Windows Корпоративная E3 в CSP

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Windows Enterprise E3 в CSP предоставляет по подписке эксклюзивные функции, зарезервированные для выпусков Windows Enterprise. Это предложение доступно через поставщик облачных решений (CSP) в Центре партнеров в качестве веб-службы. Windows Enterprise E3 в CSP предоставляет гибкую подписку на пользователя для небольших и средних организаций (от одного до сотен пользователей). Чтобы воспользоваться этим предложением, необходимо выполнить следующие предварительные требования:

  • Текущая поддерживаемая версия Windows, установленная и активируемая, на обновляемых устройствах.
  • Microsoft Entra доступны для управления удостоверениями.

Переход с Windows Pro на Windows Корпоративная выполняется проще, чем когда-либо прежде, без ключей и перезагрузки. После ввода пользователем учетных данных Microsoft Entra, связанных с лицензией Windows Enterprise E3, операционная система переходит с Windows Pro на Windows Корпоративная, и все соответствующие функции Enterprise будут разблокированы. Когда срок действия лицензии на подписку истекает или передается другому пользователю, устройство Enterprise легко переходит к Windows Pro.

Ранее только организации с соглашением о корпоративном лицензировании Майкрософт могли развертывать Windows Корпоративная для своих пользователей. Теперь с Windows Корпоративная E3 в CSP малые и средние организации могут с легкостью воспользоваться преимуществами корпоративных выпусков.

При покупке Windows Enterprise E3 через партнера включаются следующие преимущества:

  • Выпуск Windows Enterprise. Устройства под управлением Windows Pro могут получить Windows Enterprise Current Branch (CB) или Current Branch for Business (CBB). Это преимущество не включает Long Term Service Branch (LTSB).
  • Поддержка любого количества пользователей, от одного до нескольких сотен. Хотя программа Windows Корпоративная E3 в CSP не имеет ограничений на количество лицензий, которые может иметь организация, эта программа предназначена для небольших и средних организаций.
  • Развертывание до пяти устройств. Для каждого пользователя, на который распространяется лицензия, выпуск Windows Enterprise можно развернуть на пяти устройствах.
  • Откат до Windows Pro в любое время. Когда срок действия подписки пользователя истекает или передается другому пользователю, устройство Windows Enterprise плавно переходит к выпуску Windows Pro (по истечении льготного периода до 90 дней).
  • Помесячная оплата за каждого пользователя. Эта модель делает Windows Корпоративная E3 доступной для организаций.
  • Возможность перераспределения лицензий между пользователями. Лицензии можно быстро и легко перераспределить от одного пользователя к другому, что позволяет оптимизировать инвестиции в лицензирование с учетом меняющихся потребностей.

Как программа Windows Enterprise E3 в CSP сравнивается с соглашениями о корпоративном лицензировании Майкрософт и Software Assurance?

  • Программы корпоративного лицензирования Microsoft являются более объемными и предоставляют доступ к лицензированию всех продуктов корпорации Майкрософт.

  • Программа Software Assurance обеспечивает организациям преимущества, которые можно разделить на следующие категории:

    • Развертывание и управление. К этим преимуществам относятся службы планирования:

      • Оптимизация рабочего стола Майкрософт (MDOP).
      • Права доступа к виртуальному рабочему столу Windows.
      • Права на использование в роуминге Windows.
      • Другие преимущества.

    • Обучение. К этой категории относятся ваучеры на обучение, электронное обучение через Интернет и программа использования ПО на домашних компьютерах.

    • Поддержка. К этим преимуществам относятся:

      • Поддержка решения проблем 24x7.
      • Возможности резервного копирования для аварийного восстановления.
      • глобальный монитор служб System Center.
      • Пассивный вторичный экземпляр SQL Server.

    • Специализация. Эти преимущества включают в себя повышение доступности лицензирования, что позволяет переносить программное обеспечение из более ранней версии в выпуск более высокого уровня. Он также распределяет платежи лицензий и Software Assurance на три равные ежегодные суммы.

      Кроме того, в Windows Корпоративная E3 в CSP партнер может управлять лицензиями для организации. С помощью Software Assurance организация должна управлять собственными лицензиями.

Таким образом, программа Windows Корпоративная E3 в CSP — это предложение обновления, которое предоставляет организациям малого и среднего размера более простой и гибкий доступ к преимуществам выпуска Windows Enterprise. Программы корпоративного лицензирования Майкрософт и Software Assurance, с другой стороны, более широки в область и предоставляют преимущества помимо доступа к выпуску Windows Enterprise.

Сравнение выпусков Windows Pro и Enterprise

Выпуск Windows Enterprise имеет множество функций, недоступных в Windows Pro. В таблице 1 перечислены некоторые функции Windows Корпоративная, не доступные в Windows Pro. Многие из этих компонентов связаны с безопасностью, тогда как другие обеспечивают управление устройствами на более детальном уровне.

Таблица 1. Функции Windows Enterprise не найдены в Windows Pro

Функция Описание
Credential Guard Credential Guard использует безопасность на основе виртуализации для защиты секретов безопасности, чтобы доступ к ним могли получить только привилегированные системные программы. Примерами секретов безопасности, которые можно защитить, являются хэши паролей NTLM и билеты на предоставление билетов Kerberos. Эта защита помогает предотвратить атаки pass-the-Hash или Pass-the-Ticket.

