Activation des mises à jour ESU Windows 10 avec Microsoft Intune

À l’approche de la date de fin du support de Windows 10 (le 14 Octobre 2025 pour rappel), beaucoup d’entre nous sont occupés à aider les clients à effectuer leur migration vers Windows 11.

Mais si jamais tu as opté pour l’achat de licences ESU pour une partie de ton parc Windows 10 et que tu te demandes comment l’activer en utilisant Microsoft Intune, cet article est pour toi !! 🙂

Pour rappel, le programme Windows 10 Extended Security Updates (ESU) offre aux clients la possibilité de recevoir des mises à jour de sécurité pour les PC inscrits au programme au delà de la date de fin de support.
Pour plus d’informations sur ce programme : Extended Security Updates (ESU) program for Windows 10 | Microsoft Learn

Maintenant concentrons nous sur l’essentiel, l’activation de cette licence ESU avec Microsoft Intune :

Prérequis techniques

• Windows 10 version 22H2 avec le correctif KB5046613 ou plus récent.
• Accès réseau aux points de terminaison requis pour l’activation.
• Droits d’administration sur les appareils.
  Un script de vérification de prérequis existe et est disponible ici : Technet/Powershell/Check-Win10ESUPrereq/Check-Win10ESUPrereq.ps1 at master · mrbodean/Technet · GitHub

Méthodes proposées

Deux approches sont disponibles pour déployer les clés ESU via Intune :

1. Remédiations (nécessite un SKU Windows Entreprise)

• Utilise des scripts PowerShell pour détecter et corriger l’absence de clé ESU.
• Requiert un groupe cible (idéalement dynamique pour Windows 10 22H2).
• Scripts fournis :
  • Win10ESUActivation-detect.ps1 (détection)
  • Win10ESUActivation-remediate.ps1 (remédiation)

Le script de détection valide également la version de Windows et le niveau de correctif.

2. Application Win32

• Nécessite un script d’installation et de détection.
• Script d’installation
  • powershell.exe -ExecutionPolicy Bypass -File .\win10ESU-install.ps1
• Script de detection
  • Win10ESU-detection.ps1

Gestion des clés ESU

• Les scripts incluent des variables pour les clés ESU de chaque année :

Vérification manuelle

• Utiliser slmgr.vbs /dlv <Activation ID> pour vérifier l’état d’activation (liste des ID ci dessous)

Fonctionnement des correctifs ESU

• Les correctifs ESU s’installent comme les mises à jour classiques.
• Si la clé ESU est absente ou non activée, le correctif n’est pas installé.

Source : Enabling Extended Security Updates (ESU) for Windows 10 with Intune | Microsoft Community Hub