S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Date de publication d’origine : 14 octobre 2025

ID de la base de connaissances : 5068202

Cet article contient des conseils pour :  

  • Organisations disposant d’appareils Windows gérés par le service informatique et de mises à jour.

Disponibilité de cette prise en charge :  

  • Les clés de Registre AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut et MicrosoftUpdateManagedOptIn sont incluses dans les mises à jour publiées à ou après les dates suivantes :

    • 14 octobre 2025 : les versions prises en charge incluent Windows 10, la version 22H2 et les versions ultérieures (y compris 21H2 LTSC), toutes les versions prises en charge de Windows 11 ainsi que Windows Server 2022 et versions ultérieures.

    • 11 novembre 2025 : pour les versions de Windows toujours prises en charge.

Dans cet article

Introduction

Ce document décrit la prise en charge du déploiement, de la gestion et de la surveillance des mises à jour de certificat de démarrage sécurisé à l’aide de clés de Registre Windows. Les clés se composent des éléments suivants : 

  • Une clé pour déclencher le déploiement des certificats et du gestionnaire de démarrage sur l’appareil.

  • Deux clés pour la surveillance status du déploiement.

  • Deux clés pour la gestion des paramètres d’adhésion/de refus pour les deux assistances de déploiement disponibles.

Ces clés de Registre peuvent être définies manuellement sur l’appareil ou à distance via le logiciel de gestion de flotte disponible. D’autres méthodes de déploiement, telles que stratégie de groupe, Intune et WinCS, sont décrites dans l’article Appareils Windows pour les entreprises et les organisations avec des mises à jour gérées par le service informatique.  

Clés de Registre de démarrage sécurisé

Contenu de cette section

Clés de Registre

Toutes les clés de Registre de démarrage sécurisé décrites dans ce document se trouvent sous ce chemin d’accès au Registre : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Le tableau suivant décrit chacune des valeurs de Registre. 

Valeur de Registre

Type

Description & utilisation

AvailableUpdates

REG_DWORD (masque de bits)

Mettre à jour les indicateurs de déclencheur.

Contrôle les actions de mise à jour de démarrage sécurisé à effectuer sur l’appareil. La définition du champ de bits approprié ici lance le déploiement de nouveaux certificats de démarrage sécurisé et des mises à jour associées. Pour le déploiement d’entreprise, cette valeur doit être définie sur 0x5944 (hexadécimal), une valeur qui active toutes les mises à jour pertinentes (ajout des nouveaux certificats d’autorité de certification 2023, mise à jour de la clé KEK et installation du nouveau gestionnaire de démarrage). 

Paramètres, procédez comme suit : 

  • 0 ou non défini : aucune mise à jour de la clé de démarrage sécurisé n’est effectuée.

  • 0x5944 : déployer tous les certificats nécessaires et effectuer une mise à jour vers le gestionnaire de démarrage PCA2023 signé

UEFICA2023Status

REG_SZ (chaîne)

Indicateur de status de déploiement.

Reflète l’état actuel de la mise à jour de la clé de démarrage sécurisé sur l’appareil. Il sera défini sur l’une des valeurs de texte suivantes :

  • NotStarted :La mise à jour n’a pas encore été exécutée.

  • InProgress :La mise à jour est activement en cours.

  • Actualisé: La mise à jour s’est terminée avec succès.

Initialement, le status est NotStarted. Elle passe à InProgress une fois la mise à jour commencée, puis à Mise à jour lorsque toutes les nouvelles clés et le nouveau gestionnaire de démarrage ont été déployés. En cas d’erreur, la valeur de Registre UEFICA2023Error est définie sur un code différent de zéro.

UEFICA2023Error

REG_DWORD (code)

Code d’erreur (le cas échéant).

Cette valeur reste 0 en cas de réussite. Si le processus de mise à jour rencontre une erreur, UEFICA2023Error est défini sur un code d’erreur différent de zéro correspondant à la première erreur rencontrée. Une erreur ici implique que la mise à jour du démarrage sécurisé n’a pas réussi entièrement et peut nécessiter une investigation ou une correction sur cet appareil.  

Par exemple, si la mise à jour de la base de données (base de données de signatures approuvées) a échoué en raison d’un problème de microprogramme, cette clé de Registre peut afficher un code d’erreur qui peut être mappé à un journal des événements ou un ID d’erreur documenté dans les événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX

HighConfidenceOptOut

REG_DWORD

Option de refus.

Pour les entreprises qui souhaitent refuser les compartiments à haut niveau de confiance qui seront automatiquement appliqués dans le cadre de la LCU.

Vous pouvez définir cette clé sur une valeur différente de zéro pour refuser les compartiments à haut niveau de confiance. 

Paramètres 

  • 0 ou la clé n’existe pas – Opt-in

  • 1 – S’inscrire

MicrosoftUpdateManagedOptIn

REG_DWORD

Option d’adhésion.

Pour les entreprises qui souhaitent s’abonner à la maintenance cfR (Controlled Feature Rollout), également appelée Microsoft Managed.

En plus de définir cette clé, autorisez l’envoi des données de diagnostic requises (consultez Configurer les données de diagnostic Windows dans votre organization). 

Paramètres

  • 0 ou la clé n’existe pas – Refuser

  • 1 – S’inscrire

Fonctionnement de ces clés ensemble

L’administrateur informatique configure la valeur de Registre AvailableUpdates sur 0x5944, ce qui indique à Windows d’exécuter la mise à jour et l’installation de la clé de démarrage sécurisé sur l’appareil.

À mesure que le processus s’exécute, le système met à jour UEFICA2023Status de NotStarted à InProgress, puis à Update en cas de réussite. À mesure que chaque bit dans 0x5944 est traité avec succès, il est effacé.

Si une étape échoue, un code d’erreur est enregistré dans UEFICA2023Error (et le status reste InProgress).

Ce mécanisme offre aux administrateurs un moyen clair de déclencher et de suivre le déploiement par appareil. 

Déploiement à l’aide de clés de Registre 

Le déploiement sur un groupe d’appareils se compose des étapes suivantes : 

  1. Définissez la valeur de Registre AvailableUpdates sur 0x5944 sur chacun des appareils à mettre à jour.

  2. Surveillez les clés de Registre UEFICA2023Status et UEFICA2023Error pour voir que les appareils progressent. N’oubliez pas que la tâche qui traite ces mises à jour s’exécute toutes les 12 heures. Notez que la mise à jour du gestionnaire de démarrage peut ne pas se produire tant qu’un redémarrage n’a pas eu lieu.

  3. Examinez les problèmes s’ils se produisent. Si UEFICA2023Error est différent de zéro sur un appareil, vous pouvez case activée le journal des événements pour les événements liés à ce problème. Consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour obtenir la liste complète des événements de démarrage sécurisé.

Remarque sur les redémarrages : Bien qu’un redémarrage puisse être nécessaire pour terminer le processus, le lancement du déploiement des mises à jour de démarrage sécurisé n’entraîne pas de redémarrage. Si un redémarrage est nécessaire, le déploiement du démarrage sécurisé s’appuie sur les redémarrages qui se produisent normalement lors de l’utilisation de l’appareil. 

Test d’appareil à l’aide de clés de Registre 

Lorsque vous testez des appareils individuels pour vous assurer que les appareils traitent correctement les mises à jour, les clés de Registre peuvent être un moyen simple de tester. 

Pour tester, exécutez chacune des commandes suivantes séparément à partir d’une invite PowerShell administrateur : 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName « \Microsoft\Windows\PI\Secure-Boot-Update »

La première commande lance le déploiement du certificat et du gestionnaire de démarrage sur l’appareil. La deuxième commande entraîne l’exécution immédiate de la tâche qui traite la clé de Registre AvailableUpdates . Normalement, la tâche s’exécute toutes les 12 heures. 

Vous pouvez trouver les résultats en observant les clés de Registre UEFICA2023Status et UEFICA2023Error , ainsi que les journaux des événements, comme décrit dans Événements de mise à jour des variables DB de démarrage sécurisé et DBX

Opt-in et opt-out pour les assistances 

Les clés de Registre HighConfidenceOptOut et MicrosoftUpdateManagedOptIn peuvent être utilisées pour gérer les deux « assistances » de déploiement décrites dans Appareils Windows avec mises à jour gérées par le service informatique

  • La clé de Registre HighConfidenceOptOut contrôle la mise à jour automatique des appareils via les mises à jour cumulatives. Pour les appareils sur lesquels Microsoft a observé que des appareils spécifiques se mettent à jour avec succès, ils sont considérés comme des appareils « à haute confiance » et les mises à jour du certificat de démarrage sécurisé se produisent automatiquement. Paramètre par défaut pour cette option choisie.

  • La clé de Registre MicrosoftUpdateManagedOptIn permet aux services informatiques de choisir le déploiement automatique géré par Microsoft. Ce paramètre est désactivé par défaut et il est défini sur 1 opts-in. Ce paramètre nécessite également que l’appareil envoie des données de diagnostic facultatives.

Versions prises en charge de Windows

Ce tableau décompose davantage la prise en charge en fonction de la clé de Registre. 

Clé 

Versions prises en charge de Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Toutes les versions de Windows qui prennent en charge le démarrage sécurisé (Windows Server 2012 et versions ultérieures de Windows).  

Note: Bien que les données de confiance soient collectées sur Windows 10, versions LTSC, 22H2 et versions ultérieures de Windows, elles peuvent être appliquées aux appareils exécutant des versions antérieures de Windows.    

  • Windows 10, versions LTSC et 22H2

  • Windows 11, versions 22H2 et 23H2

  • Windows 11, version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Événements d’erreur de démarrage sécurisé

​​​​​​​​​​​​​​Les événements d’erreur ont une fonction de rapport critique pour informer sur l’état et la progression du démarrage sécurisé.  Pour plus d’informations sur les événements d’erreur, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX. Les événements d’erreur sont mis à jour avec des informations supplémentaires sur les événements pour le démarrage sécurisé. 

Modifications de composants supplémentaires pour le démarrage sécurisé 

Contenu de cette section

Modifications de TPMTasks 

Modifiez les tâches TPM pour déterminer si l’état de l’appareil comporte les certificats de démarrage sécurisé mis à jour. Actuellement, il peut effectuer cette détermination, mais uniquement si CFR sélectionne une machine pour la mise à jour. Cette détermination et la journalisation ultérieure doivent se produire à chaque session de démarrage, quel que soit le CFR. Si les certificats de démarrage sécurisé ne sont pas entièrement à jour, ils émettent les deux événements d’erreur décrits ci-dessus. Si les certificats sont à jour, ils émettent l’événement Information. Les certificats de démarrage sécurisé qui seront vérifiés sont les suivants :  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 et Microsoft Option ROM UEFI CA 2023 : ces deux autorités de certification doivent être présentes uniquement si Microsoft UEFI CA 2011 est présente. Si Microsoft UEFI CA 2011 n’est pas présent, aucune case activée n’est nécessaire.

  • Microsoft Corporation KEK 2K CA 2023

Événement de métadonnées de machine 

Cet événement collecte les métadonnées de la machine et émet l’événement suivant :

  • BucketId + Événement d’évaluation de confiance   

Cet événement utilise les métadonnées de l’ordinateur pour rechercher l’entrée correspondante dans la base de données des machines (entrée de compartiment). La machine met en forme et émet un événement avec ces données, ainsi que toutes les informations de confiance concernant le compartiment. ​​​​​​​ 

Assistance d’appareil à haut niveau de confiance 

Pour les appareils dans des compartiments à haut niveau de confiance, les certificats de démarrage sécurisé et le gestionnaire de démarrage signé 2023 sont automatiquement appliqués.   

La mise à jour est déclenchée en même temps que les deux événements d’erreur sont générés, et l’événement BucketId + Confidence Rating inclut un niveau de confiance élevé.   

Refuser

Pour les clients qui souhaitent refuser, une nouvelle clé de Registre sera disponible comme suit :   

Emplacement du Registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nom de la touche

HighConfidenceOptOut

Type de clé

DWORD

Valeur DWORD

0 ou la clé n’existe pas : l’assistance à haut niveau de confiance est activée.    

1 – L’assistance à haut niveau de confiance est désactivée   

Toute autre valeur n’est pas définie   

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité