (les filtres d’affectation s’appliquent uniquement aux appareils gérés).

Conditions préalables à l’éligibilité au démarrage sécurisé

Étape 1 : Configurer les paramètres de mise à jour du certificat de démarrage sécurisé dans Intune (catalogue de paramètres)

Dans cette étape, vous créez un profil de configuration d’appareil du catalogue Paramètres Windows dans Microsoft Intune. Vous configurez également les paramètres de démarrage sécurisé qui activent le processus de mise à jour du certificat de démarrage sécurisé.

Ce que vous allez créer

Profil de configuration d’appareil du catalogue paramètres Windows qui active l’Mises à jour Activer le certificat de démarrage sécurisé :

Créer le profil de catalogue Paramètres

  1. Connectez-vous au centre d’administration Microsoft Intune.

  2. Accédez à Appareils > Gérer les appareils > Configuration.

  3. Sélectionnez Créer > nouvelle stratégie.

  4. Dans Créer un profil :

  5. Plateforme : Windows 10 et versions ultérieures

  6. Type de profil : Catalogue de paramètres

  7. Sélectionnez Créer.

  8. Nommez le profil (par exemple, Mise à jour du certificat de démarrage sécurisé), ajoutez une description facultative, puis sélectionnez Suivant.

  9. Dans Paramètres de configuration, sélectionnez Ajouter des paramètres.

  10. Dans le sélecteur de paramètres, recherchez Démarrage sécurisé et sélectionnez-le sous Parcourir par catégorie.

  11. Ajoutez au profil le paramètre Activer le certificat de démarrage sécurisé Mises à jour des trois éléments présentés dans la catégorie Démarrage sécurisé.

    Remarque : Vous pouvez configurer les autres paramètres de démarrage sécurisé de cette catégorie de la même façon si votre scénario de déploiement les requiert.

  12. Configurez la valeur du paramètre sur Activé.

  13. Sélectionnez Suivant pour passer aux devoirs. (Vous allez appliquer un filtre à l’étape 3).

Étape 2 : Créer un filtre d’affectation pour le ciblage basé sur des modèles

Ensuite, vous créez un filtre d’affectation Intune qui cible des modèles d’appareils spécifiques. Le ciblage basé sur des modèles vous permet d’étendre les mises à jour de certificat de démarrage sécurisé aux modèles matériels sélectionnés. Ce déploiement contrôlé et intermédiaire ne nécessite pas de groupes Microsoft Entra ID supplémentaires.

Pourquoi le ciblage basé sur des modèles est recommandé pour le déploiement de certificats de démarrage sécurisé

  • Variabilité du microprogramme : les fabricants OEM implémentent le démarrage sécurisé différemment, de sorte que l’étendue au niveau du modèle réduit les comportements inattendus.

  • Validation préalable : vous pouvez valider les mises à jour de certificat sur un ensemble matériel correct connu avant le déploiement à grande échelle.

Ce que vous allez créer

Filtre d’affectation d’appareils managés qui cible (ou exclut) des modèles d’appareils spécifiques.

Créer le filtre d’affectation

  1. Connectez-vous au centre d’administration Microsoft Intune.

  2. Accédez à Administration du locataire > Filtres d’affectation > Créer.

  3. Sélectionnez Appareils gérés.

  4. Dans Informations de base, définissez :

    • Nom du filtre (descriptif).

    • Description (facultative, mais recommandée).

    • Plateforme : Windows 10 et versions ultérieures.

  5. Sélectionnez Suivant.

  6. Dans Règles, choisissez une approche :

    • Générateur de règles (recommandé pour la plupart des administrateurs)

    • Syntaxe de règle (modification manuelle d’expression)

Créer une règle basée sur un modèle (générateur de règles)

  1. Dans Générateur de règles, sélectionnez la propriété model .

  2. Choisissez un opérateur.

  3. Entrez la ou les chaînes de modèle que vous souhaitez faire correspondre.

  4. Sélectionnez Ajouter une expression pour l’ajouter à la règle.

  5. Si nécessaire, utilisez et/ou pour étendre la règle à d’autres modèles ou pour ajouter des critères supplémentaires en fonction d’autres propriétés filtrables possibles.

Conseil : Utilisez des appareils en préversion pour vérifier que le filtre correspond à l’ensemble prévu. La liste d’aperçu prend en charge la recherche par nom d’appareil, version du système d’exploitation, modèle d’appareil et fabricant de l’appareil.

Afficher un aperçu et créer le filtre

  1. Sélectionnez Appareils en préversion pour confirmer les appareils inscrits.

  2. Sélectionnez Suivant.

  3. (Facultatif) Affectez des balises d’étendue si vous les utilisez.

  4. Sélectionnez Suivant.

  5. Dans Vérifier + créer, sélectionnez Créer.

Étape 3 : Affecter la stratégie à l’aide du filtre d’affectation

Enfin, vous affectez le profil catalogue Paramètres à un appareil ou un groupe d’utilisateurs et vous appliquez le filtre d’affectation. Cela détermine les appareils inscrits qui reçoivent et traitent les paramètres de mise à jour du certificat de démarrage sécurisé pendant l’évaluation de la stratégie.

Ce que vous allez faire

Vous allez affecter le profil de catalogue Paramètres de démarrage sécurisé de l’étape 1 à un groupe, puis appliquer le filtre de l’étape 2 en mode Inclure ou Exclure .

Appliquer le filtre d’affectation

  1. Dans le Centre d’administration Microsoft Intune, accédez à Appareils > Gérer les appareils > Configuration.

  2. Sélectionnez le profil de catalogue Paramètres que vous avez créé à l’étape 1 ci-dessus.

  3. Ouvrez Propriétés > Affectations > Modifier.

  4. Affectez le profil au groupe d’utilisateurs ou au groupe d’appareils approprié.

    Conseil : Si vous n’avez pas d’autres critères pour limiter le ciblage, affectez cette stratégie au groupe virtuel Tous les appareils . Utilisez le filtre d’affectation de modèle d’appareil de l’étape 2 pour définir l’étendue de l’affectation. Cette combinaison est suffisante pour la plupart des déploiements. Le groupe virtuel Tous les appareils est intégré, ne nécessite aucune maintenance de groupe et est optimisé pour la mise à l’échelle. Ensuite, le filtre d’affectation restreint l’applicabilité au case activée de l’appareil en fonction des propriétés de l’appareil, sans nécessiter de groupes Microsoft Entra supplémentaires.

  5. Sélectionnez Modifier le filtre.

  6. Choisissez-en un :

    • Inclure les appareils filtrés dans l’affectation : seuls les appareils qui correspondent au filtre reçoivent la stratégie.

    • Exclure les appareils filtrés dans l’affectation : les appareils qui correspondent au filtre ne reçoivent pas la stratégie.

  7. Sélectionnez votre filtre d’affectation existant à l’étape 2, puis choisissez Sélectionner.

  8. Sélectionnez Vérifier + enregistrer > Enregistrer.

Comprendre le comportement de l’appareil

  • Intune évalue le filtre lors de l’inscription de l’appareil, chaque fois qu’il s’enregistre et chaque fois que la stratégie affectée est réévaluée.

  • L’activation du paramètre Démarrage sécurisé ne garantit pas l’application immédiate du certificat. Pour le paramètre démarrage sécurisé qui déclenche le processus de mise à jour, la tâche de démarrage sécurisé Windows s’exécute toutes les 12 heures. Certaines mises à jour peuvent nécessiter un redémarrage.

Forum Aux Questions

La tâche de démarrage sécurisé Windows qui traite le paramètre s’exécute toutes les 12 heures.

Le lancement de la mise à jour via Intune n’entraîne pas de redémarrage, bien qu’un redémarrage puisse être nécessaire pour terminer la mise à jour.

Une fois les certificats appliqués au microprogramme, Windows ne peut pas les supprimer. L’effacement des certificats doit être effectué via l’interface du microprogramme.

Les anciens certificats commencent à expirer en juin 2026. Les appareils qui n’ont pas reçu les certificats 2023 les plus récents perdent la possibilité de recevoir de nouvelles protections de sécurité de démarrage anticipé (par exemple, la base de données de démarrage sécurisé et les mises à jour de révocation).

Ressources

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité