Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Grâce aux mises à jour à chaud, vous pouvez rapidement prendre des mesures pour protéger vos organization contre l’évolution du paysage des cyberattaques, tout en réduisant les interruptions utilisateur. Les mises à jour à chaud sont des mises à jour de sécurité de la version B mensuelle qui s’installent et prennent effet sans que vous mettez à redémarrer l’appareil. En réduisant le besoin de redémarrer, ces mises à jour permettent de garantir une conformité plus rapide, ce qui permet aux organisations de maintenir plus facilement la sécurité tout en conservant les flux de travail ininterrompus.
Les mises à jour de sécurité hotpatch sont activées par défaut pour tous les appareils éligibles dans Microsoft Intune. Cette approche aide les organisations à maintenir la conformité de la sécurité tout en minimisant les interruptions de flux de travail.
Vous pouvez configurer si hotpatch est activé pour vos appareils à l’aide d’un paramètre au niveau du locataire ou de stratégies de mise à jour qualité.
Avantages clés
- Sécurité plus rapide : les correctifs de sécurité à chaud prennent effet sans nécessiter de redémarrage, ce qui permet de sécuriser les appareils beaucoup plus rapidement.
- Interruption réduite : Hotpatch installe les mises à jour de sécurité éligibles sans nécessiter de redémarrage immédiat de l’appareil, ce qui permet aux utilisateurs de rester productifs.
- Charges utiles plus petites : la taille du package Hotpatch est considérablement inférieure à celle des mises à jour cumulatives standard.
- Aucune modification des anneaux de mise à jour existants : les configurations d’anneau de mise à jour existantes restent en vigueur et sont respectées avec les configurations hotpatch.
- Visibilité au niveau de la stratégie : le rapport des mises à jour de qualité hotpatch fournit une vue au niveau de la stratégie des status de mise à jour pour les appareils recevant des mises à jour à chaud.
Configuration requise
Hotpatch a les mêmes prérequis que les stratégies de mise à jour de qualité Windows. Consultez Conditions préalables à la mise à jour de qualité. Cette section met en évidence les prérequis supplémentaires spécifiques à hotpatch.
Configuration requise de l’appareil
Pour préparer un appareil à recevoir des mises à jour à chaud, configurez les paramètres de système d’exploitation suivants sur l’appareil. Vous devez configurer ces paramètres pour que l’appareil soit proposé à la mise à jour hotpatch et pour appliquer toutes les mises à jour à chaud.
Sécurité basée sur la virtualisation (VBS)
VBS doit être activé pour qu’un appareil puisse recevoir des mises à jour à chaud. Pour plus d’informations sur la façon de définir et de détecter si VBS est activé, consultez Sécurité basée sur la virtualisation (VBS).Remarque
Les appareils peuvent être temporairement inéligibles, car vbs n’est pas activé ou ne sont pas actuellement dans la dernière version de référence. Pour vous assurer que tous vos appareils Windows sont correctement configurés pour être éligibles aux mises à jour à chaud, consultez Résoudre les problèmes liés aux mises à jour à chaud.
Vous pouvez également trouver des status VBS dans Alertes et correction automatiques avec l’alerte Hotpatch - VBS qui n’est pas en cours d’exécution.
Les appareils Arm 64 doivent désactiver l’utilisation du PE hybride compilé (CHPE) (processeur Arm 64 uniquement)
Pour vous assurer que toutes les mises à jour à chaud sont appliquées, vous devez définir l’indicateur de désactivation de l’exécutable portable hybride compilé (CHPE) et redémarrer l’appareil pour désactiver l’utilisation de CHPE. Vous ne devez définir cet indicateur qu’une seule fois. Le paramètre de Registre reste appliqué via des mises à jour.
Cette exigence s’applique uniquement aux périphériques processeur Arm 64 lors de l’utilisation des mises à jour de mise à jour à chaud. Les mises à jour à chaud ne sont pas compatibles avec la maintenance des fichiers binaires du système d’exploitation CHPE.
