Comment déployer Windows Autopatch pour les mises à jour de sécurité d'entreprise

Avant de déployer Autopatch, auditez votre environnement pour garantir la compatibilité et identifier les problèmes potentiels. Cette étape prévient les échecs de déploiement et aide à planifier votre stratégie de déploiement.

Tout d'abord, vérifiez vos exigences de licence. Accédez au Centre d'administration Microsoft 365 et vérifiez que vous disposez de l'une de ces licences :

• Microsoft 365 E3/E5, F3, A3/A5 (support complet)
• Microsoft 365 Business Premium (support limité, pas de demandes de support)
• Windows 10/11 Enterprise E3/E5 VDA

Ensuite, inventorie vos appareils à l'aide de PowerShell. Exécutez ce script sur une machine de gestion avec le module Azure AD PowerShell :

# Connectez-vous à Azure AD
Connect-AzureAD

# Obtenez tous les appareils Windows
$devices = Get-AzureADDevice -Filter "deviceOSType eq 'Windows'" | Select-Object DisplayName, DeviceOSVersion, TrustType, IsCompliant

# Exportez vers CSV pour analyse
$devices | Export-Csv -Path "C:\temp\autopatch-inventory.csv" -NoTypeInformation

# Comptez les appareils par version OS
$devices | Group-Object DeviceOSVersion | Select-Object Name, Count

Pour la préparation Hotpatch (obligatoire à partir du 11 mai 2026), vérifiez le statut VBS sur des appareils échantillons :

# Vérifiez le statut VBS sur la machine locale
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object VirtualizationBasedSecurityStatus

Vérification : Confirmez que vous avez au moins 50 appareils compatibles et les licences appropriées. Documentez tous les appareils Windows 10 nécessitant une mise à niveau pour la compatibilité Hotpatch.

Les groupes d'appareils dynamiques attribuent automatiquement des appareils aux anneaux de déploiement en fonction des critères que vous définissez. Cela garantit une gestion cohérente du déploiement sans affectation manuelle des appareils.

Ouvrez le Centre d'administration Entra ID (entra.microsoft.com) et accédez à Groupes > Tous les groupes > Nouveau groupe.

Créez quatre groupes pour vos anneaux de déploiement :

Groupe d'anneau de test :

Type de groupe : Sécurité
Nom du groupe : Autopatch-Test
Type d'adhésion : Appareil dynamique
Règle des membres d'appareils dynamiques :
(device.deviceOSType -eq "Windows") and (device.trustType -eq "AzureAd") and (device.displayName -startsWith "TEST-")

Groupe du premier anneau (10 % de la production) :

Nom du groupe : Autopatch-First
Règle des membres d'appareils dynamiques :
(device.deviceOSType -eq "Windows") and (device.trustType -eq "AzureAd") and (device.displayName -startsWith "PILOT-")

Groupe d'anneau large (80 % de la production) :

Nom du groupe : Autopatch-Broad
Règle des membres d'appareils dynamiques :
(device.deviceOSType -eq "Windows") and (device.trustType -eq "AzureAd") and (device.displayName -notStartsWith "TEST-") and (device.displayName -notStartsWith "PILOT-") and (device.displayName -notStartsWith "CRITICAL-")

Groupe du dernier anneau (systèmes critiques) :

Nom du groupe : Autopatch-Last
Règle des membres d'appareils dynamiques :
(device.deviceOSType -eq "Windows") and (device.trustType -eq "AzureAd") and (device.displayName -startsWith "CRITICAL-")

Vérification : Après avoir créé les groupes, attendez 15 à 30 minutes et vérifiez que les appareils apparaissent dans les groupes appropriés. Exécutez cette commande PowerShell pour vérifier :

# Vérifier l'appartenance au groupe
Get-AzureADGroup -SearchString "Autopatch-" | ForEach-Object {
    $group = $_
    $members = Get-AzureADGroupMember -ObjectId $group.ObjectId
    Write-Output "$($group.DisplayName): $($members.Count) membres"
}

Windows Autopatch est géré via le Centre d'administration Intune. Cette étape garantit que vous avez un accès approprié et pouvez naviguer vers la zone de configuration d'Autopatch.

