Windows 10/11 Enterprise E3 в CSP

Относится к:

  • Windows 10
  • Windows 11

С 1сентября 2016г. на канале поставщика облачных решений (CSP) доступна подписка на Windows 10 Корпоративная E3. С выпуском Windows 11 доступен Windows 10/11 Enterprise E3 в CSP.

Windows 10/11 Enterprise E3 в CSP предоставляет по подписке эксклюзивные функции, зарезервированные для Windows 10 или Windows 11 Enterprise выпусков. Это предложение доступно через поставщик облачных решений (CSP) в Центре партнеров в качестве веб-службы. Windows 10/11 Enterprise E3 в CSP предоставляет гибкую подписку на одного пользователя для малых и средних организаций (от одного до сотен пользователей). Чтобы воспользоваться этим предложением, необходимо:

  • Windows 10 Pro версии 1607 (Windows 10 юбилейного обновления) или более поздней версии (или Windows 11), установленной и активированной на устройствах, которые необходимо обновить.
  • иметь доступ к Azure Active Directory (Azure AD) для управления удостоверениями.

С Windows 10 Pro или Windows 11 Pro или Windows 10 Корпоративная Windows 11 Enterprise можно перейти с Windows 10 Pro или Windows 11 Enterprise без ключей и перезагрузки. После ввода учетных данных Azure AD, связанных с лицензией Windows 10/11 Enterprise E3, операционная система превращается из Windows 10 Pro в Windows 10 Корпоративная или Windows 11 Pro до Windows 11 Enterprise и разблокированы все соответствующие Enterprise функции. Когда срок действия лицензии подписки истекает или передается другому пользователю, Enterprise легко возвращается к Windows 10 Pro или Windows 11 Pro.

Ранее развертывать Windows 10 Корпоративная или Windows 11 Enterprise для пользователей могли только организации с соглашением по корпоративному лицензированию Microsoft Volume Licensing. Теперь, Windows 10/11 Enterprise E3 в CSP, малые и средние организации могут более легко использовать возможности Enterprise выпуска.

При покупке Windows 10/11 Enterprise E3 через партнера вы получаете следующие преимущества:

  • Windows 10/11 Enterprise . Устройства, работающие Windows 10 Pro или Windows 11 Pro, могут получать Windows 10/11 Enterprise Current Branch (CB) или Current Branch for Business (CBB). Это не распространяется на выпуск с долгосрочным обслуживанием (Long Term Service Branch, LTSB).
  • Поддержка любого количества пользователей, от одного до нескольких сотен. Хотя Windows 10/11 Enterprise E3 в программе CSP не имеет ограничений на количество лицензий, которые может иметь организация, программа предназначена для малых и средних организаций.
  • Развертывание до пяти устройств. Для каждого пользователя, на которого распространяется лицензия, вы можете развернуть Windows 10 Корпоративная на пяти устройствах.
  • Откат в Windows 10/11 Pro в любое время. Когда срок действия подписки пользователя истекает или передается другому пользователю, устройство Windows 10/11 Enterprise плавно возвращается в Windows 10/11 Pro (после льготного периода до 90 дней).
  • Помесячная оплата за каждого пользователя. Это делает Windows 10/11 Enterprise E3 доступным для любой организации.
  • Возможность перераспределения лицензий между пользователями. Лицензии можно легко и быстро передавать от одного пользователя к другому, что позволяет оптимально использовать приобретенные лицензии в условиях изменения потребностей.

Как программа Windows 10/11 Enterprise E3 в программе CSP сопоставляться с соглашениями microsoft Volume Licensing и Software Assurance?

  • Программы корпоративного лицензирования Microsoft являются более объемными и предоставляют доступ к лицензированию всех продуктов корпорации Майкрософт.

  • Программа Software Assurance обеспечивает организациям преимущества, которые можно разделить на следующие категории:

    • Развертывание и управление. К этой категории относятся услуги по планированию, Microsoft Desktop Optimization Pack (MDOP), Windows Virtual Desktop Access Rights, Windows-To-Go Rights, Windows Roaming Use Rights, Windows Thin PC, Windows RT Companion VDA Rights и др.
    • Обучение. К этой категории относятся ваучеры на обучение, электронное обучение через Интернет и программа использования ПО на домашних компьютерах.
    • Поддержка. К этой категории относятся круглосуточная техническая поддержка, резервное копирование для аварийного восстановления, глобальный монитор служб System Center и пассивный вторичный экземпляр SQL Server.
    • Специализация. К этой категории относятся возможность повышения лицензируемых выпусков (т.е. перехода с более раннего выпуска программного обеспечения на выпуск более высокого уровня), а также возможность разбиения стоимости лицензии и участия в программе Software Assurance на три равных ежегодных платежа.

    Кроме того, в Windows 10/11 Enterprise E3 в CSP партнер может управлять вашими лицензиями для вас. В программе Software Assurance вы, клиент, управляете своими собственными лицензиями.

Подводя итоги, Windows 10/11 Enterprise E3 в программе CSP — это предложение обновления, которое обеспечивает малому и среднему бизнесу более простой и гибкий доступ к преимуществам Windows 10 Корпоративная издания, в то время как программы microsoft Volume Licensing и Software Assurance имеют более широкие возможности и предоставляют преимущества, не входя в Enterprise выпуск Windows 10 или Windows 11.

Сравнение выпусков Windows 10 Pro и Корпоративная

Примечание

В следующей таблице перечислены только Windows 10. Дополнительные сведения будут доступны о различиях между Windows 11 выпусками после Windows 11, как правило, доступны.

В состав Windows 10 Корпоративная входит ряд компонентов, отсутствующих в Windows 10 Pro. В таблице 1 перечислены компоненты Windows 10 Корпоративная, которых нет в Windows 10 Pro. Многие из этих компонентов связаны с безопасностью, тогда как другие обеспечивают управление устройствами на более детальном уровне.

Таблица1. Компоненты Windows 10 Корпоративная, отсутствующие в Windows 10 Pro

Компонент Описание

Credential Guard

Этот компонент предполагает использование средств безопасности на основе виртуализации для защиты секретов (например, хэшей паролей NTLM, билетов на получение билетов Kerberos), чтобы доступ к ним могло получать только системное программное обеспечение с соответствующими привилегиями. Это помогает предотвратить атаки с передачей хэша (pass-the-hash) или передачей билета (pass-the-ticket).

К возможностям Credential Guard относятся:

  • Безопасность на уровне оборудования.     Credential Guard использует функции безопасности аппаратной платформы (например, безопасную загрузку и виртуализацию) для защиты полученных учетных данных домена и других секретов.

  • Безопасность на основе виртуализации.     Windows службы, которые получают доступ к производным учетным данным домена и другим секретам, работают в изолированной изолированной виртуализированной среде.

  • Улучшенная защита от сохраняющихся угроз.     Защита учетных данных работает с другими технологиями (например, Device Guard), чтобы обеспечить дальнейшую защиту от атак, независимо от того, насколько они устойчивы.

  • Улучшенная управляемость.     Управление credential Guard можно с помощью групповой политики, Windows инструментов управления (WMI) или Windows PowerShell.

Подробнее об этом: Защита извлеченных учетных данных домена с помощью Credential Guard.

Для работы Credential Guard требуется UEFI 2.3.1 или более поздней версии с надежной загрузкой; должны быть включены расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; версия x64 Windows; устройство IOMMU, такое как VT-d, AMD-Vi; блокировка BIOS; для подтверждения работоспособности устройства рекомендуется наличие модуля TPM 2.0 (в отсутствие TPM 2.0 будет использоваться программное обеспечение).

Device Guard

Этот компонент представляет собой сочетание аппаратных и программных механизмов безопасности, которые разрешают запуск на устройстве только доверенных приложений. Даже если злоумышленник получит контроль над ядром Windows, вероятность того, что он сможете запустить исполняемый код, значительно уменьшается. Device Guard может задействовать средства безопасности на основе виртуализации (VBS) в Windows 10 Корпоративная, чтобы изолировать службу целостности кода от самого ядра Windows. При использовании VBS, даже если вредоносная программа и получит доступ к ядру, последствия этого можно в значительной степени ограничить, поскольку низкоуровневая оболочка позволяет предотвратить выполнение кода вредоносной программой.

Device Guard выполняет следующие функции:

  • обеспечивает защиту от вредоносных программ;

  • обеспечивает защиту ядра системы Windows от атак и уязвимостей нулевого дня;

  • позволяет запускать только доверенные приложения.

Подробнее об этом: Введение в Device Guard.

Управление AppLocker

Эта функция помогает ИТ-профессионалам определить, какие приложения и файлы пользователи могут запускать на устройстве. К таким приложениям и файлам относятся исполняемые файлы, сценарии, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений.

Подробнее об этом: AppLocker.

Виртуализация приложений (App-V)

Этот компонент позволяет делать приложения доступными конечным пользователям без установки приложений непосредственно на устройства пользователей. App-V преобразует приложения в централизованно управляемые службы, которые никогда не устанавливаются и'не конфликтуются с другими приложениями. Эта также гарантирует актуальность приложений, т.е. наличие в них последних обновлений безопасности.

Подробнее об этом: Getting Started with App-V for Windows 10 (Начало работы с App-V для Windows 10).

Виртуализация взаимодействия с пользователем (UE-V)

С помощью этого компонента можно записывать настроенные пользователем параметры Windows и приложений и сохранять их в централизованно управляемой общей сетевой папке. При входе пользователя в систему эти персонализированные параметры применяются к его сеансу работы независимо от того, к какого устройства он вошел или к какому сеансу инфраструктуры виртуальных рабочих столов (VDI) подключился.

UE-V позволяет:

  • указывать, какие приложения и параметры Windows синхронизируются между устройствами пользователя;

  • доставлять параметры в любое время, где бы на территории организации не работал пользователь;

  • создавать пользовательские шаблоны для сторонних приложений или бизнес-приложений;

  • восстанавливать параметры после замены или обновления оборудования либо после переустановки из образа виртуальной машины для восстановления ее исходного состояния.

Подробнее об этом: User Experience Virtualization (UE-V) for Windows 10 overview (Обзор виртуализации взаимодействия с пользователем (UE-V) для Windows 10).

Управляемое взаимодействие с пользователем

Этот компонент позволяет настроить пользовательский интерфейс на устройстве с Windows так, чтобы он позволял выполнять только конкретную задачу, и зафиксировать его в таком состоянии. Например, можно настроить устройство использования в определенном качестве— например, в качестве информационного киоска или учебного пособия. После выхода пользователя из системы интерфейс автоматически будет сброшен. Можно также ограничивать доступ к службам, в том числе к Кортане или Microsoft Store, и управлять параметрами макета начального экрана, например:

  • удалить команды «Завершение работы», «Перезагрузка», «Сон», «Гибернация» во избежание доступа к ним;

  • удалить команду «Выход» (плитку «Пользователь») из меню «Пуск»;

  • удалить список часто используемых программ из меню «Пуск»;

  • удалить список всех программ из меню «Пуск»;

  • запретить пользователям настраивать начальный экран;

  • принудительно запускать меню «Пуск» во весь экран или в размере меню;

  • запретить изменение параметров панели задач и меню «Пуск».

Развертывание лицензий Windows 10/11 Enterprise E3

См. Развертывание лицензий Windows 10 Корпоративная.

Развертывание Windows 10/11 Enterprise функций

Теперь, когда Windows 10/11 Enterprise на устройствах, как использовать возможности Enterprise выпуска? Какие следующие шаги необходимо предпринять для каждого из компонентов, перечисленных в таблице1?