Pour désactiver CHPE, créez et/ou définissez la clé de Registre DWORD suivante :
Chemin:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1Pour en savoir plus sur CHPE, consultez Détails de l’implémentation WOW64
Remarque
Il n’existe aucun plan pour prendre en charge les mises à jour hotpatch sur les appareils Arm64 avec CHPE activé. La désactivation de CHPE est requise uniquement pour les appareils Arm64. Les processeurs AMD et Intel n’ont pas de CHPE. Si vous choisissez de ne plus utiliser les mises à jour à chaud, désactivez l’indicateur de désactivation CHPE (
HotPatchRestrictions=0), puis redémarrez l’appareil pour activer l’utilisation de CHPE.
Appareils non éligibles
Les appareils qui ne remplissent pas une ou plusieurs conditions préalables reçoivent automatiquement la dernière mise à jour cumulative (LCU) à la place. La dernière mise à jour cumulative (LCU) contient des mises à jour mensuelles qui remplacent les mises à jour du mois précédent contenant à la fois des mises à jour de sécurité et non liées à la sécurité.
Les LCU vous obligent à redémarrer l’appareil, mais le LCU garantit que l’appareil reste entièrement sécurisé et conforme.
Remarque
Si les appareils ne sont pas éligibles pour les mises à jour hotpatch, ces appareils se voient proposer le LCU. Le LCU conserve vos paramètres d’anneau de mise à jour configurés, il ne modifie pas les paramètres.
Cycles de publication
Pour plus d’informations sur le calendrier des mises à jour de mise à jour à chaud, consultez Notes de publication pour hotpatch.
- Base de référence : inclut les derniers correctifs de sécurité, les nouvelles fonctionnalités cumulatives et les améliorations. Redémarrez obligatoirement.
- Hotpatch : inclut les mises à jour de sécurité. Aucun redémarrage n’est requis.
| Trimestre | Mises à jour de référence (nécessite un redémarrage) | Mise à jour à chaud (aucun redémarrage requis) |
|---|---|---|
| 1 | Janvier | Février et mars |
| 2 | Avril | Mai et juin |
| 3 | Juillet | Août et septembre |
| 4 | Octobre | Novembre et décembre |
Au cours d’un mois de mise à jour à chaud, si un appareil a activé les mises à jour hotpatch mais n’est pas sur la dernière mise à jour de base de référence, l’appareil reçoit à la fois la dernière mise à jour de la base de référence (redémarrage requis) et la dernière mise à jour hotpatch.
Remarque
La mise à niveau d’un appareil inscrit à chaud vers la dernière version de Windows (par exemple, la mise à niveau de Windows 11, version 24H2 vers Windows 11, version 25H2) au cours d’un mois de référence maintient l’appareil sur le cycle de mise à jour à chaud, et l’appareil continue de recevoir les mises à jour hotpatch en toute transparence. Toutefois, la mise à niveau d’un appareil vers la dernière version de Windows au cours d’un mois de mise à jour à chaud bascule l’appareil vers des mises à jour standard ; vous devez redémarrer l’appareil pour appliquer la mise à jour jusqu’à la prochaine version de référence.
Mise à jour à chaud sur Windows 11 Entreprise ou Windows Server 2025
Remarque
Hotpatch est également disponible sur Windows Server et Windows 365. Pour plus d’informations, consultez Hotpatch pour Windows Server Azure Edition.
Les mises à jour à chaud sont similaires entre Windows 11 et Windows Server 2025.
- Windows Autopatch gère les mises à jour Windows 11
- Gestionnaire de mise à jour Azure et l’abonnement Azure Arc facultatif pour Windows 2025 éditions Datacenter/Standard (localement) gère Windows Server édition Datacenter Azure 2025.
Les dates de calendrier, huit mois à chaud et quatre mois de référence, planifiés chaque année sont les mêmes pour tous les systèmes d’exploitation pris en charge par hotpatch. Il est possible pour des mois de référence supplémentaires pour un système d’exploitation (par exemple, Windows Server 2022), tandis qu’il existe des mois de mise à jour à chaud pour un autre système d’exploitation, tel que Server 2025 ou Windows 11, version 24H2. Passez en revue les notes de publication dans Intégrité des versions de Windows.
Inscrire des appareils pour recevoir des mises à jour hotpatch
Vous pouvez activer les mises à jour à chaud pour vos appareils à l’aide d’un paramètre au niveau du locataire ou de stratégies de mise à jour de qualité. Le paramètre au niveau du locataire est le paramètre par défaut appliqué aux appareils qui ne sont pas membres d’une stratégie de mise à jour qualité. Si un appareil est affecté à une stratégie de mise à jour de qualité, le paramètre de mise à jour à chaud de cette stratégie est celui appliqué.
Paramètre de locataire hotpatch par défaut
Le paramètre de locataire par défaut est appliqué uniquement aux appareils qui ne sont pas membres d’une stratégie de mise à jour qualité.
Windows Autopatch respecte votre configuration des stratégies de mise à jour qualité. Si un appareil est affecté à l’une de ces stratégies, le paramètre hotpatch de cette stratégie est celui appliqué.
Configurez le comportement de mise à jour hotpatch par défaut pour votre locataire comme suit :
- Dans le centre d’administration Microsoft Intune, sélectionnez Administration> du locataireWindows Autopatch>Gestion des locataires.
- Sélectionnez l’onglet Paramètres du locataire .
- Basculez le paramètre Le cas échéant, appliquez les mises à jour sans redémarrer l’appareil (« hotpatch ») sur Autoriser ou Bloquer.
Configurez hotpatch à l’aide de stratégies de mise à jour qualité.
Windows Autopatch respecte votre configuration du paramètre hotpatch dans les stratégies de mise à jour qualité. Si un appareil est affecté à l’une de ces stratégies, le paramètre hotpatch de cette stratégie est celui appliqué, et non le paramètre par défaut du locataire.
Pour inscrire des appareils afin de recevoir des mises à jour à chaud :
- Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Mises à jour Windows.
- Sélectionnez l’onglet Mises à jour de qualité .
- Sélectionnez Créer, puis stratégie de mise à jour qualité Windows.
- Dans la section Informations de base , entrez un nom pour votre nouvelle stratégie, puis sélectionnez Suivant.
- Dans la section Paramètres , définissez Lorsque disponible, appliquez sans redémarrer l’appareil (« hotpatch ») sur Autoriser. Puis sélectionnez Suivant.
- Sélectionnez les balises d’étendue appropriées ou laissez par défaut. Puis sélectionnez Suivant.
- Affectez les appareils à la stratégie, puis sélectionnez Suivant.
- Passez en revue la stratégie et sélectionnez Créer.
Ces étapes garantissent que les appareils ciblés qui répondent aux critères d’éligibilité sont correctement configurés. Voir Conditions préalables. Les dernières mises à jour cumulatives (LCU) sont proposées aux appareils non éligibles. Consultez Ce qui rend un appareil inéligible.
Remarque
L’activation des mises à jour à chaud ne modifie pas les configurations d’installation planifiées ou pilotées par les délais existants sur vos appareils gérés. Les paramètres de report et d’heure d’activité s’appliquent toujours.
Restaurer une mise à jour à chaud
La restauration automatique d’une mise à jour à chaud n’est pas prise en charge, mais vous pouvez les désinstaller. Si vous rencontrez un problème inattendu avec les mises à jour hotpatch, vous pouvez l’examiner en désinstallant la mise à jour à chaud, en installant la dernière mise à jour cumulative standard (LCU) et en redémarrant. La désinstallation d’une mise à jour à chaud est rapide, mais elle nécessite un redémarrage de l’appareil.
