Gérer les paramètres supplémentaires de Windows Update
Vous recherchez des informations destinées aux utilisateurs ? Voir Windows Update : FAQ
Vous pouvez utiliser les paramètres de stratégie de groupe ou la gestion des périphériques mobiles (GPM) pour configurer le comportement de Windows Update sur vos appareils Windows 10. Vous pouvez configurer la fréquence de détection de mise à jour, choisir quand recevoir les mises à jour, spécifiez l’emplacement de service de mise à jour et bien plus encore.
Résumé des paramètres de Windows Update
Important
Des informations supplémentaires sur les paramètres permettant de gérer les redémarrages des appareils et les notifications de redémarrage pour les mises à jour sont disponibles dans Gérer les redémarrages d’appareils après les mises à jour.
Les paramètres supplémentaires qui configurent lors de la réception des mises à jour de fonctionnalités et de qualité sont détaillés dans Configurer Windows Update entreprise.
Recherche des mises à jour
Les administrateurs disposent de la flexibilité nécessaire pour configurer la façon dont leurs appareils analysent et reçoivent les mises à jour.
Spécifier l’emplacement intranet du service de mise à jour Microsoft permet aux administrateurs de pointer les appareils vers un emplacement interne du service de mise à jour Microsoft, tandis que ne pas se connecter à des emplacements Internet de mise à jour Windows leur permet de limiter les appareils uniquement à ce service de mise à jour interne. Fréquence de détection des mises à jour automatiques contrôle la fréquence à laquelle les appareils recherchent les mises à jour.
Vous pouvez créer des groupes d’appareils personnalisés qui fonctionnent avec votre service de mise à jour Microsoft interne à l’aide de l’option Activer le ciblage côté client. Vous pouvez également vous assurer que vos appareils reçoivent des mises à jour qui n’ont pas été signées par Microsoft à partir de votre service de mise à jour Microsoft interne, via Autoriser les mises à jour signées à partir d’un emplacement intranet du service de mise à jour Microsoft.
Enfin, pour vous assurer que l’expérience de mise à jour est entièrement contrôlée par l’administrateur, vous pouvez supprimer l’accès pour utiliser toutes les fonctionnalités Windows Update pour les utilisateurs.
Pour obtenir des paramètres supplémentaires qui configurent la réception des mises à jour de fonctionnalités et de qualité, consultez Configurer Windows Update entreprise.
Spécifier l’emplacement intranet du service de mise à jour Microsoft
Spécifie un serveur intranet qui héberge les mises à jour provenant de Microsoft Update. Vous pouvez ensuite utiliser ce service de mise à jour pour procéder à la mise à jour automatique des ordinateurs de votre réseau. Ce paramètre vous permet de spécifier un serveur de votre réseau devant fonctionner comme un service de mise à jour interne. Le client Mises à jour automatique recherche dans ce service les mises à jour qui s’appliquent aux ordinateurs de votre réseau.
Pour utiliser ce paramètre dans la stratégie de groupe, accédez à Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Windows Update\Spécifier l’emplacement intranet du service de mise à jour Microsoft. Vous devez définir deux valeurs de nom de serveur :
- Serveur à partir duquel le client Mises à jour automatique détecte et télécharge les mises à jour
- Le serveur sur lequel les stations de travail mises à jour chargent les statistiques. Vous pouvez définir les deux valeurs sur le même serveur. Il vous est possible de spécifier un nom de serveur facultatif afin de configurer l’agent Windows Update pour le téléchargement des mises à jour à partir d’un serveur de téléchargement alternatif plutôt qu’à partir du service intranet de mise à jour.
Si le paramètre est défini sur Activé, le client Mises à jour automatiques se connecte au service intranet Microsoft Update spécifié (ou au serveur de téléchargement alternatif), plutôt qu’à Windows Update, pour rechercher les mises à jour et les télécharger. L’activation de ce paramètre évite aux utilisateurs de votre organisation de devoir passer par un pare-feu pour obtenir les mises à jour et vous permet de tester les mises à jour avant de les déployer. Si le paramètre est défini sur Désactivé ou Non configuré, et si l’Mises à jour automatique n’est pas désactivé par stratégie ou préférence utilisateur, le client Mises à jour automatique se connecte directement au site Windows Update sur Internet.
