Partager via

Mises à jour à chaud (préversion publique)

  • Article

Important

Les informations de la section s’appliquent aux licences Business Premium, A3+, E3+ et F3. Pour plus d’informations, consultez Fonctionnalités et fonctionnalités et Licences et droits d’utilisation.

Important

Cette fonctionnalité est en préversion publique. Il est en cours de développement actif et peut ne pas être complet. Ils sont mis à disposition sur la base d’une « préversion ». Vous pouvez tester et utiliser ces fonctionnalités dans des environnements et des scénarios de production et fournir des commentaires.

Les mises à jour à chaud sont des mises à jour de sécurité de version B mensuelles qui peuvent être installées sans que vous mettez à redémarrer l’appareil. Les mises à jour à chaud sont conçues pour réduire les temps d’arrêt et les interruptions. En réduisant le besoin de redémarrer, ces mises à jour permettent de garantir une conformité plus rapide, ce qui permet aux organisations de maintenir plus facilement la sécurité tout en conservant les flux de travail ininterrompus.

Principaux avantages

  • Les mises à jour à chaud simplifient le processus d’installation et améliorent l’efficacité de la conformité.
  • Aucune modification n’est requise pour vos configurations d’anneau de mise à jour existantes. Vos configurations d’anneau existantes sont respectées avec les stratégies Hotpatch.
  • Le rapport de mise à jour de qualité Hotpatch fournit une vue par niveau de stratégie des états de mise à jour actuels pour tous les appareils qui reçoivent des mises à jour Hotpatch.

Conditions préalables à la configuration du système d’exploitation

Pour préparer un appareil à recevoir les mises à jour Hotpatch, configurez les paramètres de système d’exploitation suivants sur l’appareil. Vous devez configurer ces paramètres pour que l’appareil soit proposé à la mise à jour Hotpatch et pour appliquer toutes les mises à jour Hotpatch.

Sécurité basée sur la virtualisation (VBS)

VBS doit être activé pour qu’un appareil puisse recevoir des mises à jour hotpatch. Pour plus d’informations sur la façon de définir et de détecter si VBS est activé, consultez Sécurité basée sur la virtualisation (VBS).

Les appareils Arm 64 doivent désactiver l’utilisation du PE hybride compilé (CHPE) (processeur Arm 64 uniquement)

Cette exigence s’applique uniquement aux périphériques processeur Arm 64 lors de l’utilisation des mises à jour Hotpatch. Les mises à jour à chaud ne sont pas compatibles avec les fichiers binaires de système d’exploitation CHPE de maintenance situés dans le %SystemRoot%\SyChpe32 dossier . Pour vous assurer que toutes les mises à jour Hotpatch sont appliquées, vous devez définir l’indicateur de désactivation CHPE et redémarrer l’appareil pour désactiver l’utilisation de CHPE. Vous ne devez définir cet indicateur qu’une seule fois. Le paramètre de Registre reste appliqué via des mises à jour. Pour désactiver CHPE, définissez la clé de Registre suivante : Chemin : **HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management** Valeur de clé : **HotPatchRestrictions=1**

[! IMPORTANT :] Ce paramètre est requis, car il force le système d’exploitation à utiliser les fichiers binaires d’émulation x86 uniquement dans l’en-dessous des fichiers binaires CHPE sur les appareils Arm 64. Les fichiers binaires CHPE incluent du code Arm 64 natif pour améliorer les performances, l’exclusion des fichiers binaires CHPE peut affecter les performances ou la compatibilité. Veillez à tester la compatibilité et les performances des applications avant de déployer les mises à jour Hotpatch à grande échelle sur les appareils arm 64 basés sur le processeur.

Si vous choisissez de ne plus utiliser les mises à jour hotpatch, effacez l’indicateur chPE disasble (HotPatchRestrictions=0), puis redémarrez l’appareil pour activer l’utilisation de CHPE.

Appareils éligibles

Pour tirer parti des mises à jour Hotpatch, les appareils doivent remplir les conditions préalables suivantes :

  • Système d’exploitation : les appareils doivent être exécutés Windows 11 24H2 ou version ultérieure.
  • VBS (sécurité basée sur la virtualisation) : VBS doit être activé pour garantir une installation sécurisée des mises à jour hotpatch.
  • Dernière version de la base de référence : les appareils doivent être sur la dernière version de la base de référence pour être éligibles aux mises à jour Hotpatch. Microsoft publie les mises à jour de base trimestrielles en tant que mises à jour cumulatives standard. Pour plus d’informations sur la planification la plus récente de ces versions, consultez Notes de publication pour Hotpatch.

Appareils non éligibles

Les appareils qui ne remplissent pas une ou plusieurs conditions préalables reçoivent automatiquement la dernière mise à jour cumulative (LCU) à la place. La dernière mise à jour cumulative (LCU) contient des mises à jour mensuelles qui remplacent les mises à jour du mois précédent contenant à la fois des mises à jour de sécurité et non liées à la sécurité.

Les LCU vous obligent à redémarrer l’appareil, mais le LCU garantit que l’appareil reste entièrement sécurisé et conforme.

Remarque

Si les appareils ne sont pas éligibles pour les mises à jour Hotpatch, le LCU est proposé à ces appareils. Le LCU conserve vos paramètres d’anneau de mise à jour configurés, il ne modifie pas les paramètres.

Cycles de publication

Pour plus d’informations sur le calendrier des mises à jour Hotpatch, consultez Notes de publication pour Hotpatch.

  • Mois de publication de la base de référence : janvier, avril, juillet, octobre
  • Mois de publication hotpatch : février, mars, mai, juin, août, septembre, novembre, décembre

Inscrire des appareils pour recevoir des mises à jour Hotpatch

Remarque

Si vous utilisez des groupes Autopatch et que vous souhaitez que vos appareils reçoivent des mises à jour Hotpatch, vous devez créer une stratégie Hotpatch et lui attribuer des appareils. L’activation des mises à jour à chaud ne modifie pas le paramètre de report appliqué aux appareils au sein d’un groupe de mise à jour automatique.

Pour inscrire des appareils afin de recevoir les mises à jour Hotpatch :

  1. Accédez au centre d’administration Intune.
  2. Sélectionnez Appareils dans le menu de navigation de gauche.
  3. Dans la section Gérer les mises à jour , sélectionnez Mises à jour Windows.
  4. Accédez à l’onglet Mises à jour de qualité .
  5. Sélectionnez Créer, puis stratégie de mise à jour de qualité Windows (préversion) .
  6. Dans la section Informations de base , entrez un nom pour votre nouvelle stratégie, puis sélectionnez Suivant.
  7. Dans la section Paramètres , définissez « Si disponible, appliquez sans redémarrer l’appareil (« Hotpatch ») sur Autoriser. Sélectionnez Suivant.
  8. Sélectionnez les balises d’étendue appropriées ou laissez par défaut, puis sélectionnez Suivant.
  9. Affectez les appareils à la stratégie, puis sélectionnez Suivant.
  10. Passez en revue la stratégie et sélectionnez Créer.

Ces étapes garantissent que les appareils ciblés, qui peuvent recevoir des mises à jour hotpatch, sont correctement configurés. Les dernières mises à jour cumulatives (LCU) sont proposées aux appareils non éligibles.

Remarque

L’activation des mises à jour hotpatch ne modifie pas les configurations d’installation planifiées ou basées sur les échéances existantes sur vos appareils gérés. Les paramètres de report et d’heure d’activité s’appliquent toujours.