Windows Enterprise E3 in CSP

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Windows Enterprise E3 in CSP offre, per sottoscrizione, funzionalità esclusive riservate per le edizioni Windows Enterprise. Questa offerta è disponibile attraverso il canale CSP (Cloud Solution Provider) nel Centro per i partner come servizio online. Windows Enterprise E3 in CSP offre una sottoscrizione flessibile per utente per le organizzazioni di piccole e medie dimensioni (da uno a centinaia di utenti). Per sfruttare questa offerta, è necessario soddisfare i prerequisiti seguenti:

• Versione attualmente supportata di Windows, installata e attivata, nei dispositivi da aggiornare.
• Microsoft Entra disponibili per la gestione delle identità.

Passare da Windows Pro a Windows Enterprise è più semplice che mai senza chiavi e senza riavvii. Dopo che un utente immette le credenziali di Microsoft Entra associate a una licenza di Windows Enterprise E3, il sistema operativo passa da Windows Pro a Windows Enterprise e tutte le funzionalità aziendali appropriate vengono sbloccate. Quando una licenza di sottoscrizione scade o viene trasferita a un altro utente, il dispositivo Enterprise torna facilmente a Windows Pro.

In precedenza, solo le organizzazioni con contratto multilicenza Microsoft potevano distribuire Windows Enterprise ai propri utenti. Ora, con Windows Enterprise E3 in CSP, le organizzazioni di piccole e medie dimensioni possono sfruttare più facilmente le funzionalità dell'edizione Enterprise.

Quando Windows Enterprise E3 viene acquistato tramite un partner, sono inclusi i vantaggi seguenti:

• Windows Enterprise Edition. I dispositivi che eseguono Windows Pro possono ottenere Windows Enterprise Current Branch (CB) o Current Branch for Business (CBB). Questo vantaggio non include Long Term Service Branch (LTSB).
• Supporto da uno a centinaia di utenti. Anche se il programma Windows Enterprise E3 in CSP non ha una limitazione sul numero di licenze che un'organizzazione può avere, il programma è progettato per le organizzazioni di piccole e medie dimensioni.
• Distribuzione in un massimo di cinque dispositivi. Per ogni utente coperto dalla licenza, Windows Enterprise Edition può essere distribuito in un massimo di cinque dispositivi.
• Eseguire il rollback a Windows Pro in qualsiasi momento. Quando la sottoscrizione di un utente scade o viene trasferita a un altro utente, il dispositivo Windows Enterprise torna facilmente all'edizione Windows Pro (dopo un periodo di tolleranza fino a 90 giorni).
• Modello di determinazione dei prezzi mensile per utente. Questo modello rende Windows Enterprise E3 conveniente per le organizzazioni.
• Spostamento delle licenze tra utenti. Le licenze possono essere riallocate rapidamente e facilmente da un utente a un altro utente, consentendo l'ottimizzazione dell'investimento in licenze in base alle mutevoli esigenze.

Come si confronta il programma Windows Enterprise E3 in CSP con i contratti multilicenza Microsoft e Software Assurance?

• I programmi con contratti multilicenza Microsoft hanno un ambito più ampio e forniscono alle organizzazioni l'accesso alle licenze di tutti i prodotti Microsoft.

• Software Assurance offre alle organizzazioni le categorie di vantaggi seguenti:

  • Distribuzione e manutenzione. Questi vantaggi includono i servizi di pianificazione:

    • Microsoft Desktop Optimization (MDOP).
    • Diritti di accesso di Desktop virtuale Windows.
    • Diritti d'uso di Windows Roaming.
    • Altri vantaggi.

  • Formazione. Questi vantaggi includono voucher di formazione, e-learning online e l'opzione Home Use Program.

  • Supporto. Questi vantaggi includono:

    • Supporto per la risoluzione dei problemi 24x7.
    • Funzionalità di backup per il ripristino di emergenza.
    • System Center Global Service Monitor.
    • Istanza secondaria passiva di SQL Server.

  • Specializzazione. Questi vantaggi includono la disponibilità delle licenze passo-passo, che consente la migrazione del software da un'edizione precedente a un'edizione di livello superiore. Distribuisce anche i pagamenti di licenza e Software Assurance su tre importi annuali uguali.

    Inoltre, in Windows Enterprise E3 in CSP, un partner può gestire le licenze per un'organizzazione. Con Software Assurance, l'organizzazione deve gestire le proprie licenze.

In sintesi, il programma Windows Enterprise E3 in CSP è un'offerta di aggiornamento che offre alle organizzazioni di piccole e medie dimensioni un accesso più semplice e flessibile ai vantaggi di Windows Enterprise Edition. I programmi Per contratti multilicenza Microsoft e Software Assurance, invece, hanno un ambito più ampio e offrono vantaggi che vanno oltre l'accesso all'edizione Enterprise di Windows.

Confrontare le edizioni Di Windows Pro ed Enterprise

Windows Enterprise Edition include molte funzionalità non disponibili in Windows Pro. La tabella 1 elenca alcune delle funzionalità di Windows Enterprise non disponibili in Windows Pro. Molte di queste funzionalità sono correlate alla sicurezza, mentre altre consentono una gestione dei dispositivi più granulare.

Tabella 1. Funzionalità di Windows Enterprise non trovate in Windows Pro

Funzionalità	Descrizione
Credential Guard	Credential Guard usa la sicurezza basata sulla virtualizzazione per proteggere i segreti di sicurezza in modo che solo il software di sistema con privilegi possa accedervi. Esempi di segreti di sicurezza che possono essere protetti includono gli hash delle password NTLM e i ticket di concessione dei ticket Kerberos. Questa protezione consente di evitare attacchi Pass-the-Hash o Pass-the-Ticket. Credential Guard offre le funzionalità seguenti: Sicurezza a livello di hardware : Credential Guard usa funzionalità di sicurezza della piattaforma hardware (ad esempio avvio protetto e virtualizzazione) per proteggere le credenziali di dominio derivate e altri segreti. Sicurezza basata sulla virtualizzazione : i servizi Windows che accedono alle credenziali di dominio derivate e ad altri segreti vengono eseguiti in un ambiente protetto virtualizzato isolato. Protezione migliorata dalle minacce persistenti : Credential Guard funziona con altre tecnologie (ad esempio Device Guard) per offrire un'ulteriore protezione dagli attacchi, indipendentemente dalla persistenza. Gestibilità migliorata: Credential Guard può essere gestito tramite Criteri di gruppo, Strumentazione gestione Windows (WMI) o Windows PowerShell. Per altre informazioni, vedi Proteggere le credenziali di dominio derivate con Credential Guard. Credential Guard richiede UEFI 2.3.1 o versione successiva con avvio attendibile Le estensioni di virtualizzazione, ad esempio Intel VT-x, AMD-V e SLAT, devono essere abilitate Versione x64 di Windows IOMMU, ad esempio Intel VT-d, AMD-Vi Blocco bios TPM 2.0 consigliato per l'attestazione dell'integrità del dispositivo (usa il software se TPM 2.0 non è presente)
Device Guard	Device Guard è una combinazione di funzionalità di sicurezza hardware e software con cui è possibile consentire l'esecuzione, in un dispositivo, solo delle applicazioni attendibili. Anche se un utente malintenzionato riesce a ottenere il controllo del kernel di Windows, è molto meno probabile che eservi codice eseguibile. Device Guard può usare la sicurezza basata sulla virtualizzazione (VBS) in Windows Enterprise Edition per isolare il servizio Di integrità del codice dal kernel di Windows stesso. Con la sicurezza basata su virtualizzazione, anche se il malware ottiene l'accesso al kernel, le conseguenze possono essere molto contenute, perché l'hypervisor può impedire al malware di eseguire il codice. Device Guard protegge nei modi seguenti: Aiuta a proteggere dal malware Aiuta a proteggere il sistema operativo Windows da vulnerabilità e attacchi zero-day Consente l'esecuzione solo delle app attendibili Per altre informazioni, vedi Introduzione a Device Guard.
Gestione di AppLocker	Questa funzionalità consente ai professionisti IT di determinare quali applicazioni e file gli utenti possono eseguire in un dispositivo. Le applicazioni e i file che possono essere gestiti includono file eseguibili, script, file di Windows Installer, librerie di collegamento dinamico (DLL), app in pacchetto e programmi di installazione di app in pacchetto. Per altre informazioni, vedi AppLocker.
Application Virtualization (App-V)	Questa funzionalità rende le applicazioni disponibili per gli utenti finali senza installare le applicazioni direttamente nei dispositivi degli utenti. App-V trasforma le applicazioni in servizi gestiti centralmente che non vengono mai installati e non entrano in conflitto con altre applicazioni. Questa funzionalità aiuta anche a fare in modo che le applicazioni dispongano sempre degli aggiornamenti della sicurezza più recenti. Per altre informazioni, vedere Introduzione a App-V per il client Windows.
User Experience Virtualization (UE-V)	Con questa funzionalità, le impostazioni di Windows e dell'applicazione personalizzate dall'utente possono essere acquisite e archiviate in una condivisione file di rete gestita centralmente. Quando gli utenti accedono, le impostazioni personalizzate vengono applicate alla sessione di lavoro, indipendentemente dal dispositivo o dalle sessioni VDI (Virtual Desktop Infrastructure) a cui accedono. UE-V offre le funzionalità seguenti: Specificare le impostazioni delle applicazioni e di Windows da sincronizzare tra i dispositivi utente Recapitare in qualsiasi momento le impostazioni agli utenti, indipendentemente dalla posizione nell'azienda da cui gli utenti lavorano Creare modelli personalizzati per applicazioni line-of-business Ripristinare le impostazioni dopo la sostituzione o l'aggiornamento dell'hardware o dopo aver ricreato lo stato iniziale di una macchina virtuale Per altre informazioni, vedere Panoramica di User Experience Virtualization (UE-V).
Esperienza utente gestita	Questa funzionalità consente di personalizzare e bloccare l'interfaccia utente di un dispositivo Windows per limitarla a un'attività specifica. Ad esempio, un dispositivo può essere configurato per uno scenario controllato, ad esempio un chiosco multimediale o un dispositivo per le classi. L'esperienza utente viene reimpostata automaticamente quando l'utente si disconnette. È anche possibile limitare l'accesso a servizi come Windows Store. Per Windows 10, è anche possibile gestire le opzioni di layout Start, ad esempio: Rimozione e blocco dell'accesso ai comandi Arresta il sistema, Riavvia il sistema, Sospensione e Ibernazione Rimozione della disconnessione (icona utente) dal menu Start Rimozione dell'elenco dei programmi più utilizzati dal menu Start Rimozione dell'elenco Tutti i programmi dal menu Start Blocco della personalizzazione della schermata Start da parte degli utenti Impostazione delle dimensioni del menu Start a schermo intero o come menu Blocco delle modifiche delle impostazioni del menu Start e della barra delle applicazioni

