Comment configurer les mises à jour de sécurité Windows pendant OOBE avec Intune ESP

Avant de configurer les mises à jour de sécurité ESP, confirmez que vos appareils répondent aux exigences minimales. Cette fonctionnalité ne fonctionne que sur Windows 11 version 22H2 ou ultérieure et nécessite des mises à jour spécifiques de la base de connaissances.

Vérifiez la version de Windows sur un appareil de test :

Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, WindowsBuildLabEx

Cherchez Windows 11 avec les numéros de build :

• 24H2 : Build 26100 ou supérieur
• 23H2 : Build 22631 ou supérieur
• 22H2 : Build 22621 ou supérieur

Vérifiez que les mises à jour KB requises sont installées :

Get-HotFix | Where-Object {$_.HotFixID -eq "KB5060829" -or $_.HotFixID -eq "KB5060826"}

Vérification : Les commandes PowerShell doivent retourner Windows 11 avec les numéros de build appropriés et montrer les mises à jour KB si elles sont déjà installées.

Connectez-vous au centre d'administration Microsoft Intune pour configurer vos profils de page d'état d'inscription. C'est ici que vous activerez l'installation de la mise à jour de sécurité pendant l'OOBE.

Ouvrez votre navigateur et accédez à :

https://endpoint.microsoft.com

Connectez-vous avec vos identifiants d'administrateur Intune, puis accédez à la configuration de l'ESP :

1. Cliquez sur Appareils dans le volet de navigation de gauche
2. Sélectionnez Inscription dans le sous-menu
3. Cliquez sur Page d'état d'inscription

Vous verrez une liste des profils ESP existants. Notez que les profils existants créés avant janvier 2026 auront le paramètre de mises à jour de sécurité par défaut sur Non.

Vérification : Vous devriez voir le volet de la page d'état d'inscription avec vos profils existants listés, montrant leur statut d'affectation actuel.

La fonctionnalité de mises à jour de sécurité ne fonctionne qu'avec des profils ESP ciblés sur les appareils, pas ceux ciblés sur les utilisateurs. Créez un nouveau profil ou modifiez un profil existant ciblé sur les appareils.

Pour créer un nouveau profil ESP :

1. Cliquez sur + Créer un profil
2. Entrez un nom descriptif comme "Autopilot ESP avec mises à jour de sécurité"
3. Ajoutez une description : "Profil ESP pour appareils Autopilot avec mises à jour de sécurité OOBE activées"
4. Cliquez sur Suivant

Pour les profils existants, sélectionnez le profil que vous souhaitez modifier et cliquez sur Propriétés.

Assurez-vous que le profil utilise le ciblage par appareil en vérifiant l'onglet Affectations. Le profil doit être assigné à :

• Groupes d'appareils (pas de groupes d'utilisateurs)
• Tous les appareils (si vous utilisez un déploiement large)
• Groupes d'appareils Autopilot spécifiques

Vérification : Le profil doit montrer des affectations basées sur les appareils dans la section Affectations, pas des affectations basées sur les utilisateurs.

Configurez maintenant le paramètre principal qui permet les mises à jour de sécurité Windows pendant l'OOBE. Ce paramètre apparaît dans l'onglet Paramètres de votre profil ESP.

Accédez à l'onglet Paramètres de votre profil ESP et localisez la configuration des mises à jour de sécurité :

1. Faites défiler vers le bas pour trouver Installer les mises à jour de qualité Windows (peut redémarrer l'appareil)
2. Réglez cette option sur Oui pour activer les mises à jour de sécurité pendant l'OOBE
3. Examinez la description : "Installer les dernières mises à jour de sécurité mensuelles à la fin de l'OOBE après la fin de l'ESP"

Configurez le comportement de blocage pour garantir une installation correcte des mises à jour :

1. Trouvez Bloquer l'utilisation de l'appareil jusqu'à ce que toutes les applications et tous les profils soient installés
2. Réglez ceci sur Oui pour empêcher une sortie anticipée de l'ESP
3. Cela garantit que l'appareil attend la synchronisation des politiques de Windows Update for Business avant de continuer

Vérification : L'onglet Paramètres devrait afficher "Installer les mises à jour de qualité Windows" réglé sur Oui et "Bloquer l'utilisation de l'appareil" également réglé sur Oui.

Avant que l'ESP puisse gérer correctement les mises à jour de sécurité, assurez-vous que vos politiques Windows Update for Business (WUfB) sont configurées et assignées aux mêmes appareils que votre profil ESP.

Accédez aux politiques de Windows Update :

1. Allez à Appareils > Anneaux de mise à jour pour Windows 10 et versions ultérieures
2. Sélectionnez un anneau de mise à jour existant ou créez-en un nouveau
3. Configurez les paramètres de mise à jour de qualité :

{
  "qualityUpdatesDeferralPeriodInDays": 0,
  "featureUpdatesDeferralPeriodInDays": 30,
  "qualityUpdatesWillBeRolledBack": false,
  "featureUpdatesWillBeRolledBack": false
}

Paramètres clés pour les mises à jour de sécurité OOBE :

• Report des mises à jour de qualité : Réglez sur 0 jours pour une installation immédiate pendant l'OOBE
• Délai de mise à jour de qualité : Configurez en fonction de vos exigences de sécurité
• Comportement de mise à jour automatique : Réglez sur "Installation automatique et redémarrage à l'heure de maintenance"

Assignez l'anneau de mise à jour aux mêmes groupes d'appareils que votre profil ESP pour assurer la synchronisation des politiques.

Vérification : Vérifiez que votre anneau de mise à jour est assigné aux mêmes groupes d'appareils que votre profil ESP dans la section Assignations.

Attribuez votre profil ESP configuré aux groupes d'appareils appropriés pour vous assurer qu'il s'applique lors du déploiement Autopilot. L'affectation doit cibler les appareils, pas les utilisateurs.

Dans votre profil ESP, accédez à l'onglet Affectations :

1. Cliquez sur + Ajouter un groupe
2. Sélectionnez Inclure pour le type d'affectation
3. Choisissez vos groupes cibles :

Types de groupes recommandés :
- Tous les appareils (déploiement large)
- Groupes d'appareils Autopilot
- Groupes d'appareils spécifiques à un département
- Groupes spécifiques à un modèle de matériel

Configurez les filtres d'affectation si nécessaire :

1. Cliquez sur Modifier le filtre si vous souhaitez utiliser des filtres d'affectation
2. Créez des règles basées sur les propriétés de l'appareil telles que :

(device.deviceModel -eq "Surface Laptop 5") ou 
(device.enrollmentProfileName -eq "Corporate Autopilot")

Enregistrez la configuration de l'affectation et attendez la propagation de la politique (généralement 5-15 minutes).

Vérification : L'onglet Affectations doit afficher vos groupes d'appareils répertoriés sous "Groupes inclus" sans groupes d'utilisateurs présents.

Déployez un appareil de test via Autopilot pour vérifier que l'installation des mises à jour de sécurité fonctionne correctement pendant l'OOBE. Cela valide toute votre configuration.

Préparez un appareil de test :

1. Réinitialisez un appareil Windows 11 aux paramètres d'usine
2. Assurez-vous qu'il est enregistré dans Autopilot et assigné à votre groupe de profil ESP
3. Démarrez l'appareil et procédez à travers l'OOBE

Surveillez la progression de l'ESP pendant le déploiement :

Phases ESP attendues :
1. Préparation de l'appareil
2. Configuration de l'appareil (installation des applications et profils)
3. Configuration du compte (si des applications ciblées par l'utilisateur existent)
4. Analyse et installation de Windows Update (nouvelle phase)

Durant la phase de Windows Update, vous verrez :

• Indicateur de progression "Installation des mises à jour de qualité Windows"
• Pourcentage d'achèvement pour le téléchargement et l'installation des mises à jour
• Redémarrage automatique si requis par les mises à jour
• Continuation de l'ESP après le redémarrage

Accédez aux diagnostics ESP si des problèmes surviennent :

1. Appuyez sur Ctrl + Shift + D pendant l'ESP
2. Cliquez sur Collecter les journaux pour rassembler les informations de diagnostic
3. Examinez les journaux pour les erreurs liées aux mises à jour

Vérification : L'appareil doit compléter l'ESP, installer les mises à jour de sécurité, redémarrer si nécessaire, et présenter à l'utilisateur un bureau Windows 11 entièrement mis à jour.

Configurez des procédures de surveillance et de dépannage pour garantir que la fonctionnalité de mises à jour de sécurité fonctionne de manière fiable sur vos déploiements Autopilot.

Surveillez l'achèvement de l'ESP dans Intune :

1. Allez à Appareils > Surveiller > Page d'état d'inscription
2. Examinez les taux d'achèvement et les raisons d'échec
3. Filtrez par plage de dates pour suivre les déploiements récents

Scénarios de dépannage courants et solutions :

Problème : Mises à jour non installées malgré le paramètre Oui
Solution : Vérifiez le ciblage des appareils et l'attribution de la politique WUfB

Problème : ESP bloqué à la phase de mise à jour
Solution : Vérifiez la connectivité Internet et l'état du service Windows Update

Problème : L'appareil quitte l'ESP avant les mises à jour
Solution : Assurez-vous que "Bloquer l'utilisation de l'appareil" est réglé sur Oui

Utilisez PowerShell pour vérifier l'état des mises à jour sur les appareils déployés :

# Vérifiez l'état du service Windows Update
Get-Service -Name wuauserv | Select-Object Name, Status, StartType

# Examinez l'historique récent des installations de mises à jour
Get-WinEvent -FilterHashtable @{LogName='System'; ID=19,20,21,22} -MaxEvents 10

# Vérifiez la conformité actuelle des mises à jour
Get-ComputerInfo | Select-Object WindowsVersion, TotalPhysicalMemory

Examinez les journaux ESP pour un dépannage détaillé :

1. Accédez à C:\Windows\Logs\ESPLogs sur l'appareil
2. Ouvrez Microsoft-Windows-Provisioning-Diagnostics-Provider%4Admin.evtx
3. Filtrez pour les ID d'événements liés à Windows Update (généralement la plage 30000-30999)

Vérification : La surveillance ESP devrait montrer des achèvements réussis avec les mises à jour de sécurité installées, et les appareils déployés devraient signaler les niveaux actuels de mises à jour de sécurité dans les rapports de conformité.