Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Grâce aux mises à jour à chaud, vous pouvez rapidement prendre des mesures pour protéger vos organization contre l’évolution du paysage des cyberattaques, tout en réduisant les interruptions utilisateur. Les mises à jour à chaud sont des mises à jour de sécurité de la version B mensuelle qui s’installent et prennent effet sans que vous mettez à redémarrer l’appareil. En réduisant le besoin de redémarrer, ces mises à jour permettent de garantir une conformité plus rapide, ce qui permet aux organisations de maintenir plus facilement la sécurité tout en conservant les flux de travail ininterrompus.
Hotpatch est une extension de Windows Update et nécessite autopatch pour créer et déployer des correctifs chauds sur les appareils inscrits dans la stratégie de mise à jour qualité Autopatch.
Principaux avantages
- Les mises à jour à chaud simplifient le processus d’installation et améliorent l’efficacité de la conformité.
- Aucune modification n’est requise pour vos configurations d’anneau de mise à jour existantes. Vos configurations d’anneau existantes sont respectées avec les stratégies Hotpatch.
- Le rapport de mise à jour de qualité Hotpatch fournit une vue par niveau de stratégie des états de mise à jour actuels pour tous les appareils qui reçoivent des mises à jour Hotpatch.
Conditions préalables
Pour tirer parti des mises à jour Hotpatch, les appareils doivent remplir les conditions préalables suivantes :
- Une des licences éligibles : Windows 11 Entreprise E3 ou E5, Microsoft 365 F3, Windows 11 Éducation A3 ou A5, Microsoft 365 Business Premium ou Windows 365 Entreprise
- Windows 11 Entreprise version 24H2 ou ultérieure
- Les appareils doivent être sur la dernière version de la version de base de référence pour être éligibles aux mises à jour Hotpatch. Microsoft publie les mises à jour de base trimestrielles en tant que mises à jour cumulatives standard. Pour plus d’informations sur la planification la plus récente de ces versions, consultez Notes de publication pour Hotpatch.
- Microsoft Intune gérer le déploiement des mises à jour à chaud avec la stratégie de mise à jour de qualité Windows activée.
Conditions préalables à la configuration du système d’exploitation
Pour préparer un appareil à recevoir les mises à jour Hotpatch, configurez les paramètres de système d’exploitation suivants sur l’appareil. Vous devez configurer ces paramètres pour que l’appareil soit proposé à la mise à jour Hotpatch et pour appliquer toutes les mises à jour Hotpatch.
Sécurité basée sur la virtualisation (VBS)
VBS doit être activé pour qu’un appareil puisse recevoir des mises à jour hotpatch. Pour plus d’informations sur la façon de définir et de détecter si VBS est activé, consultez Sécurité basée sur la virtualisation (VBS).
Remarque
Les appareils peuvent être temporairement inéligibles, car vbs n’est pas activé ou ne sont pas actuellement dans la dernière version de référence. Pour vous assurer que tous vos appareils Windows sont correctement configurés pour être éligibles aux mises à jour à chaud, consultez Résoudre les problèmes liés aux mises à jour à chaud.
Les appareils Arm 64 doivent désactiver l’utilisation du PE hybride compilé (CHPE) (processeur Arm 64 uniquement)
Remarque
Les mises à jour à chaud sur les appareils Arm 64 suivent le même cycle de publication.
Cette exigence s’applique uniquement aux périphériques processeur Arm 64 lors de l’utilisation des mises à jour Hotpatch. Les mises à jour à chaud ne sont pas compatibles avec les fichiers binaires de système d’exploitation CHPE de maintenance situés dans le %SystemRoot%\SyChpe32
dossier .
Pour vous assurer que toutes les mises à jour Hotpatch sont appliquées, vous devez définir l’indicateur de désactivation CHPE et redémarrer l’appareil pour désactiver l’utilisation de CHPE. Vous ne devez définir cet indicateur qu’une seule fois. Le paramètre de Registre reste appliqué via des mises à jour.
Important
Ce paramètre est obligatoire, car il force le système d’exploitation à utiliser les fichiers binaires d’émulation x86 uniquement au lieu des fichiers binaires CHPE sur les appareils Arm 64. Les fichiers binaires CHPE incluent du code Arm 64 natif pour améliorer les performances, l’exclusion des fichiers binaires CHPE peut affecter les performances ou la compatibilité. Veillez à tester la compatibilité et les performances des applications avant de déployer les mises à jour Hotpatch à grande échelle sur les appareils arm 64 basés sur le processeur.
Pour désactiver CHPE, créez et/ou définissez la clé de Registre DWORD suivante : Chemin d’accès : HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
valeur de clé DWORD : HotPatchRestrictions=1
Vous pouvez également utiliser csp DisableCHPE. Pour plus d’informations, consultez DisableCHPE.
Remarque
Il n’existe aucun plan pour prendre en charge les mises à jour hotpatch sur les appareils Arm64 avec CHPE activé. La désactivation de CHPE est requise uniquement pour les appareils Arm64. Les processeurs AMD et Intel n’ont pas de CHPE.
Si vous choisissez de ne plus utiliser les mises à jour hotpatch, désactivez l’indicateur chPE (HotPatchRestrictions=0
), puis redémarrez l’appareil pour activer l’utilisation de CHPE.
Appareils non éligibles
Les appareils qui ne remplissent pas une ou plusieurs conditions préalables reçoivent automatiquement la dernière mise à jour cumulative (LCU) à la place. La dernière mise à jour cumulative (LCU) contient des mises à jour mensuelles qui remplacent les mises à jour du mois précédent contenant à la fois des mises à jour de sécurité et non liées à la sécurité.
Les LCU vous obligent à redémarrer l’appareil, mais le LCU garantit que l’appareil reste entièrement sécurisé et conforme.
Remarque
Si les appareils ne sont pas éligibles pour les mises à jour Hotpatch, le LCU est proposé à ces appareils. Le LCU conserve vos paramètres d’anneau de mise à jour configurés, il ne modifie pas les paramètres.
Cycles de publication
Pour plus d’informations sur le calendrier de mise en production des mises à jour hotpatch, consultez Notes de publication pour Hotpatch.
- Base de référence : inclut les derniers correctifs de sécurité, les nouvelles fonctionnalités cumulatives et les améliorations. Redémarrez obligatoirement.
- Hotpatch : inclut les mises à jour de sécurité. Aucun redémarrage n’est requis.
Quartier | Mises à jour de référence (nécessite un redémarrage) | Mise à jour à chaud (aucun redémarrage requis) |
---|---|---|
1 | Janvier | Février et mars |
2 | Avril | Mai et juin |
3 | Juillet | Août et septembre |
4 | Octobre | Novembre et décembre |
Mise à jour à chaud sur Windows 11 Entreprise ou Windows Server 2025
Remarque
Hotpatch est également disponible sur Windows Server et Windows 365. Pour plus d’informations, consultez Hotpatch for Windows Server Azure Edition.
Les mises à jour à chaud sont similaires entre Windows 11 et Windows Server 2025.
- Windows Autopatch gère les mises à jour Windows 11
- Gestionnaire de mise à jour Azure et l’abonnement Azure Arc facultatif pour Windows 2025 éditions Datacenter/Standard (localement) gère Windows Server 2025 Datacenter Azure Edition. Pour plus d’informations, sur Windows Server et Windows 365, consultez Hotpatch pour Windows Server Édition Azure.
Les dates de calendrier, huit mois de mise à chaud et quatre mois de référence, planifiées chaque année sont les mêmes pour tous les systèmes d’exploitation pris en charge par hotpatch. Il est possible pour des mois de référence supplémentaires pour un système d’exploitation (par exemple, Windows Server 2022), tandis qu’il existe des mois de mise à jour à chaud pour un autre système d’exploitation, tel que Server 2025 ou Windows 11, version 24H2. Passez en revue les notes de publication de l’intégrité des versions de Windows pour vous tenir à jour.
Inscrire des appareils pour recevoir des mises à jour Hotpatch
Remarque
Si vous utilisez des groupes Autopatch et que vous souhaitez que vos appareils reçoivent des mises à jour Hotpatch, vous devez créer une stratégie Hotpatch et lui attribuer des appareils. L’activation des mises à jour à chaud ne modifie pas le paramètre de report appliqué aux appareils au sein d’un groupe de mise à jour automatique.
Pour inscrire des appareils afin de recevoir les mises à jour Hotpatch :
- Accédez au centre d’administration Intune.
- Sélectionnez Appareils dans le menu de navigation de gauche.
- Dans la section Gérer les mises à jour , sélectionnez Mises à jour Windows.
- Accédez à l’onglet Mises à jour de qualité .
- Sélectionnez Créer, puis stratégie de mise à jour qualité Windows.
- Dans la section Informations de base , entrez un nom pour votre nouvelle stratégie, puis sélectionnez Suivant.
- Dans la section Paramètres , vérifiez que l’option « Quand elle est disponible, appliquer sans redémarrer l’appareil (« Hotpatch ») est définie sur Autoriser. Sélectionnez Suivant.
- Sélectionnez les balises d’étendue appropriées ou laissez par défaut. Sélectionnez Suivant.
- Affectez les appareils à la stratégie, puis sélectionnez Suivant.
- Passez en revue la stratégie et sélectionnez Créer.
- Vous pouvez également modifier la stratégie de mise à jour de qualité Windows existante et définir l’option « Quand elle est disponible, appliquez sans redémarrer l’appareil (« Hotpatch ») sur Autoriser.
Ces étapes garantissent que les appareils ciblés, qui peuvent recevoir des mises à jour hotpatch, sont correctement configurés. Les dernières mises à jour cumulatives (LCU) sont proposées aux appareils non éligibles.
Remarque
L’activation des mises à jour hotpatch ne modifie pas les configurations d’installation planifiées ou basées sur les échéances existantes sur vos appareils gérés. Les paramètres de report et d’heure d’activité s’appliquent toujours.
Restaurer une mise à jour à chaud
La restauration automatique d’une mise à jour Hotpatch n’est pas prise en charge, mais vous pouvez la désinstaller. Si vous rencontrez un problème inattendu avec les mises à jour hotpatch, vous pouvez l’examiner en désinstallant la mise à jour à chaud, en installant la dernière mise à jour cumulative standard (LCU) et en redémarrant. La désinstallation d’une mise à jour à chaud est rapide, mais elle nécessite un redémarrage de l’appareil.
Résoudre les problèmes liés aux mises à jour à chaud
Étape 1 : Vérifier que l’appareil est éligible pour les mises à jour hotpatch et sur une base de référence de mise à jour à chaud avant l’installation de la mise à jour hotpatch
La mise à jour à chaud suit le cycle de mise en production hotpatch. Passez en revue les prérequis pour vous assurer que l’appareil est éligible pour les mises à jour à chaud. Pour plus d’informations sur les appareils qui ne remplissent pas les conditions préalables, consultez Appareils non éligibles.
Pour connaître la planification de publication la plus récente, consultez les notes de publication hotpatch. Pour plus d’informations sur l’historique des mises à jour Windows, consultez Windows 11, version 24H2, historique des mises à jour.
Étape 2 : Vérifier que la sécurité basée sur la virtualisation (VBS) est activée sur l’appareil
- Sélectionnez Démarrer, puis entrez
System information
dans la zone De recherche. - Sélectionnez Informations système dans les résultats.
- Sous Résumé du système, sous la colonne Élément, recherchez Sécurité basée sur la virtualisation.
- Sous la colonne Valeur, vérifiez qu’elle indique En cours d’exécution.
Étape 3 : Vérifier que l’appareil est correctement configuré pour activer les mises à jour à chaud
- Dans Intune, passez en revue vos stratégies configurées dans Autopatch pour voir quels groupes d’appareils sont ciblés avec une stratégie hotpatch en accédant à la page Mises à jour Windows Update>Qualité.
- Vérifiez que la stratégie de mise à jour à chaud est définie sur Autoriser.
- Sur l’appareil, sélectionnezParamètres> de démarrage>Windows Update> Options >avancéesStratégies de mise à jour configuréesrecherchez Activer la mise à jour> à chaud quand elle est disponible. Ce paramètre indique que l’appareil est inscrit dans les mises à jour à chaud configurées par Autopatch.
Étape 4 : Désactiver l’utilisation du PE hybride compilé (CHPE) (processeur Arm64 uniquement)
Pour plus d’informations, consultez Les appareils Arm 64 doivent désactiver l’utilisation de pe hybride compilé (CHPE) (arm 64 CPU uniquement) .
Étape 5 : Utiliser l’Observateur d’événements pour vérifier que l’appareil a activé les mises à jour de mise à jour à chaud
- Cliquez avec le bouton droit sur le menu Démarrer , puis sélectionnez Observateur d’événements.
- Recherchez AllowRebootlessUpdates dans le filtre. Si AllowRebootlessUpdates a la valeur
1
, l’appareil est inscrit dans la stratégie de mise à jour autopatch et les mises à jour à chaud sont activées :
"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Étape 6 : Vérifier les journaux Windows à la recherche d’erreurs de mise à jour à chaud
Les mises à jour à chaud fournissent un service de surveillance de boîte de réception qui vérifie l’intégrité des mises à jour installées sur l’appareil. Si le service de surveillance détecte une erreur, le service enregistre un événement dans les journaux des applications Windows. En cas d’erreur critique, l’appareil installe la mise à jour standard (LCU) pour garantir la sécurité totale de l’appareil.
- Cliquez avec le bouton droit sur le menu Démarrer , puis sélectionnez Observateur d’événements.
- Recherchez hotpatch dans le filtre pour afficher les journaux.