Novità di Windows 10 Enterprise LTSC 2019

Si applica a

  • Windows 10 Enterprise LTSC 2019

In questo articolo sono elencate le funzionalità e i contenuti nuovi e aggiornati di interesse per i professionisti IT per Windows 10 Enterprise LTSC 2019, rispetto a Windows 10 Enterprise LTSC 2016 (LTSB). Per una breve descrizione del canale di manutenzione LTSC e del supporto associato, vedere Windows 10 Enterprise LTSC.

Nota

Le funzionalità di Windows 10 Enterprise LTSC 2019 sono equivalenti a Windows 10, versione 1809.

Windows 10 Enterprise LTSC 2019 si basa su Windows 10 Pro, versione 1809 aggiungendo funzionalità premium progettate per soddisfare le esigenze delle organizzazioni di grandi e medie dimensioni (inclusi gli istituti accademici di grandi dimensioni), ad esempio:

  • Protezione avanzata dalle minacce alla sicurezza moderne
  • Flessibilità completa della distribuzione del sistema operativo
  • Opzioni di aggiornamento e supporto
  • Funzionalità complete di gestione e controllo di dispositivi e app

La versione Windows 10 Enterprise LTSC 2019 è una versione importante per gli utenti ltSC perché include i miglioramenti cumulativi forniti nelle versioni 1703, 1709, 1803 e 1809 di Windows 10. I dettagli su questi miglioramenti sono forniti di seguito.

Importante

La versione LTSC è destinata a dispositivi di uso speciale. Il supporto per LTSC da parte di app e strumenti progettati per la versione semestrala del canale di Windows 10 potrebbe essere limitato.

Microsoft Intune

Microsoft Intune supporta Windows 10 Enterprise LTSC 2019 e versioni successive. Tuttavia, tenere presente che Windows 10 di aggiornamento I profili dispositivo non supportano le versioni LTSC, pertanto è consigliabile utilizzare provider di servizi di configurazione dei criteri,WSUS o Configuration Manager per l'applicazione di patch.

Sicurezza

Questa versione di Windows 10 include miglioramenti della sicurezza per la protezione dalle minacce, la protezione delle informazioni e la protezione delle identità.

Protezione dalle minacce

Microsoft Defender per endpoint

La piattaforma Microsoft Defender for Endpoint include i pilastri di sicurezza illustrati nel diagramma seguente. In questa versione di Windows Defender for Endpoint include analisi avanzate, integrazione dello stack di sicurezza e gestione centralizzata per migliorare il rilevamento, la prevenzione, l'indagine, la risposta e la gestione.

Microsoft Defender per Endpoint.

Riduzione della superficie di attacco

La riduzione della superficie di attacco include sistemi di prevenzione delle intrusioni basati sull'host, ad esempio [accesso controllato alle cartelle]/microsoft-365/security/defender-endpoint/enable-controlled-folders).

  • Questa funzionalità consente di impedire a ransomware e altri malware distruttivi di modificare i file personali. In alcuni casi, alle app che usi in genere potrebbero essere impedito di apportare modifiche alle cartelle comuni, come Documenti e Immagini. Abbiamo reso più semplice aggiungere le app che sono state recentemente bloccate, in modo che possa continuare a usare il dispositivo senza disabilitare completamente la funzionalità.

  • Quando un'app viene bloccata, viene inserita in un elenco di app recentemente bloccate, che puoi visualizzare facendo clic su Gestisci impostazioni sotto l'intestazione Protezione ransomware. Fai clic su Consenti app tramite accesso alle cartelle controllato. Dopo il prompt, fai clic sul pulsante + e scegli App bloccate di recente. Seleziona le app che vuoi aggiungere all'elenco delle app consentite. Puoi anche cercare un'app da questa pagina.

Windows Defender Firewall

Windows Defender Firewall supporta ora i processi sottosistema Windows per Linux (WSL). È possibile aggiungere regole specifiche per un processo WSL come per qualsiasi Windows processo. Inoltre, Windows Defender Firewall ora supporta le notifiche per i processi WSL. Ad esempio, quando uno strumento Linux vuole consentire l'accesso a una porta dall'esterno (ad esempio SSH o un server web come nginx), Windows Defender Firewall ti chiederà di consentire l'accesso come farebbe per un processo Windows quando la porta inizia ad accettare connessioni. Questa funzione è stata introdotta a partire dalla build 17627.

Windows Defender Device Guard

Device Guard è sempre stata una raccolta di tecnologie che possono essere combinate per bloccare un PC, tra cui:

  • Protezione basata su software fornita dai criteri di integrità del codice
  • Protezione basata su hardware fornita dall'integrità del codice protetto da Hypervisor (HVCI)

Tuttavia, queste protezioni possono anche essere configurate separatamente. A differenza di HVCI, i criteri di integrità del codice non richiedono la sicurezza basata su virtualizzazione. Per sottolineare il valore distinto di queste protezioni, i criteri di integrità del codice sono stati rebranded come Windows Defender Application Control.

Protezione di nuova generazione

Rilevamento e reazione dagli endpoint

Il rilevamento e la risposta degli endpoint sono stati migliorati. Enterprise i clienti possono ora sfruttare l'intero stack di sicurezza **** di Windows con i rilevamenti di Antivirus Microsoft Defender e i blocchi di Device Guard in corso nel portale di Microsoft Defender for Endpoint.

Windows Defender ora è chiamato Antivirus Microsoft Defender e ora condivide lo stato di rilevamento tra i servizi M365 e interagisce con Microsoft Defender per Endpoint. Sono stati implementati anche altri criteri per migliorare la protezione basata su cloud e sono disponibili nuovi canali per la protezione di emergenza. Per altre informazioni, vedere Protezione da virus e minacce e Usare le tecnologie di ultima generazione di Windows Defender Antivirus con la protezione fornita da cloud.

È stata inoltre aumentata l'ampiezzadella raccolta di documentazione per gli amministratori della sicurezza aziendale. La nuova raccolta include informazioni su:

Alcuni dei punti salienti della nuova libreria includono la guida alla valutazione per Microsoft Defender AV e la guida alla distribuzione di Microsoft Defender AV in un ambiente di infrastruttura desktop virtuale.

Le nuove funzionalità per Microsoft Defender AV in Windows 10 Enterprise LTSC 2019 includono:

Abbiamo investito molto nella protezioneda ransomware e continuiamo a investire con il monitoraggio del comportamento aggiornato e la protezione in tempo reale sempre in corso.

Anche il rilevamento e la risposta degli endpoint sono stati migliorati. Le nuove funzionalità di rilevamento includono:

  • Utilizzo dell'API Intelligence per le minacce per creare avvisi personalizzati - Concetti di Intelligence per le minacce, abilitazione dell'applicazione di Intelligence per le minacce e creazione di avvisi di Intelligence per le minacce personalizzate per l'organizzazione.

  • Rilevamento personalizzato. Con i rilevamenti personalizzati è possibile creare query personalizzate per monitorare eventi alla ricerca di qualsiasi tipo di comportamento, ad esempio minacce emergenti o sospette. Ciò è possibile sfruttando la potenza della funzionalità Ricerca avanzata attraverso la creazione di regole di rilevamento personalizzate.

  • Miglioramenti alla memoria del sistema operativo e ai sensori del kernel per consentire il rilevamento di utenti malintenzionati che utilizzano attacchi in memoria e a livello di kernel.

  • Rilevamenti aggiornati di ransomware e altri attacchi avanzati.

  • La funzionalità di rilevamento cronologico garantisce l'applicazione di nuove regole di rilevamento a un massimo di sei mesi di dati archiviati per rilevare attacchi precedenti che potrebbero non essere stati notati.

La risposta alle minacce è migliorata quando viene rilevato un attacco, consentendo ai team di sicurezza di intervenire immediatamente per contenere una violazione:

Ulteriori funzionalità sono state aggiunte per aiutarti a ottenere una visione olistica delle indagini:

Altre funzionalità di sicurezza avanzate includono:

  • Controllare lo stato di integrità del sensore: controllare la capacità di un endpoint di fornire dati del sensore e comunicare con il servizio Microsoft Defender per endpoint e risolvere i problemi noti.

  • Supporto mssp (Managed Security Service Provider): Microsoft Defender for Endpoint aggiunge il supporto per questo scenario fornendo l'integrazione di MSSP. L'integrazione consentirà agli MSSP di intraprendere le seguenti azioni: ottenere l'accesso al portale di Windows Defender Security Center dei clienti MSSP, recuperare le notifiche di posta elettronica e recuperare gli avvisi tramite strumenti di gestione di eventi e informazioni di sicurezza (SIEM).

  • Integrazione con Azure Defender: Microsoft Defender for Endpoint si integra con Azure Defender per fornire una soluzione completa di protezione dei server. Con questa integrazione Azure Defender può sfruttare la potenza di Defender for Endpoint per fornire un rilevamento delle minacce migliorato per Windows server.

  • Integrazione con Microsoft Cloud App Security - Microsoft Cloud App Security sfrutta i segnali di Microsoft Defender for Endpoint per consentire la visibilità diretta sull'utilizzo delle applicazioni cloud, incluso l'uso di servizi cloud (IT shadow) non supportati da tutti i computer monitorati da Defender for Endpoint.

  • Onboard Windows Server 2019 - Microsoft Defender for Endpoint ora aggiunge il supporto per Windows Server 2019. Sarai in grado di eseguire l'onboarding a Windows Server 2019 con lo stesso metodo disponibile per i computer client Windows 10.

  • Onboard delle versioni precedenti di Windows- Onboard delle versioni supportate dei computer Windows in modo che possano inviare i dati del sensore al sensore Microsoft Defender for Endpoint.

  • Abilita l'accesso condizionale per migliorare la protezione di utenti, dispositivi e dati

Abbiamo anche aggiunto una nuova valutazione per il servizio Windows tempo alla sezione Prestazioni del dispositivo & integrità. Se rileveremo che l'orario del tuo dispositivo non è sincronizzato correttamente con i server di riferimento ora e il servizio di sincronizzazione dell'ora è disabilitato, ti forniremo la scelta di riabilitarlo.

Stiamo continuando a lavorare sul modo in cui altre app di sicurezza che installi vengono visualizzate nell'app Sicurezza di Windows . Una nuova pagina denominata Provider di sicurezza è disponibile nella sezione Impostazioni dell'app. Fai clic su Gestisci provider per visualizzare un elenco di tutti gli altri provider di sicurezza (tra cui antivirus, firewall e protezione Web) che sono in esecuzione nel tuo dispositivo. Qui puoi facilmente aprire le app dei provider o ottenere altre informazioni su come risolvere i problemi segnalati tramite Sicurezza di Windows.

Ciò significa anche che verranno visualizzati più collegamenti ad altre app di sicurezza all'interno di Sicurezza di Windows. Ad esempio, se apri la sezione Firewall e protezione rete, vedrai le app firewall in esecuzione nel dispositivo sotto ogni tipo di firewall, incluse le reti di dominio, private e pubbliche.

Per altre informazioni sulle mitigazioni ransomware e sulle funzionalità di rilevamento, vedere:

Vedi anche Nuove funzionalità di Microsoft Defender for Endpoint per ottimizzare ulteriormente l'efficacia e la solidità della sicurezza degli endpoint

Ottieni una panoramica rapida, ma approfondita di Microsoft Defender for Endpoint per Windows 10: Defender for Endpoint.

Protezione delle informazioni

Sono stati aggiunti miglioramenti a Windows Information Protection e BitLocker.

Windows Information Protection

Windows Information Protection ora è progettato per funzionare con Microsoft Office e Azure Information Protection. Per altre informazioni, vedi l'argomento su distribuzione e gestione di Windows Information Protection (WIP) con Azure Information Protection.

Con Microsoft Intune puoi creare e distribuire criteri di Windows Information Protection, per scegliere le app protette, il livello di protezione di Windows Information Protection e come trovare dati aziendali in rete. Per altre informazioni, vedi Creare un criterio di Windows Information Protection (WIP) con Microsoft Intune e Associare e distribuire i criteri di Windows Information Protection (WIP) e VPN tramite Microsoft Intune.

Puoi anche raccogliere i registri eventi di controllo utilizzando il provider del servizio di configurazione (CSP) Reporting o Windows Event Forwarding (per i dispositivi desktop aggiunti a un dominio di Windows). Per informazioni, consulta l'argomento completamente nuovo Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).

Questa versione abilita il supporto per WIP con i file su richiesta, consente la crittografia dei file mentre i file sono aperti in un'altra app e migliora le prestazioni. Per altre informazioni, vedi File di OneDrive su richiesta per l'azienda.

BitLocker

La lunghezza minima del PIN viene modificata da 6 a 4, con un valore predefinito di 6. Per altre informazioni, vedi Impostazioni di Criteri di gruppo per BitLocker.

Applicazione automatica su unità fisse

Tramite criteri di gestione dei dispositivi moderna, BitLocker può essere abilitato automaticamente per gli utenti standard aggiunti ad Azure Active Directory (AAD). In Windows 10, versione 1803, la crittografia automatica di BitLocker era abilitata per gli utenti standard AAD, ma era comunque necessario hardware moderno che superasse l'HSTI (Hardware Security Test Interface). Questa nuova funzionalità abilita BitLocker tramite criteri anche nei dispositivi che non superano l'HSTI.

Si tratta di un aggiornamento al CSP BitLocker, che è stato introdotto in Windows 10, versione 1703, e utilizzato da Intune e altri prodotti.

Questa funzionalità verrà presto abilitata in Olympia Corp come funzionalità facoltativa.

Protezione dell'identità

Sono stati aggiunti miglioramenti per Windows Hello business e Credential Guard.

Windows Hello for Business

Le nuove funzionalità in Windows Hello un'esperienza di blocco del dispositivo migliore, usando lo sblocco a più fattori con nuovi segnali di posizione e prossimità dell'utente. Tramite i segnali Bluetooth, puoi configurare il blocco automatico del dispositivo Windows 10 quando ti allontani o per impedire ad altri utenti di accedere al dispositivo quando non sei presente.

Le nuove funzionalità di Windows Hello for Business includono:

  • Ora puoi reimpostare un PIN dimenticato senza eliminare i dati aziendali gestiti o le app nei dispositivi gestiti da Microsoft Intune.

  • Per i desktop Windows, gli utenti possono reimpostare un PIN dimenticato tramite Impostazioni > Account > Opzioni di accesso. Per ulteriori informazioni, consulta Cosa succede se si dimentica il PIN?.

Windows Hello ora supporta l'autenticazione FIDO 2.0 per i dispositivi Azure AD aggiunti Windows 10 e dispone di un supporto avanzato per i dispositivi condivisi, come descritto inConfigurazione tutto schermo.

  • Windows Hello ora non richiede password in modalità S.

  • Supporto per S/MIME con Windows Hello for Business e API per le soluzioni di gestione del ciclo di vita delle identità non Microsoft.

  • Windows Hello fa parte della soluzione essenziale per la protezione degli account in Windows Defender Security Center. La protezione dell'account incoraggerà gli utenti con password a configurare Windows Hello Face, Fingerprint o PIN per un accesso più rapido e invierà una notifica agli utenti di blocco dinamico se il blocco dinamico ha smesso di funzionare perché il dispositivo Bluetooth è disattivato.

  • Puoi configurare Windows Hello dalla schermata di blocco per gli account MSA. Gli utenti di account Microsoft ora possono configurare più semplicemente Windows Hello nei propri dispositivi per accedere in modo più veloce e sicuro. In passato dovevi cercare a lungo nelle impostazioni per trovare Windows Hello. Ora puoi configurare le funzionalità di riconoscimento delle impronte digitali, del PIN o del volto di Windows Hello direttamente dalla schermata di blocco facendo clic sul riquadro Windows Hello nelle opzioni di accesso.

  • Nuova API pubblica per account SSO secondari per un determinato provider di identità.

  • È più facile configurare il blocco dinamico e gli avvisi utilizzabili da WD SC sono stati aggiunti quando il blocco dinamico smette di funzionare (ad esempio: il blocco Bluetooth dispositivo è disattivato).

Per altre informazioni, vedi: Windows Hello e le chiavi di sicurezza FIDO2 consentono un'autenticazione semplice e sicura per i dispositivi condivisi

Windows Defender Credential Guard

Windows Defender Credential Guard è un servizio di sicurezza in Windows 10 progettato per proteggere le credenziali di dominio Active Directory (AD), in modo che non possano essere rubate o utilizzate in modo improprio da malware nel computer dell'utente. È progettato per la protezione da minacce note, ad esempio Pass-the-Hash e la raccolta di credenziali.

Windows Defender Credential Guard è sempre stata una funzionalità facoltativa, ma Windows 10 in modalità S attiva questa funzionalità per impostazione predefinita quando il computer è stato Azure Active Directory aggiunto. Ciò offre un ulteriore livello di sicurezza quando ci si connette a risorse di dominio normalmente non presenti nei dispositivi che eseguono Windows 10 in modalità S.

Nota

Windows Defender Credential Guard è disponibile solo per i dispositivi in modalità S o Enterprise e Education Edition.

Per ulteriori informazioni, vedere Considerazioni sulla sicurezza di Credential Guard.

Altri miglioramenti della sicurezza

Elementi di base della sicurezza di Windows

Microsoft ha rilasciato nuovi elementi di base della sicurezza di Windows per Windows Server e Windows 10. Un elemento di base per la sicurezza è un gruppo di impostazioni di configurazione consigliate da Microsoft, di cui vengono inoltre fornite le spiegazioni. Per altre informazioni e per scaricare lo strumento Policy Analyzer, vedi Microsoft Security Compliance Toolkit 1.0.

