S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Date de publication d’origine : 18 février 2026

ID de la base de connaissances : 5080921

Cet article contient des conseils pour :

  • Administrateurs informatiques qui ont besoin d’une visibilité sur les status de mise à jour de certificat de démarrage sécurisé à partir de leurs appareils Windows inscrits Intune

  • Organisations se préparant à l’échéance d’expiration du certificat de démarrage sécurisé de juin 2026

  • Teams qui souhaitent surveiller la progression du déploiement des certificats sur leurs appareils Windows inscrits Intune

Dans cet article :

Introduction

Les certificats de démarrage sécurisé Microsoft (autorités de certification 2011) expirent à partir de juin 2026. Tous les appareils Windows avec démarrage sécurisé activé doivent être mis à jour vers les certificats 2023 avant l’expiration pour garantir la prise en charge continue des mises à jour de sécurité. 

Ce guide fournit une approche de surveillance uniquement utilisant des corrections Microsoft Intune (corrections proactives). Le script de détection collecte le démarrage sécurisé et les status de certificat de chaque appareil et les signale au portail Intune. Aucune action de correction n’est effectuée sur les appareils. Cela donne aux administrateurs une vue centralisée et exportable de la progression de la mise à jour des certificats sur leurs appareils Windows Intune inscrits. 

Pourquoi utiliser cette approche ?

Avantage

Description

Visibilité à l’échelle de l’appareil 

Afficher chaque Intune certificat d’appareil Windows inscrit status au même endroit

Exportables 

Exporter les résultats au format CSV directement à partir du portail Intune

Valeurs de Registre brutes

Voir les données du Registre réelles, pas seulement passer/échouer

Contexte de l’appareil 

Inclut le fabricant, le modèle, la version du BIOS et le type de microprogramme

Télémétrie du journal des événements 

Capture les ID d’événement de démarrage sécurisé (1801/1808), les ID de compartiment et les niveaux de confiance

Sans intervention

S’exécute en mode silencieux en tant que SYSTEM : aucune interaction utilisateur n’est requise

Pour obtenir des informations générales complètes sur les mises à jour des certificats, consultez Mises à jour des certificats de démarrage sécurisé : Conseils pour les professionnels de l’informatique et les organisations

Conditions préalables

Avant de déployer le script de détection, vérifiez que votre environnement répond aux exigences nécessaires. 

Cette solution tire parti des corrections dans Microsoft Intune. Pour obtenir la liste complète des prérequis, consultez Utiliser des corrections pour détecter et résoudre les problèmes de support - Microsoft Intune.

Scripts de détection

Le script de détection est un script PowerShell qui collecte des données complètes d’inventaire de démarrage sécurisé à partir de chaque appareil et les génère sous forme de chaîne JSON. Le script lit à partir des sources suivantes : 

Registre : mise à jour du certificat de démarrage sécurisé status, clés de maintenance, attributs d’appareil et paramètres d’adhésion/refus à partir de HKLM :\SYSTEM\CurrentControlSet\Control\SecureBoot et ses sous-clés 

WMI/CIM : version du système d’exploitation, heure du dernier démarrage et informations matérielles de la carte de base 

Journaux des événements — Entrées du journal des événements système pour les ID d’événement 1801 et 1808 (événements de mise à jour de démarrage sécurisé) 

La sortie JSON apparaît dans le portail Intune sous Corrections > Monitor > Device status > « Sortie de détection de pré-correction » et peut être exportée vers csv à des fins d’analyse. 

Important : Il s’agit d’un script de détection uniquement. Aucune modification n’est apportée à l’appareil. Aucun script de correction n’est nécessaire. 

Création du fichier de script 

Créer la correction dans Intune 

Suivez ces étapes pour déployer le script de détection en tant que correction (package de script) dans Microsoft Intune. 

Étape 1 : Créer le package de script 

Étape 2 : Principes de base 

  • Configurez les paramètres suivants sous l’onglet Informations de base :

Setting

Valeur

Nom

Moniteur d’état du certificat de démarrage sécurisé

Description

Surveille les status de mise à jour du certificat de démarrage sécurisé dans la flotte. Détection uniquement : aucune action de correction n’est effectuée.

Éditeur

(nom de votre organization)

  • Cliquez sur Suivant.

Étape 3 : Paramètres 

  • Configurez les paramètres suivants sous l’onglet Paramètres :

Setting

Valeur

Remarques

Fichier de script de détection 

Charger Detect-SecureBootCertificateStatus.ps1

Script de la section précédente

Fichier de script de correction 

(laissez vide)

Aucune correction n’est nécessaire : il s’agit uniquement de la surveillance

Exécuter ce script à l’aide des informations d’identification de connexion 

Non

S’exécute en tant que SYSTEM pour garantir l’accès à Confirm-SecureBootUEFI et au registre

Appliquer les case activée de signature de script 

Non

Définissez sur Oui si votre organization nécessite des scripts signés

Exécuter le script dans PowerShell 64 bits

Oui

Requis pour Confirm-SecureBootUEFI applet de commande et les lectures précises du Registre

  • Cliquez sur Suivant.

Étape 4 : Balises d’étendue 

  • Ajoutez les balises d’étendue requises par votre organization ou conservez comme valeur par défaut

  • Cliquez sur Suivant.

Étape 5 : Affectations 

Setting

Valeur

Remarques

Attributions 

Sélectionner les groupes d’appareils à surveiller

Utiliser Tous les appareils pour la surveillance à l’échelle de la flotte, ou des groupes spécifiques pour une surveillance ciblée

Calendrier 

Configurer en fonction de vos besoins de supervision

Recommandé : une fois par jour pour le suivi actif du déploiement, ou une fois par semaine pour la surveillance continue

Remarque : les corrections s’exécutent selon la planification configurée de l’appareil. La première exécution peut prendre jusqu’à 24 heures après l’affectation en fonction du cycle de case activée de l’appareil. 

Cliquez sur Suivant.

Étape 6 : Vérifier + créer 

  • Passer en revue tous les paramètres

  • Cliquez sur Créer.

Affichage et exportation des résultats 

Afficher les résultats dans le portail 

  • Accédez à Appareils > Corrections

  • Cliquez sur Moniteur d’état du certificat de démarrage sécurisé (ou sur le nom que vous avez choisi).

  • Sélectionnez l’onglet Surveiller

  • Cliquez sur Status de l’appareil

  • Cliquez sur Colonnes et ajoutez la sortie de détection de pré-correction

Moniteur d’état

Vous verrez une table avec les colonnes suivantes : 

la colonne

Description

Nom du périphérique

Nom de l’appareil

Nom d'utilisateur 

L’utilisateur principal de l’appareil

État de la détection 

Sans problème (certificats mis à jour) ou avec problème (certificats non mis à jour)

Sortie de la détection de pré-correction 

Sortie JSON complète du script

Date de la dernière modification 

Quand le script s’est exécuté pour la dernière fois sur l’appareil

Exporter vers CSV 

  • Dans la page Status de l’appareil, cliquez sur le bouton Exporter en haut du tableau

  • Le fichier CSV télécharge toutes les colonnes, y compris la sortie de détection JSON complète pour chaque appareil

  • Ouvrir dans Excel pour filtrer, trier et analyser par champ

Conseil : Dans Excel, vous pouvez utiliser les fonctions TEXTJOIN ou JSON pour analyser le json de sortie de détection dans des colonnes distinctes pour faciliter l’analyse. 

Onglet Vue d’ensemble

Vue d’ensemble de Intune

L’onglet Vue d’ensemble de la correction fournit un tableau de bord récapitulatif : 

Métrique

Signification

Appareils présentant des problèmes

Appareils pour lesquels les certificats ne sont pas encore mis à jour 

Appareils sans problème

Appareils pour lesquels les certificats sont à jour

Appareils avec détection d’échec

Appareils où le script a rencontré une erreur

Questions fréquentes (FAQ)

Cela change-t-il quelque chose sur mes appareils ? 

Non. Il s’agit d’un script de détection uniquement. Aucune valeur de Registre n’est modifiée, aucune mise à jour n’est déclenchée et aucune action de correction n’est effectuée. Le script lit uniquement les valeurs et les signale. 

Que signifie « Avec problème » ? 

« Avec problème » signifie que l’appareil n’a pas encore les certificats de démarrage sécurisé 2023 appliqués et le gestionnaire de démarrage signé 2023 en place. Cela peut être dû au fait que : - La mise à jour du certificat n’a pas été lancée - La mise à jour est en cours et peut nécessiter un redémarrage pour se terminer - Le démarrage sécurisé n’est pas activé sur l’appareil - L’appareil n’est pas basé sur UEFI ou attend un redémarrage pour appliquer le gestionnaire de démarrage. 

Que signifie « Sans problème » ? 

« Sans problème » signifie que le démarrage sécurisé est activé sur l’appareil et que la valeur de Registre UEFICA2023Status est Mise à jour, ce qui indique que les certificats 2023 ont été correctement appliqués. 

À quelle fréquence le script s’exécute-t-il ? 

Le script s’exécute selon la planification que vous configurez dans l’affectation. Pour une surveillance active lors d’un déploiement, il est recommandé d’effectuer une surveillance quotidienne. Pour une surveillance continue, il suffit d’effectuer une surveillance hebdomadaire. 

Que se passe-t-il si la clé de Registre de maintenance n’existe pas ? 

Si la clé HKLM :\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing n’existe pas sur un appareil, le champ UEFICA2023Status affiche NoValue. Cela signifie généralement que les mises à jour de certificat n’ont pas été lancées sur l’appareil. 

Quelles licences sont requises ? 

Les corrections nécessitent des licences Windows 10/11 Entreprise E3/E5, Éducation A3/A5 ou F3. Si vos appareils disposent uniquement de licences Business Premium ou Pro, les corrections ne seront pas disponibles. Consultez Prérequis pour les corrections

Ressources 

Playbook de mise à jour du certificat de démarrage sécurisé

Certificat de démarrage sécurisé Mises à jour : Conseils pour les professionnels de l’informatique

Mises à jour de clé de Registre pour le démarrage sécurisé

Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX

Corrections dans Microsoft Intune 

Prérequis pour les corrections

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité