S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Date de publication d’origine : 14 octobre 2025

ID de la base de connaissances : 5068202

Cet article contient des conseils pour :  

  • Organisations disposant d’appareils Windows gérés par le service informatique et de mises à jour.

Disponibilité de cette prise en charge :  

Les clés de Registre AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut et MicrosoftUpdateManagedOptIn sont incluses dans les mises à jour publiées à ou après les dates suivantes :

  • 14 octobre 2025 : Les versions prises en charge incluent Windows 10, la version 22H2 et les versions ultérieures (y compris 21H2 LTSC), toutes les versions prises en charge de Windows 11 ainsi que Windows Server 2022 et versions ultérieures.

  • 11 novembre 2025 : Pour les versions de Windows toujours prises en charge.

Modifier la date

Modifier la description

4 novembre 2025

  • Ajout d’une clé de Registre supplémentaire à la page.

  • Correction d’une instruction de « Par exemple, si la mise à jour de la base de données (base de données de signatures approuvées) a échoué en raison d’un problème de microprogramme, cette clé de Registre peut afficher un code d’erreur qui peut être mappé à un journal des événements ou à un ID d’erreur documenté dans » pour indiquer « Par exemple, si la mise à jour de la base de données (base de données de signatures approuvées) a échoué en raison d’un problème de microprogramme, cette clé de Registre peut afficher un code d’erreur à partir du microprogramme. Lorsque cette clé existe et est différente de zéro, nous vous recommandons de rechercher les événements de démarrage sécurisé dans les journaux des événements Windows. Pour plus d’informations, consultez (lien).

  • Ajout de deux chemins distincts pour les clés de Registre ci-dessous

11 novembre 2025

  • Mise à jour du paragraphe sous Test d’appareil à l’aide de clés de Registre avec des informations supplémentaires : « La clé de Registre doit rapidement passer à 0x4100. Le redémarrage et l’exécution de la tâche entraînent la mise à jour du gestionnaire de démarrage et la mise à jour disponible 0x0100. Pour plus d’informations sur le comportement de AvailableUpdates, consultez Résolution des problèmes. »

  • Mettez à jour le texte dans la zone grise sous Test de l’appareil à l’aide de clés de Registre pour avoir deux commandes PowerShell supplémentaires

  • Sous les clés de Registre, la valeur de registre -MicrosoftUpdateManagedOptIn a été remplacée de « 1 - Opt in » à « 1 ou toute valeur non nulle – Opt in »

16 novembre 2025

Mise à jour du contenu sous « Test d’appareil à l’aide de clés de Registre ». La valeur de mise à jour disponible est passée de « 0x0100 » à « 0x4000 ».

Dans cet article

Introduction

Ce document décrit la prise en charge du déploiement, de la gestion et de la surveillance des mises à jour de certificat de démarrage sécurisé à l’aide de clés de Registre Windows. Les clés se composent des éléments suivants : 

  • Une clé pour déclencher le déploiement des certificats et du gestionnaire de démarrage sur l’appareil.

  • Deux clés pour la surveillance status du déploiement.

  • Deux clés pour gérer les paramètres d’adhésion/de refus pour les deux assistances de déploiement disponibles.

Ces clés de Registre peuvent être définies manuellement sur l’appareil ou à distance via le logiciel de gestion de flotte disponible. D’autres méthodes de déploiement, telles que stratégie de groupe, Microsoft Intune et WinCS, sont décrites dans l’article Appareils Windows pour les entreprises et les organisations avec des mises à jour gérées par le service informatique.  

Clés de Registre de démarrage sécurisé

Contenu de cette section

Clés de Registre

Toutes les clés de Registre de démarrage sécurisé décrites ci-dessous se trouvent sous ce chemin de Registre : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Le tableau suivant décrit chacune des valeurs de Registre :

Valeur de Registre

Type

Description et utilisation

AvailableUpdates

REG_DWORD (masque de bits)

Mettre à jour les indicateurs de déclencheur.

Contrôle les actions de mise à jour de démarrage sécurisé à effectuer sur l’appareil. La définition du champ de bits approprié ici lance le déploiement de nouveaux certificats de démarrage sécurisé et des mises à jour associées. Pour le déploiement d’entreprise, cette valeur doit être définie sur 0x5944 (hexadécimal), une valeur qui active toutes les mises à jour pertinentes (ajout des nouveaux certificats d’autorité de certification 2023, mise à jour de la clé KEK et installation du nouveau gestionnaire de démarrage). 

