Comment accélérer les mises à jour de qualité Windows à l'aide de Microsoft Intune

Commencez par vous connecter au centre d'administration Microsoft Intune où vous configurerez la politique d'accélération. C'est là que se déroule toute la gestion des mises à jour Windows dans les environnements d'entreprise modernes.

Ouvrez votre navigateur et accédez au centre d'administration Intune :

https://intune.microsoft.com

Une fois connecté, naviguez dans la structure du menu :

1. Cliquez sur Appareils dans la navigation de gauche
2. Sélectionnez Windows dans le sous-menu
3. Cliquez sur Mises à jour Windows
4. Sélectionnez l'onglet Mises à jour de qualité

Vous verrez le tableau de bord des mises à jour de qualité affichant les politiques existantes et les mises à jour disponibles. L'interface affiche l'état actuel du déploiement et les mises à jour de sécurité disponibles qui peuvent être accélérées.

Vérification : Confirmez que vous pouvez voir le bouton "Créer" et toutes les politiques de mise à jour de qualité existantes dans le tableau de bord. Si vous ne voyez pas de mises à jour de qualité, vérifiez que votre licence Intune inclut le service de déploiement Windows Update for Business.

Vous allez maintenant créer la politique d'accélération qui remplacera les reports de mise à jour normaux. Ce type de politique cible spécifiquement les mises à jour de sécurité critiques nécessitant un déploiement immédiat.

Cliquez sur le bouton Créer et sélectionnez Politique d'accélération dans le menu déroulant. Cela ouvre l'assistant de politique d'accélération.

Configurez les paramètres de base de la politique :

Nom : Accélérer - Mise à jour de sécurité 2026-03 - CVE-2026-XXXX
Description : Déploiement d'urgence pour vulnérabilité critique - Mise à jour cumulative de mars 2026
Plateforme : Windows 10 et versions ultérieures

La convention de nommage est cruciale pour le suivi lors des incidents de sécurité. Incluez le mois, l'année et le numéro CVE si connu. Cela aide avec les pistes d'audit et la gestion des politiques.

Dans le menu déroulant Sélectionner la mise à jour de qualité, vous verrez les mises à jour disponibles. Pour mars 2026, vous pourriez voir :

• Mise à jour cumulative 2026-03 pour Windows 11 version 25H2
• Mise à jour cumulative 2026-03 pour Windows 10 version 22H2
• Toutes les mises à jour de sécurité hors bande (OOB) disponibles

Vérification : Assurez-vous que la version correcte de la mise à jour est sélectionnée et que le nom de la politique identifie clairement la mise à jour de sécurité et la date de déploiement.

Les paramètres de déploiement contrôlent la manière dont la mise à jour est poussée agressivement vers les appareils. Pour les mises à jour de sécurité, vous voudrez équilibrer la rapidité avec la stabilité.

Configurez ces paramètres de déploiement critiques :

Paramètres de déploiement :
├── Début du déploiement : Immédiatement
├── Pourcentage de déploiement : 10% (groupe pilote)
├── Priorité de déploiement : Élevée
├── Remplacer les reports existants : Automatique (activé par défaut)
└── Délai de redémarrage : 2-7 jours (selon l'urgence)

Le délai de redémarrage est particulièrement important. Pour les vulnérabilités critiques, réglez-le à 2-3 jours maximum. Pour les mises à jour de sécurité standard, 7 jours offrent une meilleure expérience utilisateur :

CVE critique (CVSS 9.0+) : 2 jours
Gravité élevée (CVSS 7.0-8.9) : 3-5 jours
Gravité moyenne : 7 jours

La politique d'accélération remplace automatiquement tous les reports de mise à jour existants configurés dans vos anneaux de mise à jour Windows. Cela signifie que les appareils qui reportent normalement les mises à jour de 30 jours recevront cette mise à jour spécifique immédiatement.

Configurez les paramètres de notification :

Notifications utilisateur :
├── Afficher les notifications : Activé
├── Fréquence des rappels de redémarrage : Toutes les 4 heures
├── Permettre à l'utilisateur de reporter : Jusqu'à la date limite
└── Redémarrage automatique en dehors des heures actives : Activé

Vérification : Passez en revue tous les paramètres avant de continuer. La politique devrait indiquer "Remplacer les reports : Oui" et votre délai de redémarrage choisi.

Une attribution correcte des groupes garantit que la politique d'accélération atteint les bons appareils sans affecter les systèmes exclus comme les environnements de test ou les serveurs critiques.

Cliquez sur l'onglet Attributions et configurez vos groupes cibles :

Inclure les groupes :
├── "Mises à jour accélérées - Pilote" (10 % des appareils de production)
├── "Stations de travail critiques" (appareils utilisateurs à haute priorité)
└── "Appareils de l'équipe de sécurité" (toujours les premiers à recevoir les mises à jour)

Exclure les groupes :
├── "Appareils de l'environnement de test"
├── "Appareils kiosques"
├── "Serveurs d'applications hérités"
└── "Exclusions de mise à jour - Temporaire"

Créez ces groupes Azure AD s'ils n'existent pas. Utilisez des règles d'adhésion dynamiques pour un remplissage automatique :

Règle dynamique pour le groupe pilote (échantillon de 10 %) :
(device.deviceId -contains "1") ou (device.deviceId -contains "2")

Règle dynamique pour les stations de travail critiques :
(device.deviceCategory -eq "Executive") ou (device.department -eq "Finance")

La logique d'attribution se traite dans cet ordre : Inclure d'abord les groupes, puis les groupes exclus remplacent toutes les inclusions. Un appareil dans un groupe inclus et exclu ne recevra PAS la mise à jour.

Examinez le résumé de l'attribution avant de sauvegarder :

• Le nombre estimé d'appareils doit correspondre à vos attentes
• Les appareils exclus doivent apparaître dans le résumé
• Aucune appartenance à des groupes conflictuels

Vérification : Cliquez sur "Examiner + Enregistrer" et confirmez que le nombre d'appareils correspond à la taille de votre groupe pilote. La politique devrait indiquer "Attribué à X appareils" après la création.

Après avoir créé la stratégie, vous devez vous assurer que les appareils la reçoivent rapidement. Par défaut, les appareils se connectent à Intune toutes les 8 heures, mais pour les mises à jour de sécurité, vous souhaitez une action immédiate.

Enregistrez et déployez la stratégie en cliquant sur Créer. Le statut de la stratégie passera à "Déploiement" puis à "Actif" en quelques minutes.

Pour accélérer le déploiement, forcez la synchronisation des appareils en utilisant ces méthodes :

Méthode 1 : Centre d'administration Intune (Recommandé)

1. Accédez à Appareils > Tous les appareils
2. Sélectionnez les appareils cibles (utilisez des filtres pour votre groupe pilote)
3. Cliquez sur Synchroniser dans le menu supérieur
4. Confirmez l'action de synchronisation

Méthode 2 : PowerShell sur les appareils cibles

# Exécuter en tant qu'administrateur sur les appareils cibles
Get-ScheduledTask -TaskName "PushLaunch" | Start-ScheduledTask

# Méthode alternative
Start-Process "ms-settings:windowsupdate" -Wait

# Forcer la vérification immédiate des mises à jour
wuauclt.exe /detectnow /updatenow

Méthode 3 : Stratégie de groupe (environnements hybrides)

REM Exécuter sur les appareils joints au domaine
gpupdate /force
wuauclt /detectnow

Surveillez la progression du déploiement :

1. Retournez à Appareils > Mises à jour Windows > Mises à jour de qualité
2. Cliquez sur le nom de votre stratégie d'accélération
3. Consultez l'onglet Statut de l'appareil
4. Surveillez les changements de statut : "En attente" → "Installation" → "Installé"

Vérification : Dans les 30 minutes suivant la synchronisation, les appareils devraient afficher le statut "Stratégie reçue". Vérifiez le tableau de bord du statut des appareils pour suivre en temps réel la progression du déploiement.

La surveillance active lors des déploiements accélérés est cruciale pour détecter les problèmes tôt et assurer le déploiement réussi des correctifs de sécurité dans votre environnement.

Accédez au tableau de bord de déploiement :

1. Accédez à votre politique d'accélération dans Mises à jour de qualité
2. Cliquez sur l'onglet Statut des appareils
3. Examinez les métriques de déploiement et le statut au niveau des appareils

Métriques clés à surveiller :

Aperçu du statut de déploiement :
├── Total des appareils ciblés : XXX
├── Installé avec succès : XXX (objectif : >95%)
├── Installation en cours : XXX
├── Installations échouées : XXX (enquêter si >5%)
├── Redémarrage en attente : XXX
└── Non applicable : XXX (appareils hors ligne)

Codes de statut courants et leurs significations :

Pour les installations échouées, recueillir des informations de diagnostic :

# Exécuter sur les appareils affectés pour vérifier les journaux de Windows Update
Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} | Select-Object TimeCreated, Id, LevelDisplayName, Message

# Vérifier l'historique des mises à jour
Get-WUHistory | Where-Object {$_.Date -gt (Get-Date).AddDays(-1)} | Select-Object Title, Date, Result, Description

Gérer les problèmes de déploiement courants :

• Appareils bloqués en "Installation" : Vérifier l'espace disque disponible (besoin de 8-10 Go libres)
• Erreurs "Accès refusé" : Vérifier que les appareils sont correctement inscrits dans Intune
• "Mise à jour non applicable" : L'appareil peut déjà avoir la mise à jour ou être sur une version non prise en charge

Vérification : Un déploiement réussi montre >95% des appareils avec le statut "Installé" ou "Redémarrage en attente" dans les 24-48 heures. Les appareils échoués doivent être examinés individuellement.

Une fois que votre déploiement pilote réussit, vérifiez que les mises à jour sont correctement installées et étendez-les à votre environnement complet. Cette étape finale garantit une couverture de sécurité complète.

Vérifiez l'installation sur les appareils pilotes en utilisant plusieurs méthodes :

Méthode 1 : Vérification PowerShell

# Vérifiez les mises à jour installées (exécuter en tant qu'administrateur)
Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-7)} | Sort-Object InstalledOn -Descending

# Vérifiez le KB spécifique (remplacez par votre mise à jour KB)
Get-HotFix -Id "KB5034763" -ErrorAction SilentlyContinue

# Vérifiez la version et la build de Windows
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, WindowsBuildLabEx

Méthode 2 : Historique des mises à jour Windows

# Historique détaillé des mises à jour
Get-WUHistory | Where-Object {$_.Title -like "*2026-03*"} | Select-Object Title, Date, Result, Size

Méthode 3 : Vérification du registre

# Vérifiez le registre d'installation des mises à jour
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages" | Where-Object {$_.PSChildName -like "*KB5034763*"}

Après avoir confirmé le succès du déploiement pilote (>95% de taux de réussite), étendez le déploiement :

1. Retournez à votre politique d'accélération dans Intune
2. Cliquez sur Propriétés > Affectations
3. Ajoutez des groupes supplémentaires par phases :

Phase 2 (Jour 2) : Ajoutez "Postes de travail standard - Groupe A" (25% du reste)
Phase 3 (Jour 3) : Ajoutez "Postes de travail standard - Groupe B" (50% du reste)
Phase 4 (Jour 4) : Ajoutez "Tous les appareils de production" (appareils restants)

Surveillez la conformité des redémarrages et appliquez les délais :

# Vérifiez le statut de redémarrage en attente sur les appareils
Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired" -ErrorAction SilentlyContinue

Pour les appareils approchant des délais de redémarrage, envoyez des notifications aux utilisateurs :

1. Accédez à Appareils > Tous les appareils
2. Filtrez les appareils avec le statut "Redémarrage en attente"
3. Sélectionnez les appareils et utilisez Actions à distance > Envoyer une notification personnalisée

Étapes de vérification finale :

• Confirmez que 100% des appareils ciblés affichent le statut "Installé"
• Vérifiez qu'aucune vulnérabilité de sécurité ne subsiste en utilisant des scanners de vulnérabilités
• Documentez les métriques de déploiement pour les rapports de conformité
• Mettez à jour les dossiers de gestion des changements avec le statut de complétion

Vérification : Exécutez Get-HotFix sur un échantillon d'appareils pour confirmer que le KB de mise à jour de sécurité est installé. Vérifiez que le Centre de sécurité Windows n'affiche aucune mise à jour de sécurité en attente.