Gli elementi di base della sicurezza di Windows sono stati aggiornati per Windows 10. Un elemento di base della sicurezza è un gruppo di impostazioni di configurazione consigliate da Microsoft, di cui si spiega l'impatto sulla sicurezza. Per altre informazioni e per scaricare lo strumento Policy Analyzer, vedi Microsoft Security Compliance Toolkit 1.0.

La nuova linea di base per la sicurezza di Windows 10 versione 1803 è stata pubblicata.

Vulnerabilità SMBLoris

Il problema noto come SMBLoris, che potrebbe causare un attacco Denial of Service, è stato risolto.

Centro sicurezza PC Windows

Windows Defender Security Center è ora chiamato Centro sicurezza PC Windows.

Puoi ancora accedere all'app nei normali modi: chiedi a Cortana di aprire il Centro sicurezza PC Windows o utilizza l'icona della barra delle applicazioni. Il Centro sicurezza PC Windows ti consente di gestire tutte le tue esigenze di sicurezza, inclusi Microsoft Defender Antivirus e Windows Defender Firewall.

Il servizio ora richiede che i prodotti antivirus vengano eseguiti come processo protetto da registrare. I prodotti che non hanno ancora implementato questa configurazione non verranno visualizzati nell'interfaccia utente del Centro sicurezza PC Windows e Microsoft Defender Antivirus rimarrà abilitato side-by-side con questi prodotti.

Il servizio ora include gli elementi del sistema Fluent Design che già conosci e apprezzi. Noterai anche che abbiamo modificato la spaziatura interna ed esterna all'app. Adesso, se serve più spazio per info aggiuntive, ridimensionerà dinamicamente le categorie nella pagina principale. Abbiamo anche aggiornato la barra del titolo in modo da usare il colore principale, se hai abilitato l'opzione in Impostazioni colore.

Sicurezza in breve.

Opzioni di sicurezza di Criteri di gruppo

L'impostazione di sicurezza Accesso interattivo: visualizza informazioni utente quando la sessione è bloccata è stata aggiornata per poter funzionare insieme all'impostazione Privacy in Impostazioni > Account > Opzioni di accesso.

Una nuova impostazione dei criteri di sicurezza Accesso interattivo: Non visualizzare il nome utente all'accesso è stata introdotta in Windows 10 Enterprise LTSC 2019. Questa impostazione dei criteri di sicurezza determina se il nome utente viene visualizzato durante l'accesso. Funziona in combinazione con l'impostazione Privacy in Impostazioni > Account > Opzioni di accesso. L'impostazione interessa solo il riquadro Altro utente.

Windows 10 in modalità S

Abbiamo continuato a lavorare sull'area Minacce correnti in Protezione da virus e minacce, che ora consente di visualizzare tutte le minacce che richiedono intervento. Puoi rapidamente intervenire sulle minacce da questa schermata:

Impostazioni di protezione & virus in Windows S.

Distribuzione

MBR2GPT.EXE

MBR2GPT.EXE è un nuovo strumento da riga di comando introdotto con Windows 10, versione 1703 e disponibile anche in Windows 10 Enterprise LTSC 2019 (e versioni successive). MBR2GPT.EXE converte lo stile di partizione di un disco da MBR (Record di avvio principale, Master Boot Record) in GPT (Tabella di partizione GUID, GUID Partition Table) senza modificare o eliminare i dati sul disco. Lo strumento è progettato per essere eseguito da un prompt dei comandi di Ambiente preinstallazione di Windows (Windows PE), ma può anche essere eseguito dal sistema operativo completo Windows 10.

Il formato di partizione GPT è più recente e consente l'uso di più partizioni del disco di dimensioni superiori. Fornisce, inoltre, affidabilità dei dati, supporta tipi di partizione aggiuntivi e consente avvio e arresto più rapidi. Se converti il disco di sistema in un computer da MBR a GPT, devi anche configurare il computer per l'avvio in modalità UEFI. Pertanto, assicurati che il dispositivo supporti UEFI prima di tentare di convertire il disco di sistema.

Le funzionalità di sicurezza aggiuntive di Windows 10 che vengono abilitate quando esegui l'avvio in modalità UEFI sono: l'avvio protetto, il driver Antimalware ad esecuzione anticipata (ELAM, Early Launch Antimalware), l'avvio sicuro di Windows, l'avvio con misurazioni, Device Guard, Credential Guard e lo sblocco di rete via BitLocker.

Per informazioni dettagliate, vedi MBR2GPT.EXE.

Gestione e manutenzione immagini distribuzione

I nuovi comandi Gestione e manutenzione immagini distribuzione seguenti sono stati aggiunti per gestire gli aggiornamenti delle funzionalità:

  • Gestione e manutenzione immagini distribuzione /Online /Initiate-OSUninstall

    • Avvia una disinstallazione del sistema operativo per portare il computer all'installazione precedente di Windows.
  • Gestione e manutenzione immagini distribuzione /Online /Remove-OSUninstall

    • Rimuove la funzionalità di disinstallazione del sistema operativo dal computer.
  • Gestione e manutenzione immagini distribuzione /Online /Get-OSUninstallWindow

    • Visualizza il numero di giorni dopo l'aggiornamento durante i quali è possibile eseguire la disinstallazione.
  • Gestione e manutenzione immagini distribuzione /Online /Set-OSUninstallWindow

    • Imposta il numero di giorni dopo l'aggiornamento durante i quali è possibile eseguire la disinstallazione.

Per altre informazioni, vedi Opzioni della riga di comando per la disinstallazione del sistema operativo Gestione e manutenzione immagini distribuzione.

Installazione di Windows

Ora puoi eseguire script o azioni personalizzate in parallelo con l'installazione di Windows. Il programma di installazione eseguirà anche la migrazione degli script alla prossima versione delle funzionalità, quindi dovranno essere aggiunti una sola volta.

Prerequisiti:

  • Windows 10 versione 1803 o Windows 10 Enterprise LTSC 2019 o versione successiva.
  • Windows 10 Enterprise o Pro

Per altre informazioni, vedi Eseguire azioni personalizzate durante l'aggiornamento delle funzionalità.

Ora è anche possibile eseguire uno script se l'utente esegue il rollback della propria versione di Windows con l'opzione PostRollback.

/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]

Per ulteriori informazioni, vedere Windows Setup Command-Line Options.

Sono disponibili anche nuove opzioni della riga di comando per il controllo di BitLocker:

  • Setup.exe /BitLocker AlwaysSuspend

    • Sospendere sempre BitLocker durante l'aggiornamento.
  • Setup.exe /BitLocker TryKeepActive

    • Abilitare l'aggiornamento senza sospendere BitLocker, ma se l'aggiornamento non funziona, sospendere BitLocker e completare l'aggiornamento.
  • Setup.exe /BitLocker ForceKeepActive

    • Abilitare l'aggiornamento senza sospendere BitLocker, ma se l'aggiornamento non funziona, non eseguire l'aggiornamento.

Per ulteriori informazioni, vedere Windows Setup Command-Line Options.

Miglioramenti agli aggiornamenti delle funzionalità

Alcune parti del lavoro eseguito durante le fasi offline di un aggiornamento di Windows sono state spostate nella fase online. Questa modifica ha comportato una riduzione significativa del tempo offline durante l'installazione degli aggiornamenti. Per altre informazioni, vedi Ti ascoltiamo.

SetupDiag

SetupDiag è un nuovo strumento da riga di comando che consente di diagnosticare il motivo per cui un aggiornamento di Windows 10 non è riuscito.

SetupDiag funziona con la ricerca dei file di log dell'installazione di Windows. Durante la ricerca dei file di log, SetupDiag usa un set di regole per identificare problemi noti. Nella versione corrente di SetupDiag ci sono 53 regole incluse nel file rules.xml che viene estratto durante l'esecuzione di SetupDiag. Il file rules.xml viene aggiornato man mano che vengono rese disponibili le nuove versioni di SetupDiag.

Accedi

Accesso più veloce a un PC Windows 10 condiviso

Se nel luogo di lavoro sono stati distribuiti dispositivi condivisi, l'accesso rapido consente agli utenti di accedere a un PC Windows 10 condiviso in un lampo.

Per abilitare l'accesso rapido:

  1. Configurare un dispositivo condiviso o guest con Windows 10, versione 1809 o Windows 10 Enterprise LTSC 2019.

  2. Imposta il CSP Criteri e i criteri Autenticazione e EnableFastFirstSignIn per abilitare l'accesso rapido.

  3. Accedi a un PC condiviso con il tuo account. Noterai la differenza!

    accesso rapido.

Accesso Web a Windows 10

Finora, l'accesso a Windows supportava solo l'uso delle identità federate ad ADFS o altri provider che supportano il protocollo WS-Fed. Stiamo introducendo l'"accesso Web", un nuovo modo di accedere al tuo PC Windows. L'accesso Web abilita il supporto all'accesso Windows per i provider non federati ad ADFS (ad esempio SAML).

Per provare l'accesso Web:

  1. Aggiungi il tuo PC Windows 10 ad Azure AD. L'accesso Web è supportato solo in PC aggiunti ad Azure AD.

  2. Imposta il CSP dei criteri e i criteri Authentication e EnableWebSignIn per abilitare l'accesso Web.

  3. Nella schermata di blocco, seleziona l'accesso Web nelle opzioni di accesso.

  4. Fai clic sul pulsante "Accesso" per continuare.

Opzione di accesso.

Windows Analytics

Preparazione aggiornamenti

Importante

Preparazione aggiornamento non consente di valutare un aggiornamento a una versione LTSC (le build LTSC non sono disponibili come versioni di destinazione). Tuttavia, puoi registrare i dispositivi che eseguono LTSC per pianificare un aggiornamento a una versione semestrala del canale.

Questo strumento consente di preparare applicazioni e driver per un aggiornamento di Windows 10. La soluzione fornisce un inventario aggiornato di applicazioni e driver, le informazioni sui problemi noti, le indicazioni per la risoluzione dei problemi e i dettagli per la preparazione e la traccia di ogni dispositivo. Lo strumento Upgrade Readiness è stato spostato dall'anteprima pubblica alla disponibilità generale il 2 marzo 2017.

Lo sviluppo di Upgrade Readiness è stato fortemente influenzato dall'input della community in corso per lo sviluppo di nuove funzionalità. Per iniziare a utilizzare Upgrade Readiness devi aggiungerlo a un'area di lavoro di Operations Management Suite (OMS) esistente o registrarti a una nuova area di lavoro OMS con la soluzione Upgrade Readiness abilitata.

Per altre informazioni su Upgrade Readiness, vedi gli argomenti seguenti:

Preparazione aggiornamenti fornisce informazioni dettagliate sui problemi di compatibilità di applicazioni e driver. Nuove funzionalità includono una migliore copertura app, report sull'integrità post-aggiornamento e funzionalità di filtro dei report avanzate. Per altre informazioni, vedi l'argomento sulla gestione degli aggiornamenti di Windows con Preparazione aggiornamenti.

Conformità aggiornamenti

Verifica aggiornamenti ti consente di proteggere e aggiornare i dispositivi Windows 10 dell'organizzazione.

Verifica aggiornamenti è una soluzione che si basa sull'analisi dei registri OMS e che fornisce informazioni sullo stato dell'installazione degli aggiornamenti mensili relativi alla qualità e alle funzionalità. Vengono forniti dettagli sullo stato di avanzamento della distribuzione degli aggiornamenti esistenti e sullo stato degli aggiornamenti futuri. Vengono inoltre fornite informazioni sui dispositivi che potrebbero richiedere attenzione per risolvere i problemi.

Per altre informazioni su Verifica aggiornamenti, vedi Monitorare gli aggiornamenti di Windows con Verifica aggiornamenti.

Le nuove funzionalità di Conformità aggiornamenti ti consentono di monitorare lo stato di protezione di Windows Defender, confrontare la conformità con i peer di settore e ottimizzare la larghezza di banda per la distribuzione degli aggiornamenti. Per altre informazioni su Conformità aggiornamenti, vedi Monitorare gli aggiornamenti di Windows e Microsoft Defender Antivirus con Conformità aggiornamenti.

Integrità del dispositivo

La gestione dei dispositivi è stata semplificata con Integrità del dispositivo, un nuovo strumento di analisi premium che identifica i dispositivi e i driver soggetti di frequente ad arresto anomalo e per cui potrebbe essere necessaria la ricompilazione o la sostituzione. Per altre informazioni, vedi Monitorare l'integrità dei dispositivi con Integrità del dispositivo.

Accessibilità e privacy

Accessibilità

L'accessibilità "predefinita" è stata migliorata con le descrizioni con immagini generate automaticamente. Per altre informazioni sull'accessibilità, consulta Informazioni sull'accessibilità per i professionisti IT. Vedi anche la sezione relativa all'accessibilità in What's new in the Windows 10 April 2018 Update, un post di blog.

Privacy

Nella pagina dei feedback e delle impostazioni in Impostazioni privacy è puoi eliminare i dati di diagnostica inviati a Microsoft dal dispositivo. Puoi anche visualizzare i dati diagnostici con l'app Visualizzatore dati di diagnostica.

Configurazione

Configurazione tutto schermo

Il nuovo modello basato su cromo Microsoft Edge presenta molti miglioramenti specifici per chioschi multimediale. Tuttavia, non è incluso nella versione LTSC di Windows 10. Puoi scaricare e installare separatamente Microsoft Edge qui.

Internet Explorer è incluso nelle versioni di Windows 10 LTSC perché il set di funzionalità non cambia e continuerà a ricevere correzioni per la sicurezza per tutta la durata di una versione ltSC Windows 10.

Se si desidera sfruttare le funzionalità kiosk in Edge,prendere in considerazione la modalità tutto schermo con un canale di rilascio semestrale.

Gestione condivisa

Intune e i Microsoft Endpoint Manager sono stati aggiunti per abilitare l'autenticazione Azure AD'autenticazione ibrida. Mobile Device Management (MDM) ha aggiunto più di 150 nuovi criteri e impostazioni in questa versione, inclusi i criteri MDMWinsOverGP, per consentire una transizione più facile alla gestione basata su cloud.

Per altre informazioni, vedi Novità nella registrazione e nella gestione MDM.

Periodo di disinstallazione del sistema operativo

Il periodo di disinstallazione del sistema operativo è un intervallo di tempo concesso agli utenti in cui possono eseguire il rollback di un aggiornamento di Windows 10. In questa versione, gli amministratori possono usare Intune o Gestione e manutenzione immagini distribuzione per personalizzare la lunghezza del periodo di disinstallazione del sistema operativo.

Appartenenza ad Azure Active Directory in blocco

Mediante le nuove procedure guidate di Progettazione configurazione di Windows puoi creare pacchetti di provisioning per registrare i dispositivi in Azure Active Directory. Appartenenza ad Azure AD in blocco è disponibile nelle procedure guidate per desktop, dispositivi mobili, chioschi multimediali e Surface Hub.

ottenere l'azione token in blocco nella procedura guidata.

Contenuti in evidenza di Windows

Le nuove impostazioni Criteri di gruppo e gestione di dispositivi mobili (MDM) seguenti vengono aggiunte per aiutarti a configurare le esperienze utente di Contenuti in evidenza di Windows:

  • Disattiva Contenuti in evidenza di Windows nel centro notifiche
  • Non utilizzare i dati di diagnostica per le esperienze personalizzate
  • Disattiva Configurazione e personalizzazione di Windows

Altre informazioni su Contenuti in evidenza di Windows.

Layout di Start e della barra delle applicazioni

In precedenza, la barra delle applicazioni personalizzata poteva essere distribuita solo tramite Criteri di gruppo o i pacchetti di provisioning. Windows 10 Enterprise LTSC 2019 aggiunge il supporto per le barre delle applicazioni personalizzate a MDM.

Altre impostazioni dei criteri MDM sono disponibili per il layout di Start e della barra delle applicazioni. Le nuove impostazioni dei criteri MDM includono:

Windows Update

Windows Insider per le aziende

Abbiamo aggiunto di recente l'opzione per scaricare Windows 10 build insider preview usando le credenziali aziendali in Azure Active Directory (Azure AD). Registrando i dispositivi in Azure AD, si aumenta la visibilità del feedback inviato dagli utenti nell'organizzazione, in particolare per le funzionalità che supportano le esigenze aziendali specifiche. Per ulteriori informazioni, vedi Programma Windows Insider per le aziende.

Puoi ora registrare i domini di Azure AD al programma Windows Insider. Per altre informazioni, vedi Programma Windows Insider per le aziende.

Ottimizzare il recapito degli aggiornamenti

Con le modifiche apportate in Windows 10 Enterprise LTSC 2019, gli aggiornamenti Express sono ora completamente supportati con Microsoft Endpoint Configuration Manager, a partire dalla versione 1702 di Configuration Manager, nonché con altri prodotti di gestione e aggiornamento di terze parti che implementano questa nuova funzionalità. Tutto questo in aggiunta al supporto Express corrente in Windows Update, Windows Update per le aziende e Windows Server Update Services.

Nota

Le suddette modifiche possono essere rese disponibili per Windows 10 versione 1607 installando l'aggiornamento cumulativo di aprile 2017.

I criteri Ottimizzazione recapito ora consentono di configurare restrizioni aggiuntive per un maggiore controllo in diversi scenari.

I criteri aggiunti includono:

Per consultare tutti i dettagli, vedere Configure Delivery Optimization for Windows 10 updates.

Le app incorporate disinstallate non vengono più reinstallate automaticamente

A partire Windows 10 Enterprise LTSC 2019, le app predefinite disinstallate dall'utente non verranno reinstallate automaticamente come parte del processo di installazione dell'aggiornamento delle funzionalità.

Inoltre, le app di cui è stato eseguito il provisioning da parte degli amministratori Windows 10 Enterprise computer LTSC 2019 rimarranno de-provisioning dopo le installazioni degli aggiornamenti delle funzionalità future. Questo non si applica all'aggiornamento da Windows 10 Enterprise LTSC 2016 (o versioni precedenti) a Windows 10 Enterprise LTSC 2019.

Gestione

Nuove funzionalità MDM

Windows 10 Enterprise LTSC 2019 aggiunge molti nuovi provider di servizi di configurazione (CSP) che forniscono nuove funzionalità per la gestione dei dispositivi Windows 10 tramite MDM o pacchetti di provisioning. Tra le altre cose, questi CSP consentono di configurare alcune centinaia delle impostazioni Criteri di gruppo più utili tramite MDM - vedi CSP Policy - criteri supportati da ADMX.

Alcuni degli altri nuovi CSP sono:

  • Il CSP DynamicManagement, che consente di gestire i dispositivi in modo diverso, a seconda della posizione, della rete o dell'ora. Ad esempio, i dispositivi gestiti possono avere le fotocamere disabilitate se a lavoro, il servizio cellulare può essere disabilitato al di fuori dal paese/area geografica per evitare addebiti per il roaming o la rete wireless può essere disabilitata quando il dispositivo non è all'interno dell'edificio dell'azienda o del campus. Una volta configurate, queste impostazioni verranno applicate anche se il dispositivo non è in grado di raggiungere il server di gestione quando viene la posizione o la rete cambia. Il CSP DynamicManagement consente la configurazione di criteri che modificano la modalità di gestione del dispositivo oltre a impostare le condizioni in cui si verifica la modifica.

  • Il CSP CleanPC consente la rimozione delle applicazioni installate dall'utente e pre-installate, con l'opzione per mantenere i dati utente.

  • Il CSP BitLocker viene utilizzato per gestire la crittografia di PC e dispositivi. Ad esempio, puoi richiedere la crittografia della scheda di memoria nei dispositivi mobili oppure richiedere la crittografia per le unità del sistema operativo.

  • Il CSP NetworkProxy viene utilizzato per configurare un server proxy per le connessioni Ethernet e Wi-Fi.

  • Il CSP Office consente a un client di Microsoft Office di essere installato in un dispositivo tramite Strumento di distribuzione di Office. Per ulteriori informazioni, vedi Opzioni di configurazione per Strumento di distribuzione di Office.

  • Il CSP EnterpriseAppVManagement viene utilizzato per gestire le applicazioni virtuali nei PC Windows 10 (edizioni Enterprise ed Education) e consente alle app sequenziate di App-V di essere trasmesse ai PC anche quando gestite mediante MDM.

I professionisti IT possono usare il nuovo MDM Migration Analysis Tool (MMAT) per determinare le impostazioni Criteri di gruppo che sono state configurate per un utente o computer e confrontarle con un elenco predefinito di criteri MDM supportati. MMAT è in grado di generare report in formato sia XML che HTML indicanti il livello di supporto per ogni impostazione Criteri di gruppo e i rispettivi equivalenti MDM.

Altre informazioni sulle nuove funzionalità MDM.

MDM è stato ampliato in modo da includere i dispositivi aggiunti a un dominio alla registrazione di Azure Active Directory. È possibile usare Criteri di gruppo con dispositivi aggiunti ad Active Directory per attivare la registrazione automatica a MDM. Per altre informazioni, vedi Registrare automaticamente un dispositivo Windows 10 tramite Criteri di gruppo.

Sono inoltre aggiunti diversi nuovi elementi di configurazione. Per altre informazioni, vedi Novità per la registrazione e la gestione MDM.

Supporto della gestione applicazioni per dispositivi mobili per Windows 10

La versione di Windows di gestione di applicazioni per dispositivi mobili (MAM) è una soluzione leggera per la gestione dell'accesso ai dati aziendali e della sicurezza nei dispositivi personali. Il supporto di MAM è integrato Windows in Windows Information Protection (WIP), a partire da Windows 10 Enterprise LTSC 2019.

Per ulteriori informazioni, vedi Implementare il supporto sul lato server per la gestione di applicazioni per dispositivi mobili in Windows.

Diagnostica relativa a MDM

In Windows 10 Enterprise LTSC 2019, continuiamo il nostro lavoro per migliorare l'esperienza diagnostica per la gestione moderna. Grazie all'introduzione della registrazione automatica per i dispositivi mobili, Windows raccoglierà automaticamente i registri in presenza di un errore in MDM, eliminando la necessità di avere la registrazione sempre attiva per i dispositivi con vincoli di memoria. Inoltre, stiamo introducendo Microsoft Message Analyzer come uno strumento aggiuntivo per aiutare il personale di supporto a ridurre rapidamente i problemi alla causa principale, risparmiando tempo e costi.

Application Virtualization per Windows (App-V)

Le versioni precedenti di Microsoft Application Virtualization Sequencer (App-V Sequencer) hanno richiesto la creazione manuale dell'ambiente di sequenziazione. Windows 10 Enterprise LTSC 2019 introduce due nuovi cmdlet di PowerShell, New-AppVSequencerVM e Connessione-AppvSequencerVM, che creano automaticamente l'ambiente di sequenziazione, incluso il provisioning della macchina virtuale. Inoltre, App-V Sequencer è stato aggiornato per consentire di sequenziare o aggiornare più app contemporaneamente, acquisendo e archiviando, al contempo, le personalizzazioni come file del modello di progetto di App-V (appvt) e consentendo di utilizzare le impostazioni PowerShell o Criteri di gruppo per pulire automaticamente i pacchetti di cui è stata annullata la pubblicazione dopo il riavvio di un dispositivo.

Per altre info, vedi i seguenti argomenti:

Dati di diagnostica di Windows

Scopri di più sui dati di diagnostica che vengono raccolti a livello di base e alcuni esempi dei tipi di dati raccolti a livello completo.

Foglio di calcolo di Criteri di gruppo

Informazioni sui nuovi Criteri di gruppo aggiunti in Windows 10 Enterprise LTSC 2019.

App di realtà mista

Questa versione di Windows 10 introduce Windows Mixed Reality. L'attivazione di Windows Mixed Reality richiede un'azione da parte delle organizzazioni. È anche possibile proibire l'utilizzo di Windows Mixed Reality bloccando l'installazione di Portale realtà mista. Per altre informazioni, vedi Consentire o bloccare app Windows Mixed Reality nell'organizzazione.

Reti

Stack di rete

Diversi miglioramenti allo stack di rete sono disponibili in questa versione. Alcune di queste funzionalità sono disponibili anche in Windows 10, versione 1703. Per altre informazioni, vedi la pagina relativa alle funzionalità dello stack di rete core in Windows 10 Creators Update.

Miracast dell'infrastruttura

In questa versione di Windows 10, Microsoft ha esteso la possibilità di inviare un flusso di Miracast su una rete locale anziché tramite un collegamento wireless diretto. Questa funzionalità si basa sul protocollo di attivazione della connessione Miracast su infrastruttura (MS-MICE).

Come funziona

Gli utenti tentano di connettersi a un ricevitore Miracast, come avveniva in precedenza. Quando l'elenco di ricevitori Miracast è popolato, Windows 10 indicherà che il destinatario è in grado di supportare una connessione tramite l'infrastruttura. Quando l'utente seleziona un ricevitore Miracast, Windows 10 tenterà di risolvere il nome host del dispositivo tramite DNS standard, nonché tramite DNS multicast (mDNS). Se il nome non è risolvibile tramite uno dei metodi DNS, Windows 10 tornerà a stabilire la sessione Miracast con la connessione Wi-Fi Direct standard.

Miracast'infrastruttura offre numerosi vantaggi

  • Windows rileva automaticamente quando l'invio del flusso video su questo percorso è applicabile.
  • Windows sceglierà questo percorso solo se la connessione è tramite Ethernet o una rete Wi-Fi protetta.
  • Gli utenti non devono cambiare il modo in cui si connettono a un ricevitore Miracast. Usano la stessa esperienza utente che utilizzano per le connessioni Miracast standard.
  • Non è necessaria alcuna modifica ai driver wireless correnti o all'hardware del PC.
  • Funziona bene con hardware wireless precedente che non è ottimizzato per Miracast tramite Wi-Fi Direct.
  • Si avvale di una connessione esistente che riduce il tempo per la connessione e fornisce un flusso molto stabile.

Abilitazione di Miracast su infrastruttura

Se hai un dispositivo aggiornato a Windows 10 Enterprise LTSC 2019, hai automaticamente questa nuova funzionalità. Per sfruttare i vantaggi nell'ambiente in uso, devi assicurarti che quanto segue è appropriato all'interno della tua distribuzione:

  • Il dispositivo (PC o Surface Hub) deve eseguire Windows 10 versione 1703, Windows 10 Enterprise LTSC 2019 o un sistema operativo successivo.

  • Un PC Windows o un dispositivo Surface Hub può fungere da ricevitore Miracast su infrastruttura. Un Windows può fungere da Miracast di origine dell'infrastruttura.

    • Come ricevitore Miracast, il PC o il dispositivo Surface Hub deve essere connesso alla rete aziendale tramite Ethernet o una connessione Wi-Fi protetta (ad esempio utilizzando la protezione WPA2-PSK o WPA2-Enterprise). Se l'Hub è connesso a una connessione Wi-Fi aperta, Miracast su infrastruttura si disabiliterà automaticamente.
    • Come origine Miracast, il dispositivo deve essere connesso alla stessa rete aziendale tramite Ethernet o una connessione Wi-Fi sicura.
  • Il nome host DNS (nome del dispositivo) del dispositivo dovrà essere risolvibile mediante server DNS. Puoi ottenere questo consentendo al dispositivo di registrarsi automaticamente tramite DNS dinamico o creando manualmente un record A o AAAA per il nome host del dispositivo.

  • I PC Windows 10 devono essere connessi alla stessa rete aziendale tramite Ethernet o una connessione Wi-Fi protetta.

Importante

Miracast l'infrastruttura non è una sostituzione per le Miracast. Al contrario, la funzionalità è complementare e offre un vantaggio per gli utenti che fanno parte della rete aziendale. Gli utenti che sono ospiti di una posizione particolare e non hanno accesso alla rete aziendale continueranno a connettersi usando il metodo di connessione Wi-Fi Direct.

Miglioramenti all'editor del Registro di sistema

Abbiamo aggiunto un elenco a discesa che viene visualizzato durante la digitazione per completare la parte successiva del percorso. Puoi anche premere CTRL + BACKSPACE per eliminare l'ultima parola e CTRL + CANC per eliminare la parola successiva.

Editor reg.

Desktop remoto con biometria

Gli utenti di Azure Active Directory e Active Directory con Windows Hello for Business possono usare la biometria per eseguire l'autenticazione in una sessione di Desktop remoto.

Per iniziare, accedi al tuo dispositivo con Windows Hello for Business. Visualizza Connessione Desktop remoto (mstsc.exe), digita il nome del computer a cui vuoi connetterti e fai clic su Connetti.

  • Windows ricorda che eseguito l'accesso con Windows Hello for Business e seleziona automaticamente Windows Hello for Business per autenticarti nella sessione RDP. Puoi anche fare clic su Altre scelte per scegliere credenziali alternative.

  • Windows Usa il riconoscimento facciale per autenticare la sessione RDP nel server Windows Server 2016 Hyper-V. Puoi continuare a usare Windows Hello for Business nella sessione remota, ma devi utilizzare il PIN.

Vedere l'esempio seguente:

Immettere le credenziali.  Fornire le credenziali.  Microsoft Hyper-V Server 2016.

Vedi anche

Windows 10 Enterprise LTSC: breve descrizione del canale di manutenzione LTSC con collegamenti a informazioni su ogni versione.