Rapport des mises à jour de qualité à chaud
Une fois qu’une stratégie de mise à jour qualité Windows a été créée avec les mises à jour à chaud activées, vous pouvez surveiller les résultats, les status de déploiement à chaud et les erreurs à partir des rapports.
Ce rapport affiche le nombre total d’appareils ciblés et les états de mise à jour actuels de tous les appareils activés pour la mise à jour à chaud.
Pour accéder au rapport :
- Dans le Centre d’administration Microsoft Intune, sélectionnez Rapports.
- Sous la section Mise à jour automatique Windows , sélectionnez Mises à jour qualité Windows
- Sous l’onglet Rapports , sélectionnez Rapport des mises à jour de qualité à chaud.
Résoudre les problèmes liés aux mises à jour à chaud
Étape 1 : Vérifier que l’appareil est éligible pour les mises à jour hotpatch et sur une base de référence de mise à jour à chaud avant l’installation de la mise à jour hotpatch
La mise à jour à chaud suit le cycle de mise en production hotpatch. Passez en revue les prérequis pour vous assurer que l’appareil est éligible pour les mises à jour à chaud. Pour plus d’informations sur les appareils qui ne remplissent pas les conditions préalables, consultez Appareils non éligibles.
Pour connaître la planification de publication la plus récente, consultez les notes de publication hotpatch. Pour plus d’informations sur l’historique des mises à jour Windows, consultez Windows 11, version 24H2, historique des mises à jour.
Étape 2 : Vérifier que la sécurité basée sur la virtualisation (VBS) est activée sur l’appareil
- Sélectionnez Démarrer, puis entrez Informations système dans la zone de recherche.
- Sélectionnez Informations système dans les résultats.
- Sous Résumé du système, sous la colonne Élément, recherchez Sécurité basée sur la virtualisation.
- Sous la colonne Valeur , vérifiez qu’elle indique En cours d’exécution.
Étape 3 : Vérifier que l’appareil est correctement configuré pour activer les mises à jour à chaud
- Dans Intune, passez en revue vos stratégies configurées dans Windows Autopatch pour voir quels groupes d’appareils sont ciblés avec une stratégie hotpatch en accédant à la page Mises à jour Windows Update>Qualité.
- Vérifiez que la stratégie de mise à jour à chaud est définie sur Autoriser.
- Sur l’appareil, sélectionnezParamètres> de démarrage>Windows Update> Options >avancéesStratégies de mise à jour configuréesrecherchez Activer la mise à jour> à chaud quand elle est disponible. Ce paramètre indique que l’appareil est inscrit dans les mises à jour de mise à jour à chaud configurées par Windows Autopatch.
Étape 4 : Désactiver l’utilisation du PE hybride compilé (CHPE) (processeur Arm64 uniquement)
Pour plus d’informations, consultez Les appareils Arm 64 doivent désactiver l’utilisation de pe hybride compilé (CHPE) (arm 64 CPU uniquement) .
Étape 5 : Utiliser l’Observateur d’événements pour vérifier que l’appareil a activé les mises à jour de mise à jour à chaud
- Cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Observateur d’événements.
- Recherchez AllowRebootlessUpdates dans le filtre. Si AllowRebootlessUpdates a la valeur
1, l’appareil est inscrit dans la stratégie de mise à jour windows autopatch et les mises à jour de mise à jour à chaud sont activées :"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Étape 6 : Vérifier les journaux Windows à la recherche d’erreurs de mise à jour à chaud
Les mises à jour à chaud fournissent un service de surveillance de boîte de réception qui vérifie l’intégrité des mises à jour installées sur l’appareil. Si le service de surveillance détecte une erreur, le service enregistre un événement dans les journaux des applications Windows. En cas d’erreur critique, l’appareil installe la mise à jour standard (LCU) pour garantir la sécurité totale de l’appareil.
- Cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Observateur d’événements.
- Recherchez hotpatch dans le filtre pour afficher les journaux.