Date de publication d’origine : 30 octobre 2025
ID de la base de connaissances : 5068198
|
Cet article contient des conseils pour :
Remarque : Si vous êtes un particulier qui possède un appareil Windows personnel, consultez l’article Appareils Windows pour les particuliers, les entreprises et les établissements scolaires avec des mises à jour gérées par Microsoft. |
|
Disponibilité de cette prise en charge
|
Dans cet article :
-
Introduction
-
Méthode de configuration de l’objet stratégie de groupe (GPO)
Introduction
Ce document décrit la prise en charge du déploiement, de la gestion et de la surveillance des mises à jour de certificat de démarrage sécurisé à l’aide de l’objet stratégie de groupe de démarrage sécurisé. Les paramètres se composent des éléments suivants :
-
La possibilité de déclencher le déploiement sur un appareil
-
Paramètre permettant d’accepter/de refuser des compartiments à haut niveau de confiance
-
Paramètre permettant d’accepter/de refuser la gestion des mises à jour par Microsoft
Méthode de configuration de l’objet stratégie de groupe (GPO)
Cette méthode offre un paramètre de démarrage sécurisé simple stratégie de groupe que les administrateurs de domaine peuvent définir pour déployer des mises à jour de démarrage sécurisé sur tous les clients et serveurs Windows joints à un domaine. En outre, deux assistances de démarrage sécurisé peuvent être gérées avec des paramètres d’adhésion/de refus.
Pour obtenir les mises à jour qui incluent la stratégie de déploiement des mises à jour de certificat de démarrage sécurisé, téléchargez la dernière version des modèles d’administrationpubliées à partir du 23 octobre 2025.
Cette stratégie se trouve sous le chemin d’accès suivant dans l’interface utilisateur stratégie de groupe :
Configuration de l’ordinateur >modèles d’administration >composants Windows >démarrage sécurisé
Paramètres de configuration disponibles
Les trois paramètres disponibles pour le déploiement de certificat de démarrage sécurisé sont décrits ici. Ces paramètres correspondent aux clés de Registre décrites dans Mises à jour des clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique.
Activer le déploiement de certificat de démarrage sécurisé
stratégie de groupe nom du paramètre : Activer le déploiement du certificat de démarrage sécurisé
Description : Cette stratégie détermine si Windows lance le processus de déploiement de certificat de démarrage sécurisé sur les appareils.
-
Activé : Windows commence automatiquement à déployer des certificats de démarrage sécurisé mis à jour pendant la maintenance planifiée.
-
Désactivé : Windows ne déploie pas automatiquement les certificats.
-
Non configuré : le comportement par défaut s’applique (aucun déploiement automatique).
Remarques :
-
La tâche qui traite ce paramètre s’exécute toutes les 12 heures. Certaines mises à jour peuvent nécessiter un redémarrage pour être effectuées en toute sécurité.
-
Une fois que les certificats sont appliqués au microprogramme, ils ne peuvent pas être supprimés de Windows. L’effacement des certificats doit être effectué via l’interface du microprogramme.
-
Ce paramètre est considéré comme une préférence ; si l’objet de stratégie de groupe est supprimé, la valeur de Registre reste.
-
Correspond à la clé de Registre AvailableUpdates.
Déploiement automatique de certificats via Mises à jour
stratégie de groupe nom du paramètre : Déploiement automatique des certificats via Mises à jour
Description : Cette stratégie contrôle si les mises à jour de certificat de démarrage sécurisé sont appliquées automatiquement via des mises à jour de sécurité mensuelles windows et non liées à la sécurité. Les appareils que Microsoft a validés comme étant capables de traiter les mises à jour des variables de démarrage sécurisé recevront ces mises à jour dans le cadre de la maintenance cumulative et les appliqueront automatiquement.
-
Activé : les appareils avec les résultats de mise à jour validés recevront automatiquement des mises à jour de certificat pendant la maintenance.
-
Désactivé : le déploiement automatique est bloqué ; les mises à jour doivent être gérées manuellement.
-
Non configuré : le déploiement automatique se produit par défaut.
Remarques:
-
Destiné aux appareils confirmés pour traiter correctement les mises à jour.
-
Configurez cette stratégie pour refuser le déploiement automatique.
-
Correspond à la clé de Registre HighConfidenceOptOut.
Déploiement de certificats via le déploiement de fonctionnalités contrôlées
stratégie de groupe nom du paramètre : Déploiement de certificats via le déploiement de fonctionnalités contrôlées
Description : Cette stratégie permet aux entreprises de participer au déploiement de fonctionnalités contrôlées des mises à jour de certificat de démarrage sécurisé gérées par Microsoft.
-
Activé : Microsoft aide à déployer des certificats sur des appareils inscrits dans le cadre du déploiement.
-
Désactivé ou non configuré : aucune participation au déploiement contrôlé.
Configuration requise :
-
L’appareil doit envoyer les données de diagnostic requises à Microsoft. Pour plus d’informations, consultez Configurer les données de diagnostic Windows dans votre organization - Confidentialité Windows | Microsoft Learn.
-
Correspond à la clé de Registre MicrosoftUpdateManagedOptIn.
Vue d’ensemble de la configuration des objets de stratégie de groupe
-
Nom de la stratégie (provisoire) : « Activer le déploiement de la clé de démarrage sécurisé » (sous Configuration de l’ordinateur).
-
Chemin de la stratégie : Nouveau nœud sous Configuration ordinateur > Modèles d’administration > Composants Windows > démarrage sécurisé. Pour plus de clarté, une sous-catégorie telle que « Démarrage sécurisé Mises à jour » doit être créée pour stocker cette stratégie.
-
Étendue : Ordinateur (paramètre à l’échelle de l’ordinateur) : il cible la ruche HKEY_LOCAL_MACHINE et affecte l’état UEFI de l’appareil.
-
Action de stratégie : Lorsqu’elle est activée, la stratégie définit la sous-clé de Registre suivante.
Emplacement du Registre
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Nom DWORD
AvailableUpdatesPolicy
Valeur DWORD
0x5944
Commentaires
Cela indique à l’appareil d’installer toutes les mises à jour de clé de démarrage sécurisé disponibles à la prochaine occasion.
Remarque : En raison de la nature de stratégie de groupe, la stratégie est réappliquée au fil du temps et les bits des AvailableUpdates sont effacés au fur et à mesure qu’ils sont traités. Par conséquent, il est nécessaire d’avoir une clé de Registre distincte nommée AvailableUpdatesPolicy afin que la logique sous-jacente puisse suivre si les clés ont été déployées. Lorsque AvailableUpdatesPolicy est défini sur 0x5944, TPMTasks définit AvailableUpdates sur 0x5944 et notez que cette opération a été effectuée pour empêcher la réapplique à AvailableUpdates plusieurs fois. Si vous définissez AvailableUpdatesPolicy sur Diabled , TPMTasks est effacé ou défini sur 0 AvailableUpdates et notez que cette opération a été effectuée.
-
Désactivé/Non configuré : Lorsqu’elle est définie sur Non configuré, la stratégie n’apporte aucune modification (les mises à jour de démarrage sécurisé restent activées et ne s’exécutent que si elles sont déclenchées par d’autres moyens). S’il est défini sur Désactivé, la stratégie doit définir AvailableUpdates sur 0, pour s’assurer explicitement que l’appareil ne tente pas le déploiement de la clé de démarrage sécurisé ou pour arrêter le déploiement en cas de problème.
-
HighConfidenceOptOut peut être activé ou désactivé. L’activation définit cette clé sur 1 et la désactivation la définit sur 0.
Implémentation ADMX : Cette stratégie sera implémentée à l’aide d’un modèle d’administration standard (ADMX). Il utilise le mécanisme de stratégie de Registre pour écrire la valeur. Par exemple, la définition ADMX spécifie :
-
Clé de Registre : Logiciel\Stratégies\... Remarque : stratégie de groupe écrit normalement dans la branche Policies, mais dans ce cas, nous devons affecter la ruche HKEY_LOCAL_MACHINE\SYSTEM. Nous allons utiliser la capacité de stratégie de groupe à écrire directement dans la ruche HKEY_LOCAL_MACHINE pour les stratégies d’ordinateur. L’ADMX peut utiliser l’élément avec le chemin d’accès cible réel.
-
Nom: AvailableUpdatesPolicy
-
Valeur DWORD : 0x5944
Lorsque l’objet de stratégie de groupe est appliqué, le service client stratégie de groupe sur chaque ordinateur ciblé crée ou met à jour cette valeur de Registre. La prochaine fois que la tâche de maintenance de démarrage sécurisé (TPMTasks) s’exécutera sur cet ordinateur, elle détectera 0x5944 et effectuera la mise à jour.
Remarque : Par défaut, sur Windows, la tâche planifiée « TPMTask » s’exécute toutes les 12 heures pour traiter ces indicateurs de mise à jour de démarrage sécurisé. Les administrateurs peuvent également accélérer en exécutant manuellement la tâche ou en redémarrant, si vous le souhaitez.
Exemple d’interface utilisateur de stratégie
-
Réglage Activer le déploiement de la clé de démarrage sécurisé : Lorsqu’il est activé, l’appareil installe les certificats de démarrage sécurisé mis à jour (autorités de certification 2023) et la mise à jour du gestionnaire de démarrage associée. Les clés et configurations de démarrage sécurisé du microprogramme de l’appareil seront mises à jour dans la fenêtre de maintenance suivante. L’état peut être suivi via le registre (UEFICA2023Status et UEFICA2023Error) ou le journal des événements Windows.
-
Options Activé / Désactivé / Non configuré
Cette approche à paramètre unique reste simple pour tous les clients (toujours en utilisant la valeur de 0x5944 recommandée).
Important : Si un contrôle plus précis est nécessaire à l’avenir, des stratégies ou des options supplémentaires peuvent être introduites. Toutefois, les conseils actuels sont que toutes les nouvelles clés de démarrage sécurisé et le nouveau gestionnaire de démarrage doivent être déployés ensemble dans presque tous les scénarios, de sorte qu’un déploiement à un bouton bascule est approprié.
Autorisations de & de sécurité : L’écriture dans la rucheHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet nécessite des privilèges d’administrateur. stratégie de groupe s’exécute en tant que système local sur les clients, qui dispose des droits nécessaires. L’objet de stratégie de groupe lui-même peut être modifié par les administrateurs disposant de droits de gestion stratégie de groupe. Standard sécurité des objets de stratégie de groupe peut empêcher les non-administrateurs de modifier la stratégie.
Le texte anglais utilisé lors de la configuration de la stratégie est le suivant.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