Le serveur de téléchargement alternatif configure l'agent Windows Update pour le téléchargement des fichiers à partir de ce serveur de téléchargement alternatif plutôt qu’à partir du service intranet de mise à jour. L’option de téléchargement de fichiers avec des URL manquantes permet de télécharger du contenu à partir du serveur de téléchargement secondaire lorsqu’il n’y a pas d’URL de téléchargement pour les fichiers dans les métadonnées de mise à jour. Cette option doit être utilisée uniquement lorsque le service de mise à jour intranet ne fournit pas d’URL de téléchargement dans les métadonnées de mise à jour pour les fichiers présents sur le serveur de téléchargement secondaire.
Remarque
Si la stratégie « Configuration du service Mises à jour automatiques » est désactivée, cette stratégie est sans effet.
Si la valeur « Serveur de téléchargement alternatif » n’est pas définie, le service intranet de mise à jour est utilisé par défaut pour le téléchargement des mises à jour.
L’option « Télécharger des fichiers sans URL... » n'est utilisée que si le « Serveur de téléchargement alternatif » est défini.
Pour configurer cette stratégie avec GPM, utilisez UpdateServiceUrl et UpdateServiceUrlAlternate.
Fréquence de détection des mises à jour automatiques
Spécifie la durée en heures pendant laquelle Windows attendra avant de vérifier la disponibilité de nouvelles mises à jour. La durée exacte est déterminée en utilisant ce nombre d’heures moins un pourcentage compris entre zéro et vingt pour-cent du nombre d’heures spécifié. Par exemple, si cette stratégie est utilisée pour spécifier une fréquence de détection de 20 heures, tous les clients auxquels cette stratégie s’applique vérifieront la disponibilité des mises à jour entre la 16ème et la 20ème heure.
Pour configurer ce paramètre avec la stratégie de groupe, accédez à Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Windows Update\Fréquence de détection des mises à jour automatiques.
Si le paramètre est défini sur Activé, Windows recherche les mises à jour disponibles à l’intervalle spécifié. Si le paramètre est défini sur Désactivé ou Non configuré, Windows recherche les mises à jour disponibles à l’intervalle par défaut de 22 heures.
Remarque
Le paramètre « Spécifier l’emplacement intranet du service de Mise à jour Microsoft » doit être activé pour que cette stratégie prenne effet.
Si la stratégie « Configuration des Mises à jour automatiques » est désactivée, cette stratégie est sans effet.
Pour configurer cette stratégie avec GPM, utilisez DetectionFrequency.
Supprimer l’accès à l’utilisation de toutes les fonctionnalités Windows Update
En activant le paramètre Stratégie de groupe sous Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Windows Update\Désactiver l'accès pour utiliser toutes les fonctionnalités de mise à jour Windows, les administrateurs peuvent désactiver l’option « Vérifier les mises à jour » pour les utilisateurs. Toutes les analyses, téléchargements et installations des mises à jour en arrière-plan continueront de fonctionner comme configuré.
Ne pas se connecter à des emplacements Internet Windows Update
Même quand Windows Update est configuré pour recevoir des mises à jour à partir d’un service de mise à jour intranet, il extrait régulièrement des informations du service Windows Update public afin d’activer les connexions ultérieures à Windows Update et à d’autres services tels que Microsoft Update ou le Microsoft Store.
Utilisez Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Ne pas se connecter à des emplacements Internet Windows Update pour activer cette stratégie. Lorsqu’elle est activée, cette stratégie désactive les fonctionnalités décrites ci-dessus et peut entraîner l’arrêt de la connexion à des services publics tels que le Microsoft Store, Windows Update entreprise et l’optimisation de la distribution.
Remarque
Cette stratégie s’applique uniquement quand l'appareil est configuré pour se connecter à un service de mise à jour intranet à l’aide de la stratégie « Spécifier l’emplacement intranet du service de Mise à jour Microsoft ».
Activer le ciblage côté client
Indique le ou les noms de groupe cible à utiliser pour recevoir les mises à jour à partir d’un service intranet de Mise à jour Microsoft. Cela permet aux administrateurs de configurer des groupes d’appareils qui reçoivent différentes mises à jour de sources telles que WSUS ou Configuration Manager.
Ce paramètre de stratégie de groupe se trouve sous Configuration de l’ordinateur\Modèles d’administration\Composants Windows\Windows Update\Activer le ciblage côté client. Si le paramètre est défini sur Activé, les informations du groupe cible spécifiées sont envoyées au service de mise à jour Microsoft intranet, qui les utilise pour déterminer les mises à jour qui doivent être déployées sur cet ordinateur. Si le paramètre est défini sur Désactivé ou Non configuré, aucune information de groupe cible n’est envoyée au service de mise à jour Microsoft intranet.
Si le service intranet de Mise à jour Microsoft prend en charge plusieurs groupes cibles, cette stratégie peut définir plusieurs noms de groupes en les séparant à l’aide de points-virgules. Dans le cas contraire, un seul groupe doit être indiqué.
Remarque
Cette stratégie ne s’applique que lorsque le service intranet de Mise à jour Microsoft sur lequel cet ordinateur est dirigé est configuré pour prendre en charge le ciblage côté client. Si la stratégie « Spécifier l’emplacement intranet du service de Mise à jour Microsoft » est désactivée ou n’est pas configurée, cette stratégie n’a aucun effet.
Autoriser les mises à jour signées d'un emplacement intranet du service de mise à jour Microsoft
Ce paramètre de stratégie permet de définir si le service Mises à jour automatiques accepte les mises à jour signées par des entités autres que Microsoft lorsqu'elles proviennent d'un emplacement intranet du service de Mise à jour Microsoft.
Pour configurer ce paramètre dans la stratégie de groupe, accédez à Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Windows Update\Autoriser les mises à jour signées provenant d'un emplacement intranet du service de mise à jour Microsoft.
Si vous activez ce paramètre de stratégie, l’Mises à jour automatique accepte les mises à jour reçues via un emplacement intranet du service de mise à jour Microsoft, comme spécifié par Spécifier l’emplacement intranet du service de mise à jour Microsoft, si elles sont signées par un certificat se trouvant dans le magasin de certificats « Éditeurs approuvés » de l’ordinateur local. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les mises à jour à partir d’un emplacement intranet du service de mise à jour Microsoft doivent être signées par Microsoft.
Remarque
Les mises à jour provenant d'un service autre qu'un service intranet de Mise à jour Microsoft doivent toujours être signées par Microsoft et ne sont pas concernées par ce paramètre de stratégie.
Pour configurer cette stratégie avec GPM, utilisez AllowNonMicrosoftSignedUpdate.
Installation des mises à jour
Pour donner plus de souplesse au processus de mise à jour, des paramètres sont disponibles pour contrôler l’installation des mises à jour.
Configurer l’Mises à jour automatique offre quatre options différentes pour l’installation automatique des mises à jour, tandis que Ne pas inclure de pilotes avec Windows Mises à jour garantit que les pilotes ne sont pas installés avec le reste des mises à jour reçues.
Ne pas inclure les pilotes avec les mises à jour Windows
Permet aux administrateurs d’exclure les pilotes Windows Update lors des mises à jour.
Pour configurer ce paramètre dans la stratégie de groupe, utilisez Configuration ordinateur\Modèles d’administration\ Composants Windows\Windows Update\Ne pas inclure les pilotes avec les mises à jour Windows. Activez cette stratégie pour ne pas inclure les pilotes avec les mises à jour qualité Windows. Si vous désactivez ou ne configurez pas cette stratégie, Windows Update inclut des mises à jour qui ont une classification de pilote.
Configuration du service Mises à jour automatiques
Permet à l’administrateur informatique de gérer le comportement des mises à jour automatiques pour rechercher, télécharger et installer les mises à jour.
Configuration des mises à jour automatiques à l’aide d’une stratégie de groupe
Sous Configuration ordinateur\Modèles d’administration\Composants Windows\Windows update\Configurer l’Mises à jour automatique, vous devez sélectionner l’une des options suivantes :
2 - Notifier le téléchargement et l’installation automatique : lorsque Windows trouve des mises à jour qui s’appliquent à cet appareil, les utilisateurs sont avertis que les mises à jour sont prêtes à être téléchargées. Après avoir accédez à Paramètres > Mise à jour & Windows Update de sécurité>, les utilisateurs peuvent télécharger et installer les mises à jour disponibles.
3 - Téléchargement automatique et notification pour Installer : Windows recherche les mises à jour qui s’appliquent à l’appareil et les télécharge en arrière-plan (l’utilisateur n’est pas averti ou interrompu pendant ce processus). Une fois les téléchargements terminés, les utilisateurs sont avertis qu’ils sont prêts à être installés. Après avoir accédez à Paramètres > Mettre à jour & Windows Update de sécurité>, les utilisateurs peuvent les installer.
4 - Téléchargement automatique et planification des installations : spécifiez la planification à l’aide des options dans le paramètre de stratégie de groupe. Pour plus d’informations sur ce paramètre, voir Planifier l’installation de la mise à jour.
5 - Autoriser l’administrateur local à choisir le paramètre - Avec cette option, les administrateurs locaux sont autorisés à utiliser l’application paramètres pour sélectionner une option de configuration de leur choix. Les administrateurs locaux ne sont pas autorisés à désactiver la configuration de l’Mises à jour automatique. Cette option n’est disponible dans aucune version Windows 10 ou ultérieure.
7 - Notifier l’installation et notifier le redémarrage (Windows Server 2016 et versions ultérieures uniquement) : avec cette option, lorsque Windows trouve des mises à jour qui s’appliquent à cet appareil, elles sont téléchargées, puis les utilisateurs sont avertis que les mises à jour sont prêtes à être installées. Une fois les mises à jour installées, une notification s’affiche pour que les utilisateurs redémarrent l’appareil.
Si ce paramètre est défini sur Désactivé, les mises à jour disponibles sur Windows Update doivent être téléchargées et installées manuellement. Pour ce faire, les utilisateurs doivent accéder à Paramètres > Mise à jour & Windows Update de sécurité>.
Si ce paramètre est défini sur Non configuré, un administrateur peut toujours configurer l’Mises à jour automatique via l’application Paramètres, sous Paramètres > Mettre à jour & sécurité > Windows Update > Options avancées.
Configuration des mises à jour automatiques en modifiant le registre
Remarque
Des problèmes graves peuvent se produire si vous modifiez incorrectement le registre à l’aide de l’Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter la réinstallation du système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifiez le Registre à vos propres risques.
Dans un environnement sur lequel Active Directory n’est pas déployé, vous pouvez modifier les paramètres du Registre pour configurer des stratégies de groupe pour la mise à jour automatique.
Pour ce faire, procédez comme suit :
Sélectionnez Démarrer, recherchez « regedit », puis ouvrez l’Éditeur du Registre.
Ouvrez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Ajoutez l’une des valeurs de Registre suivantes pour configurer la mise à jour automatique.
NoAutoUpdate (REG_DWORD) :
0 : les mises à jour automatiques sont activées (valeur par défaut).
1 : les mises à jour automatiques sont désactivées.
AUOptions (REG_DWORD) :
1 : Maintenir mon ordinateur à jour est désactivée dans les mises à jour automatiques.
2 : notification de téléchargement et d’installation.
3 : téléchargement automatique et notification de l’installation.
4 : téléchargement automatique et installation programmée.
5 : Autoriser l’administrateur local à sélectionner le mode de configuration. Cette option n’est pas disponible pour les versions Windows 10 ou ultérieures.
7 : Notifier l’installation et notifier le redémarrage. (Windows Server 2016 et versions ultérieures uniquement)
ScheduledInstallDay (REG_DWORD) :
0 : tous les jours.
1 à 7 : les jours de la semaine, du dimanche (1) au samedi (7).
ScheduledInstallTime (REG_DWORD) :
n, n étant égal à l’heure du jour au format 24 heures (0-23).
UseWUServer (REG_DWORD)
Définissez cette valeur sur 1 pour configurer les mises à jour automatiques de sorte qu’elles utilisent un serveur exécutant Software Update Services au lieu de Windows Update.
RescheduleWaitTime (REG_DWORD)
m, m correspondant à la période d’attente entre le moment où les mises à jour automatiques démarrent et le moment où les installations démarrent si les heures prévues sont dépassées. L’heure est définie en minutes entre 1 et 60, entre 1 minute et 60 minutes.
Remarque
Ce paramètre affecte uniquement le comportement du client après la mise à jour vers la version du client SUS SP1 ou les versions ultérieures.
NoAutoRebootWithLoggedOnUsers (REG_DWORD) :
0 (faux) ou 1 (vrai). Si la valeur est 1, l’Mises à jour automatique ne redémarre pas automatiquement un ordinateur lorsque les utilisateurs sont connectés.
Remarque
Ce paramètre affecte le comportement du client après la mise à jour vers la version du client SUS SP1 ou les versions ultérieures.
Pour utiliser l’Mises à jour automatique avec un serveur exécutant Windows Software Update Services (WSUS), consultez les instructions relatives au déploiement de Microsoft Windows Server Update Services.
Lorsque vous configurez directement les mises à jour automatiques à l’aide des clés de Registre de stratégie, la stratégie remplace les préférences définies par l’utilisateur administrateur local pour configurer le client. Si un administrateur supprime les clés de Registre à une date ultérieure, les préférences définies par l’utilisateur administrateur local seront de nouveau utilisées.
Pour déterminer le serveur WSUS auquel les serveurs et les ordinateurs clients se connectent pour les mises à jour, ajoutez les valeurs de Registre suivantes au Registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
WUServer (REG_SZ)
Cette valeur définit le serveur WSUS par nom HTTP (par exemple, http://IntranetSUS).
WUStatusServer (REG_SZ)
Cette valeur définit le serveur de statistiques SUS par nom HTTP (par exemple, http://IntranetSUS).
Afficher le nom de organization dans les notifications Windows Update
Lorsque Windows 11 clients sont associés à un locataire Microsoft Entra, le nom organization apparaît dans les notifications Windows Update. Par instance, lorsque vous avez configuré une échéance de conformité pour Windows Update entreprise, la notification de l’utilisateur affiche un message similaire à Contoso qui nécessite l’installation de mises à jour importantes. Le nom organization s’affiche également sur la page Windows Update dans les paramètres de Windows 11.
Le nom organization s’affiche automatiquement pour Windows 11 clients associés à Microsoft Entra ID de l’une des manières suivantes :
Pour désactiver l’affichage du nom organization dans Windows Update notifications, ajoutez ou modifiez les valeurs suivantes dans le Registre :
-
Clé de Registre :
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
- Nom de la valeur DWORD : UsoDisableAADJAttribution
- Données de valeur : 1
Le script PowerShell suivant est fourni à titre d’exemple :
$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1"
if (!(Test-Path $registryPath))
{
New-Item -Path $registryPath -Force | Out-Null
}
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
Autoriser l’installation des mises à jour Windows avant la connexion initiale de l’utilisateur
(À compter de Windows 11, version 22H2 avec la préversion de la mise à jour cumulative 2023-04 ou une mise à jour cumulative ultérieure)
Sur les nouveaux appareils, Windows Update ne commence pas à installer les mises à jour en arrière-plan tant qu’un utilisateur n’a pas terminé l’expérience OOBE (Out of Box Experience) et ne se connecte pas pour la première fois. Dans de nombreux cas, l’utilisateur se connecte immédiatement après l’exécution de l’OOBE. Toutefois, certaines solutions basées sur une machine virtuelle provisionnent un appareil et automatisent la première expérience utilisateur. Ces machines virtuelles peuvent ne pas être immédiatement attribuées à un utilisateur afin qu’ils ne voient pas de connexion initiale avant plusieurs jours plus tard.
Dans les scénarios où la connexion initiale est retardée, la définition des valeurs de Registre suivantes permet aux appareils de commencer le travail de mise à jour en arrière-plan avant qu’un utilisateur ne se connecte pour la première fois :
- Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
- Nom de la valeur DWORD : ScanBeforeInitialLogonAllowed
- Données de valeur : 1
Warning
Cette valeur est conçue pour être utilisée uniquement pour les scénarios avec une connexion utilisateur initiale différée. La définition de cette valeur sur les appareils pour lesquels la connexion initiale de l’utilisateur n’est pas retardée peut avoir un effet néfaste sur les performances, car elle peut permettre la mise à jour lorsque l’utilisateur se connecte pour la première fois.