Ouvrez votre navigateur et accédez au Centre d'administration Intune à l'adresse https://endpoint.microsoft.com. Connectez-vous avec votre compte administrateur de locataire.

Dans le volet de navigation de gauche, développez Administration du locataire et recherchez Windows Autopatch. Si vous ne voyez pas cette option, vérifiez votre licence :

# Vérifiez l'attribution de votre licence
Connect-MgGraph -Scopes "User.Read.All", "Organization.Read.All"
Get-MgUserLicenseDetail -UserId "your-admin@domain.com" | Select-Object SkuPartNumber

Cliquez sur Windows Autopatch pour accéder au tableau de bord principal. Vous devriez voir plusieurs options :

• Vue d'ensemble - Tableau de bord avec le statut de déploiement
• Groupes Autopatch - Où vous créerez votre configuration de déploiement
• Appareils - Inscription et statut des appareils
• Préparation à la mise à jour - Rapports de compatibilité et de préparation
• Rapports - Analyses détaillées de déploiement

Vérification : Confirmez que vous pouvez accéder à toutes les sections de Windows Autopatch sans erreurs de permission. La page Vue d'ensemble devrait afficher le statut actuel de mise à jour de votre locataire.

Le groupe Autopatch est la configuration centrale qui définit comment les mises à jour sont déployées dans votre organisation. Cette étape crée le cadre de déploiement pour l'ensemble de votre stratégie de mise à jour.

Dans le Centre d'administration Intune, accédez à Administration du locataire > Windows Autopatch > Groupes Autopatch.

Cliquez sur Créer un groupe Autopatch et configurez les éléments suivants :

Informations de base :

Nom du groupe : Enterprise-Production-Autopatch
Description : Groupe Autopatch principal pour les mises à jour de sécurité de l'entreprise
Étiquettes de portée : (Sélectionnez les étiquettes appropriées si vous utilisez RBAC)

Cliquez sur Suivant pour passer à la configuration de l'anneau de déploiement.

Configuration des anneaux de déploiement :

Configurez chaque anneau avec un timing et des affectations d'appareils appropriés :

Anneau de test :
- Groupe assigné : Autopatch-Test
- Calendrier de déploiement : Jour 0 (immédiat)
- Période de report : 0 jours
- Limite d'appareils : 50 appareils max

Premier anneau :
- Groupe assigné : Autopatch-First  
- Calendrier de déploiement : Jour 1
- Période de report : 1 jour
- Limite d'appareils : 10 % du total des appareils

Anneau rapide :
- Groupe assigné : Autopatch-Broad
- Calendrier de déploiement : Jour 5
- Période de report : 5 jours
- Limite d'appareils : 80 % du total des appareils

Anneau large :
- Groupe assigné : Autopatch-Last
- Calendrier de déploiement : Jour 14
- Période de report : 14 jours
- Limite d'appareils : Appareils restants

Pour les organisations comptant moins de 250 appareils, vous pouvez utiliser une approche simplifiée :

Configuration d'un seul anneau :
- Test : 5 % des appareils
- Production : 95 % des appareils
- Déploiement échelonné sur 7 jours

Vérification : Après avoir créé le groupe, vérifiez l'affectation des appareils en vérifiant Appareils > Statut d'inscription. Les appareils devraient s'enregistrer automatiquement dans les 24 heures suivant l'affectation au groupe.

Ajustez vos politiques de déploiement de mises à jour pour correspondre aux exigences de votre organisation. Cela inclut la configuration de différents types de mises à jour, des flux de travail d'approbation et des paramètres de compatibilité.

Dans la configuration de votre groupe Autopatch, accédez à la section Politiques de mise à jour et configurez chaque type de mise à jour :

Mises à jour de qualité (Mises à jour de sécurité) :

{
  "deploymentMode": "automatic",
  "approvalRequired": false,
  "testRingDeferral": 0,
  "firstRingDeferral": 1,
  "fastRingDeferral": 5,
  "broadRingDeferral": 14,
  "maintenanceWindow": {
    "startTime": "02:00",
    "duration": "4 hours",
    "allowRebootOutsideWindow": false
  }
}

Mises à jour de fonctionnalités :

{
  "deploymentMode": "manual",
  "targetVersion": "Windows 11 24H2",
  "approvalRequired": true,
  "compatibilityHold": true,
  "deferralPeriod": 30
}

Mises à jour de pilotes :

{
  "deploymentMode": "manual",
  "approvalRequired": true,
  "automaticDrivers": false,
  "criticalDriversOnly": true
}

Configurez les mises à jour des applications Microsoft 365 :

Canal de mise à jour : Canal Entreprise Mensuel
Calendrier de déploiement : Suivre les anneaux de mise à jour de qualité
Mises à jour automatiques : Activées
Application de la date limite : 7 jours après le déploiement

Configurez la configuration Hotpatch (obligatoire à partir du 11 mai 2026) :

{
  "hotpatchEnabled": true,
  "vbsRequired": true,
  "baselineVersionRequired": "Windows 11 24H2",
  "fallbackToTraditionalUpdates": true,
  "rebootSuppressionPeriod": "30 days"
}

Vérification : Vérifiez le statut de déploiement des politiques dans Rapports > Politiques de mise à jour. Toutes les politiques devraient afficher le statut "Appliqué" dans les 8 heures.

La sécurité basée sur la virtualisation (VBS) est obligatoire pour la fonctionnalité Hotpatch à partir du 11 mai 2026. Cette étape configure VBS sur votre parc d'appareils pour garantir un déploiement de mise à jour sans redémarrage.

Créez une politique de configuration VBS dans Intune. Accédez à Appareils > Profils de configuration > Créer un profil.

Configurez les paramètres du profil :

Plateforme : Windows 10 et versions ultérieures
Type de profil : Catalogue de paramètres
Nom : Activer-VBS-pour-Hotpatch
Description : Active VBS pour la compatibilité Hotpatch

Ajoutez les paramètres suivants du catalogue de paramètres :

Catégorie : Sécurité basée sur la virtualisation
Paramètres :
- Activer la sécurité basée sur la virtualisation : Activé
- Exiger la table des attributs de mémoire UEFI : Activé  
- Exiger le démarrage sécurisé : Activé
- Intégrité du code protégée par l'hyperviseur : Activé avec verrouillage UEFI
- Configuration de Credential Guard : Activé avec verrouillage UEFI

Créez un script PowerShell pour vérifier l'état de VBS sur les appareils :

# Script de vérification de l'état VBS
$vbsStatus = Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

$result = @{
    ComputerName = $env:COMPUTERNAME
    VBSStatus = switch ($vbsStatus.VirtualizationBasedSecurityStatus) {
        0 { "VBS non activé" }
        1 { "VBS activé mais non en cours d'exécution" }
        2 { "VBS activé et en cours d'exécution" }
        default { "Statut inconnu" }
    }
    HypervisorEnforcedCodeIntegrity = $vbsStatus.CodeIntegrityPolicyEnforcementStatus
    CredentialGuard = $vbsStatus.LsaCfgFlags
    SecureBoot = Confirm-SecureBootUEFI
}

# Résultats de sortie
$result | ConvertTo-Json | Out-File "C:\temp\vbs-status.json"
Write-Output $result

Déployez ce script en tant qu'application Win32 ou exécutez-le via les scripts PowerShell d'Intune pour inventorier la préparation VBS.

Attribuez la politique VBS à vos groupes d'appareils Autopatch avec une approche par phases :

Phase 1 : Appareils de test (Semaine 1)
Phase 2 : Appareils du premier anneau (Semaine 2)
Phase 3 : Déploiement large (Semaines 3-4)
Phase 4 : Systèmes critiques (Semaine 5)

Vérification : Exécutez le script PowerShell sur des appareils échantillons pour confirmer que VBS est activé et en cours d'exécution. Vérifiez les rapports de conformité Intune pour vous assurer que le déploiement de la politique a réussi.

Une surveillance efficace garantit que votre déploiement Autopatch fonctionne sans problème et vous aide à identifier les problèmes avant qu'ils n'affectent les utilisateurs. Cette étape configure une surveillance et une alerte complètes.

Accédez au tableau de bord de surveillance de Windows Autopatch à Administration du locataire > Windows Autopatch > Aperçu.

Les indicateurs clés à surveiller incluent :

• Statut d'inscription des appareils - Appareils enregistrés avec succès sur Autopatch
• Progression du déploiement des mises à jour - Statut actuel du déploiement par anneau
• Taux de réussite - Pourcentage d'installations réussies par anneau
• Analyse des échecs - Raisons courantes des échecs et appareils affectés

Configurez une surveillance automatisée à l'aide de Microsoft Graph API. Créez ce script PowerShell pour des rapports de statut quotidiens :

# Script de surveillance Autopatch
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All"

# Obtenir le statut du groupe Autopatch
$autopatchGroups = Get-MgDeviceManagementWindowsAutopatchDeploymentAudience

foreach ($group in $autopatchGroups) {
    $deploymentStatus = Get-MgDeviceManagementWindowsAutopatchDeploymentAudienceUpdateDeployment -WindowsAutopatchDeploymentAudienceId $group.Id
    
    $report = @{
        GroupName = $group.DisplayName
        TotalDevices = $group.DeviceCount
        SuccessfulDeployments = ($deploymentStatus | Where-Object {$_.Status -eq "Succeeded"}).Count
        FailedDeployments = ($deploymentStatus | Where-Object {$_.Status -eq "Failed"}).Count
        InProgressDeployments = ($deploymentStatus | Where-Object {$_.Status -eq "InProgress"}).Count
        LastUpdateTime = Get-Date
    }
    
    # Envoyer au système de surveillance ou par email
    $report | ConvertTo-Json | Out-File "C:\monitoring\autopatch-status-$(Get-Date -Format 'yyyyMMdd').json"
}

Configurez des alertes pour les problèmes critiques. Dans le Centre d'administration Intune, accédez à Administration du locataire > Notifications et créez des alertes pour :

Type d'alerte : Échec du déploiement de mise à jour
Seuil : >5% de taux d'échec dans n'importe quel anneau
Notification : Email aux administrateurs IT
Fréquence : Immédiate

Type d'alerte : Problèmes d'inscription des appareils  
Seuil : >10 appareils n'ont pas réussi à s'inscrire en 24 heures
Notification : Notification sur le canal Teams
Fréquence : Résumé quotidien

Utilisez la fonctionnalité de préparation des mises à jour pour une surveillance proactive :

1. Accédez à Windows Autopatch > Préparation des mises à jour
2. Examinez les informations de compatibilité pour les mises à jour à venir
3. Vérifiez les rapports de compatibilité des pilotes
4. Identifiez les applications qui peuvent bloquer les mises à jour

Vérification : Confirmez que les scripts de surveillance s'exécutent avec succès et génèrent des rapports. Testez les notifications d'alerte en créant temporairement une condition d'échec de test.

Même avec une configuration appropriée, vous rencontrerez des problèmes de déploiement. Cette étape fournit des approches de dépannage systématiques pour les problèmes Autopatch les plus courants.

