Comment résoudre l'erreur d'expiration du certificat Secure Boot 65000 dans Microsoft Intune

Avant de dépanner l'erreur 65000, confirmez l'état réel de Secure Boot sur les appareils concernés. Malgré les échecs signalés par Intune, Secure Boot fonctionne souvent correctement.

Ouvrez PowerShell en tant qu'administrateur sur l'appareil concerné et exécutez :

Confirm-SecureBootUEFI

Cela devrait retourner True si Secure Boot est activé. Ensuite, vérifiez l'état de la licence Windows :

slmgr /dli

Recherchez les informations sur l'édition. Les scénarios problématiques courants incluent :

• Édition Windows Pro OEM avec activation par abonnement E3/E5
• Licences Enterprise qui sont revenues à Pro après des changements d'abonnement
• Appareils affichant "Windows 10/11 Pro" malgré une licence Enterprise

Vérification : Documentez l'état de Secure Boot et l'édition de licence pour chaque appareil concerné. Si Secure Boot retourne True, la mise à jour du certificat a peut-être réussi malgré l'erreur Intune.

L'erreur 65000 se produit souvent lorsque les appareils manquent de la base de maintenance requise. Microsoft exige des mises à jour cumulatives spécifiques à partir de janvier 2026 pour la gestion des certificats Secure Boot.

Vérifiez les mises à jour installées sur l'appareil :

Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date "2026-01-01")} | Sort-Object InstalledOn -Descending

Sinon, utilisez l'historique de Windows Update :

Get-WmiObject -Class Win32_QuickFixEngineering | Where-Object {$_.InstalledOn -gt "1/1/2026"} | Select-Object HotFixID, Description, InstalledOn

Dans le centre d'administration Microsoft Intune, accédez à Rapports > Mises à jour de qualité Windows pour vérifier la conformité des mises à jour sur l'ensemble de votre parc d'appareils.

Si des appareils manquent des mises à jour cumulatives récentes, déployez-les immédiatement via Intune ou Windows Update for Business avant de procéder aux politiques de Secure Boot.

Vérification : Confirmez que les appareils ont des mises à jour cumulatives de janvier 2026 ou plus tard. Vérifiez que l'historique de Windows Update montre l'installation réussie des mises à jour de sécurité.

Configurez la politique Intune appropriée pour activer les mises à jour du certificat Secure Boot en utilisant l'approche du catalogue de paramètres, qui offre un contrôle plus granulaire que les profils de configuration de périphérique traditionnels.

Dans le centre d'administration Microsoft Intune :

1. Accédez à Appareils > Profils de configuration
2. Cliquez sur Créer un profil
3. Sélectionnez Windows 10 et versions ultérieures comme plateforme
4. Choisissez Catalogue de paramètres comme type de profil
5. Cliquez sur Créer et fournissez un nom descriptif comme "Mise à jour du certificat Secure Boot - Pilote"

Dans la configuration des paramètres :

1. Cliquez sur Ajouter des paramètres
2. Recherchez "SecureBoot" dans le navigateur de paramètres
3. Développez la catégorie SecureBoot
4. Sélectionnez Activer les mises à jour du certificat Secureboot
5. Définissez la valeur sur 1 (Activé)

Configurez le champ d'application de l'affectation pour cibler initialement un groupe pilote. Créez un filtre de périphérique basé sur des modèles spécifiques ou des versions de système d'exploitation qui ont confirmé la conformité de la ligne de base de mise à jour.

Vérification : Après avoir créé la politique, vérifiez que le statut d'affectation affiche "En attente" ou "Succès" pour les appareils pilotes. Surveillez le déploiement de la politique dans Appareils > Surveiller > Configuration de l'appareil.

Après avoir déployé la stratégie Intune, déclenchez manuellement le processus de mise à jour du certificat Secure Boot pour accélérer les tests et la validation.

Sur l'appareil cible, ouvrez PowerShell en tant qu'administrateur et exécutez :

schtasks /Run /TN "\Microsoft\Windows\SecureBoot\CertificateUpdate"

Vérifiez si la tâche planifiée existe et son dernier statut d'exécution :

Get-ScheduledTask -TaskPath "\Microsoft\Windows\SecureBoot\" -TaskName "CertificateUpdate" | Get-ScheduledTaskInfo

Si l'approche de la tâche planifiée échoue, implémentez la méthode de secours basée sur le registre :

# Activer la clé de registre de mise à jour du certificat Secure Boot
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "ConfigureMicrosoftUpdateManagedOptIn" -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\ConfigureMicrosoftUpdateManagedOptIn" -Name "1" -Value 1 -Type DWord

# Redémarrez le service Windows Update pour traiter le changement
Restart-Service -Name "wuauserv" -Force

Surveillez les journaux d'événements Windows pour l'activité de mise à jour du certificat Secure Boot :

Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074,1076} -MaxEvents 10

Vérification : Vérifiez que le dernier résultat d'exécution de la tâche planifiée indique "Succès (0x0)". Vérifiez que la clé de registre a été créée avec succès et que le service Windows Update a redémarré sans erreurs.

Suivez le statut de déploiement de la politique de Secure Boot et collectez des informations de diagnostic détaillées pour identifier la cause principale des occurrences de l'erreur 65000.

Dans le centre d'administration Microsoft Intune, accédez à Rapports > Mises à jour de qualité Windows > Statut de Secure Boot pour voir les métriques de déploiement sur votre flotte d'appareils.

Sur les appareils individuels rencontrant l'erreur 65000, collectez des informations détaillées sur la politique :

# Vérifiez les journaux de traitement des politiques Intune
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin'} -MaxEvents 20 | Where-Object {$_.Message -like "*65000*" -or $_.Message -like "*SecureBoot*"}

Examinez les détails spécifiques de l'erreur dans le registre :

# Vérifiez les détails de rejet de la politique
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\SecureBoot" -ErrorAction SilentlyContinue

Cherchez le modèle de code d'erreur spécifique indiquant des problèmes de licence :

# Recherchez l'erreur de rejet de la politique de licence
Get-WinEvent -FilterHashtable @{LogName='Application'} | Where-Object {$_.Message -like "*POLICYMANAGER_E_AREAPOLICY_NOTAPPLICABLEINEDITION*"}

Documentez les appareils montrant l'erreur 65000 mais avec un Secure Boot fonctionnel (confirmé à l'étape 1) par rapport aux appareils avec de réelles défaillances de mise à jour de certificat.

Vérification : Collectez les journaux d'erreurs montrant le code de rejet de licence spécifique 0x82B00006. Confirmez si l'erreur est cosmétique (Secure Boot fonctionnel) ou fonctionnelle (échec de mise à jour de certificat).

Pour les appareils rencontrant encore l'erreur 65000 après les correctifs côté service de Microsoft (déployés de janvier à février 2026), mettez en œuvre des solutions de contournement ciblées en attendant la propagation complète des licences.

Tout d'abord, vérifiez si votre locataire a reçu les mises à jour du service de licences :

# Vérifiez la version du service de licences du locataire (exécutez depuis n'importe quel appareil joint au domaine)
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" -Name "LastLoggedOnProvider" -ErrorAction SilentlyContinue

Pour les appareils avec des licences Enterprise activées par abonnement affichées comme Pro, forcez le rafraîchissement de la licence :

# Forcez le rafraîchissement de la licence Windows
slmgr /ato
slmgr /dli

# Effacez le cache de licences et réévaluez
slmgr /cpky
slmgr /upk
slmgr /ipk [Votre-Clé-Produit-Enterprise]
slmgr /ato

Créez un script de remédiation pour un déploiement en masse via les remédiations Intune :

# Script de détection
$secureBootEnabled = Confirm-SecureBootUEFI
$policyError = Get-WinEvent -FilterHashtable @{LogName='Application'} -MaxEvents 50 | Where-Object {$_.Id -eq 65000}

if ($secureBootEnabled -and $policyError) {
    Write-Output "Remédiation nécessaire : Secure Boot activé mais erreur de politique présente"
    exit 1
} else {
    Write-Output "Statut de Secure Boot acceptable"
    exit 0
}

Déployez ceci comme une remédiation Intune avec un script de remédiation correspondant qui force le processus de mise à jour du certificat.

Vérification : Surveillez le taux de réussite du déploiement de la remédiation et suivez quels appareils continuent de signaler l'erreur 65000 malgré un Secure Boot fonctionnel.

Établissez des procédures de validation complètes pour confirmer que les mises à jour des certificats Secure Boot ont été effectuées avec succès et mettez en œuvre une surveillance continue pour les renouvellements futurs de certificats.

Vérifiez l'horodatage de la mise à jour du certificat sur les appareils :

# Vérifiez les informations du certificat Secure Boot
Get-SecureBootPolicy | Select-Object -Property *

# Vérifiez l'achèvement de la mise à jour du certificat
Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074} | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7) -and $_.Message -like "*SecureBoot*"}

Créez un rapport de validation complet combinant les données Intune avec la vérification au niveau de l'appareil :

# Vérification complète de l'état de Secure Boot
$results = @{
    'SecureBootEnabled' = Confirm-SecureBootUEFI
    'LastCertificateUpdate' = (Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074} | Where-Object {$_.Message -like "*SecureBoot*"} | Select-Object -First 1).TimeCreated
    'PolicyError65000' = (Get-WinEvent -FilterHashtable @{LogName='Application'} | Where-Object {$_.Id -eq 65000} | Measure-Object).Count
    'WindowsEdition' = (Get-ComputerInfo).WindowsEdition
    'LastUpdateInstall' = (Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 1).InstalledOn
}

$results | ConvertTo-Json

Mettez en place une surveillance proactive à l'aide des remédiations Intune pour détecter les problèmes futurs d'expiration de certificat :

1. Créez un script de détection qui vérifie les périodes de validité des certificats
2. Planifiez une exécution mensuelle pour identifier les appareils approchant de l'expiration du certificat
3. Configurez des alertes automatiques lorsque les mises à jour de certificats échouent

Documentez le processus de résolution et créez un guide pour les futurs cycles de renouvellement de certificats, car les certificats Microsoft Secure Boot continueront à expirer périodiquement.

Vérification : Confirmez que tous les appareils pilotes affichent des mises à jour de certificats réussies avec des horodatages des 30 derniers jours. Validez que l'erreur 65000 n'apparaît plus dans les journaux d'événements récents tandis que Secure Boot reste activé.