S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Date de publication d’origine : 4 décembre 2025

ID de la base de connaissances : 5073196

Cet article contient des conseils pour : 

  • Organisations qui ont leur propre service informatique qui gère les appareils et les mises à jour Windows.

Remarque : Si vous êtes un particulier qui possède un appareil Windows personnel, consultez l’article Appareils Windows pour les particuliers, les entreprises et les établissements scolaires avec des mises à jour gérées par Microsoft. ​​​​​​​

Disponibilité de cette prise en charge

  • 11 novembre 2025 : pour les versions de Windows 11 et Windows 10 toujours en charge.

Dans cet article :

Introduction

Ce document décrit la prise en charge du déploiement, de la gestion et de la surveillance des mises à jour de certificat de démarrage sécurisé à l’aide de la Microsoft Intune. Les paramètres se composent des éléments suivants :

  • La possibilité de déclencher le déploiement sur un appareil

  • Paramètre permettant d’accepter/de refuser des compartiments à haut niveau de confiance

  • Paramètre permettant d’accepter/de refuser la gestion des mises à jour par Microsoft

Microsoft Intune méthode de configuration

Cette méthode offre un paramètre de démarrage sécurisé à l’aide de Microsoft Intune que les administrateurs de domaine peuvent définir pour déployer les mises à jour de démarrage sécurisé sur tous les clients Windows joints à un domaine. En outre, deux assistances de démarrage sécurisé peuvent être gérées avec les paramètres d’adhésion/refus.

Dans Microsoft Intune,

  1. Sous Appareils > Gérer les appareils, sélectionnez Configuration.

  2. Sélectionnez Créer , puis nouvelle stratégie.

    • Accédez à Créer un profil dans le volet droit.

    • Renseignez Plateforme avec Windows 10 et versions ultérieures.

  3. Sélectionnez le catalogue de paramètres sous Type de profil Ajout d’une image

  4. Commencez à créer un profil en lui attribuant un nom. Dans cet exemple, nous utilisons « Démarrage sécurisé » comme nom. Appuyez sur Suivant.img

  5. Sous Paramètres de configuration, sélectionnez Ajouter des paramètres et utilisez le sélecteur Paramètres pour rechercher les paramètres de démarrage sécurisé en recherchant Démarrage sécurisé. Vous devez voir trois paramètres dans la catégorie Démarrage sécurisé. Il s’agit des mêmes paramètres que ceux décrits dans les documents Mises à jour de la clé de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique et la méthode stratégie de groupe Objects (GPO) du démarrage sécurisé pour les appareils Windows avec mises à jour gérées par le service informatique.

    • Activer le certificat de démarrage sécurisé Mises à jour est sélectionné par défaut et activé.

    • Les paramètres d’inscription et de refus décrits ci-dessous peuvent être configurés pour répondre aux besoins de votre environnement et de déploiement.  ajouté

  6. Terminez le profil des appareils qui utiliseront ces paramètres.

Description du paramètre

Configurer l’option d’inscription managée Microsoft Update

nom du paramètre Microsoft Intune : Configurer l’abonnement géré Microsoft Update

Description : Cette stratégie permet aux entreprises de participer au déploiement de fonctionnalités contrôlées de la mise à jour de certificat de démarrage sécurisé gérée par Microsoft.

  • Activé : Microsoft aide à déployer des certificats sur des appareils inscrits dans le cadre du déploiement.

  • Désactivé (par défaut) : aucune participation au déploiement contrôlé.

Configuration requise :

Configurer un Opt-Out de confiance élevée

Nom du paramètre Microsoft Intune : Configurer un Opt-Out de confiance élevée

Description : Cette stratégie contrôle si les mises à jour de certificat de démarrage sécurisé sont appliquées automatiquement via des mises à jour de sécurité mensuelles windows et non liées à la sécurité. Les appareils que Microsoft a validés comme étant capables de traiter les mises à jour des variables de démarrage sécurisé recevront ces mises à jour dans le cadre des mises à jour mensuelles cumulatives et les appliqueront automatiquement. Étant donné que toutes les combinaisons de matériel et de microprogramme ne peuvent pas être validées de manière exhaustive, Microsoft s’appuie sur des données de test et de diagnostic ciblées pour déterminer la préparation des appareils. Seuls les appareils disposant de données de diagnostic suffisantes peuvent être considérés avec un niveau de confiance élevé ; si les données de diagnostic ne sont pas disponibles pour un appareil donné, elles ne peuvent pas être classifiées avec un niveau de confiance élevé.

  • Activé : le déploiement automatique via des mises à jour mensuelles est bloqué.

  • Désactivé (par défaut) : les appareils qui ont validé leurs résultats de mise à jour recevront automatiquement les mises à jour de certificat dans le cadre des mises à jour mensuelles.

Remarques:

  • Les appareils prévus sont confirmés pour traiter correctement les mises à jour.

  • Configurez cette stratégie pour gérer le déploiement automatique via des mises à jour mensuelles.

  • Correspond à la clé de Registre HighConfidenceOptOut.

Activer l’Mises à jour de certificat de démarrage sécurisé

Nom du paramètre Microsoft Intune : Activer l’Mises à jour du certificat de démarrage sécurisé

Description : Cette stratégie détermine si Windows lance le processus de déploiement de certificat de démarrage sécurisé sur les appareils.

  • Activé : Windows commence automatiquement à déployer des certificats de démarrage sécurisé mis à jour.

  • Désactivé (par défaut) : Windows ne déploie pas automatiquement les certificats.

Remarques:

  • La tâche qui traite ce paramètre s’exécute toutes les 12 heures. Certaines mises à jour peuvent nécessiter un redémarrage pour être effectuées en toute sécurité.

  • Une fois que les certificats sont appliqués au microprogramme, ils ne peuvent pas être supprimés de Windows. L’effacement des certificats doit être effectué via l’interface du microprogramme.

  • Correspond à la clé de Registre AvailableUpdates.

Ressources

Pour plus d’informations sur les clés de registre UEFICA2023Status et UEFICA2023Error, consultez également Mises à jour de clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique pour plus d’informations sur les clés de Registre UEFICA2023Status et UEFICA2023Error.

Consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour les événements utiles pour comprendre les status des appareils, des attributs d’appareil et des ID de compartiment d’appareil. Portez une attention particulière aux événements 1801 et 1808 décrits sur la page des événements.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité