Windows10EntrepriseE3 dans le programme CSPWindows 10 Enterprise E3 in CSP

Windows10EntrepriseE3 a été lancé sur le canal du programme fournisseur de solutionsCloud (CSP) le 1erseptembre2016.Windows 10 Enterprise E3 launched in the Cloud Solution Provider (CSP) channel on September 1, 2016. Windows10EntrepriseE3 dans le fournisseur de solutionsCloud est une nouvelle offre qui propose, sur abonnement, des fonctionnalités exclusives réservées à l’éditionWindows10Entreprise.Windows 10 Enterprise E3 in CSP is a new offering that delivers, by subscription, exclusive features reserved for Windows 10 Enterprise edition. Cette offre est disponible par le biais du canal du fournisseur de solutionsCloud, via l’Espace Partenaires, en tant que service en ligne.This offering is available through the Cloud Solution Provider (CSP) channel via the Partner Center as an online service. Windows 10 EnterpriseE3 dans FSC fournit un abonnement flexible par utilisateur pour les petites et moyennes entreprises (d’une à plusieurs personnes).Windows10 EnterpriseE3 in CSP provides a flexible, per-user subscription for small- and medium-sized organizations (from one to hundreds of users). Pour tirer parti de cette offre, vous devez posséder les éléments suivants:To take advantage of this offering, you must have the following:

  • Windows 10 Pro, version 1607 (mise à jour anniversaire Windows 10) ou version ultérieure, installée et activée, sur les appareils à mettre à niveauWindows10 Pro, version 1607 (Windows 10 Anniversary Update) or later, installed and activated, on the devices to be upgraded
  • MicrosoftAzureDirectory(AzureAD) disponible pour la gestion des identitésAzure Active Directory (Azure AD) available for identity management

À partir de Windows 10, version 1607 (mise à jour anniversaire Windows 10), vous pouvez vous déplacer de Windows 10 Pro vers Windows 10 entreprise plus facilement que jamais, sans aucune clé ni aucun redémarrage.Starting with Windows10, version 1607 (Windows 10 Anniversary Update), you can move from Windows10 Pro to Windows10 Enterprise more easily than ever before—no keys and no reboots. Après avoir entré les informations d’identification d’Azure AD associées à une licence Windows 10 entreprise E3, le système d’exploitation passe de Windows 10 professionnel à Windows 10 entreprise et toutes les fonctionnalités Windows 10 entreprise appropriées sont déverrouillées.After one of your users enters the Azure AD credentials associated with a Windows10 Enterprise E3 license, the operating system turns from Windows10 Pro to Windows10 Enterprise and all the appropriate Windows10 Enterprise features are unlocked. Lorsque la licence d’un abonnement expire ou est transférée vers un autre utilisateur, le Windows 10 entreprise d’entreprise est plus facilement à Windows 10 professionnel.When a subscription license expires or is transferred to another user, the Windows10 Enterprise device seamlessly steps back down to Windows10 Pro.

Auparavant, seules les organisations possédant un contrat de licence en volume Microsoft pouvaient déployer Windows 10 entreprise auprès de leurs utilisateurs.Previously, only organizations with a Microsoft Volume Licensing Agreement could deploy Windows10 Enterprise to their users. Pour le moment, avec Windows 10 EnterpriseE3 dans FSC, les petites et moyennes entreprises peuvent utiliser plus facilement les fonctionnalités d’entreprise Windows 10.Now, with Windows10 EnterpriseE3 in CSP, small- and medium-sized organizations can more easily take advantage of Windows10 Enterprise features.

Lorsque vous achetez Windows 10 EnterpriseE3 par le biais d’un partenaire, vous bénéficiez des avantages suivants:When you purchase Windows10 EnterpriseE3 via a partner, you get the following benefits:

  • Windows 10 Enterprise Edition.Windows10 Enterprise edition. Les appareils exécutant Windows 10 Pro, version 1607 peuvent obtenir Windows 10 entreprise Current Branch (CB) ou Current Branch for Business (CBB).Devices currently running Windows10 Pro, version 1607 can get Windows10 Enterprise Current Branch (CB) or Current Branch for Business (CBB). Cet avantage n’inclut pas Long Term Service Branch (LTSB).This benefit does not include Long Term Service Branch (LTSB).

  • Prise en charge d’un utilisateur à plusieurs centaines d’utilisateurs.Support from one to hundreds of users. Bien que le nombre de licences d’une organisation n’est pas limité par le Windows 10 entreprise E3 dans le programme CSP, le programme est conçu pour les petites et moyennes entreprises.Although the Windows10 Enterprise E3 in CSP program does not have a limitation on the number of licenses an organization can have, the program is designed for small- and medium-sized organizations.

  • Déploiement sur cinqappareils.Deploy on up to five devices. Pour chaque utilisateur couvert par la licence, vous pouvez déployer l’édition Windows10Entreprise sur cinqappareils au maximum.For each user covered by the license, you can deploy Windows 10 Enterprise edition on up to five devices.

  • Revenez à Windows 10 Pro à tout moment.Roll back to Windows10 Pro at any time. Lorsque l’abonnement d’un utilisateur arrive à expiration ou est transféré vers un autre utilisateur, l’appareil entreprise Windows 10 revient en toute transparence à Windows 10 professionnel (après une période de grâce d’au maximum 90 jours).When a user’s subscription expires or is transferred to another user, the Windows10 Enterprise device reverts seamlessly to Windows10 Pro edition (after a grace period of up to 90 days).

  • Modèle de tarification mensuel, par utilisateur.Monthly, per-user pricing model. Cela rend Windows 10 entreprise E3 abordable pour toute organisation.This makes Windows10 Enterprise E3 affordable for any organization.

  • Déplacez les licences entre les utilisateurs.Move licenses between users. Les licences peuvent être rapidement et facilement réaffectées entre les utilisateurs, ce qui vous permet d’optimiser vos investissements en gestion de licences en fonction des besoins de changement.Licenses can be quickly and easily reallocated from one user to another user, allowing you to optimize your licensing investment against changing needs.

Quelles sont les différences entre le Windows 10 EnterpriseE3 dans le programme CSP et les contrats de licence en volume Microsoft et l’assurance logiciel?How does the Windows10 EnterpriseE3 in CSP program compare with Microsoft Volume Licensing Agreements and Software Assurance?

  • Les programmes de contrat de licence en volume Microsoft présentent une étendue plus large, grâce à laquelle les organisations bénéficient de l’accès à la gestion des licences pour l’ensemble des produits Microsoft.Microsoft Volume Licensing programs are broader in scope, providing organizations with access to licensing for all Microsoft products.

  • Software Assurance procure aux organisations les types d’avantages suivants:Software Assurance provides organizations with the following categories of benefits:

    • Déploiement et gestion.Deployment and management. Vous bénéficiez ici des services de planification, de MicrosoftDesktopOptimization(MDOP), des droits d’accès aux bureaux virtuelsWindows, des droitsWindows-To-Go, des droits d’utilisation de l’itinéranceWindows, de WindowsThinPC, des droits WindowsRTCompanionVDA, et d’autres avantages encore.These benefits include planning services, Microsoft Desktop Optimization (MDOP), Windows Virtual Desktop Access Rights, Windows-To-Go Rights, Windows Roaming Use Rights, Windows Thin PC, Windows RT Companion VDA Rights, and other benefits.

    • Formation.Training. Vous bénéficiez ici de bons de formation, d’activités de formation en ligne et d’un programme d’usage à domicile.These benefits include training vouchers, online e-learning, and a home use program.

    • Support.Support. Vous disposez de la prise en charge 24h/24 et 7J/7 de la résolution des problèmes, de fonctionnalités de sauvegarde pour la récupération d’urgence, du serviceSystemCenterGlobalServiceMonitor et d’une instance passive secondaire de SQLServer.These benefits include 24x7 problem resolution support, backup capabilities for disaster recovery, System Center Global Service Monitor, and a passive secondary instance of SQL Server.

    • Spécialisé.Specialized. Vous pouvez ici augmenter la disponibilité des licences (ce qui vous permet de migrer un logiciel d’une édition antérieure vers une édition de niveau supérieure) et répartir les paiements des licences et de SoftwareAssurance entre trois montants annuels identiques.These benefits include step-up licensing availability (which enables you to migrate software from an earlier edition to a higher-level edition) and to spread license and Software Assurance payments across three equal, annual sums.

    Par ailleurs, dans Windows 10 EnterpriseE3 dans CSP, un partenaire peut gérer vos licences pour vous.In addition, in Windows10 EnterpriseE3 in CSP, a partner can manage your licenses for you. Avec SoftwareAssurance, vous, le client, gérez vos propres licences.With Software Assurance, you, the customer, manage your own licenses.

En résumé, le Windows 10 entreprise E3 dans le programme FSC est une offre de mise à niveau permettant aux organisations de petites et moyennes entreprises d’accéder plus facilement aux avantages de Windows 10 Enterprise Edition, tandis que les programmes de licence en volume Microsoft et le logiciel d’assurance logiciel sont plus larges dans le cadre de l’amélioration de l’accès à Windows 10 Enterprise Edition.In summary, the Windows10 Enterprise E3 in CSP program is an upgrade offering that provides small- and medium-sized organizations easier, more flexible access to the benefits of Windows10 Enterprise edition, whereas Microsoft Volume Licensing programs and Software Assurance are broader in scope and provide benefits beyond access to Windows10 Enterprise edition.

Comparer les éditions Windows 10 Pro et EnterpriseCompare Windows10 Pro and Enterprise editions

Windows 10 Enterprise Edition dispose de plusieurs fonctionnalités qui ne sont pas disponibles dans Windows 10 Pro.Windows10 Enterprise edition has a number of features that are unavailable in Windows10 Pro. Table1 recense les fonctionnalités d’entreprise Windows 10 non trouvées dans Windows 10 Pro.Table1 lists the Windows10 Enterprise features not found in Windows10 Pro. La plupart de ces fonctionnalités sont relatives à la sécurité, tandis que d’autres prennent en charge une gestion plus fine des appareils.Many of these features are security-related, whereas others enable finer-grained device management.

Table1.Table1. Fonctionnalités d’entreprise Windows 10 non trouvées dans Windows 10 ProWindows10 Enterprise features not found in Windows10 Pro

FonctionnalitéFeature DescriptionDescription

CredentialGuardCredential Guard

Cette fonctionnalité utilise la sécurité basée sur la sécurité pour protéger les secrets de sécurité (par exemple, les hachages de mot de passe NTLM, les ticketsTGT Kerberos), de manière à ce que le logiciel système privilégié soit le seul à disposer d’un accès.This feature uses virtualization-based security to help protect security secrets (for example, NTLM password hashes, Kerberos Ticket Granting Tickets) so that only privileged system software can access them. Cette configuration permet de résister aux techniques d’attaque de type «pass-the-hash» et «pass-the-ticket».This helps prevent Pass-the-Hash or Pass-the-Ticket attacks.

CredentialGuard présente les fonctionnalités suivantes:Credential Guard has the following features:

  • La sécurité au niveau matériel .     Credential Guard utilise les fonctionnalités de sécurité de la plate-forme matérielle (par exemple, le démarrage et la virtualisation sécurisés) pour protéger les informations d’identification du domaine dérivé et d’autres secrets.Hardware-level security.  Credential Guard uses hardware platform security features (such as Secure Boot and virtualization) to help protect derived domain credentials and other secrets.

  • Sécurité basée sur la virtualisation .     Les services Windows qui accèdent à des informations d’identification de domaine dérivées et d’autres secrets s’exécutent dans un environnement virtualisé et protégé qui est isolé.Virtualization-based security.  Windows services that access derived domain credentials and other secrets run in a virtualized, protected environment that is isolated.

  • Amélioration de la protection contre les menaces persistantes .     Credential Guard est compatible avec d’autres technologies (par exemple, Device Guard) pour vous aider à renforcer la protection contre les attaques, quelle que soit la façon dont le fonctionnement est persistant.Improved protection against persistent threats.  Credential Guard works with other technologies (e.g., Device Guard) to help provide further protection against attacks, no matter how persistent.

  • Gérabilité améliorée .     Le protecteur des informations d’identification peut être géré via une stratégie de groupe, WMI (Windows Management Instrumentation) ou Windows PowerShell.Improved manageability.  Credential Guard can be managed through Group Policy, Windows Management Instrumentation (WMI), or Windows PowerShell.

Pour plus d’informations, consultez la section Protéger les informations d’identification de domaine dérivées avec CredentialGuard.For more information, see Protect derived domain credentials with Credential Guard.

Credential Guard nécessiteUEFI2.3.1 ou une version ultérieure avec le Démarrage sécurisé; Extensions de virtualisation comme Intel VT-x, AMD-V et SLAT à activer; versionx64 de Windows; IOMMU, comme Intel VT-d, AMD-Vi; verrouillage du BIOS; TPM 2.0 recommandé pour l’attestation d’intégrité de l’appareil (utilisation du logiciel en cas d’absence de TPM2.0)Credential Guard requires UEFI 2.3.1 or greater with Trusted Boot; Virtualization Extensions such as Intel VT-x, AMD-V, and SLAT must be enabled; x64 version of Windows; IOMMU, such as Intel VT-d, AMD-Vi; BIOS Lockdown; TPM 2.0 recommended for device health attestation (will use software if TPM 2.0 not present)

DeviceGuardDevice Guard

Cette fonctionnalité est une combinaison de fonctions de sécurité matérielle et logicielle qui autorise uniquement les applications fiables à s’exécuter sur un appareil.This feature is a combination of hardware and software security features that allows only trusted applications to run on a device. Même si une personne malveillante parvient à prendre le contrôle du noyau Windows, il/elle éprouvera des difficultés à placer du code exécutable.Even if an attacker manages to get control of the Windows kernel, he or she will be much less likely to run executable code. Device Guard peut utiliser la sécurité basée sur la virtualisation dans Windows 10 Enterprise Edition pour isoler le service d’intégrité du code du noyau Windows lui-même.Device Guard can use virtualization-based security (VBS) in Windows10 Enterprise edition to isolate the Code Integrity service from the Windows kernel itself. Avec la sécuritéVBS, même si les programmes malveillants accèdent au noyau, leurs effets peuvent être sérieusement limités, car l’hyperviseur peut les empêcher d’exécuter du code.With VBS, even if malware gains access to the kernel, the effects can be severely limited, because the hypervisor can prevent the malware from executing code.

Device Guard effectue les opérations suivantes:Device Guard does the following:

  • Protection contre les programmes malveillantsHelps protect against malware

  • Protection du cœur du systèmeWindows contre les attaques de vulnérabilité et zero-dayHelps protect the Windows system core from vulnerability and zero-day exploits

  • Prise en charge exclusive des applications fiablesAllows only trusted apps to run

Pour plus d’informations, consultez la section Introduction à Device Guard.For more information, see Introduction to Device Guard.

Gestion AppLockerAppLocker management

Cette fonctionnalité permet aux professionnels de l’informatique de déterminer les applications et fichiers qu’ils peuvent exécuter sur un appareil.This feature helps IT pros determine which applications and files users can run on a device. Parmi les applications et les fichiers gérables, nous trouvons les fichiers exécutables, les scripts, les fichiersWindowsInstaller, les bibliothèques de liensdynamiques, les applications empaquetées et les programmes d’installation d’applications empaquetées.The applications and files that can be managed include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

Pour plus d’informations, voir AppLocker.For more information, see AppLocker.

Application Virtualization (App-V)Application Virtualization (App-V)

Cette fonctionnalité rend les applications disponibles aux utilisateurs sans procéder à aucune installation directe sur les appareils des utilisateurs.This feature makes applications available to end users without installing the applications directly on users’ devices. App-V transforme les applications en services gérés de manière centralisée qui ne sont jamais installés et ne'pas t en conflit avec d’autres applications.App-V transforms applications into centrally managed services that are never installed and don't conflict with other applications. Cette fonctionnalité garantit également que les applications sont actualisées avec les dernières mises à jour de sécurité.This feature also helps ensure that applications are kept current with the latest security updates.

Pour plus d’informations, consultez la section prise en main d’App-V pour Windows10.For more information, see Getting Started with App-V for Windows 10.

User Experience Virtualization (UE-V)User Experience Virtualization (UE-V)

Avec cette fonctionnalité, vous pouvez capturer les paramètres Windows et d’application personnalisés par les utilisateurs et les stocker dans un partage de fichiers réseau centralisé.With this feature, you can capture user-customized Windows and application settings and store them on a centrally managed network file share. Lorsque les utilisateurs se connectent, leurs paramètres personnalisés sont appliqués à leur session de travail, quel que soit l’appareil ou la session VDI (Virtual Desktop Infrastructure).When users log on, their personalized settings are applied to their work session, regardless of which device or virtual desktop infrastructure (VDI) sessions they log on to.

UE-V permet d’effectuer les actions suivantes:UE-V provides the ability to do the following:

  • Spécifier l’application et les paramètres Windows synchronisés sur les appareils utilisateurSpecify which application and Windows settings synchronize across user devices

  • Transmettre les paramètres à toute heure et en tout lieu de travail des utilisateurs au sein de l’entrepriseDeliver the settings anytime and anywhere users work throughout the enterprise

  • Créer des modèles personnalisés pour vos applications cœur de métier ou tiercesCreate custom templates for your third-party or line-of-business applications

  • Rétablir les paramètres après un remplacement ou une mise à niveau de matériel, ou après la réinitialisation d’une machine virtuelle à son état initialRecover settings after hardware replacement or upgrade, or after re-imaging a virtual machine to its initial state

Pour plus d’informations, voir Vue d’ensemble User Experience Virtualization (UE-V) pour Windows10.For more information, see User Experience Virtualization (UE-V) for Windows 10 overview.

Expérience utilisateur géréeManaged User Experience

Cette fonctionnalité vous aide à personnaliser et verrouiller l’interface utilisateur de l’appareil Windows, afin de le restreindre à une tâche spécifique.This feature helps customize and lock down a Windows device’s user interface to restrict it to a specific task. Par exemple, vous pouvez configurer un appareil pour un scénario contrôlé, tel qu’une borne ou un appareil de salle de classe.For example, you can configure a device for a controlled scenario such as a kiosk or classroom device. L’expérience est automatiquement réinitialisée lors d’une déconnexion d’utilisateur.The user experience would be automatically reset once a user signs off. Vous pouvez également limiter l’accès aux services, comme à Cortana ou au MicrosoftStore, et gérer les options de disposition du menu Démarrer, notamment:You can also restrict access to services including Cortana or the Windows Store, and manage Start layout options, such as:

  • Supprimer et empêcher l’accès aux commandes d’arrêt, de redémarrage, de mise en veille et de mise en veille prolongéeRemoving and preventing access to the Shut Down, Restart, Sleep, and Hibernate commands

  • Supprimer l’option de fermeture de session (vignette de l’utilisateur) du menu DémarrerRemoving Log Off (the User tile) from the Start menu

  • Supprimer les programmes fréquents du menu DémarrerRemoving frequent programs from the Start menu

  • Supprimer la liste Tous les programmes du menu DémarrerRemoving the All Programs list from the Start menu

  • Empêcher les utilisateurs de personnaliser leur écran de démarragePreventing users from customizing their Start screen

  • Forcer l’écran de démarrage en taille plein écran ou du menuForcing Start menu to be either full-screen size or menu size

  • Empêcher la modification des paramètres de la barre des tâches et du menu DémarrerPreventing changes to Taskbar and Start menu settings

Déploiement des licencesWindows10EntrepriseE3Deployment of Windows 10 Enterprise E3 licenses

Voir Déployer des licences Windows10 Entreprise.See Deploy Windows 10 Enterprise licenses.

Déploiement de fonctionnalités d’entreprise Windows 10Deploy Windows10 Enterprise features

Maintenant que Windows10ÉditionEntreprise s’exécute sur vos appareils, comment tirer profit des fonctionnalités de l’éditionEntreprise?Now that you have Windows 10 Enterprise edition running on devices, how do you take advantage of the Enterprise edition features and capabilities? Quelles sont les étapes à suivre pour chacune des fonctionnalités décrites dans le Tableau1?What are the next steps that need to be taken for each of the features discussed in Table 1?

Les sections suivantes vous fournissent les tâches de haut niveau qui doivent être effectuées dans votre environnement pour aider les utilisateurs à tirer parti des fonctionnalités d’Windows 10 Enterprise Edition.The following sections provide you with the high-level tasks that need to be performed in your environment to help users take advantage of the Windows10 Enterprise edition features.

CredentialGuard*Credential Guard*

Vous pouvez implémenter la protection des informations d’identification sur les appareils Windows 10 Enterprise en activant Credential Guard sur ces appareils.You can implement Credential Guard on Windows10 Enterprise devices by turning on Credential Guard on these devices. Credential Guard utilise des fonctionnalités de sécurité basées sur la virtualisation Windows 10 (fonctionnalités Hyper-V) qui doivent être activées sur chaque appareil avant de pouvoir activer le protection des informations d’identification.Credential Guard uses Windows10 virtualization-based security features (Hyper-V features) that must be enabled on each device before you can turn on Credential Guard. Vous pouvez activer CredentialGuard en appliquant l’une des méthodes suivantes:You can turn on Credential Guard by using one of the following methods:

  • Automatisée.Automated. Vous pouvez activer automatiquement CredentialGuard pour un ou plusieurs appareils, à l’aide de la stratégie de groupe.You can automatically turn on Credential Guard for one or more devices by using Group Policy. Les paramètres de stratégie de groupe ajoutent automatiquement les fonctionnalités de sécurité basée sur la virtualisation et configurent les paramètres de registre CredentialGuard sur les appareils gérés.The Group Policy settings automatically add the virtualization-based security features and configure the Credential Guard registry settings on managed devices.

  • Manuelle.Manual. Pour activer manuellement CredentialGuard, procédez comme suit:You can manually turn on Credential Guard by doing the following:

    Vous pouvez automatiser ces étapes manuelles à l’aide d’un outil de gestion tel que Microsoft Endpoint Configuration Manager.You can automate these manual steps by using a management tool such as Microsoft Endpoint Configuration Manager.

Pour plus d’informations sur l’implémentation de CredentialGuard, consultez les ressources suivantes:For more information about implementing Credential Guard, see the following resources:

* NécessiteUEFI2.3.1 ou une version ultérieure avec le Démarrage sécurisé; Extensions de virtualisation comme Intel VT-x, AMD-V et SLAT à activer; versionx64 de Windows; IOMMU, comme Intel VT-d, AMD-Vi; verrouillage du BIOS; TPM 2.0 recommandé pour l’attestation d’intégrité de l’appareil (utilisation du logiciel en cas d’absence de TPM2.0)* Requires UEFI 2.3.1 or greater with Trusted Boot; Virtualization Extensions such as Intel VT-x, AMD-V, and SLAT must be enabled; x64 version of Windows; IOMMU, such as Intel VT-d, AMD-Vi; BIOS Lockdown; TPM 2.0 recommended for device health attestation (will use software if TPM 2.0 not present)

DeviceGuardDevice Guard

Maintenant que les appareils disposent de Windows 10 entreprise, vous pouvez implémenter Device Guard sur les appareils Windows 10 entreprise en procédant comme suit:Now that the devices have Windows10 Enterprise, you can implement Device Guard on the Windows10 Enterprise devices by performing the following steps:

  1. Facultativement, créez un certificat de signature pour les stratégies d’intégrité du code.Optionally, create a signing certificate for code integrity policies. Lorsque vous déployez des stratégies d’intégrité du code, vous pouvez avoir besoin d’approuver des fichiers catalogues ou des stratégies d’intégrité du code en interne.As you deploy code integrity policies, you might need to sign catalog files or code integrity policies internally. Pour ce faire, vous avez besoin d’un certificat de signature du code émis publiquement (que vous achetez) ou d’une autorité de certification interne.To do this, you will either need a publicly issued code signing certificate (that you purchase) or an internal certificate authority (CA). Si vous choisissez d’utiliser une autorité de certification interne, vous devez créer un certificat de signature du code.If you choose to use an internal CA, you will need to create a code signing certificate.

  2. Créez des stratégies d’intégrité du code sur des ordinateurs «de référence».Create code integrity policies from “golden” computers. Lorsque vous avez identifié des départements ou des rôles qui utilisent des ensembles de matériels et de logiciels distincts ou partiellement distincts, vous pouvez configurer des ordinateurs «de référence» contenant ces logiciels et ces matériels.When you have identified departments or roles that use distinctive or partly distinctive sets of hardware and software, you can set up “golden” computers containing that software and hardware. À cet égard, la création et la gestion des stratégies d’intégrité du code visant à satisfaire les besoins des rôles ou des départements peuvent être similaires à la gestion des images d’entreprise.In this respect, creating and managing code integrity policies to align with the needs of roles or departments can be similar to managing corporate images. À partir de chaque ordinateur «de référence», vous pouvez créer une stratégie d’intégrité du code et choisir comment gérer cette stratégie.From each “golden” computer, you can create a code integrity policy and decide how to manage that policy. Vous pouvez fusionner les stratégies d’intégrité du code pour créer une stratégie plus étendue ou une stratégie principale, ou vous pouvez gérer et déployer chaque stratégie individuellement.You can merge code integrity policies to create a broader policy or a master policy, or you can manage and deploy each policy individually.

  3. Auditez la stratégie d’intégrité du code et capturez des informations sur les applications en dehors de la stratégie.Audit the code integrity policy and capture information about applications that are outside the policy. Nous vous recommandons d’utiliser le «mode audit» pour tester attentivement chaque stratégie d’intégrité du code avant de l’appliquer.We recommend that you use “audit mode” to carefully test each code integrity policy before you enforce it. Avec le mode audit, aucune application n’est bloquée. La stratégie enregistre simplement un événement chaque fois qu’une application est démarrée en dehors de la stratégie.With audit mode, no application is blocked—the policy just logs an event whenever an application outside the policy is started. Plus tard, vous pouvez étendre la stratégie pour autoriser ces applications, en fonction des besoins.Later, you can expand the policy to allow these applications, as needed.

  4. Créez un «fichier catalogue» pour les applications cœur de métier non signées.Create a “catalog file” for unsigned line-of-business (LOB) applications. Utilisez l’outil Inspecteur de package pour créer et signer un fichier catalogue pour vos applications cœur de métier non signées.Use the Package Inspector tool to create and sign a catalog file for your unsigned LOB applications. Dans les étapes ultérieures, vous pourrez fusionner la signature du fichier catalogue dans votre stratégie d’intégrité du code, pour que les applications du catalogue soient autorisées par la stratégie.In later steps, you can merge the catalog file's signature into your code integrity policy so that applications in the catalog will be allowed by the policy.

  5. Capturez les informations nécessaires sur les stratégies dans le journal des événements et fusionnez les informations dans la stratégie existante en fonction des besoins.Capture needed policy information from the event log, and merge information into the existing policy as needed. Après l’exécution d’une stratégie d’intégrité du code en mode audit pendant un certain temps, le journal des événements contient des informations sur les applications qui sont en dehors de la stratégie.After a code integrity policy has been running for a time in audit mode, the event log will contain information about applications that are outside the policy. Pour étendre la stratégie de manière à ce qu’elle autorise ces applications, utilisez les commandes WindowsPowerShell pour capturer les informations de stratégie nécessaires dans le journal des événements, puis fusionnez ces informations dans la stratégie existante.To expand the policy so that it allows for these applications, use Windows PowerShell commands to capture the needed policy information from the event log, and then merge that information into the existing policy. Vous pouvez également fusionner des stratégies d’intégrité du code d’autres sources, pour une plus grande flexibilité dans la création de vos stratégies finales d’intégrité de code.You can merge code integrity policies from other sources also, for flexibility in how you create your final code integrity policies.

  6. Déployez les stratégies d’intégrité du code et les fichiers catalogues.Deploy code integrity policies and catalog files. Une fois que vous confirmez que vous avez terminé les étapes précédentes, vous pouvez commencer à déployer des fichiers catalogues et à sortir les stratégies d’intégrité du code hors du mode audit.After you confirm that you have completed all the preceding steps, you can begin deploying catalog files and taking code integrity policies out of audit mode. Nous vous conseillons de commencer ce processus avec un groupe test d’utilisateurs.We strongly recommend that you begin this process with a test group of users. Vous bénéficiez ainsi d’un contrôle final de la qualité avant le déploiement des fichiers catalogues et des stratégies d’intégrité du code à un niveau plus étendu.This provides a final quality-control validation before you deploy the catalog files and code integrity policies more broadly.

  7. Activez les fonctionnalités de sécurité matérielles de votre choix.Enable desired hardware security features. Les fonctionnalités de sécurité basées sur le matériel, également appelées fonctionnalités de sécurité basées sur la virtualisation(VBS), renforcent la protection octroyée par les stratégies d’intégrité du code.Hardware-based security features—also called virtualization-based security (VBS) features—strengthen the protections offered by code integrity policies.

Pour plus d’informations sur l’implémentation de DeviceGuard, consultez les références suivantes:For more information about implementing Device Guard, see:

Gestion AppLockerAppLocker management

Vous pouvez gérer AppLocker dans Windows 10 entreprise à l’aide d’une stratégie de groupe.You can manage AppLocker in Windows10 Enterprise by using Group Policy. La stratégie de groupe nécessite que vous ayez AD DS et que les appareils d’entreprise Windows 10 soient joints au domaine AD DS.Group Policy requires that the you have AD DS and that the Windows10 Enterprise devices are joined to the your AD DS domain. Vous pouvez créer des règlesAppLocker à l’aide de la stratégie de groupe, puis diriger ces règles vers les appareils appropriés.You can create AppLocker rules by using Group Policy, and then target those rules to the appropriate devices.

Pour plus d’informations sur la gestionAppLocker à l’aide de la stratégie de groupe,consultez le Guide de déploiement d’AppLocker.For more information about AppLocker management by using Group Policy, see AppLocker deployment guide.

App-VApp-V

App-V nécessite une infrastructure de serveurApp-V pour la prise en charge des clientsApp-V.App-V requires an App-V server infrastructure to support App-V clients. Les principaux composantsApp-V dont vous devez disposer sont les suivants:The primary App-V components that the you must have are as follows:

  • Serveur App-V.App-V server. Le serveurApp-V procure la gestionApp-V, la publication des applications virtualisées, la diffusion en continu des applications et des services de création de rapports.The App-V server provides App-V management, virtualized app publishing, app streaming, and reporting services. Chacun de ces services peut être exécuté sur un serveur ou individuellement sur plusieurs serveurs.Each of these services can be run on one server or can be run individually on multiple servers. Par exemple, vous pourriez posséder plusieurs serveurs de diffusion en continu.For example, you could have multiple streaming servers. Les clientsApp-V contactent les serveursApp-V afin d’identifier les applications publiées à destination de l’utilisateur ou de l’appareil, puis exécutent l’application virtualisée à partir du serveur.App-V clients contact App-V servers to determine which apps are published to the user or device, and then run the virtualized app from the server.

  • SéquenceurApp-V.App-V sequencer. Le séquenceurApp-V est un appareil client typique utilisé pour séquencer (capturer) des applications et les préparer à l’hébergement à partir du serveurApp-V.The App-V sequencer is a typical client device that is used to sequence (capture) apps and prepare them for hosting from the App-V server. Vous installez des applications sur le séquenceurApp-V, puis son logiciel détermine les fichiers et les paramètres de registre qui sont modifiés durant l’installation.You install apps on the App-V sequencer, and the App-V sequencer software determines the files and registry settings that are changed during app installation. Ensuite, le séquenceur capture ces paramètres pour créer une application virtualisée.Then the sequencer captures these settings to create a virtualized app.

  • ClientApp-V.App-V client. Le clientApp-V doit être activé sur tout appareil client sur lequel les applications seront exécutées à partir du serveurApp-V.The App-V client must be enabled on any client device on which apps will be run from the App-V server. Il s’agit des appareils Windows 10 entreprise E3.These will be the Windows10 Enterprise E3 devices.

Pour plus d’informations sur l’implémentation du serveurApp-V, du séquenceurApp-V et du clientApp-V, consultez les ressources suivantes:For more information about implementing the App-V server, App-V sequencer, and App-V client, see the following resources:

UE-VUE-V

UE6V requiert les composants des côtés serveur et client dont vous aurez besoin pour le téléchargement, l’activation et l’installation.UE-V requires server- and client-side components that you you’ll need to download, activate, and install. Ces composants sont les suivants:These components include:

  • ServiceUE-V.UE-V service. Le serviceUE-V (lorsqu’il est activé sur les appareils) détecte les modifications de paramétrage sur les applications enregistrées et sur Windows, puis synchronise ces paramètres entre les appareils.The UE-V service (when enabled on devices) monitors registered applications and Windows for any settings changes, then synchronizes those settings between devices.

  • Packages de paramètres.Settings packages. Les packages de paramètres créés par le serviceUE-V stockent les paramètres d’applications et de Windows.Settings packages created by the UE-V service store application settings and Windows settings. Les packages de paramètres sont développés, stockés en local et copiés sur l’emplacement de stockage des paramètres.Settings packages are built, locally stored, and copied to the settings storage location.

  • Emplacement de stockage des paramètres.Settings storage location. Cet emplacement est un partage standard de réseau auquel vos utilisateurs ont accès.This location is a standard network share that your users can access. Le serviceUE-V vérifie l’emplacement et crée un dossier système masqué dans lequel stocker et récupérer les paramètres utilisateur.The UE-V service verifies the location and creates a hidden system folder in which to store and retrieve user settings.

  • Modèles d’emplacement des paramètres.Settings location templates. Les modèles d’emplacement des paramètres sont des fichiersXML utilisés par UE-V pour surveiller et synchroniser les paramètres des applications de bureau et du bureau Windows entre les ordinateurs utilisateurs.Settings location templates are XML files that UE-V uses to monitor and synchronize desktop application settings and Windows desktop settings between user computers. Par défaut, certains modèles d’emplacement de paramètres sont inclus dans UE-V.By default, some settings location templates are included in UE-V. Vous pouvez également créer, modifier ou valider des modèles d’emplacement de paramètres personnalisés à l’aide du générateur de modèleUE-V.You can also create, edit, or validate custom settings location templates by using the UE-V template generator. Les modèles d’emplacement de paramètres ne sont pas requis pour les applicationsWindows.Settings location templates are not required for Windows applications.

  • Liste des applications Windows universelles.Universal Windows applications list. UE-V identifie les applicationsWindows qui sont activées pour la synchronisation des paramètres à l’aide d’une liste gérée des applications.UE-V determines which Windows applications are enabled for settings synchronization using a managed list of applications. Par défaut, cette liste comporte la plupart des applicationsWindows.By default, this list includes most Windows applications.

Pour plus d’informations sur le déploiement d’UE-V, consultez les ressources suivantes:For more information about deploying UE-V, see the following resources:

Expérience utilisateur géréeManaged User Experience

La fonctionnalité gestion de l’utilisation de l’utilisateur est un ensemble de fonctionnalités Windows 10 Enterprise Edition et des paramètres correspondants que vous pouvez utiliser pour gérer l’utilisation de l’utilisateur.The Managed User Experience feature is a set of Windows10 Enterprise edition features and corresponding settings that you can use to manage user experience. Le tableau 2 décrit les paramètres de l’interface utilisateur gérée (par catégorie), qui sont uniquement disponibles dans Windows 10 Enterprise Edition.Table 2 describes the Managed User Experience settings (by category), which are only available in Windows10 Enterprise edition. Les méthodes de gestion utilisées pour configurer chaque fonctionnalité dépendent des différentes fonctionnalités.The management methods used to configure each feature depend on the feature. Certaines fonctionnalités sont configurées à l’aide de la stratégie de groupe, tandis que d’autres le sont à l’aide de WindowsPowerShell, de l’outil Gestion et maintenance des images de déploiement(DISM) ou d’autres outils de ligne de commande.Some features are configured by using Group Policy, while others are configured by using Windows PowerShell, Deployment Image Servicing and Management (DISM), or other command-line tools. Pour les paramètres de stratégie de groupe, vous devez avoir AD DS avec les appareils Windows 10 entreprise joints au domaine AD DS.For the Group Policy settings, you must have AD DS with the Windows10 Enterprise devices joined to your AD DS domain.

Table2.Table2. Fonctionnalités de l’expérience utilisateur géréeManaged User Experience features

FonctionnalitéFeature DescriptionDescription
Personnalisation de la disposition de l’écran de démarrageStart layout customization Vous pouvez déployer une disposition personnalisée de l’écran de démarrage pour les utilisateurs d’un domaine.You can deploy a customized Start layout to users in a domain. Aucune réinitialisation n’est requise, et la disposition de l’écran de démarrage peut être mise à jour aisément en remplaçant le fichier .xml qui la contient.No reimaging is required, and the Start layout can be updated simply by overwriting the .xml file that contains the layout. Cela vous permet de personnaliser les dispositions de l’écran de démarrage pour différents services ou organisations, moyennant une charge de gestion minimale.This enables you to customize Start layouts for different departments or organizations, with minimal management overhead.
Pour plus d’informations sur ces paramètres, reportez-vous à personnaliser le démarrage d’Windows 10 et la barre des tâches avec une stratégie de groupe.For more information on these settings, see Customize Windows10 Start and taskbar with Group Policy.
Démarrage sans marqueUnbranded boot Vous pouvez supprimer des éléments de Windows qui s’affichent au démarrage ou à la reprise de Windows et supprimer l’écran de blocage lorsque Windows rencontre une erreur qui ne peut pas être suivie d’une récupération.You can suppress Windows elements that appear when Windows starts or resumes and can suppress the crash screen when Windows encounters an error from which it cannot recover.
Pour plus d’informations sur ces paramètres, consultez la section Démarrage sans marque.For more information on these settings, see Unbranded Boot.
Ouverture de session personnaliséeCustom logon Vous pouvez utiliser la fonctionnalité d’ouverture de session personnalisée pour supprimer les éléments de l’interface utilisateur de Windows 10 liés à l’écran d’accueil et à l’écran d’arrêt.You can use the Custom Logon feature to suppress Windows10 UI elements that relate to the Welcome screen and shutdown screen. Par exemple, vous pouvez supprimer l’ensemble des éléments de l’UI de l’écran de démarrage afin de fournir une UI d’ouverture de session personnalisée.For example, you can suppress all elements of the Welcome screen UI and provide a custom logon UI. Vous pouvez également supprimer l’écran de résolution de l’arrêt bloqué et automatiquement arrêter les applications pendant que le système d’exploitation attend la fermeture des applications avant un arrêt.You can also suppress the Blocked Shutdown Resolver (BSDR) screen and automatically end applications while the OS waits for applications to close before a shutdown.
Pour plus d’informations sur ces paramètres, consultez la section Ouverture de session personnalisée.For more information on these settings, see Custom Logon.
Lanceur d’interpréteur de commandesShell launcher Permet à l’accès affecté d’exécuter uniquement une application Windows classique via le lanceur d’interpréteur de commandes afin de remplacer l’interpréteur de commandes.Enables Assigned Access to run only a classic Windows app via Shell Launcher to replace the shell.
Pour plus d’informations sur ces paramètres, consultez la section Lanceur d’interpréteur de commandes.For more information on these settings, see Shell Launcher.
Filtre de clavierKeyboard filter Vous pouvez utiliser le filtre de clavier pour supprimer des pressions ou des combinaisons de touches indésirables.You can use Keyboard Filter to suppress undesirable key presses or key combinations. Normalement, les utilisateurs peuvent solliciter des combinaisons spécifiques de touches Windows telles que Ctrl+Alt+Suppr ou Ctrl+Maj+Tab pour contrôler un appareil en verrouillant l’écran ou en utilisant le gestionnaire de tâches pour fermer une application en cours d’exécution.Normally, users can use certain Windows key combinations like Ctrl+Alt+Delete or Ctrl+Shift+Tab to control a device by locking the screen or using Task Manager to close a running application. Cette procédure n’est pas souhaitable sur les appareils destinés à un usage particulier.This is not desirable on devices intended for a dedicated purpose.
Pour plus d’informations sur ces paramètres, consultez la section Filtre de clavier.For more information on these settings, see Keyboard Filter.
Filtre d’écriture unifiéUnified write filter Vous pouvez utiliser le Filtre d’écriture unifié sur votre appareil pour protéger davantage vos médias de stockage physique, notamment les types de stockage accessibles en écriture les plus standard pris en charge par Windows, tels que les disques durs physiques, les disquesSSD, les périphériquesUSB internes, les périphériquesSATA externes, etc.You can use Unified Write Filter (UWF) on your device to help protect your physical storage media, including most standard writable storage types that are supported by Windows, such as physical hard disks, solid-state drives, internal USB devices, external SATA devices, and so on. Vous pouvez également utiliser le Filtre d’écriture unifié pour faire apparaître les médias en lecture seule sur le système d’exploitation, en tant que volumes accessibles en écriture.You can also use UWF to make read-only media appear to the OS as a writable volume.
Pour plus d’informations sur ces paramètres, consultez la section Filtre d’écriture unifié.For more information on these settings, see Unified Write Filter.

Rubriques associéesRelated topics

Activation de l’abonnement Windows10 EntrepriseWindows 10 Enterprise Subscription Activation
Connecter des appareils joints au domaine à Azure AD pour des expériences Windows10Connect domain-joined devices to Azure AD for Windows 10 experiences
Comparer les éditions de Windows10Compare Windows 10 editions
Windows pour votre entrepriseWindows for business