Problème 1 : Appareils non inscrits dans Autopatch

Vérifiez l'éligibilité et le statut d'inscription de l'appareil :

# Vérifier l'inscription Autopatch de l'appareil
$deviceId = "device-object-id-here"
$device = Get-MgDevice -DeviceId $deviceId

# Vérifier l'inscription Intune
$intuneDevice = Get-MgDeviceManagementManagedDevice -Filter "azureADDeviceId eq '$($device.DeviceId)'"

if ($intuneDevice) {
    Write-Output "Appareil inscrit dans Intune : $($intuneDevice.DeviceName)"
    Write-Output "Statut de conformité : $($intuneDevice.ComplianceState)"
    Write-Output "Version du système d'exploitation : $($intuneDevice.OperatingSystem)"
} else {
    Write-Output "Appareil non trouvé dans Intune - vérifier l'inscription"
}

Solutions courantes :

• Vérifiez que l'appareil est dans le bon groupe Azure AD
• Vérifiez le statut d'inscription et de conformité Intune
• Assurez-vous de l'attribution correcte des licences
• Redémarrez le service Windows Update sur les appareils concernés

Problème 2 : Échecs d'installation de mise à jour

Analysez les journaux d'échec à l'aide de ce script PowerShell :

# Analyse du journal Windows Update
$logPath = "C:\Windows\Logs\WindowsUpdate"
$recentLogs = Get-ChildItem $logPath -Filter "*.etl" | Sort-Object LastWriteTime -Descending | Select-Object -First 5

foreach ($log in $recentLogs) {
    Write-Output "Analyse du journal : $($log.Name)"
    
    # Convertir ETL en format lisible
    $outputFile = "C:\temp\wu-log-$($log.BaseName).log"
    Get-WindowsUpdateLog -ETLPath $log.FullName -LogPath $outputFile
    
    # Rechercher des modèles d'erreur
    $errors = Select-String -Path $outputFile -Pattern "ERROR|FAILED|0x8"
    if ($errors) {
        Write-Output "Trouvé $($errors.Count) erreurs dans $($log.Name)"
        $errors | Select-Object -First 10 | ForEach-Object { Write-Output $_.Line }
    }
}

Problème 3 : Problèmes de compatibilité Hotpatch

Pour les appareils ne répondant pas aux exigences Hotpatch après le 11 mai 2026 :

# Vérification de la préparation Hotpatch
function Test-HotpatchReadiness {
    $results = @{}
    
    # Vérifier la version de Windows
    $osVersion = (Get-CimInstance Win32_OperatingSystem).Version
    $results.WindowsVersion = $osVersion
    $results.Windows11_24H2 = $osVersion -ge "10.0.26100"
    
    # Vérifier le statut VBS
    $vbs = Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
    $results.VBSEnabled = $vbs.VirtualizationBasedSecurityStatus -eq 2
    
    # Vérifier la conformité de la version de base
    $updateSession = New-Object -ComObject Microsoft.Update.Session
    $updateSearcher = $updateSession.CreateUpdateSearcher()
    $searchResult = $updateSearcher.Search("IsInstalled=1 and Type='Software'")
    $results.BaselineCompliant = $searchResult.Updates.Count -gt 0
    
    # Préparation globale
    $results.HotpatchReady = $results.Windows11_24H2 -and $results.VBSEnabled -and $results.BaselineCompliant
    
    return $results
}

$readiness = Test-HotpatchReadiness
$readiness | ConvertTo-Json

Problème 4 : Retards de déploiement des anneaux

Si les mises à jour ne se déploient pas selon votre calendrier d'anneaux :

1. Vérifiez l'appartenance au groupe et les règles de groupe dynamique
2. Vérifiez que les politiques de déploiement ne sont pas en conflit
3. Examinez les configurations de fenêtre de maintenance
4. Vérifiez les goulots d'étranglement du flux de travail d'approbation

Vérification : Documentez toutes les étapes de dépannage et les résolutions dans votre base de connaissances IT. Créez des runbooks pour les problèmes courants afin d'accélérer les temps de résolution futurs.