Paramètres

  • 0 ou non défini : aucune mise à jour de la clé de démarrage sécurisé n’est effectuée.

  • 0x5944 : déployer tous les certificats nécessaires et effectuer une mise à jour vers le gestionnaire de démarrage PCA2023 signé

HighConfidenceOptOut

REG_DWORD

Option de désactivation.

Pour les entreprises qui souhaitent refuser les compartiments à haut niveau de confiance qui seront automatiquement appliqués dans le cadre de la LCU.

Vous pouvez définir cette clé sur une valeur différente de zéro pour refuser les compartiments à haut niveau de confiance. 

Paramètres 

  • 0 ou la clé n’existe pas – Accepter

  • 1 – Refuser

MicrosoftUpdateManagedOptIn

REG_DWORD

Option d’adhésion.

Pour les entreprises qui souhaitent s’abonner à la maintenance cfR (Controlled Feature Rollout), également appelée Microsoft Managed.

En plus de définir cette clé, autorisez l’envoi des données de diagnostic requises (consultez Configurer les données de diagnostic Windows dans votre organization). 

Paramètres

  • 0 ou la clé n’existe pas – Désactiver

  • 1 ou toute valeur   différente de zéro– S’inscrire

Toutes les clés de Registre de démarrage sécurisé décrites ci-dessous se trouvent sous ce chemin de Registre : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Le tableau suivant décrit chacune des valeurs de Registre :

Valeur de Registre

Type

Description et utilisation

UEFICA2023Status

REG_SZ (chaîne)

Indicateur de status de déploiement.

Reflète l’état actuel de la mise à jour de la clé de démarrage sécurisé sur l’appareil. Il sera défini sur l’une des valeurs de texte suivantes :

  • NotStarted : la mise à jour n’a pas encore été exécutée.

  • InProgress : la mise à jour est activement en cours.

  • Mise à jour : la mise à jour s’est terminée avec succès.

Initialement, le status est NotStarted. Elle passe à InProgress une fois la mise à jour commencée, puis à Mise à jour lorsque toutes les nouvelles clés et le nouveau gestionnaire de démarrage ont été déployés. En cas d’erreur, la valeur de Registre UEFICA2023Error est définie sur un code différent de zéro.

UEFICA2023Error

REG_DWORD (code)

Code d’erreur (le cas échéant).

Cette valeur reste 0 en cas de réussite. Si le processus de mise à jour rencontre une erreur, UEFICA2023Error est défini sur un code d’erreur différent de zéro correspondant à la première erreur rencontrée. Une erreur ici implique que la mise à jour du démarrage sécurisé n’a pas réussi entièrement et peut nécessiter une investigation ou une correction sur cet appareil.  

Par exemple, si la mise à jour de la base de données (base de données de signatures approuvées) a échoué en raison d’un problème de microprogramme, cette clé de Registre peut afficher un code d’erreur du microprogramme. Lorsque cette clé existe et est différente de zéro, nous vous recommandons de rechercher les événements de démarrage sécurisé dans les journaux des événements Windows. Pour plus d’informations, consultez Événements de mise à jour de la variable DB de démarrage sécurisé et DBX.

WindowsUEFICA2023Capable

REG_DWORD (code)

Cette clé de Registre est destinée aux scénarios de déploiement limités et n’est pas recommandée pour une utilisation générale. Dans la plupart des cas, utilisez plutôt la clé de Registre UEFICA2023Status.

Valeurs valides :

0 – ou la clé n’existe pas – le certificat « Windows UEFI CA 2023 » n’est pas dans la base de données

1 - Le certificat « Windows UEFI CA 2023 » se trouve dans la base de données

2 - Le certificat « Windows UEFI CA 2023 » se trouve dans la base de données et le système démarre à partir du gestionnaire de démarrage signé 2023

Fonctionnement de ces clés ensemble

Les administrateurs informatiques configurent la valeur de Registre AvailableUpdates pour 0x5944, ce qui indique à Windows d’exécuter la mise à jour et l’installation de la clé de démarrage sécurisé sur l’appareil.

À mesure que le processus s’exécute, le système met à jour UEFICA2023Status de NotStarted à InProgress, puis à Update en cas de réussite. À mesure que chaque bit dans 0x5944 est traité avec succès, il est effacé.

Si une étape échoue, un code d’erreur est enregistré dans UEFICA2023Error (et le status reste InProgress).

Ce mécanisme offre aux administrateurs un moyen clair de déclencher et de suivre le déploiement par appareil. 

Déploiement à l’aide de clés de Registre 

Le déploiement sur un groupe d’appareils se compose des étapes suivantes : 

  1. Définissez la valeur de Registre AvailableUpdates sur 0x5944 sur chacun des appareils à mettre à jour.

  2. Surveillez les clés de Registre UEFICA2023Status et UEFICA2023Error pour voir que les appareils progressent. La tâche qui traite ces mises à jour s’exécute toutes les 12 heures. Notez que la mise à jour du gestionnaire de démarrage peut ne pas se produire tant qu’un redémarrage n’a pas eu lieu.

  3. Examinez les problèmes s’ils se produisent. Si UEFICA2023Error est différent de zéro sur un appareil, vous pouvez case activée le journal des événements pour les événements liés à ce problème. Consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX pour obtenir la liste complète des événements de démarrage sécurisé.

Remarque sur les redémarrages : Bien qu’un redémarrage puisse être nécessaire pour terminer le processus, le lancement du déploiement des mises à jour de démarrage sécurisé n’entraîne pas de redémarrage. Si un redémarrage est nécessaire, le déploiement du démarrage sécurisé s’appuie sur les redémarrages qui se produisent normalement lors de l’utilisation de l’appareil. 

Test d’appareil à l’aide de clés de Registre 

Lorsque vous testez des appareils individuels pour vous assurer que les appareils traitent correctement les mises à jour, les clés de Registre peuvent être un moyen simple de tester. 

Pour tester, exécutez chacune des commandes suivantes séparément à partir d’une invite PowerShell administrateur : 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName « \Microsoft\Windows\PI\Secure-Boot-Update »

Redémarrez manuellement le système lorsque availableUpdates devient 0x4100

Start-ScheduledTask -TaskName « \Microsoft\Windows\PI\Secure-Boot-Update »

La première commande lance le déploiement du certificat et du gestionnaire de démarrage sur l’appareil. La deuxième commande entraîne l’exécution immédiate de la tâche qui traite la clé de Registre AvailableUpdates . Normalement, la tâche s’exécute toutes les 12 heures. La clé de Registre doit rapidement passer à 0x4100. Le redémarrage et l’exécution de la tâche entraînent la mise à jour du gestionnaire de démarrage et l'0x4000 availableUpdates. Pour plus d’informations sur le comportement de AvailableUpdates, consultez Résolution des problèmes.

Vous pouvez trouver les résultats en observant les clés de Registre UEFICA2023Status et UEFICA2023Error , ainsi que les journaux des événements, comme décrit dans Événements de mise à jour des variables DB de démarrage sécurisé et DBX

Accepter et refuser les assistances 

Les clés de Registre HighConfidenceOptOut et MicrosoftUpdateManagedOptIn peuvent être utilisées pour gérer les deux « assistances » de déploiement décrites dans Appareils Windows avec mises à jour gérées par le service informatique

  • La clé de Registre HighConfidenceOptOut contrôle la mise à jour automatique des appareils via les mises à jour cumulatives. Pour les appareils sur lesquels Microsoft a observé que des appareils spécifiques se mettent à jour avec succès, ils sont considérés comme des appareils « à haute confiance » et les mises à jour du certificat de démarrage sécurisé se produisent automatiquement. Le paramètre par défaut est l’option d’adhésion.

  • La clé de Registre MicrosoftUpdateManagedOptIn permet aux services informatiques de choisir le déploiement automatique géré par Microsoft. Ce paramètre est désactivé par défaut et il est défini sur 1 opts-in. Ce paramètre nécessite également que l’appareil envoie des données de diagnostic facultatives.

Versions prises en charge de Windows

Ce tableau décompose davantage la prise en charge en fonction de la clé de Registre. 

Clé 

Versions prises en charge de Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Toutes les versions de Windows qui prennent en charge le démarrage sécurisé (Windows Server 2012 et versions ultérieures de Windows).  

Note: Bien que les données de confiance soient collectées sur Windows 10, versions LTSC, 22H2 et versions ultérieures de Windows, elles peuvent être appliquées aux appareils exécutant des versions antérieures de Windows.    

  • Windows 10, versions LTSC et 22H2

  • Windows 11, versions 22H2 et 23H2

  • Windows 11, version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Événements d’erreur de démarrage sécurisé

​​​​​​​​​​​​​​Les événements d’erreur ont une fonction de rapport critique pour informer sur l’état et la progression du démarrage sécurisé.  Pour plus d’informations sur les événements d’erreur, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX. Les événements d’erreur sont mis à jour avec des informations supplémentaires sur les événements pour le démarrage sécurisé. 

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité