Microsoft vient d’annoncer une évolution attendue dans Windows Autopilot qui devrait séduire autant les équipes RSSI que les utilisateurs finaux : il est désormais possible d’installer les derniers correctifs de sécurité Windows pendant la phase OOBE (Out-of-Box Experience).
Initialement évoquée il y a quelques mois, cette fonctionnalité avait été temporairement mise en pause suite à des retours qui demandaient plus de souplesse dans le paramétrage — celui-ci se limitait alors à un simple interrupteur ON/OFF.
✅ C’est désormais chose faite : l’option peut être activée ou désactivée selon vos besoins, et elle prend en charge vos rings de mise à jour. Pour en bénéficier, il suffit d’assigner un profil Windows Update for Business au groupe Entra ID contenant vos appareils Autopilot.
Activer cette option permet de :
- Renforcer la sécurité dès la mise à disposition du poste, en garantissant que les dernières mises à jour de sécurité sont déjà installées au moment de la livraison à l’utilisateur.
- Améliorer l’expérience utilisateur, en évitant les redémarrages post-installation liés aux mises à jour. Un vrai plus pour limiter les frustrations… surtout chez ceux qui n’aiment pas attendre dès le premier jour
Les prérequis nécessaires sont :
- Windows 11, version 22H2 ou ultérieure et de l’un des SKU suivants : Pro, Enterprise, Education.
- Utiliser Autopilot avec un profil ESP. (Enrollment Statut Page)
- Vos appareils disposent de l’une des mises à jour requises suivantes qui incluent le nouveau paramètre :
- Les appareils qui reçoivent la mise à jour OOBE zero-day patch (ZDP) d’août 2025 auront cette capacité.
- Les appareils qui ont la mise à jour non liée à la sécurité de Windows de juin 2025 ou ultérieure incluent déjà le nouveau paramètre.
Comment activer le paramétrage dans Microsoft Intune ?
C’est super rapide et ca se fait en quelques clics pour cela :
- Rendez-vous dans votre profil ESP
- Vous trouverez le paramétrage « Install Windows Quality updates »…
- Sur les profils existants, le paramétrage sera mis à « NO »
- Si vous voulez que les mises à jour s’installent automatiquement, basculer sur « YES » et sauvegarder le profil.
Comme indiqué plus haut, si vous avez des contraintes particulières au niveau paramétrage Windows Update (Par exemple une deferral period), n’oubliez pas d’affecter le même groupe Entra ID des deux cotés (ESP et Ring Windows Update), celui-ci sera pris en compte.
Et l’expérience utilisateur ?
À la dernière étape de l’OOBE (Out-of-Box Experience), l’appareil effectue une analyse Windows Update et installe automatiquement les mises à jour disponibles, en respectant les paramètres définis dans Windows Update for Business.
Résultat : l’utilisateur bénéficie d’un poste entièrement sécurisé dès sa première connexion, sans avoir à subir de mises à jour ou redémarrages supplémentaires. C’est précisément ce qui rend cette fonctionnalité si pertinente 😊.
Conclusion
Bien que cette fonctionnalité puisse allonger le temps de préparation d’un poste — Microsoft estime environ 30 minutes, à confirmer selon les environnements — elle représente une avancée stratégique en matière de sécurité. Dans un contexte où les retards de mise à jour sont fréquents dans de nombreux environnements IT, pouvoir livrer des appareils à jour dès leur première utilisation est un véritable atout pour réduire les risques. Dans un monde où la sécurité n’est plus une option, autant en profiter dès maintenant ! A vos tests 😉
Retour sur l’annonce de Microsoft via leur billet de blog : Get ready for Windows quality updates out of the box – Windows IT Pro Blog