В следующих разделах представлены задачи высокого уровня, которые необходимо выполнить в вашей среде, чтобы помочь пользователям воспользоваться возможностями Windows 10/11 Enterprise выпуска.

Credential Guard*

Для использования Credential Guard на устройствах с Windows 10 Корпоративная необходимо включить Credential Guard на этих устройствах. Credential Guard использует Windows 10/11 на основе виртуализации функций безопасности (Hyper-V), которые необходимо включить на каждом устройстве, прежде чем включить credential Guard. Credential Guard можно включить одним из следующих способов:

  • Автоматически. Вы можете автоматически включить Credential Guard для одного или нескольких устройств с помощью групповой политики. Параметры групповой политики автоматически добавляют функции безопасности на основе виртуализации и настраивают параметры реестра Credential Guard на управляемых устройствах.

  • Вручную. Чтобы вручную включить Credential Guard, сделайте следующее:

    Вы можете автоматизировать эти действия вручную с помощью средства управления, например Microsoft Endpoint Configuration Manager.

Подробнее об использовании Credential Guard см. в следующих материалах:

* Требуется UEFI 2.3.1 или более поздней версии с надежной загрузкой; должны быть включены расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; версия x64 Windows; устройство IOMMU, такое как VT-d, AMD-Vi; блокировка BIOS; для подтверждения работоспособности устройства рекомендуется наличие модуля TPM 2.0 (в отсутствие TPM 2.0 будет использоваться программное обеспечение).

Device Guard

Теперь, когда устройства Windows 10/11 Enterprise, вы можете реализовать device Guard на Windows 10 Корпоративная устройствах, выполняя следующие действия:

  1. Дополнительно вы можете создать сертификат подписи для политик целостности кода. По мере развертывания политик целостности кода вам может понадобиться подписать файлы каталога или политики целостности кода внутри организации. Для этого вам понадобится выданный сертификат подписи кода (который вы приобрели) или внутренний центр сертификации (ЦС). Если вы решили использовать внутренний центр сертификации, вам нужно будет создать сертификат подписи кода.

  2. Создайте политики целостности кода на основе «золотых» компьютеров. Если вы определили отделы или роли, которые используют уникальные или частично уникальные сочетания оборудования и программного обеспечения, вы можете настроить «золотые» компьютеры с соответствующим оборудованием и программным обеспечением. В этом отношении создание и управление политиками целостности кода в соответствии с потребностями ролей или отделов могут походить на управление корпоративными образами. На основе каждого «золотого» компьютера можно создать политику целостности кода и решить, как управлять этой политикой. Вы можете объединить политики целостности кода для создания более обширной, или главной, политики, а также можете контролировать и развертывать каждую политику по отдельности.

  3. Выполните аудит политики целостности кода и соберите информацию о приложениях, которые не охвачены этой политикой. Мы рекомендуем использовать режим аудита для тщательной проверки каждой политики целостности кода до ее применения. В режиме аудита никакие приложения не блокируются— политика просто записывает в журнал событие при каждом запуске приложения, которое в нее не входит. Позже вы сможете расширить политику, чтобы разрешить те из приложений, которые вам необходимы.

  4. Создайте файл каталога для неподписанных бизнес-приложений. С помощью средства Package Inspector создайте и подпишите файл каталога для ваших неподписанных бизнес-приложений. На последующих шагах вы сможете объединить подпись файла каталога с политикой целостности кода, чтобы приложения в каталоге были разрешены политикой.

  5. Получите необходимые сведения о политике из журнала событий и при необходимости включите сведения в существующую политику. После того, как политика целостности кода проработает в режиме аудита в течение некоторого времени, журнал событий будет содержать сведения о приложениях, которые не охвачены этой политикой. Чтобы расширить политику и разрешить запуск этих приложений, используйте команды Windows PowerShell для сбора необходимых данных о политике из журнала событий и объединения этих данных с существующей политикой. Вы можете объединить политики целостности кода также из других источников. Это позволяет гибко подходить к созданию итоговых политик целостности кода.

  6. Разверните политики целостности кода и файлы каталога. Убедившись, что вы выполнили все предыдущие шаги, вы можете начать развертывание файлов каталога и вывод политик целостности кода из режима аудита. Мы настоятельно рекомендуем начать этот процесс с тестовой группы пользователей. Таким образом вы сможете выполнить контрольную проверку перед более широким развертыванием файлов каталога и политик целостности кода.

  7. Включите необходимые аппаратные функции безопасности. Аппаратные функции безопасности— также называемые функциями безопасности на основе виртуализации (VBS)— усиливают защиту, обеспечиваемую политиками целостности кода.

Подробнее об использовании Device Guard см. в следующих материалах:

Управление AppLocker

Управлять компонентом AppLocker в Windows 10 Корпоративная можно с помощью групповой политики. Для групповой политики необходимо, чтобы У вас есть DS AD и Windows 10/11 Enterprise к домену AD DS. Вы можете создать правила AppLocker с помощью групповой политики и нацеливать эти правила на соответствующие устройства.

Подробнее об управлении AppLocker с помощью групповой политики см. в руководстве по развертыванию AppLocker.

App-V

Для поддержки клиентов App-V требуется серверная инфраструктура App-V. Ниже приведены основные компоненты App-V, которые вам необходимы:

  • Сервер App-V. Сервер App-V обеспечивает управление App-V, публикацию виртуализированных приложений, потоковую передачу приложений и функции отчетности. Все эти службы можно запустить на одном сервере или по отдельности на нескольких серверах. Например, у вас может быть несколько серверов потоковой передачи. Клиенты App-V связываются с серверами App-V, чтобы определить, какие приложения опубликованы для пользователя или для устройства, а затем запустить виртуализированное приложение с сервера.

  • Секвенсор App-V. Секвенсор App-V— это типовое клиентское устройство, которые используется для упаковки (записи) приложений и подготовке их к размещению на сервере App-V. Вы устанавливаете приложения на секвенсор, и программное обеспечение секвенсора определяет, какие файлы и параметры реестра изменились во время установки приложения. Затем секвенсор записывает эти параметры, чтобы создать виртуализированное приложение.

  • Клиент App-V. Клиент App-V должен быть включен на любом клиентском устройстве, на котором будут запускаться приложения с сервера App-V. Это будут устройства Windows 10/11 Enterprise E3.

Подробнее о реализации сервера App-V, секвенсора App-V и клиента App-V см. в следующих материалах:

UE-V

Для UE-V требуются клиентские и серверные компоненты, которые вам нужно будет скачать, активировать и установить. К этим компонентам относятся:

  • Служба UE-V. Служба UE-V (когда она включена на устройствах) отслеживает зарегистрированные приложения и Windows на предмет изменения параметров, а затем синхронизирует эти параметры между устройствами.

  • Пакеты параметров. В параметрах пакетов, создаваемых службой UE-V, хранятся параметры приложений и параметры Windows. Параметры пакетов формируются, сохраняются локально и копируются в место хранения параметров.

  • Место хранения параметров. Место хранения параметров— это стандартная сетевая папка, к которой могут обращаться ваши пользователи. Служба UE-V проверяет это расположение и создает скрытную системную папку, в которой хранятся и из которой извлекаются параметры пользователей.

  • Шаблоны расположения параметров. Шаблоны расположения параметров— это XML-файлы, которые UE-V использует для мониторинга параметров классических приложений и параметров рабочего стола Windows и их синхронизации между компьютерами пользователей. По умолчанию в состав UE-V входит несколько шаблонов расположения параметров. Вы также можете также создавать, редактировать или проверять собственные шаблоны расположения параметров с помощью генератора шаблонов UE-V. Для Windows-приложений шаблоны расположения параметров не требуются.

  • Список универсальных приложений для Windows. UE-V определяет, для каких Windows-приложений необходимо синхронизировать параметры, по управляемому списку приложений. По умолчанию в этот список входит большинство Windows-приложений.

Подробнее о развертывании UE-V см. в следующих материалах:

Управляемое взаимодействие с пользователем

Управляемое взаимодействие с пользователем— это набор функций Windows 10 Корпоративная и соответствующих параметров, которые вы можете использовать для управления взаимодействием с пользователем. В таблице2 описываются компоненты управляемого взаимодействия с пользователем (по категориям), которые доступны только в выпуске Windows 10 Корпоративная. Способы управления, используемые для настройки каждого компонента, зависят от компонента. Некоторые функции настраиваются с помощью групповой политики, тогда как другие— с помощью Windows PowerShell, системы обслуживания образов развертывания и управления ими (DISM) или других средств командной строки. Для использования параметров групповой политики у вас должны быть службы AD DS, и устройства с Windows 10 Корпоративная должны быть присоединены к домену AD DS.

Таблица2. Компоненты управляемого взаимодействия с пользователем

Компонент Описание
Настройка макета начального экрана Для пользователей в домене можно развернуть настроенный макет начального экрана. Повторно создавать образ не требуется, а чтобы обновить макет начального экрана, достаточно перезаписать XML-файл, содержащий макет. Это позволяет настраивать макеты начального экрана для различных отделов или организаций с минимальными затратами времени на управление.
Подробнее об этом компоненте см. в статье Настройка меню Пуск, начального экрана и панели задач Windows 10 с помощью групповой политики.
Загрузка без фирменного стиля Вы можете отключить элементы Windows, которые отображаются при загрузке или возобновлении работы Windows. Кроме того, можно подавить экран сбоя, отображаемый при возникновении ошибки, после которой система не может восстановиться.
Подробнее об этом компоненте см. в статье Загрузка без фирменного стиля.
Настраиваемый вход в систему Настраиваемый вход в систему можно использовать для подавления элементов пользовательского интерфейса Windows 10, связанных с экраном приветствия и экраном завершения работы. Например, можно подавить все элементы пользовательского интерфейса экрана приветствия и предоставить собственный пользовательский интерфейс для входа. Также можно подавить экран Blocked Shutdown Resolver (BSDR) и автоматически завершать приложения, когда ОС ожидает закрытия приложений перед завершением работы.
Подробнее об этом компоненте см. в статье Настраиваемый вход в систему.
Средство запуска оболочки Предоставляет ограниченный доступ для запуска только классического приложения для Windows через средство запуска оболочки для замены оболочки.
Подробнее об этом компоненте см. в статье Средство запуска оболочки.
Фильтр клавиатуры Фильтр клавиатуры можно использовать для отключения нежелательных нажатий клавиш или сочетаний клавиш. Обычно пользователи могут использовать определенные сочетания клавиш Windows, например CTRL+ALT+DELETE или CTRL+SHIFT+TAB, для управления устройством путем блокировки экрана или закрытия запущенного приложения через диспетчер задач. На устройствах, предназначенных для выполнения каких-либо особых задач, это может быть нежелательно.
Подробнее об этом компоненте см. в статье Фильтр клавиатуры.
Объединенный фильтр записи Вы можете использовать объединенный фильтр записи (UWF) на своем устройстве для защиты его физического носителя, включая большинство поддерживаемых Windows стандартных типов носителей с возможностью записи: физические жесткие диски, твердотельные накопители, внутренние USB-устройства, внешние SATA-устройства, и т.д. С помощью UWF также можно сделать так, чтобы операционная система рассматривала допускающий только чтение носитель как доступный для записи том.
Подробнее об этом компоненте см. в статье Объединенный фильтр записи.

Windows 10/11 Enterprise активации подписки
Подключение присоединенных к домену устройств к Azure AD для работы в Windows 10
Сравнение выпусков Windows 10
Windows для бизнеса