Date de publication d’origine : 13 mai 2026

ID de la base de connaissances : 5085395

Cet article contient des conseils pour : 

  • Azure Machines Virtuelles de lancement fiable (TVM) et les machines virtuelles confidentielles (CVM) exécutant Windows avec le démarrage sécurisé activé.

  • Pour obtenir la liste complète des systèmes d’exploitation Windows pris en charge, consultez l’article Lancement fiable pour Azure machines virtuelles

Dans cet article :

Introduction

Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI qui permet de garantir que seuls les logiciels approuvés et signés numériquement s’exécutent pendant la séquence de démarrage de l’appareil. Les certificats de démarrage sécurisé Microsoft émis en 2011 commencent à expirer en juin 2026. 

Pour maintenir les protections de démarrage sécurisé et la maintenance continue du processus de démarrage précoce, Azure lancement fiable et les machines virtuelles confidentielles doivent être mises à jour avec les deux éléments suivants : 

  • Certificats de démarrage sécurisé 2023 dans le microprogramme virtuel

  • Un Gestionnaire de démarrage Windows signé par les certificats mis à jour

Ces composants fonctionnent ensemble : les certificats établissent une approbation dans le microprogramme virtuel, et le gestionnaire de démarrage doit être mis à jour pour être signé par cette approbation. 

Pour éviter les lacunes dans la protection, vérifiez que les deux composants sont mis à jour et lancez des mises à jour si nécessaire. 

Si une machine virtuelle continue de s’appuyer sur les certificats 2011 après l’expiration, elle peut continuer à démarrer et à recevoir des mises à jour Windows standard. Toutefois, il ne recevra plus de nouvelles protections de sécurité pour le processus de démarrage précoce, notamment les mises à jour du Gestionnaire de démarrage Windows, les bases de données de démarrage sécurisé et les listes de révocation, ni des atténuations pour les vulnérabilités de niveau de démarrage nouvellement découvertes. 

Pour plus d’informations, consultez Quand les certificats de démarrage sécurisé expirent sur les appareils Windows.

Retour au début 

Identifier les scénarios qui nécessitent une action

Dans la plupart des cas, Windows applique automatiquement les certificats de démarrage sécurisé 2023 via des mises à jour mensuelles sur les appareils éligibles, y compris les machines virtuelles Azure lancement fiable et confidentielles prises en charge avec le démarrage sécurisé activé. Certaines machines virtuelles peuvent ne pas être éligibles au déploiement automatique si des signaux de compatibilité suffisants ne sont pas disponibles. Dans ce cas, une action administrative peut être nécessaire pour lancer des mises à jour à partir du système d’exploitation invité. Pour plus d’informations sur la façon d’obtenir les mises à jour des certificats de démarrage sécurisé, consultez : Mises à jour des certificats de démarrage sécurisé : Conseils pour les professionnels de l’informatique et les organisations.

Les mises à jour de démarrage sécurisé pour Azure lancement fiable et les machines virtuelles confidentielles impliquent deux composants : 

  • Certificats de démarrage sécurisé stockés dans un microprogramme virtuel (géré par la plateforme)

  • Gestionnaire de démarrage Windows (géré par le système d’exploitation invité)

Les machines virtuelles créées après mars 2024 incluent généralement déjà les certificats De démarrage sécurisé 2023 dans le microprogramme virtuel. Ces machines virtuelles nécessitent généralement uniquement une mise à jour du Gestionnaire de démarrage Windows. 

Les machines virtuelles de longue durée créées avant mars 2024 n’incluent pas les certificats de démarrage sécurisé 2023 dans le microprogramme virtuel et nécessitent des mises à jour des certificats de démarrage sécurisé et du Gestionnaire de démarrage Windows. 

Les opérations de mise à jour sont lancées à partir du système d’exploitation invité via la maintenance Windows et s’appuient sur la prise en charge de la plateforme pour appliquer des mises à jour authentifiées aux variables de démarrage sécurisé dans le microprogramme virtuel. 

Après avoir identifié les scénarios applicables, inventoriez votre environnement pour déterminer quelles machines virtuelles nécessitent des mises à jour. 

Actions requises : 

  • Vérifiez que les machines virtuelles invitées sont mises à jour avec la mise à jour Windows de mars 2026 ou ultérieure (avril 2026 ou version ultérieure si vous utilisez la mise à jour à chaud). En savoir plus : Hotpatch pour Windows Server.

  • Vérifiez que toutes les machines virtuelles de lancement approuvé et confidentielles Azure disposent des certificats Démarrage sécurisé 2023 et d’un Gestionnaire de démarrage Windows mis à jour.

  • Lancez des mises à jour à partir du système d’exploitation invité pour appliquer les mises à jour du certificat de démarrage sécurisé et du Gestionnaire de démarrage Windows si nécessaire.

  • Auditez les journaux des événements du système Windows : ID d’événement 1808 et ID d’événement 1801, ou surveillez la clé de Registre UEFICA2023Status pour vérifier si les certificats de démarrage sécurisé mis à jour ont été appliqués et si le Gestionnaire de démarrage Windows a été mis à jour.

Pour les appareils qui n’ont pas appliqué ces mises à jour, utilisez les méthodes de surveillance et de déploiement décrites dans le playbook de démarrage sécurisé, Windows Server playbook démarrage sécurisé pour les certificats arrivant à expiration en 2026, et à https://aka.ms/GetSecureBoot pour obtenir des conseils complets. 

Retour au début

considérations relatives aux machines virtuelles invitées Azure

Passez en revue les scénarios suivants et les actions requises pour les hôtes de session :

Scénario de machine virtuelle

Démarrage sécurisé actif ?

Action requise

TVM ou CVM avec démarrage sécurisé activé

Oui

Mettre à jour les certificats de démarrage sécurisé et le Gestionnaire de démarrage Windows

TVM avec démarrage sécurisé désactivé

Non

Aucune action nécessaire

Machine virtuelle de génération 1

Non pris en charge

Aucune action nécessaire

Remarque : Standard machines virtuelles de type sécurité n’ont pas le démarrage sécurisé activé. 

Retour au début

Considérations relatives à l’image d’or

Passez en revue les scénarios suivants et les actions requises pour les images :

Remarque : les images Azure Place de marché fournissent des points de départ préconfigurés, des images vanille ou des images par défaut des éditeurs, tandis que les images Azure Compute Gallery sont utilisées pour stocker et distribuer des images personnalisées. Dans les deux cas, les images capturent le Gestionnaire de démarrage Windows, mais n’incluent pas de variables de microprogramme de démarrage sécurisé, qui sont appliquées au niveau de la machine virtuelle.

Organigramme permettant de déterminer si une action est nécessaire pour les images

Azure Compute Gallery et les images managées capturent l’état du système d’exploitation et du chargeur de démarrage, y compris le Gestionnaire de démarrage Windows, mais n’incluent pas les variables du microprogramme de démarrage sécurisé. Les certificats de démarrage sécurisé, tels que les mises à jour de la base de données de démarrage sécurisé (DB) ou des clés d’échange de clés (KEK), sont stockés dans le microprogramme virtuel de la machine virtuelle déployée et ne sont pas capturés pendant la généralisation de l’image. 

L’application des mises à jour de démarrage sécurisé dans une image dorée fait avancer le Gestionnaire de démarrage Windows, mais ne conserve pas les certificats de démarrage sécurisé sur les machines virtuelles approvisionnées à partir de cette image. Toutefois, l’exécution de cette mise à jour avance le Gestionnaire de démarrage Windows dans l’image.

Actions requises :

  • Appliquez la mise à jour Démarrage sécurisé 2023 à l’image dorée avant de la capturer. Remarque : Cela fait progresser le Gestionnaire de démarrage Windows, mais ne conserve pas les certificats de démarrage sécurisé sur les machines virtuelles déployées.

  • Redémarrez la machine virtuelle si nécessaire pour permettre l’application de la mise à jour du Gestionnaire de démarrage.

  • Vérifiez que la mise à jour est terminée avant de généraliser l’image en exécutant la commande PowerShell suivante et en confirmant que la valeur est définie sur Mise à jour :

    Get-ItemProperty « HKLM :\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing » | Select-Object UEFICA2023Status 

La mise à jour du Gestionnaire de démarrage Windows dans une image en or s’applique à cette mise à jour aux machines virtuelles déployées ou redéployées à l’aide de l’image. Les nouvelles machines virtuelles Azure lancement fiable et confidentiel incluent les certificats de démarrage sécurisé 2023 dans le microprogramme virtuel et peuvent utiliser en toute sécurité des images dorées avec le Gestionnaire de démarrage Windows mis à jour. 

Toutefois, les redéploiements basés sur des images sur des machines virtuelles existantes créées avant mars 2024 peuvent appliquer le Gestionnaire de démarrage Windows mis à jour aux machines virtuelles dont le microprogramme n’approuve pas encore les certificats de démarrage sécurisé 2023 correspondants. Dans ce cas, les mises à jour de certificat de démarrage sécurisé doivent être appliquées dans le système d’exploitation invité avant de faire avancer le Gestionnaire de démarrage Windows.

Retour au début 

Autres considérations relatives aux ressources Azure

ressource Azure

Créé avant avril 2024 ?

Action requise

Sauvegarde/instantané de TVM ou CVM

Oui

Démarrer la machine virtuelle, appliquer des mises à jour, puis recapturer

Sauvegarde/instantané de TVM ou CVM

Non

Aucune action nécessaire

Azure captures d’images Compute Gallery avec (type de sécurité d’image = TL ou CVM) à partir de TVM ou CVM

Oui

Démarrer la machine virtuelle, appliquer des mises à jour, puis recapturer

Azure captures d’images Compute Gallery avec (type de sécurité d’image = TL ou CVM) à partir de TVM ou CVM

Non

Aucune action nécessaire

Retour au début 

Surveiller les status de mise à jour

La surveillance et le déploiement des mises à jour de certificat de démarrage sécurisé dans Azure lancement fiable et les machines virtuelles confidentielles suivent les mêmes instructions de maintenance Windows que celles utilisées pour les appareils physiques et virtualisés. 

Pour obtenir des conseils de surveillance détaillés, notamment sur l’inventaire des appareils, la vérification des mises à jour des variables de microprogramme et le suivi de la progression des mises à jour, consultez le playbook de démarrage sécurisé pour Windows Server et https://aka.ms/GetSecureBoot.

Déployer des mises à jour

Les mises à jour de certificat de démarrage sécurisé pour Azure lancement approuvé et les machines virtuelles confidentielles sont lancées à partir du système d’exploitation invité à l’aide de la maintenance Windows.  

Suivez les instructions de déploiement dans le playbook de démarrage sécurisé pour Windows Server pour :

  • déploiement automatique via Windows Update

  • Méthodes de déploiement lancées par le service informatique

  • maintenance des clés de Registre

  • séquencement de déploiement

Lorsque vous utilisez des images de machine virtuelle personnalisées ou réutilisées, consultez considérations relatives aux images d’or dans cet article avant de faire progresser le Gestionnaire de démarrage Windows. 

Retour au début

Ressources

Si vous avez un plan de support et que vous avez besoin d’aide technique, envoyez une demande de support. 

Retour au début

Journal des modifications

Modifier la date

Modifier la description

13 mai 2026

Aucun changement n’est apporté à cet article

Retour au début

Facebook LinkedIn E-mail

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité