Mises à jour de certificat de démarrage sécurisé pour Windows 365

Introduction

Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI qui permet de garantir uniquement les exécutions de logiciels approuvés et signés numériquement pendant une séquence de démarrage d’appareil. Les certificats De démarrage sécurisé Microsoft émis en 2011 commencent à expirer en juin 2026. Sans les certificats 2023 mis à jour, les appareils ne recevront plus de nouvelles protections ou atténuations du démarrage sécurisé et du Gestionnaire de démarrage pour les vulnérabilités de niveau de démarrage nouvellement découvertes.

Tous les PC cloud avec démarrage sécurisé approvisionnés dans le service Windows 365 et les images personnalisées utilisées pour les approvisionner doivent être mis à jour vers les certificats 2023 avant l’expiration pour rester protégés. Consultez Quand les certificats de démarrage sécurisé expirent sur les appareils Windows.

Cela s’applique-t-il à mon environnement Windows 365 ?

Scénario	Démarrage sécurisé actif ?	Action requise
PC cloud
PC cloud avec démarrage sécurisé activé	Oui	Mettre à jour les certificats sur le PC cloud
PC cloud avec démarrage sécurisé désactivé	Non	Aucune action nécessaire
Images
image Azure Compute Gallery avec démarrage sécurisé activé	Oui	Mettre à jour les certificats dans l’image source avant la généralisation
image Azure Compute Gallery sans lancement approuvé	Non	Appliquer les mises à jour dans le PC cloud après l’approvisionnement
Image managée (ne prend pas en charge le lancement approuvé)	Non	Appliquer les mises à jour dans le PC cloud après l’approvisionnement

Pour obtenir des informations générales complètes, consultez Mises à jour des certificats de démarrage sécurisé : conseils pour les professionnels de l’informatique et les organisations.

Inventaire et surveillance

Avant de prendre des mesures, stockez votre environnement pour identifier les appareils qui nécessitent des mises à jour. La surveillance est essentielle pour confirmer que les certificats sont appliqués avant l’échéance de juin 2026, même si vous vous appuyez sur des méthodes de déploiement automatique. Vous trouverez ci-dessous des options permettant de déterminer si une action doit être effectuée.

Option 1 : corrections Microsoft Intune

Pour les PC cloud inscrits dans Microsoft Intune, vous pouvez déployer un script de détection à l’aide de corrections Intune (corrections proactives) pour collecter automatiquement les status de certificat de démarrage sécurisé dans votre flotte. Le script s’exécute en mode silencieux sur chaque appareil et signale les status de démarrage sécurisé, la progression de la mise à jour des certificats et les détails de l’appareil dans le portail Intune. Aucune modification n’est apportée aux appareils. Les résultats peuvent être affichés et exportés au format CSV directement à partir du centre d’administration Intune pour une analyse à l’échelle de la flotte.

Pour obtenir des instructions pas à pas sur le déploiement du script de détection, consultez Surveillance de l’état du certificat de démarrage sécurisé avec Microsoft Intune corrections.

Option 2 : Rapport d’état de démarrage sécurisé Windows Autopatch

Pour les PC cloud inscrits auprès de Windows Autopatch, accédez à Intune centre d’administration > Rapports > Windows Autopatch > mises à jour qualité Windows > l’onglet Rapports > démarrage sécurisé status. Consultez le rapport de démarrage sécurisé status dans Windows Autopatch.

Remarque : Pour utiliser Windows Autopatch avec Windows 365, les PC cloud doivent être inscrits auprès du service Windows Autopatch. Consultez Autopatch Windows sur les charges de travail Windows 365 Entreprise.

Option 3 : Clés de Registre pour la surveillance de la flotte

Utilisez vos outils de gestion d’appareils existants pour interroger ces valeurs de Registre dans votre flotte.

Chemin d'accès du Registre	Clé	Fonction
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Status de déploiement actuel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Indique des erreurs (ne doit pas exister)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Indique l’ID d’événement (ne doit pas exister)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bits de mise à jour en attente

Pour plus d’informations sur la clé de Registre, consultez Mises à jour de la clé de Registre pour le démarrage sécurisé.

Option 4 : Analyse du journal des événements

Utilisez vos outils de gestion d’appareils existants pour collecter et surveiller ces ID d’événements à partir du journal des événements système dans votre flotte.

ID d’événement	Emplacement	Signification
1808	Système	Certificats correctement appliqués
1801	Système	Mettre à jour les status ou les détails de l’erreur

Pour obtenir la liste complète des détails des événements, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX.

Option 5 : Script d’inventaire PowerShell

Exécutez l’exemple de script de collecte de données d’inventaire de démarrage sécurisé de Microsoft pour case activée status de mise à jour du certificat de démarrage sécurisé. Le script collecte plusieurs points de données, notamment l’état de démarrage sécurisé, les status de mise à jour UEFI CA 2023, la version du microprogramme et l’activité du journal des événements.

Déploiement

Important : Quelle que soit l’option de déploiement que vous choisissez, nous vous recommandons de surveiller votre flotte d’appareils pour vérifier que les certificats sont correctement appliqués avant l’échéance de juin 2026. Pour les images personnalisées, consultez Considérations relatives aux images personnalisées.

Option 1 : Mises à jour automatique à partir de Windows Update (appareils à haut niveau de confiance)

Microsoft met automatiquement à jour les appareils via des mises à jour mensuelles Windows lorsque des données de télémétrie suffisantes confirment la réussite du déploiement sur des configurations matérielles similaires.

État : Activé par défaut pour les appareils à haut niveau de confiance
Aucune action requise, sauf si vous souhaitez refuser

Registre	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Clé	HighConfidenceOptOut = 1 pour refuser
Stratégie de groupe	Configuration de l’ordinateur > modèles d’administration > composants Windows > démarrage sécurisé > déploiement automatique des certificats via Mises à jour > Défini sur Désactivé pour désactiver

Recommandation : Même si les mises à jour automatiques sont activées, surveillez vos PC cloud pour vérifier que les certificats sont appliqués. Tous les appareils ne peuvent pas être éligibles pour un déploiement automatique à haut niveau de confiance.

Pour plus d’informations, consultez Assistances au déploiement automatisé.

Option 2 : déploiement IT-Initiated

Déclenchez manuellement les mises à jour de certificat pour un déploiement immédiat ou contrôlé.

Méthode	Documentation
Microsoft Intune	Microsoft Intune méthode
Stratégie de groupe	Méthode D’objet de stratégie de groupe
Clés de Registre	Méthode de clé de Registre
WinCS CLI	API WinCS

Remarques :

Ne mélangez pas les méthodes de déploiement lancées par le service informatique (par exemple, Intune et objet de stratégie de groupe) sur le même appareil : elles contrôlent les mêmes clés de Registre et peuvent être en conflit.
Prévoyez environ 48 heures et un ou plusieurs redémarrages pour que les certificats s’appliquent entièrement.

Considérations relatives aux images personnalisées

Les images personnalisées sont entièrement gérées par votre organization. Il vous incombe d’appliquer les mises à jour du certificat de démarrage sécurisé à l’image personnalisée et de la charger à nouveau avant de l’utiliser pour l’approvisionnement.

L’application de mises à jour de certificat de démarrage sécurisé à l’image source est uniquement prise en charge avec les images Azure Compute Gallery (préversion), qui prennent en charge le lancement fiable et le démarrage sécurisé. Les images managées ne prennent pas en charge le démarrage sécurisé. Les mises à jour de certificat ne peuvent donc pas être appliquées au niveau de l’image. Pour les PC cloud approvisionnés à partir d’images managées, appliquez les mises à jour directement sur le PC cloud à l’aide de l’une des méthodes de déploiement ci-dessus.

Avant de généraliser une nouvelle image personnalisée, vérifiez que les certificats sont mis à jour :

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Problèmes connus

La clé de Registre de maintenance n’existe pas

Symptôme	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing chemin d’accès n’existe pas
Cause	Les mises à jour de certificat n’ont pas été lancées sur l’appareil
Résolution	Attendez le déploiement automatique via Windows Update, ou démarrez manuellement à l’aide de l’une des méthodes de déploiement lancées par le service informatique ci-dessus

L’état indique « InProgress » pour une période prolongée

Symptôme	UEFICA2023Status reste « InProgress » après plusieurs jours
Cause	L’appareil peut avoir besoin d’un redémarrage pour terminer le processus de mise à jour
Résolution	Redémarrez le PC cloud et case activée status à nouveau après 15 minutes. Si le problème persiste, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour obtenir des conseils de résolution des problèmes

La clé de Registre UEFICA2023Error existe

Symptôme	La clé de Registre UEFICA2023Error est présente
Cause	Une erreur s’est produite lors du déploiement du certificat
Résolution	Consultez le journal des événements système pour plus d’informations. Consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour obtenir des conseils de résolution des problèmes