Pour Windows 11 et les parcs informatiques, Microsoft a décidé de changer les choses avec une nouvelle politique.
Les mises à jour de qualité s'installent automatiquement durant l'expérience de déballage (OOBE ; out-of-box experience). Le but est de fournir un appareil totalement à jour et sécurisé dès la première connexion de l'utilisateur.
Une sécurité automatisée dès le déballage
La fonctionnalité concerne les appareils professionnels gérés (via Microsoft Entra) et équipés de Windows 11 version 22H2 ou ultérieure. Les éditions Pro, Enterprise et Education sont concernées.
Avant même d'atteindre le bureau, le système cherchera et appliquera les derniers correctifs de sécurité et de stabilité. Ce changement simplifie grandement une tâche qui nécessitait auparavant des connaissances en scripts PowerShell, la rendant plus accessible.
Un contrôle possible, mais à surveiller
Microsoft insiste sur le fait que les administrateurs gardent le contrôle. La gestion s'effectue par le biais de Microsoft Intune et les profils de la page d'état d'inscription (ESP ; Enrollment Status Page) de Windows Autopilot. Les politiques existantes de report ou de pause des mises à jour sont d'ailleurs respectées.
Le groupe de Redmond explique que « vous pouvez maintenir un contrôle transparent sur le comportement des mises à jour de qualité pendant le provisionnement, tout en garantissant l'alignement avec les exigences de sécurité et de conformité de l'organisation ».
Le piège du réglage par défaut
Le paramètre « Installer les mises à jour de qualité Windows » est activé par défaut lors de la création de nouveaux profils de déploiement. Un administrateur non averti pourrait donc être surpris. Il est alors nécessaire de vérifier ce réglage pour éviter toute installation non désirée. Si aucun profil ESP n'est utilisé, il est impossible de désactiver la fonction.