Novidades no Windows 10 Enterprise LTSC 2019

Aplicável ao

  • Windows 10 Enterprise LTSC 2019

Este artigo lista os recursos e conteúdos novos e atualizados que são de interesse dos profissionais de TI para o Windows 10 Enterprise LTSC 2019, em comparação com o Windows 10 Enterprise LTSC 2016 (LTSB). Para obter uma breve descrição do canal de manutenção LTSC e do suporte associado, consulte Windows 10 Enterprise LTSC.

Observação

Os recursos Windows 10 Enterprise LTSC 2019 são equivalentes Windows 10, versão 1809.

Windows 10 Enterprise LTSC 2019 se baseia no Windows 10 Pro, versão 1809, adicionando recursos premium projetados para atender às necessidades de organizações de grande e médio porte (incluindo grandes instituições acadêmicas), como:

  • Proteção avançada contra ameaças de segurança modernas
  • Flexibilidade total da implantação do sistema operacional
  • Opções de atualização e suporte
  • Funcionalidades abrangentes de gerenciamento e controle de dispositivos e aplicativos

A versão Windows 10 Enterprise LTSC 2019 é uma versão importante para usuários LTSC, pois inclui os aprimoramentos cumulativos fornecidos nas versões 1703, 1709, 1803 e 1809 do Windows 10. Detalhes sobre esses aprimoramentos são fornecidos abaixo.

Importante

A versão LTSC destina-se a dispositivos de uso especial. O suporte para LTSC por aplicativos e ferramentas projetados para a versão do Canal de Disponibilidade Geral do Windows 10 pode ser limitado.

Microsoft Intune

Microsoft Intune dá suporte Windows 10 Enterprise LTSC 2019 e posterior. No entanto, Windows 10 perfis de dispositivo de anéis de atualização não dão suporte a versões LTSC. Para instalar atualizações de software, use o CSP (provedor de serviços de configuração de política), o Windows Server Update Services (WSUS) ou o Microsoft Endpoint Configuration Manager.

Segurança

Esta versão do Windows 10 inclui melhorias de segurança para proteção contra ameaças, proteção de informações e proteção de identidade.

Proteção contra ameaças

Microsoft Defender para Ponto de Extremidade

A Microsoft Defender para Ponto de Extremidade plataforma inclui vários pilares de segurança. Nesta versão do Windows, o Defender para Ponto de Extremidade inclui análise avançada, integração de pilha de segurança e gerenciamento centralizado para melhor detecção, prevenção, investigação, resposta e gerenciamento.

Redução de superfície de ataque

A redução da superfície de ataque inclui sistemas de prevenção contra intrusões baseados em host, como [acesso controlado a pastas]/microsoft-365/security/defender-endpoint/enable-controlled-folders).

  • Esse recurso pode ajudar a impedir que ransomware e outros malwares destrutivos alterem seus arquivos pessoais. Em alguns casos, os apps que você normalmente usa poderá ser impedidos de fazer alterações em pastas comuns como Documentos e Imagens. Facilitamos a adição de aplicativos que foram bloqueados recentemente para que você possa continuar usando seu dispositivo sem desativar completamente o recurso.

  • Quando um app é bloqueado, ele será exibido em uma lista de apps bloqueados recentemente, que você pode acessar clicando em Gerenciar configurações sob o título Proteção contra ransomware . Selecione Permitir um aplicativo por meio do acesso controlado a pastas. Após o prompt, selecione o botão + e escolha Aplicativos bloqueados recentemente. Selecione qualquer um dos aplicativos para adicioná-los à lista de permissões. Você também pode navegar até um app deste esta página.

Windows Defender Firewall

Windows Defender Firewall agora dá suporte a Subsistema do Windows para Linux (WSL). Você pode adicionar regras específicas para um processo WSL da mesma forma que faria para qualquer processo do Windows. Além disso, o Windows Defender Firewall agora dá suporte a notificações para processos WSL. Por exemplo, quando uma ferramenta de Linux deseja permitir o acesso a uma porta de fora (como SSH ou um servidor web como nginx), o Windows Defender Firewall solicitará para permitir acesso assim como faria para um processo do Windows quando a porta começa a aceitar conexões. Esse comportamento foi introduzido pela primeira vez no Build 17627.

Windows Defender Device Guard

O Device Guard sempre foi uma coleção de tecnologias que podem ser combinadas para bloquear um computador, incluindo:

  • Proteção baseada em software fornecida pelas políticas de integridade de código
  • Proteção baseada em hardware fornecida pela HVCI (integridade de código protegida por hipervisor)

Mas essas proteções também podem ser configuradas separadamente. E, ao contrário da HVCI, as políticas de integridade de código não exigem VBS (segurança baseada em virtualização). Para ajudar a sublinhar o valor distinto dessas proteções, as políticas de integridade de código foram renomeadas Windows Defender Controle de Aplicativos.

Proteção de última geração

Detecção de ponto de extremidade e resposta

A detecção e a resposta do ponto de extremidade são aprimoradas. Os clientes corporativos agora podem aproveitar toda a pilha de segurança do Windows com as detecções do Microsoft Defender Antivírus e os blocos do Device Guard sendo exibidos Microsoft Defender para Ponto de Extremidade portal.

Windows Defender agora é chamado de Microsoft Defender Antivírus e agora compartilha o status de detecção entre os serviços do Microsoft 365 e interopera com Microsoft Defender para Ponto de Extremidade. Outras políticas também foram implementadas para aprimorar a proteção baseada em nuvem e novos canais estão disponíveis para proteção de emergência. Para obter mais informações, consulte Proteção contra vírus e ameaças e Usar tecnologias de próxima geração no Microsoft Defender Antivírus por meio da proteção entregue na nuvem.

Também aumentamos a amplitude da biblioteca de documentação para administradores de segurança empresarial. A nova biblioteca inclui informações sobre:

Alguns dos destaques da nova biblioteca incluem o guia de avaliação do Microsoft Defender AV e o guia de implantação do Microsoft Defender AV em um ambiente de infraestrutura de área de trabalho virtual.

Os novos recursos do Microsoft Defender AV no Windows 10 Enterprise LTSC 2019 incluem:

Investimos muito em ajudar a proteger contra ransomware e continuamos esse investimento com monitoramento de comportamento atualizado e proteção sempre em tempo real.

A detecção e a resposta do ponto de extremidade também são aprimoradas. Os novos recursos de detecção incluem:

  • Detecção personalizada. Com detecções personalizadas, você pode criar consultas personalizadas para monitorar eventos para qualquer tipo de comportamento, como ameaças emergentes ou suspeitos. Você pode usar a busca avançada por meio da criação de regras de detecção personalizadas.

  • Melhorias na memória do sistema operacional e nos sensores de kernel para habilitar a detecção de invasores que estão usando ataques no nível de kernel e na memória.

  • Atualizações de detecções de ransomware e outros ataques avançados.

  • A funcionalidade de detecção histórica garante que novas regras de detecção se apliquem a até seis meses de dados armazenados para detectar ataques anteriores que podem não ter sido observados.

A resposta a ameaças é aprimorada quando um ataque é detectado, permitindo que as equipes de segurança contenham uma violação:

Outros recursos foram adicionados para ajudá-lo a obter uma visão holística sobre investigações :

Outros recursos de segurança aprimorados incluem:

  • Verificar o estado de integridade do sensor – verifique a capacidade de um ponto de extremidade de fornecer dados de sensor e se comunicar com o serviço Microsoft Defender para Ponto de Extremidade e corrigir problemas conhecidos.

  • Suporte ao MSSP (provedor de serviços de segurança gerenciado) – o Microsoft Defender para Ponto de Extremidade adiciona suporte para esse cenário, fornecendo integração com o MSSP. A integração permitirá que MSSPs realizem as seguintes ações: obtenha acesso ao portal da Central de Segurança do Windows Defender do cliente MSSP, busque notificações por email e busque alertas por meio de ferramentas de gerenciamento de eventos e informações de segurança (SIEM).

  • A integração com o Azure Defender – Microsoft Defender para Ponto de Extremidade integra-se ao Azure Defender para fornecer uma solução abrangente de proteção do servidor. Com essa integração, o Azure Defender pode usar o Defender para Ponto de Extremidade para fornecer detecção de ameaças aprimorada para Servidores Windows.

  • Integração com Microsoft Cloud App Security – Microsoft Cloud App Security usa Microsoft Defender para Ponto de Extremidade sinais para permitir visibilidade direta do uso de aplicativos na nuvem, incluindo o uso de serviços de nuvem sem suporte (TI de sombra) de todos os computadores monitorados do Defender para Ponto de Extremidade.

  • Integrar o Windows Server 2019 – Microsoft Defender para Ponto de Extremidade agora adiciona suporte para o Windows Server 2019. Você poderá integrar o Windows Server 2019 no mesmo método disponível para computadores de cliente do Windows 10.

  • Integração de versões anteriores do Windows – Integração de versões com suporte de computadores Windows para que eles possam enviar dados de sensor para o sensor Microsoft Defender para Ponto de Extremidade cliente.

  • Habilitar o acesso condicional para proteger melhor usuários, dispositivos e dados

Também adicionamos uma nova avaliação para o serviço de horário do Windows à seção integridade do & dispositivo. Se detectarmos que a hora do dispositivo não está sincronizada corretamente com nossos servidores de tempo e o serviço de sincronização de tempo estiver desabilitado, forneceremos a opção para você ativá-lo novamente.

Estamos continuando a trabalhar em como outros aplicativos de segurança que você instalou aparecem no Segurança do Windows aplicativo. Há uma nova página chamada Provedores de segurança que você pode encontrar na seção Configurações do aplicativo. Selecione Gerenciar provedores para ver uma lista de todos os outros provedores de segurança (incluindo antivírus, firewall e proteção da Web) que estão em execução em seu dispositivo. Aqui você pode abrir facilmente os aplicativos dos provedores ou obter mais informações sobre como resolver problemas relatados a você por meio de Segurança do Windows.

Essa melhoria também significa que você verá mais links para outros aplicativos de segurança dentro Segurança do Windows. Por exemplo, se você abrir & de proteção de rede do Firewall , verá os aplicativos de firewall em execução em seu dispositivo em cada tipo de firewall, que inclui redes públicas, privadas e de domínio).