Distribuzione di licenze di Windows Enterprise E3

Vedi Distribuire le licenze di Windows Enterprise.

Distribuire le funzionalità di Windows Enterprise

Ora che Windows Enterprise Edition è in esecuzione nei dispositivi, come vengono sfruttate le funzionalità e le funzionalità dell'edizione Enterprise? Quali passaggi sono necessari per ognuna delle funzionalità descritte nella tabella 1?

Le sezioni seguenti forniscono le attività di alto livello che devono essere eseguite in un ambiente per consentire agli utenti di sfruttare le funzionalità di Windows Enterprise Edition.

Credential Guard

Nota

Richiede UEFI 2.3.1 o versione successiva con Avvio attendibile; Le estensioni di virtualizzazione, ad esempio Intel VT-x, AMD-V e SLAT, devono essere abilitate; versione x64 di Windows; IOMMU, ad esempio Intel VT-d, AMD-Vi; Blocco bios; TPM 2.0 consigliato per l'attestazione dell'integrità del dispositivo (userà il software se TPM 2.0 non è presente).

Credential Guard può essere implementato nei dispositivi Windows Enterprise attivando Credential Guard in questi dispositivi. Credential Guard usa funzionalità di sicurezza basate su Virtualizzazione Windows (Hyper-V) che devono essere abilitate in ogni dispositivo prima che Credential Guard possa essere attivato. Credential Guard può essere attivato usando uno dei metodi seguenti:

• Automatico. Credential Guard può essere attivato per uno o più dispositivi usando Criteri di gruppo. Le impostazioni di Criteri di gruppo aggiungono automaticamente le funzionalità di sicurezza basata su virtualizzazione e configurano le impostazioni del Registro di sistema di Credential Guard nei dispositivi gestiti.

• Manuale. Credential Guard può essere attivato manualmente eseguendo una delle azioni seguenti:

  • Aggiungi le funzionalità di sicurezza basata su virtualizzazione usando Programmi e funzionalità o Gestione e manutenzione immagini distribuzione.

  • Configura le impostazioni del Registro di sistema di Credential Guard usando l'editor del Registro di sistema o lo strumento di preparazione hardware per Device Guard e Credential Guard.

    Questi passaggi manuali possono essere automatizzati usando uno strumento di gestione come Microsoft Configuration Manager.

Per altre informazioni sull'implementazione di Credential Guard, vedi le risorse seguenti:

• Panoramica di Credential Guard
• Considerazioni sulla sicurezza per i produttori di apparecchiature originali
• Strumento di preparazione hardware per Device Guard e Credential Guard

Device Guard

Ora che i dispositivi hanno Windows Enterprise, Device Guard può essere implementato nei dispositivi Windows Enterprise eseguendo la procedura seguente:

1. Facoltativamente, crea un certificato di firma per i criteri di integrità del codice. Man mano che vengono distribuiti i criteri di integrità del codice, i file di catalogo o i criteri di integrità del codice potrebbero dover essere firmati internamente. Per firmare internamente i file di catalogo o i criteri di integrità del codice, è necessario un certificato di firma del codice rilasciato pubblicamente (normalmente acquistato) o un'autorità di certificazione interna (CA). Se si sceglie una CA interna, è necessario creare un certificato di firma del codice.

2. Creare criteri di integrità del codice da computer "golden". A volte i reparti o i ruoli usano set distintivi o parzialmente distintivi di hardware e software. In questi casi, è possibile configurare computer "golden" contenenti il software e l'hardware per questi reparti o ruoli. A questo proposito, la creazione e la gestione dei criteri di integrità del codice in base alle esigenze dei ruoli o dei reparti possono essere analoghe alla gestione delle immagini aziendali. Da ogni computer "d'oro" è possibile creare un criterio di integrità del codice e quindi decidere come gestire tale criterio. I criteri di integrità del codice possono essere uniti per creare criteri più ampi o primari oppure ogni criterio può essere gestito e distribuito singolarmente.

3. Controlla i criteri di integrità del codice e acquisisci informazioni sulle applicazioni al di fuori dei criteri. Microsoft consiglia di usare la "modalità di controllo" per testare attentamente ogni criterio di integrità del codice prima di applicarlo. Con la modalità di controllo, nessuna applicazione è bloccata. Il criterio registra semplicemente un evento ogni volta che viene avviata un'applicazione esterna ai criteri. Successivamente, i criteri possono essere espansi per consentire queste applicazioni, in base alle esigenze.

4. Creare un "file di catalogo" per applicazioni line-of-business (LOB) non firmate. Usare lo strumento Controllo pacchetti per creare e firmare un file di catalogo per le applicazioni LOB non firmate. Nei passaggi successivi, la firma del file di catalogo può essere unita ai criteri di integrità del codice in modo che i criteri consentano le applicazioni nel catalogo.

5. Acquisisci le informazioni necessarie sui criteri dal registro eventi e unisci le informazioni nei criteri esistenti in base alle esigenze. Dopo che un criterio di integrità del codice viene eseguito per un certo periodo in modalità di controllo, il registro eventi contiene informazioni sulle applicazioni al di fuori del criterio. Per espandere il criterio in modo che consenta queste applicazioni, usare Windows PowerShell comandi per acquisire le informazioni sui criteri necessarie dal registro eventi. Dopo aver acquisito le informazioni, unire tali informazioni nei criteri esistenti. I criteri di integrità del codice possono anche essere uniti da altre origini, che consentono flessibilità nella creazione dei criteri di integrità del codice finale.

6. Distribuisci i criteri di integrità del codice e i file di catalogo. Dopo aver confermato che tutti i passaggi precedenti sono stati completati, i file di catalogo possono essere distribuiti e i criteri di integrità del codice possono essere disattivati dalla modalità di controllo. Microsoft consiglia vivamente di iniziare questo processo con un gruppo di test di utenti. Il test fornisce una convalida finale del controllo qualità prima di distribuire i file di catalogo e i criteri di integrità del codice in modo più ampio.

7. Abilita le funzionalità di sicurezza hardware desiderate. Le funzionalità di sicurezza basata su hardware, anche dette funzionalità di sicurezza basata su virtualizzazione, rafforzano le protezioni offerte dai criteri di integrità del codice.

Per altre informazioni sull'implementazione di Device Guard, vedi:

• Controllo di applicazioni di Windows Defender e protezione dell'integrità del codice basata sulla virtualizzazione
• Guida alla distribuzione di Device Guard

Gestione di AppLocker

AppLocker in Windows Enterprise può essere gestito usando Criteri di gruppo. Criteri di gruppo richiede Active Directory Domain Services e che i dispositivi Windows Enterprise siano aggiunti a un dominio di Active Directory Domain Services. Le regole di AppLocker possono essere create usando Criteri di gruppo. Le regole di AppLocker possono quindi essere destinate ai dispositivi appropriati.

Per altre informazioni sulla gestione di AppLocker usando Criteri di gruppo, vedi Guida alla distribuzione di AppLocker.

App-V

App-V richiede un'infrastruttura server App-V per supportare i client App-V. I componenti principali di App-V necessari sono:

• Server App-V. Il server App-V fornisce gestione di App-V, pubblicazione di app virtualizzate, streaming di app e servizi di creazione report. Ognuno di questi servizi può essere eseguito su un server oppure può essere eseguito singolarmente su più server. Ad esempio, potrebbero esistere più server di streaming. I client App-V contattano i server App-V per determinare quali app vengono pubblicate per l'utente o il dispositivo e quindi eseguono l'app virtualizzata dal server.

• App-V Sequencer. App-V Sequencer è un dispositivo client tipico che viene usato per ordinare (acquisire) le app e prepararle per l'hosting dal server App-V. Le app vengono installate nel sequencer App-V e il software del sequencer App-V determina i file e le impostazioni del Registro di sistema modificati durante l'installazione dell'app. Il sequencer acquisisce quindi queste impostazioni per creare un'app virtualizzata.

• Client App-V. Il client App-V deve essere abilitato in qualsiasi dispositivo client Windows Enterprise E3 che deve eseguire le app dal server App-V.

Per altre informazioni sull'implementazione di server App-V, App-V Sequencer e client App-V, vedi le risorse seguenti:

• Introduzione a App-V per il client Windows
• Distribuzione del server App-V
• Distribuzione di App-V Sequencer e configurazione del client

UE-V

UE-V richiede componenti lato server e client che devono essere scaricati, attivati e installati. Questi componenti includono:

• Servizio UE-V. Il servizio UE-V (quando abilitato nei dispositivi) monitora le applicazioni registrate e Windows per individuare eventuali modifiche delle impostazioni, quindi sincronizza le impostazioni tra dispositivi.

• Pacchetti di impostazioni. I pacchetti di impostazioni creati dal servizio UE-V archiviano le impostazioni delle applicazioni e le impostazioni di Windows. I pacchetti di impostazioni vengono creati, archiviati localmente e copiati nel percorso dell'archivio impostazioni.

• Percorso dell'archivio impostazioni. Questa posizione è una condivisione di rete standard a cui gli utenti possono accedere. Il servizio UE-V verifica il percorso e crea una cartella di sistema nascosta in cui archiviare e da cui recuperare le impostazioni utente.

• Modelli di percorsi impostazioni. I modelli di percorsi impostazioni sono file XML usati da UE-V per monitorare e sincronizzare le impostazioni delle applicazioni desktop e le impostazioni desktop di Windows tra computer utente. Per impostazione predefinita, alcuni modelli di percorsi impostazioni sono inclusi in UE-V. I modelli di posizione delle impostazioni personalizzate possono anche essere creati, modificati o convalidati usando il generatore di modelli UE-V. I modelli di percorso delle impostazioni non sono necessari per le applicazioni Windows.

• Elenco di applicazioni di Windows universale. UE-V determina le applicazioni di Windows abilitate per la sincronizzazione delle impostazioni usando un elenco gestito di applicazioni. Per impostazione predefinita, questo elenco include la maggior parte delle applicazioni di Windows.

Per altre informazioni sulla distribuzione di UE-V, vedi le risorse seguenti:

• Panoramica di User Experience Virtualization (UE-V)
• Introduzione a UE-V
• Preparare una distribuzione di UE-V

Esperienza utente gestita

La funzionalità Esperienza utente gestita è un set di funzionalità di Windows Enterprise Edition e delle impostazioni corrispondenti che possono essere usate per gestire l'esperienza utente. La tabella 2 descrive le impostazioni dell'esperienza utente gestita (per categoria), disponibili solo in Windows Enterprise Edition. I metodi di gestione usati per configurare ogni funzionalità dipendono dalla funzionalità. Alcune funzionalità vengono configurate con Criteri di gruppo, mentre altre vengono configurate usando Windows PowerShell, Gestione e manutenzione immagini distribuzione o altri strumenti da riga di comando. Per le impostazioni Criteri di gruppo, Active Directory Domain Services è necessario con i dispositivi Windows Enterprise aggiunti a un dominio di Active Directory Domain Services.

Tabella 2. Funzionalità dell'esperienza utente gestita

Funzionalità	Descrizione
Personalizzazione del layout di Start	Un layout Start personalizzato può essere distribuito agli utenti di un dominio. Non sono necessarie attività di ricreazione delle immagini e il layout di Start può essere aggiornato semplicemente sovrascrivendo il file XML contenente il layout. Il file XML consente la personalizzazione dei layout start per reparti o organizzazioni diversi, con un sovraccarico di gestione minimo. Per altre informazioni su queste impostazioni, vedi Personalizzare la schermata Start e la barra delle applicazioni di Windows 10 con Criteri di gruppo.
Avvio personalizzato	Gli elementi di Windows visualizzati all'avvio o alla ripresa di Windows possono essere eliminati. La schermata di arresto anomalo quando Windows rileva un errore da cui non può essere ripristinato può anche essere eliminata. Per altre informazioni su queste impostazioni, vedi l'articolo relativo all'avvio personalizzato.
Accesso personalizzato	La funzionalità Accesso personalizzato può essere usata per eliminare gli elementi dell'interfaccia utente di Windows correlati alla schermata iniziale e alla schermata di arresto. Ad esempio, è possibile eliminare tutti gli elementi dell'interfaccia utente della schermata iniziale e fornire un'interfaccia utente di accesso personalizzata. È anche possibile eliminare la schermata del sistema di risoluzione dell'arresto bloccato (BSDR) e terminare automaticamente le applicazioni mentre il sistema operativo attende la chiusura delle applicazioni prima di un arresto. Per altre informazioni su queste impostazioni, vedi l'articolo relativo ad Accesso personalizzato.
Avvio shell	Consente all'accesso assegnato di eseguire solo un'app di Windows classica tramite Avvio Shell per sostituire la shell. Per altre informazioni su queste impostazioni, vedi l'articolo relativo ad Avvio shell.
Filtro della tastiera	Il filtro da tastiera può essere usato per evitare pressioni indesiderate di tasti o combinazioni di tasti. In genere, gli utenti possono usare alcune combinazioni di tasti in Windows come CTRL+ALT+CANC o CTRL+MAIUSC+TAB per controllare un dispositivo bloccando lo schermo o usando Gestione attività per chiudere un'applicazione in esecuzione. Queste azioni da tastiera non sono desiderabili nei dispositivi destinati a uno scopo dedicato. Per altre informazioni su queste impostazioni, vedi l'articolo relativo al filtro della tastiera.
Filtro scrittura unificato	Il filtro di scrittura unificato (UWF) può essere usato in un dispositivo per proteggere i supporti di archiviazione fisica, inclusa la maggior parte dei tipi di archiviazione scrivibili standard supportati da Windows, ad esempio: Dischi rigidi fisici Unità a stato solido Dispositivi USB interni Dispositivi SATA esterni . UWF può essere usato anche per fare in modo che i supporti di sola lettura vengano visualizzati nel sistema operativo come volume scrivibile. Per altre informazioni su queste impostazioni, vedi l'articolo relativo a Filtro scrittura unificato.

Articoli correlati

• Attivazione della sottoscrizione di Windows Enterprise.
• Pianificare l'implementazione Microsoft Entra join ibrido.
• Confrontare le edizioni di Windows.
• Windows per le aziende.