La mise à jour KB5074109 déclenche des échecs de connexion AVD généralisés
Microsoft a publié la mise à jour cumulative KB5074109 pour Windows 11 le 13 janvier 2026 dans le cadre de son cycle mensuel de Patch Tuesday, mais la mise à jour a rapidement déclenché des échecs d'authentification généralisés pour les utilisateurs d'entreprise tentant de se connecter à des sessions Azure Virtual Desktop et à des PC Cloud Windows 365. La mise à jour, qui correspond aux versions OS 26100.7623 et 26200.7623, était censée apporter des améliorations de qualité et des correctifs de sécurité, y compris des améliorations de la gestion de l'alimentation pour les unités de traitement neuronal (NPU) et des modifications de la gestion des certificats Secure Boot.
Quelques heures après la publication de la mise à jour, les administrateurs d'entreprise de plusieurs organisations ont commencé à signaler des erreurs d'authentification immédiates lorsque les utilisateurs tentaient de lancer des sessions AVD ou Cloud PC via les clients Windows 365 et Windows App. L'erreur la plus fréquemment signalée était "Une erreur d'authentification s'est produite (Code : 0x80080005)", qui apparaissait immédiatement lors des tentatives de connexion, empêchant l'établissement de toute session. Contrairement aux pannes de service backend typiques, ces échecs se produisaient avant que les utilisateurs ne puissent atteindre l'environnement de bureau à distance, indiquant une régression côté client dans le processus de poignée de main d'authentification.
Microsoft a rapidement reconnu la régression dans l'article de support KB5074109, ajoutant le problème à la section Problèmes connus et fournissant des conseils immédiats pour les organisations concernées. La société a confirmé que le problème provient de modifications de la gestion des invites d'identification de Remote Desktop et est concentré dans les environnements gérés par l'entreprise où des configurations d'authentification spécifiques sont utilisées. Les éditions Home et Pro pour les consommateurs ne sont apparemment pas affectées par cette régression particulière.
Les reproductions communautaires et les tests indépendants ont confirmé que la désinstallation de KB5074109 ou l'application du Known Issue Rollback (KIR) de Microsoft rétablissait immédiatement la connectivité pour les points de terminaison affectés. Cette validation rapide par la communauté a aidé Microsoft à isoler la cause première aux composants d'authentification côté client plutôt qu'à des problèmes d'infrastructure Azure plus larges. Le fournisseur a indiqué qu'une correction hors bande est en cours de préparation pour résoudre la régression tout en maintenant les améliorations de sécurité et de qualité incluses dans la mise à jour originale.
Les environnements Windows d'entreprise subissent un impact immédiat
La régression KB5074109 affecte spécifiquement les environnements Windows 11 et Windows 10 gérés par l'entreprise qui dépendent des services Azure Virtual Desktop et Windows 365 Cloud PC pour les capacités de travail à distance. Les organisations utilisant des appareils joints au domaine avec des configurations d'authentification d'entreprise, en particulier celles utilisant Microsoft Entra ID (anciennement Azure AD) pour la connexion unique et les politiques d'accès conditionnel, subissent l'impact le plus sévère. Le problème semble être déclenché par des combinaisons spécifiques d'agents d'authentification côté client, de configurations SSO d'entreprise et des composants de connexion Remote Desktop mis à jour.
Microsoft a confirmé que les éditions pour consommateurs de Windows, y compris les SKU Home et Pro, sont très peu susceptibles de rencontrer cet échec d'authentification. La régression est concentrée dans les environnements où les paramètres de stratégie de groupe, les magasins de certificats d'entreprise et les flux d'authentification gérés sont configurés. Les organisations utilisant des configurations d'identité hybride, où Active Directory sur site est synchronisé avec des fournisseurs d'identité cloud, peuvent connaître des degrés d'impact variables selon leur topologie d'authentification spécifique et leurs pratiques de gestion de la configuration client.
L'impact commercial immédiat pour les organisations concernées est significatif, car les travailleurs à distance et les employés hybrides perdent l'accès à leurs environnements de travail principaux hébergés dans Azure Virtual Desktop ou Windows 365. Les administrateurs informatiques signalent que les échecs d'authentification empêchent les utilisateurs d'accéder aux applications commerciales critiques, aux fichiers et aux environnements de développement hébergés sur des machines virtuelles basées sur le cloud. Les organisations avec de grandes forces de travail à distance ou celles qui ont migré entièrement vers une infrastructure de bureau basée sur le cloud font face à une perturbation opérationnelle jusqu'à ce que le problème soit résolu par le déploiement de KIR ou la mise à jour hors bande en attente.
Étapes de mitigation immédiates et options de contournement
Microsoft a fourni plusieurs voies de remédiation pour les organisations rencontrant des échecs de connexion AVD et Cloud PC après l'installation de KB5074109. La solution principale recommandée est le déploiement du Known Issue Rollback (KIR) via l'infrastructure de gestion des mises à jour d'entreprise existante. Les administrateurs informatiques peuvent implémenter KIR en utilisant Windows Update for Business, Windows Server Update Services (WSUS) ou Microsoft Configuration Manager pour revenir automatiquement aux composants problématiques tout en préservant les autres correctifs de sécurité de la mise à jour. Le déploiement de KIR prend généralement effet dans les 24 heures et ne nécessite pas de redémarrage complet du système dans la plupart des configurations.
Pour un soulagement immédiat pendant que le déploiement de KIR est en cours, Microsoft recommande d'utiliser des méthodes de connexion alternatives qui contournent les composants d'authentification client affectés. Les utilisateurs peuvent accéder à leurs sessions AVD via le client Remote Desktop basé sur le web disponible à rdweb.wvd.microsoft.com, qui utilise des flux d'authentification basés sur le navigateur qui ne sont pas impactés par la régression KB5074109. De plus, le client classique Remote Desktop Connection (mstsc.exe) peut être utilisé pour se connecter directement aux applications RemoteApp publiées, bien que cela nécessite une configuration manuelle des paramètres de connexion qui sont généralement gérés automatiquement par le client Windows App.
Les organisations nécessitant une restauration immédiate de la fonctionnalité complète peuvent temporairement désinstaller KB5074109 en utilisant l'option "Afficher l'historique des mises à jour" dans les paramètres de Windows Update ou via des commandes PowerShell pour un déploiement en masse. Cependant, Microsoft déconseille fortement la suppression permanente de la mise à jour en raison des correctifs de sécurité qu'elle contient. Au lieu de cela, les organisations concernées devraient mettre en œuvre les solutions de contournement temporaires tout en se préparant à la correction hors bande que Microsoft développe. La société a indiqué que la mise à jour de remédiation traitera spécifiquement la régression d'authentification Remote Desktop tout en maintenant toutes les améliorations de sécurité du package KB5074109 original.