Você pode ler mais sobre mitigações de ransomware e capacidade de detecção em:

Consulte também novos recursos de Microsoft Defender para Ponto de Extremidade maximizando ainda mais a eficácia e a robustez da segurança do ponto de extremidade

Obtenha uma visão geral rápida, mas detalhada do Microsoft Defender para Ponto de Extremidade para Windows 10: Defender para Ponto de Extremidade.

Proteção de informações

Melhorias foram adicionadas ao Windows Proteção de Informações e Ao BitLocker.

Proteção de Informações do Windows

A Proteção de Informações do Windows agora foi projetada para funcionar com o Microsoft Office e a Proteção de Informações do Azure.

O Microsoft Intune ajuda a criar e implantar a política de Proteção de Informações do Windows (WIP), inclusive permitir a escolha dos aplicativos permitidos, o nível de proteção por WIP e como encontrar dados corporativos na rede. Para obter mais informações, consulte Criar uma política WIP (Proteção de Informações do Windows) usando o Microsoft Intune e Associar e implantar as políticas WIP (Proteção de Informações do Windows) e VPN usando o Microsoft Intune.

Agora você também pode coletar os logs de eventos de auditoria usando o CSP (provedor de serviço de configuração) de relatório ou o Encaminhamento de Eventos do Windows (para dispositivos ingressados em domínio da área de trabalho do Windows). Para obter mais informações, consulte Como coletar logs de eventos de auditoria do Wip (Windows Proteção de Informações).

Esta versão habilita o suporte ao WIP com arquivos sob demanda, permite a criptografia de arquivos enquanto o arquivo está aberto em outro aplicativo e melhora o desempenho. Para obter mais informações, consulte arquivos do OneDrive sob demanda para a empresa.

BitLocker

O tamanho mínimo do PIN está sendo alterado de 6 para 4, com um padrão de 6. Para saber mais, confira Configurações de Política de Grupo do BitLocker.

Imposição silenciosa em unidades fixas

Por meio de uma política de MDM (Gerenciamento de Dispositivos) moderna, o BitLocker pode ser habilitado silenciosamente para usuários ingressados no Azure Active Directory (Azure AD) padrão. No Windows 10, a criptografia automática do BitLocker da versão 1803 foi habilitada para usuários padrão do Azure AD, mas isso ainda exigia hardware moderno que passou na Interface de Teste de Segurança de Hardware (HSTI). Essa nova funcionalidade habilita o BitLocker por meio da política, mesmo em dispositivos que não passam o HSTI.

Essa alteração é uma atualização para o CSP do BitLocker e usada por Intune e outros.

Proteção de identidade

Melhorias foram adicionadas ao Windows Hello para Empresas e ao Credential Guard.

Windows Hello para Empresas

Os novos recursos Windows Hello uma melhor experiência de bloqueio de dispositivo, usando o desbloqueio multifator com novos sinais de localização e proximidade do usuário. Usando sinais Bluetooth, você pode configurar seu dispositivo Windows 10 para bloquear automaticamente quando sair dele ou impedir que outras pessoas acessem o dispositivo quando você não estiver presente.

Os novos recursos Windows Hello para Empresas incluem:

  • Agora você pode redefinir um PIN esquecido sem excluir dados de empresa gerenciados ou aplicativos em dispositivos gerenciados pelo Microsoft Intune.

  • Para computadores Windows, os usuários são capazes de redefinir um PIN esquecido em Configurações > Contas > Opções de entrada. Para obter mais informações, veja E se eu esquecer meu PIN?.

Windows Hello para Empresas agora dá suporte à autenticação FIDO 2.0 para dispositivos Azure AD ingressados no Windows 10 e tem suporte aprimorado para dispositivos compartilhados, conforme descrito na configuração de quiosque.

  • Agora, o Windows Hello é sem senha no modo S.

  • Suporte a S/MIME com o Windows Hello para Empresas e as APIs para soluções de gerenciamento do ciclo de vida de identidade que não são da Microsoft.

  • O Windows Hello faz parte do pilar de proteção de contas na Central de Segurança do Windows Defender. A Proteção de Conta incentivará os usuários de senha Windows Hello face, impressão digital ou PIN para entrada mais rápida e notificará os usuários de bloqueio dinâmico se o bloqueio dinâmico tiver parado de funcionar porque o Bluetooth do dispositivo está desativado.

  • Você pode configurar o Windows Hello na tela de bloqueio para contas Microsoft. Facilitamos a configuração do Windows Hello para usuários de contas Microsoft em seus dispositivos para fazer logon de maneira mais rápida e segura. Anteriormente, era necessário navegar afundo nas Configurações para encontrar o Windows Hello. Agora, você pode configurar o rosto, a impressão digital e o PIN do Windows Hello diretamente na sua tela de bloqueio clicando no bloco Windows Hello nas opções de logon.

  • Nova API pública para a conta secundária SSO para um provedor de identidade específico.

  • É mais fácil configurar o bloqueio dinâmico e os alertas acionáveis do WD SC foram adicionados quando o bloqueio dinâmico para de funcionar (por exemplo: o Bluetooth do dispositivo está desativado).

Para obter mais informações, consulte: Windows Hello e chaves de segurança FIDO2 permitem uma autenticação segura e fácil para dispositivos compartilhados

Windows Defender Credential Guard

Windows Defender Credential Guard é um serviço de segurança no Windows 10 criado para proteger credenciais de domínio do Active Directory (AD) para que eles não podem ser roubados ou usados incorretamente por malware no computador do usuário. Ele foi projetado para proteger contra ameaças conhecidas, como pass-the-Hash e coleta de credenciais.

Windows Defender Credential Guard sempre foi um recurso opcional, mas Windows 10 no modo S ativa essa funcionalidade por padrão quando o computador foi ingressado no Azure Active Directory. Esse recurso fornece um nível adicional de segurança ao se conectar a recursos de domínio normalmente não presentes em dispositivos que executam Windows 10 no modo S.

Observação

Windows Defender Credential Guard está disponível somente para dispositivos do modo S ou Enterprise e Education Editions.

Para obter mais informações, consulte Considerações de segurança do Credential Guard.

Outras melhorias de segurança

Linhas de base de segurança do Windows

A Microsoft lançou novas linhas de base de segurança do Windows para o Windows Server e o Windows 10. Uma linha de base de segurança é um grupo de definições de configuração recomendadas pela Microsoft com uma explicação do efeito de segurança. Para obter mais informações e baixar a ferramenta de Análise de política, confira Microsoft Security Compliance Toolkit 1.0.

Vulnerabilidade SMBLoris

Um problema, conhecido como SMBLoris, que poderia resultar em negação de serviço, foi resolvido.

Central de Segurança do Windows

A Central de Segurança do Windows Defender agora é chamada de Central de Segurança do Windows.

Você ainda pode acessar o aplicativo de todas as maneiras usuais. Peça à Cortana para abrir Segurança do Windows Center (WSC) ou interagir com o ícone da barra de tarefas. A WSC permite gerenciar todas as suas necessidades de segurança, incluindo o Microsoft Defender Antivírus e o Windows Defender Firewall.

O serviço WSC agora requer produtos antivírus para ser executado como um processo protegido para o registro.Os produtos que ainda não implementaram essa funcionalidade não aparecerão na interface do usuário do Segurança do Windows Center e o Microsoft Defender Antivírus permanecerá habilitado lado a lado com esses produtos.

WSC agora inclui os elementos do Sistema Design Fluente que você conhece e ama. Você também observará que ajustei o espaçamento e o preenchimento ao redor do aplicativo. Dinamicamente, ele agora dimensionará as categorias na página principal se é necessário mais espaço para informações adicionais. Também atualizamos a barra de título para que ela use sua cor de destaque se você tiver habilitado essa opção nas Configurações de Cor.

Captura de tela do Segurança do Windows Central.

Opções de segurança da política de grupo

A configuração de segurança Logon interativo: **** > **** > exibir informações do usuário quando a sessão estiver bloqueada foi atualizada para funcionar **** com a configuração privacidade nas opções de Entrada de Contasde Configurações.

Uma nova configuração de política de segurança Logon interativo: não exibir o nome de usuário na entrada foi introduzido no Windows 10 Enterprise LTSC 2019. Essa configuração de política de segurança determina se o nome de usuário é exibido durante a entrada. Ele funciona com a configuração de Privacidade nas opções de > **** > Entradade Contas de Configurações. A configuração afeta somente o bloco Outro usuário.

Windows 10 no modo S

Continuamos trabalhando na área de ameaças atuais na **** proteção contra ameaças & vírus, que agora exibe todas as ameaças que precisam de ação. Você pode executar rapidamente uma ação contra ameaças a partir desta tela:

Captura de tela das configurações de proteção contra & vírus no Windows.

Implantação

MBR2GPT.EXE

MBR2GPT.EXE é uma nova ferramenta de linha de comando introduzida com o Windows 10, versão 1703 e também disponível no Windows 10 Enterprise LTSC 2019 (e versões posteriores). MBR2GPT converte um disco do estilo de partição MBR (registro mestre de inicialização) para GPT (tabela de partição GUID) sem alterar nem excluir dados no disco. A ferramenta é executada em um prompt de comando do Windows PE (Ambiente de Pré-Instalação do Windows), mas também pode ser executada no sistema operacional Windows 10 completo.

O formato de partição GPT é mais recente e permite o uso de partições do disco maiores e mais numerosas. Ele também fornece maior confiabilidade de dados, dá suporte a outros tipos de partição e permite velocidades de inicialização e desligamento mais rápidas. Se converter o disco do sistema em um computador de MBR para GPT, você também deve configurar o computador para inicializar no modo UEFI, portanto certifique-se de que o dispositivo é compatível com a UEFI antes de tentar converter o disco do sistema.

Outros recursos de segurança do Windows 10 habilitados quando você inicializa no modo UEFI incluem: Inicialização Segura, driver ELAM (Antimalware de Início Antecipado), Inicialização Confiável do Windows, Inicialização Medida, Device Guard, Credential Guard e Desbloqueio de Rede do BitLocker.

Para obter mais informações, consulte MBR2GPT.EXE.

DISM

Os novos comandos do DISM a seguir foram adicionados para gerenciar as atualizações do recurso:

  • DISM /Online /Initiate-OSUninstall: inicia uma desinstalação do sistema operacional para levar o computador de volta para a instalação anterior do Windows.

  • DISM /Online /Remove-OSUninstall: remove a funcionalidade de desinstalação do sistema operacional do computador.

  • DISM /Online /Get-OSUninstallWindow: exibe o número de dias após a atualização durante o qual a desinstalação pode ser executada.

  • DISM /Online /Set-OSUninstallWindow: define o número de dias após a atualização durante o qual a desinstalação pode ser executada.

Para obter mais informações, consulte as opções de linha de comando de desinstalação do sistema operacional do DISM.

Instalação do Windows

Agora você pode executar seus próprios scripts ou ações personalizadas em paralelo com a Instalação do Windows. A instalação também migrará seus scripts para a próxima versão do recurso, portanto, você precisa adicioná-los de uma só vez.

Pré-requisitos:

  • Windows 10, versão 1803 ou Windows 10 Enterprise LTSC 2019 ou posterior.
  • Windows 10 Enterprise ou Pro

Para obter mais informações, consulte Executar ações personalizadas durante a atualização do recurso.

Agora também é possível executar um script se o usuário reverter sua versão do Windows usando a opção PostRollback.

/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]

Para obter mais informações, consulte Opções de configuração Command-Line Windows.

Novas opções de linha de comando também estão disponíveis para o controle do BitLocker:

  • Setup.exe /BitLocker AlwaysSuspend: sempre suspenda o BitLocker durante a atualização.

  • Setup.exe /BitLocker TryKeepActive: Habilite a atualização sem suspender o BitLocker, mas se a atualização não funcionar, suspenda o BitLocker e conclua a atualização.

  • Setup.exe /BitLocker ForceKeepActive: Habilite a atualização sem suspender o BitLocker, mas se a atualização não funcionar, falhará na atualização.

Para obter mais informações, consulte Opções de configuração Command-Line Windows.

Melhorias na atualização de recursos

Partes do trabalho feitas durante as fases offline de uma atualização do Windows foram movidas para a fase online. Essa alteração resulta em uma redução significativa do tempo offline ao instalar atualizações. Para obter mais informações, consulte Estamos ouvindo a você.

SetupDiag

SetupDiag é uma nova ferramenta de linha de comando que pode ajudar a diagnosticar o motivo de falhar de uma atualização do Windows 10.

O SetupDiag funciona pesquisando os arquivos de registro da Instalação do Windows. Quando ele pesquisa arquivos de log, o SetupDiag usa um conjunto de regras para corresponder a problemas conhecidos. Existem 53 regras contidas na versão atual do SetupDiag no arquivo rules.xml, que é extraído quando SetupDiag é executado. O arquivo rules.xml será atualizado conforme novas versões do SetupDiag forem disponibilizadas.

Entrar

Início de sessão mais rápido em um computador Windows 10 compartilhado

Se você tiver compartilhado dispositivos implantados em seu local de trabalho, a entrada rápida permitirá que os usuários se conectem rapidamente a um computador Windows 10 compartilhado.

Para habilitar a entrada rápida

  1. Configure um dispositivo compartilhado ou convidado com Windows 10, versão 1809 ou Windows 10 Enterprise LTSC 2019.

  2. Defina o CSP de Política e as políticas Authentication e EnableFastFirstSignIn para habilitar a entrada rápida.

  3. Logon em um computador compartilhado com sua conta.

    Uma imagem animada que demonstra o recurso de logon rápido.

Logon da Web no Windows 10

Até agora, a entrada do Windows só era compatível com o uso de identidades federadas ao ADFS ou a outros provedores que dão suporte ao protocolo WS-Fed segurança. Estamos introduzindo a "entrada na Web", uma nova maneira de entrar em seu computador Windows. A entrada na Web habilita o suporte de entrada do Windows para provedores federados não ADFS (por exemplo, SAML).

Experimentar a entrada na Web

  1. Ingressar no Azure AD seu computador Windows 10. (Web entrar só tem suporte em computadores de ingressado do Azure AD).

  2. Defina o CSP de Política e as políticas de Autenticação e EnableWebSignIn para habilitar a entrada na Web.

  3. Na tela de bloqueio, selecione o logon da Web em opções de entrada.

  4. Selecione "Entrar" para continuar.

    Uma captura de tela da tela de entrada do Windows que realça o recurso de entrada na Web.

Conformidade de Atualizações

A conformidade das atualizações ajuda a manter seguros e atualizados os dispositivos Windows 10 de sua organização.

A conformidade das atualizações é uma solução desenvolvida com base em Análises de Log do OMS que fornece informações sobre o status da instalação das atualizações mensais de recursos e de qualidade. São fornecidos detalhes sobre o progresso da implantação de atualizações existentes e o status das atualizações futuras. Também são fornecidas informações sobre dispositivos que podem precisar de atenção para resolver problemas.

Os novos recursos da Conformidade de Atualizações permitem que você monitore o status de proteção do Windows Defender, compare a conformidade com os pares do setor e otimize a largura de banda para implantar atualizações.

Para obter mais informações sobre a conformidade das atualizações, consulte Monitorar Windows Updates com conformidade das atualizações.

Acessibilidade e privacidade

Acessibilidade

A acessibilidade "original" foi aprimorada com descrições de imagem geradas automaticamente. Para obter mais informações sobre a acessibilidade, consulte Informações de acessibilidade para profissionais de TI. Consulte também a seção de acessibilidade em Novidades na atualização de Windows 10 de abril de 2018.

Privacidade

Na página Comentários e Configurações em Configurações de Privacidade, agora você pode excluir os dados de diagnóstico que seu dispositivo enviou à Microsoft. Você também pode exibir esses dados de diagnóstico usando o aplicativo Visualizador de Dados de Diagnóstico .

Configuração

Configuração de quiosque

O novo Microsoft Edge baseado em chromium tem muitas melhorias direcionadas a quiosques. No entanto, ele não está incluído na versão LTSC do Windows 10. Você pode baixar e instalar o Microsoft Edge separadamente. Para obter mais informações, consulte Baixar e implantar o Microsoft Edge para empresas.

O Internet Explorer está incluído em versões Windows 10 LTSC, pois seu conjunto de recursos não está mudando e continuará a obter correções de segurança durante a vida útil de uma versão Windows 10 LTSC.

Se você quiser aproveitar os recursos de quiosque no Microsoft Edge, considere o modo de quiosque com um canal de lançamento semestral.

Cogerenciamento

As políticas do Intune e do Microsoft Endpoint Configuration Manager foram adicionadas para habilitar a autenticação do Azure AD híbrido ingressado. O Gerenciamento de Dispositivo Móvel (MDM) adicionou mais de 150 novas políticas e configurações a esta versão, incluindo a política MDMWinsOverGP , para permitir a transição mais simples para o gerenciamento baseado em nuvem.

Para obter mais informações, consulte Novidades no registro e no gerenciamento do MDM.

Período de desinstalação do sistema operacional

O período de desinstalação do sistema operacional é uma duração de tempo que os usuários recebem quando, como opção, podem reverter uma atualização do Windows 10. Com essa versão, os administradores podem usar o Intune ou o DISM para personalizar a duração do período de desinstalação do sistema operacional.

Ingresso em massa no Azure Active Directory

Usando os novos assistentes no Designer de Configuração do Windows, você pode criar pacotes de provisionamento para registrar dispositivos no Azure Active Directory. O ingresso em massa no Azure AD está disponível nos assistentes de desktop, dispositivo móvel, quiosque e Surface Hub.

Destaque do Windows

As seguintes novas configurações de MDM (gerenciamento de dispositivo móvel) e política de grupo são adicionadas para ajudá-lo a configurar experiências de usuário do Destaque do Windows:

  • Desativar o Destaque do Windows na Central de Ações
  • Não use dados de diagnóstico para experiências personalizadas
  • Desativar a experiência de boas-vindas do Windows

Para obter mais informações, consulte Configurar o Destaque do Windows na tela de bloqueio.

Layout do menu Iniciar e barra de tarefas

Anteriormente, a barra de tarefas personalizada só podia ser implantada usando Política de Grupo ou pacotes de provisionamento. Windows 10 Enterprise LTSC 2019 adiciona suporte para barras de tarefas personalizadas ao MDM.

Mais configurações de política de MDM estão disponíveis para o layout da tela inicial e da barra de tarefas. As novas configurações de política MDM incluem:

Windows Update

Windows Insider para empresas

Recentemente, adicionamos a opção de baixar Windows 10 builds do Insider Preview usando suas credenciais corporativas no Azure Active Directory (Azure AD). Ao registrar dispositivos no Azure AD, você aumenta a visibilidade dos comentários enviados pelos usuários em sua organização, especialmente em recursos que dão suporte às suas necessidades comerciais específicas. Para obter detalhes, consulte Programa Windows Insider para Empresas.

Agora você pode registrar seus domínios do Azure AD no Programa Windows Insider. Para saber mais, veja Programa Windows Insider para Empresas.

Otimizar a entrega de atualização

Com as alterações fornecidas no Windows 10 Enterprise LTSC 2019, as atualizações expressas agora têm suporte total com Configuration Manager. Ele também tem suporte com outros produtos de atualização e gerenciamento de terceiros que implementam essa nova funcionalidade. Esse suporte é além do suporte expresso atual no Windows Update, Windows Update para Empresas e WSUS.

Observação

As alterações acima podem ser disponibilizadas para o Windows 10, versão 1607, instalando-se a atualização cumulativa de abril de 2017.

As políticas de Otimização de Entrega agora permitem que você configure outras restrições para ter mais controle em vários cenários.

As políticas adicionadas incluem:

Para obter mais informações, consulte Configurar a Otimização de Entrega para atualizações do Windows.

Os aplicativos nativos desinstalados não são mais reinstalados automaticamente

A partir do Windows 10 Enterprise LTSC 2019, os aplicativos in-box que foram desinstalados pelo usuário não serão reinstalados automaticamente como parte do processo de instalação da atualização de recursos.

Além disso, os aplicativos des provisionados por administradores em computadores Windows 10 Enterprise LTSC 2019 permanecerão des provisionados após futuras instalações de atualização de recursos. Esse comportamento não se aplicará à atualização do Windows 10 Enterprise LTSC 2016 (ou anterior) para o Windows 10 Enterprise LTSC 2019.

Gerenciamento

Novas funcionalidades do MDM

Windows 10 Enterprise LTSC 2019 adiciona muitos novos CSPs (provedores de serviços de configuração) que fornecem novos recursos para gerenciar dispositivos Windows 10 usando MDM ou pacotes de provisionamento. Entre outras coisas, esses CSPs permitem que você defina algumas centenas das configurações de política de grupo mais úteis por meio do MDM. Para obter mais informações, consulte CSP de política – políticas com suporte de ADMX.

Alguns dos outros novos CSPs são:

  • O CSP de DynamicManagement permite que você gerencie dispositivos de forma diferente dependendo do local, rede ou tempo. Por exemplo, os dispositivos gerenciados podem ter câmeras desabilitadas quando em um local de trabalho, o serviço celular pode ser desabilitado quando estiver fora do país para evitar cobranças de roaming ou a rede sem fio pode ser desabilitada quando o dispositivo não está dentro do prédio corporativo ou campus. Depois de definidas, essas configurações serão impostas mesmo que o dispositivo não possa acessar o servidor de gerenciamento quando o local ou a rede for alterado. O CSP de gerenciamento dinâmico permite a configuração de políticas que alteram a forma como o dispositivo é gerenciado, além de definir as condições nas quais a alteração ocorre.

  • O CSP CleanPC permite a remoção dos apps pré-instalados e instalados pelo usuário, com a opção de manter os dados do usuário.

  • O CSP de BitLocker é usado para gerenciar a criptografia de computadores e dispositivos. Por exemplo, você pode exigir criptografia de cartão de armazenamento em dispositivos móveis ou exigir criptografia para unidades do sistema operacional.

  • O CSP de NetworkProxy é usado para configurar um servidor proxy para conexões Wi-Fi e de Ethernet.

  • O CSP de Office permite que um cliente do Microsoft Office seja instalado em um dispositivo por meio da Ferramenta de Implantação do Office. Para obter mais informações, consulte Opções de configuração para a Ferramenta de Implantação do Office.

  • O CSP EnterpriseAppVManagement é usado para gerenciar apps virtuais em computadores com Windows 10 (edições Enterprise e Education) e permite que os apps sequenciados do App-V sejam transmitido para computadores, mesmo quando gerenciados por MDM.

Para obter mais informações, confira As novidades no registro e no gerenciamento de dispositivos móveis.

O MDM foi expandido para incluir dispositivos ingressados no domínio com o registro do Azure Active Directory. A política de grupo pode ser usada com dispositivos ingressados no Active Directory para disparar o registro automático no MDM. Para saber mais, confira Registrar um dispositivo Windows 10 automaticamente usando a Política de Grupo.

Vários novos itens de configuração também foram adicionados. Para saber mais, veja Novidades sobre o registro e o gerenciamento no MDM.

Suporte ao gerenciamento de apps móveis para o Windows 10

A versão Windows do gerenciamento de apps móveis (MAM) é uma solução leve de gerenciamento de acesso de dados da empresa e de segurança em dispositivos pessoais. O suporte a MAM é integrado ao Windows sobre o Windows Proteção de Informações (WIP), começando no Windows 10 Enterprise LTSC 2019.

Para obter mais informações, consulte Implementar o suporte de servidor para o gerenciamento de apps móveis no Windows.

Diagnóstico do MDM

No Windows 10 Enterprise LTSC 2019, continuamos nosso trabalho para melhorar a experiência de diagnóstico para gerenciamento moderno. Introduzindo o registro automático para dispositivos móveis, o Windows vai coletar automaticamente logs ao se deparar com um erro no MDM, eliminando a necessidade de ter registros em log sempre ativados para dispositivos com memória restrita. Além disso, estamos introduzindo o Analisador de Mensagens da Microsoft como outra ferramenta para ajudar a equipe de suporte a reduzir rapidamente os problemas para sua causa raiz, economizando tempo e custo.

App-V (Application Virtualization) para Windows

As versões anteriores do Microsoft Application Virtualization Sequencer (App-V Sequencer) exigiam que você criasse manualmente seu ambiente de sequenciamento. Windows 10 Enterprise LTSC 2019 apresenta dois novos cmdlets do PowerShell, New-AppVSequencerVM e Connect-AppvSequencerVM. Esses cmdlets criam automaticamente seu ambiente de sequenciamento para você, incluindo o provisionamento da máquina virtual. Além disso, o App-V Sequencer foi atualizado para permitir que você sequenciar ou atualizar vários aplicativos ao mesmo tempo, capturando e armazenando automaticamente suas personalizações como um arquivo de modelo de projeto (.appvt) do App-V e permitindo que você use o PowerShell ou as configurações de política de grupo para limpar automaticamente seus pacotes não publicados após uma reinicialização do dispositivo.

Para obter mais informações, consulte os seguintes artigos:

Dados de diagnóstico do Windows

Saiba mais sobre os dados de diagnósticos que são coletados no nível básico e alguns exemplos dos tipos de dados que são coletados no nível completo.

Planilha de política de grupo

Saiba mais sobre as novas políticas de grupo que foram adicionadas ao Windows 10 Enterprise LTSC 2019.

Aplicativos de realidade misturada

Esta versão do Windows 10 apresenta a Windows Mixed Reality. As organizações que usam o WSUS devem realizar uma ação para Habilitar o Windows Mixed Reality. Você também pode proibir o uso do Windows Mixed Reality ao bloquear a instalação no Portal de Realidade Misturada. Para saber mais, veja Permitir ou bloquear aplicativos do Windows Mixed Reality na empresa.

Rede

Pilha de rede

Várias melhorias de pilha de rede estão disponíveis nesta versão. Alguns desses recursos também estavam disponíveis no Windows 10, versão 1703. Para obter mais informações, consulte Os principais recursos de pilha de rede na Atualização para Criadores para Windows 10.

Miracast sobre Infraestrutura

Nesta versão do Windows 10, a Microsoft estendeu a capacidade de enviar um fluxo Miracast por uma rede local em vez de um link sem fio direto. Essa funcionalidade é baseada no Miracast via protocolo de estabelecimento de Conexão de infraestrutura (MS-MICE).

Como funciona

Os usuários tentam se conectar a um receptor Miracast como fizeram anteriormente. Quando a lista dos receptores Miracast é preenchida, o Windows 10 identificará se o receptor é capaz de dar suporte a uma conexão ao longo da infraestrutura. Quando o usuário seleciona um receptor Miracast, o Windows 10 tentará resolver o nome do host do dispositivo por meio do DNS padrão e do DNS multicast (mDNS). Se o nome não for resolvível por meio de qualquer método DNS, Windows 10 retornará ao estabelecimento da sessão Miracast usando a conexão direta Wi-Fi padrão.

O Miracast sobre Infraestrutura oferece muitos benefícios

  • O Windows automaticamente detecta quando o envio do fluxo de vídeo sobre esse caminho é aplicável.
  • O Windows escolherá esta rota somente se a conexão for via Ethernet ou por uma rede Wi-Fi protegida.
  • Os usuários não precisam alterar a maneira como se conectam a um receptor Miracast. Eles usam a mesma experiência do usuário para conexões de Miracast padrão.
  • Nenhuma mudança no hardware do computador ou drivers atuais sem fio é necessária.
  • Ele funciona bem com hardware sem fio mais antigo que não é otimizado para Miracast em Wi-Fi Direct.
  • Ele usa uma conexão existente que reduz o tempo de conexão e fornece um fluxo estável.

Habilitando Miracast sobre infraestrutura

Se você tiver um dispositivo que foi atualizado para o Windows 10 Enterprise LTSC 2019, você terá automaticamente esse novo recurso. Para aproveitar isso em seu ambiente, você precisa verificar se o seguinte requisito existe em sua implantação:

  • O dispositivo (PC ou Surface Hub) precisa estar executando Windows 10, versão 1703, Windows 10 Enterprise LTSC 2019 ou um sistema operacional posterior.

  • Um computador Windows ou o Surface Hub pode atuar como um receptor Miracast sobre infraestrutura. Um dispositivo Windows pode atuar como um Miracast sobre a origem da infraestrutura.

    • Como um receptor Miracast, o PC ou Surface Hub deve estar conectado à sua rede corporativa por meio de Ethernet ou uma conexão Wi-Fi segura. Por exemplo, usando WPA2-PSK ou WPA2-Enterprise segurança. Se o Hub é conectado a uma conexão Wi-Fi aberto, o Miracast sobre infraestrutura se desabilitará.
    • Como uma fonte Miracast, o dispositivo deve estar conectado à mesma rede corporativa via Ethernet ou uma conexão Wi-Fi segura.
  • O nome de host DNS (nome do dispositivo) do dispositivo precisa ser resolvido por meio de seus servidores DNS. Você pode obter essa configuração permitindo que seu dispositivo se registre automaticamente por meio do DNS Dinâmico ou criando manualmente um registro A ou AAAA para o nome do host do dispositivo.

  • Os computadores com Windows 10 devem estar conectados à mesma rede empresarial por meio de Ethernet ou uma conexão Wi-Fi segura.

Importante

Miracast sobre Infraestrutura não é uma substituição para Miracast padrão. Em vez disso, a funcionalidade é um complemento e oferece uma vantagem para os usuários que fazem parte da rede corporativa. Os usuários convidados para um local específico e que não têm acesso à rede corporativa continuarão a se conectar usando o método de conexão Wi-Fi Direct.

Melhorias de editor do registro

Adicionamos uma lista suspensa que é exibida enquanto você digita para ajudar a concluir a próxima parte do caminho. Você também pode pressionar Ctrl + Backspace para excluir a última palavra e Ctrl + Delete para excluir a próxima palavra.

Captura de tela do Editor do Registro mostrando a lista de conclusão do caminho.

Área de Trabalho Remota com Biometria

Os usuários do Azure Active Directory e Active Directory usando o Windows Hello para Empresas podem usar biometria para autenticar uma sessão da área de trabalho remota.

Para começar, inicie uma sessão no dispositivo usando o Windows Hello para Empresas. Abra a Conexão de Área de Trabalho Remota (mstsc.exe), digite o nome do computador ao qual você deseja se conectar e selecione Conectar.

  • Windows memoriza que você assinado usando o Windows Hello para Empresas e seleciona automaticamente o Windows Hello para Empresas para autenticá-lo à sua sessão RDP. Você também pode selecionar Mais opções para escolher credenciais alternativas.

  • O Windows usa o reconhecimento facial para autenticar a sessão de RDP no servidor do Windows Server 2016 Hyper-V. Você pode continuar a usar o Windows Hello para Empresas na sessão remota, mas você deve usar o PIN.

Veja o exemplo a seguir:

Insira suas credenciais.  Forneça credenciais.  Microsoft Hyper-V Server 2016.

Consulte também

Windows 10 Enterprise LTSC: uma breve descrição do canal de manutenção LTSC com links para informações sobre cada versão.