Activer Windows 10 Mises à jour de sécurité étendue (ESU) pour les clients accédant au cloud et aux machines virtuelles

S’applique à: ✅ Windows 10, version 22H2

Important

Vous recherchez des informations destinées aux utilisateurs ? Pour les particuliers ou les clients Windows 10 Famille, des informations supplémentaires sur les Mises à jour de sécurité étendue pour Windows 10 sont disponibles dans les ressources suivantes :

Pour plus d’informations sur l’activation de l’ESU pour une utilisation à domicile, consultez Windows 10 programme de sécurité étendue Mises à jour (ESU) grand public
Pour obtenir des informations générales, consultez la section Questions fréquentes de la page Fin du support pour Windows 10.

Le programme Windows 10 extended security Mises à jour (ESU) permet aux organisations de recevoir des mises à jour de sécurité critiques et importantes pour les PC inscrits dans le service d’abonnement payant. ESU étend l’utilisation des appareils Windows 10 au-delà de la date de fin du support le 14 octobre 2025. Cet article fournit des instructions sur l’activation des clés ESU dans des environnements commerciaux.

Conditions préalables

Pour activer ESU pour Windows 10, vous devez remplir les conditions préalables suivantes :

Configuration requise pour l’appareil :

Windows 10, version 22H2 avec KB5066791 ou une mise à jour ultérieure installée
Le package de préparation des licences ESU (Extended Security Mises à jour) pour Windows 10 KB5072653 doit être installé après KB5066791
Privilèges d’administration sur l’appareil

Windows 10 versions de maintenance à long terme (LTSB/LTSC) ont leur propre cycle de vie et ne sont PAS couvertes par le programme ESU Windows 10. Pour plus d’informations, consultez Cycle de vie Microsoft.

Points de terminaison nécessaires pour que les appareils Windows 10 accèdent Windows 365 PC cloud :

https://dls.microsoft.com
https://login.windows.net

Considérations relatives au scénario de cloud et de virtualisation

Certains scénarios cloud et de virtualisation comportent des considérations spécifiques pour l’activation de l’ESU. Dans certains cas, ESU est déjà activé pour vous et dans d’autres, vous devrez peut-être prendre des mesures supplémentaires. La liste suivante récapitule ces scénarios :

Les Mises à jour de sécurité étendue (ESU) sont disponibles sans coût supplémentaire pour Windows 10 machines virtuelles dans les environnements microsoft ou intégrés à Azure suivants. Aucune configuration ou clé supplémentaire n’est nécessaire dans les environnements suivants :
- Azure Virtual Desktop
- Azure machines virtuelles
- hôte dédié Azure
- Azure Local (Azure Local est le nouveau nom de Azure Stack HCI)
- Azure Stack Hub
- Azure Stack Edge
- PC cloud Windows 365
  - Une configuration supplémentaire est nécessaire pour activer ESU pour les appareils Windows 10 locaux accédant à Windows 365 PC cloud. Pour plus d’informations, consultez Mise à jour de sécurité étendue pour les appareils locaux accédant à Windows 365.
D’autres plateformes de virtualisation qui s’exécutent sur Azure (telles que Nutanix, Citrix ou Omnissa Horizon sur Azure VMware Solution) peuvent nécessiter une activation manuelle de la clé ESU.

Contactez votre équipe de compte Microsoft pour obtenir une clé 5x5. L’activation peut être gérée avec le Outil Gestion de l’activation en volume ou avec un script.

Configurer un VDI non persistant

Lorsque vous configurez Windows 10 ESU dans une configuration VDI non persistante, il est important de suivre les étapes suivantes, sinon vous utiliserez des activations sur la clé ESU Windows 10 :

Installez Windows 10, version 22H2.
Installez et activez la clé ESU Windows 10 en suivant les instructions d’installation et d’activation de la clé ESU.
Installez la dernière mise à jour et redémarrez.

Supprimez la clé de produit ESU Windows 10 avec la commande suivante, où <Activation ID> est les ID d’activation de la table :

Programme ESU	ID d’activation
Win10 ESU Year1	f520e45e-7413-4a34-a497-d2765967d094
Win10 ESU Year2	1043add5-23b1-4afb-9a0f-64343c8f3f8d
Win10 ESU Year3	83d49986-add3-41d7-ba33-87c7bfb5c0fb

cscript.exe %windir%\system32\slmgr.vbs /upk <Activation ID>

Exécutez sysprep pour préparer l’image VDI pour la duplication.
Créez votre image en or.

Suivez les mêmes étapes pour mettre à jour votre image dorée utilisée pour le déploiement avec des appareils VDI lorsque de nouvelles mises à jour sont publiées.

Mise à jour de sécurité étendue pour les appareils locaux accédant à Windows 365

Windows 10 appareils accédant Windows 365 PC Enterprise Cloud et Windows 365 PC cloud de première ligne en mode dédié ont automatiquement droit à l’ESU pendant la durée de l’offre ESU si l’utilisateur dispose d’une licence Windows 365 Entreprise active attribuée ou Windows 365 PC cloud de première ligne en mode dédié approvisionné, à condition que les conditions suivantes soient remplies :

L’appareil Windows 10 local est joint Microsoft Entra ou Microsoft Entra hybride.
- Les appareils qui ne sont que Microsoft Entra inscrits ou Active Directory local joints ne sont pas éligibles pour l’accès ESU commercial avec Windows 365. L’inscription à windows Autopatch n’est pas obligatoire.
- Les appareils personnels ou BYOD qui ne sont pas gérés par le organization et qui ne sont que Microsoft Entra inscrits ne peuvent pas bénéficier de ce droit. Ces appareils doivent être inscrits via le programme Consumer ESU. Un utilisateur éligible peut activer jusqu’à 10 appareils.
Les utilisateurs doivent se connecter à leur appareil Windows 10 physique à l’aide du même compte Microsoft Entra ID qu’ils utilisent pour Windows 365 PC Cloud au moins une fois tous les 22 jours afin de maintenir l’éligibilité aux mises à jour ESU sur cet appareil.
Les administrateurs informatiques doivent utiliser Microsoft Intune ou un autre fournisseur GPM pour déployer une stratégie personnalisée qui active l’indicateur EnableESUSubscriptionCheck. Cette stratégie permet de vérifier si un appareil est inscrit dans le programme d’abonnement ESU Windows 10.

Pour configurer l’indicateur EnableESUSubscriptionCheck avec Intune

Si vous préférez configurer ce paramètre sans utiliser de fournisseur MDM, des exemples de scripts sont fournis pour votre commodité.

Connectez-vous au centre d’administration Microsoft Intune.
Accédez à Appareils>Gérer la configuration des appareils>.
Sélectionnez Créer , puis Nouvelle stratégie.
Sélectionnez les propriétés suivantes pour le profil de stratégie :
1. Plateforme : Windows 10 et versions ultérieures
2. Type de profil : Personnalisé ou Modèles > personnalisés
Sélectionnez Créer.
Sous Informations de base, indiquez les propriétés suivantes, puis sélectionnez Suivant lorsque vous avez terminé.
1. Nom : EnableESUSubscriptionCheck
2. Description : Activer Windows 10 abonnement ESU case activée
Sous Paramètres de configuration, sélectionnez Ajouter pour ajouter un nouveau paramètre OMA-URI avec les propriétés suivantes, puis sélectionnez Suivant lorsque vous avez terminé :
1. Nom : EnableESUSubscriptionCheck
2. Description : Activer Windows 10 abonnement ESU case activée
3. OMA-URI : ./Device/Vendor/MSFT/Policy/Config/Licensing/EnableESUSubscriptionCheck
4. Type de données : entier
5. Valeur : 1 (une valeur de 0 désactive le case activée.)
Sous Affectations, sélectionnez les groupes auxquels vous souhaitez affecter la stratégie, puis sélectionnez Suivant.
Sélectionnez Suivant sous Règles d’applicabilité.
Sous Vérifier + créer, passez en revue vos paramètres.
Sélectionnez Créer pour terminer la création de la stratégie.

Remarque

Les licences ESU sont automatiquement remblayées dans votre abonnement Windows 365 et apparaissent dans le Centre d’administration Microsoft 365.

Vérifier l’inscription ESU pour Windows 365 utilisateurs et appareils

Windows 365 Entreprise

Pour confirmer l’inscription ESU pour Windows 365 Entreprise utilisateurs :

Connectez-vous au Centre d’administration Microsoft 365 avec vos informations d’identification d’administrateur.
Sélectionnez Licences de facturation>.
Sélectionnez l’abonnement Windows 365 Entreprise.
Sélectionnez un utilisateur que vous souhaitez vérifier, puis sélectionnez Gérer les applications & services.
Dans le menu volant, vérifiez que l’utilisateur a la Windows 10 ESU Commercial listée et activée pour l’utilisateur.

Windows 365 de première ligne (dédié)

Pour confirmer l’inscription ESU pour Windows 365 utilisateurs de première ligne :

Dans le Centre d’administration Microsoft 365, accédez à Facturation>de vos produits>Windows 365 première ligne.
Dans le centre d’administration Microsoft Intune, accédez à Appareils>Windows 365>Tous les PC cloud. Filtrez les PC cloud par type = de première lignedédié.

Vérifier l’inscription ESU sur les appareils

Pour vérifier qu’un appareil est inscrit dans le programme ESU, case activée pour l’entrée de Registre suivante sur le point de terminaison physique Windows 10 qui se connecterait à un Windows 365 PC Cloud :

Clé : HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
Nom : EnableESUSubscriptionCheck
Type : REG_DWORD
Valeur : 1

Vérifier l’éligibilité des ESU et la préparation des mises à jour

Pour vérifier qu’un appareil a terminé l’inscription et qu’il est éligible pour recevoir les mises à jour ESU, case activée pour les éléments suivants sur le point de terminaison physique Windows 10 qui se connecterait à un Windows 365 PC Cloud :

Entrée de Registre :
- Clé : HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
- Nom : Win10CommercialW365ESU Eligible
- Type : REG_DWORD
- Valeur : 1
Dans observateur d'événements>Applications et journaux> des servicesMicrosoft>Windows>ClipESU, case activée pour l’ID d’événement 113. Cet événement indique que la licence ESU Windows 365 a été correctement installée.

Remarque

Ce journal des événements est spécifique à la solution ESU Windows 365 utilisateur et d’appareils. Il ne s’agit pas de la solution ESU mak 5x5 clé de produit ESU.

Exemples de scripts

Les scripts suivants sont des exemples d’activation ou de désactivation de l’indicateur EnableESUSubscriptionCheck sur Windows 10 appareils à l’aide de PowerShell :

Activer ESUSubscriptionCheck à l’aide de PowerShell

L’exemple de script PowerShell suivant active l’indicateur EnableESUSubscriptionCheck sur les appareils Windows 10 :

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 1

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Désactiver ESUSubscriptionCheck à l’aide de PowerShell

L’exemple de script PowerShell suivant désactive l’indicateur EnableESUSubscriptionCheck sur les appareils Windows 10 :

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 0

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-11-21