К возможностям Credential Guard относятся:
  • Безопасность на уровне оборудования . Credential Guard использует функции безопасности аппаратной платформы (такие как безопасная загрузка и виртуализация) для защиты производных учетных данных домена и других секретов.
  • Безопасность на основе виртуализации . Службы Windows, которые получают доступ к производным учетным данным домена и другим секретам, выполняются в виртуализированной защищенной среде, которая изолирована.
  • Улучшенная защита от постоянных угроз . Credential Guard работает с другими технологиями (например, Device Guard), чтобы обеспечить дополнительную защиту от атак, независимо от того, насколько они постоянны.
  • Улучшенная управляемость— Credential Guard можно управлять с помощью групповая политика, инструментария управления Windows (WMI) или Windows PowerShell.

    Подробнее об этом: Защита извлеченных учетных данных домена с помощью Credential Guard.

    Требуется Credential Guard
    • UEFI 2.3.1 или более поздней версии с доверенной загрузкой
    • Необходимо включить расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT.
    • x64 версия Windows
    • IOMMU, например Intel VT-d, AMD-Vi
    • Блокировка BIOS
    • TPM 2.0 рекомендуется для аттестации работоспособности устройства (использует программное обеспечение, если TPM 2.0 отсутствует)
    		•
    Device Guard Этот компонент представляет собой сочетание аппаратных и программных механизмов безопасности, которые разрешают запуск на устройстве только доверенных приложений. Даже если злоумышленнику удастся получить контроль над ядром Windows, вероятность запуска исполняемого кода гораздо меньше. Device Guard может использовать безопасность на основе виртуализации (VBS) в выпуске Windows Enterprise, чтобы изолировать службу целостности кода от самого ядра Windows. При использовании VBS, даже если вредоносная программа и получит доступ к ядру, последствия этого можно в значительной степени ограничить, поскольку низкоуровневая оболочка позволяет предотвратить выполнение кода вредоносной программой.

    Device Guard защищает следующими способами:
  • обеспечивает защиту от вредоносных программ;
  • обеспечивает защиту ядра системы Windows от атак и уязвимостей нулевого дня;
  • позволяет запускать только доверенные приложения.

    Подробнее об этом: Введение в Device Guard.
    		•
    Управление AppLocker Эта функция помогает ИТ-специалистам определять, какие приложения и файлы пользователи могут запускать на устройстве. К таким приложениям и файлам относятся исполняемые файлы, сценарии, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений.

    Подробнее об этом: AppLocker.
    Виртуализация приложений (App-V) Эта функция делает приложения доступными для конечных пользователей без установки приложений непосредственно на устройствах пользователей. App-V превращает приложения в централизованно управляемые службы, которые никогда не устанавливаются и не конфликтуют с другими приложениями. Эта также гарантирует актуальность приложений, т. е. наличие в них последних обновлений безопасности.

    Дополнительные сведения см. в статье Начало работы с клиентом App-V для Windows.
    Виртуализация взаимодействия с пользователем (UE-V) С помощью этой функции настраиваемые пользователем параметры Windows и приложений можно записывать и хранить в централизованно управляемом сетевом файловом ресурсе.

    Когда пользователи входят в систему, их персонализированные параметры применяются к рабочему сеансу независимо от того, в какие сеансы инфраструктуры виртуальных рабочих столов (VDI) устройства или виртуального рабочего стола они входят.

    UE-V предоставляет следующие функции:
  • указывать, какие приложения и параметры Windows синхронизируются между устройствами пользователя;
  • доставлять параметры в любое время, где бы на территории организации не работал пользователь;
  • Создание пользовательских шаблонов для бизнес-приложений
  • Восстановление параметров после замены или обновления оборудования или после повторного создания образа виртуальной машины в исходное состояние

    Дополнительные сведения см. в статье Общие сведения о виртуализации взаимодействия с пользователем (UE-V).
    		•
    Управляемое взаимодействие с пользователем Эта функция помогает настроить и заблокировать пользовательский интерфейс устройства Windows, чтобы ограничить его определенной задачей. Например, устройство можно настроить для управляемого сценария, например киоска или устройства класса. После выхода пользователя из системы интерфейс автоматически будет сброшен. Доступ к таким службам, как Магазин Windows, также может быть ограничен. Для Windows 10 можно также управлять параметрами макета "Пуск", например:
  • удалить команды «Завершение работы», «Перезагрузка», «Сон», «Гибернация» во избежание доступа к ним;
  • удалить команду «Выход» (плитку «Пользователь») из меню «Пуск»;
  • удалить список часто используемых программ из меню «Пуск»;
  • удалить список всех программ из меню «Пуск»;
  • запретить пользователям настраивать начальный экран;
  • принудительно запускать меню «Пуск» во весь экран или в размере меню;
  • запретить изменение параметров панели задач и меню «Пуск».
    		•

    Развертывание лицензий Windows Enterprise E3

    См. статью Развертывание лицензий Windows Enterprise.

    Развертывание компонентов Windows Enterprise

    Теперь, когда выпуск Windows Корпоративная работает на устройствах, как используются функции и возможности выпуска Enterprise? Какие следующие шаги необходимо предпринять для каждого из компонентов, перечисленных в таблице 1?

    В следующих разделах приведены высокоуровневые задачи, которые необходимо выполнить в среде, чтобы помочь пользователям воспользоваться преимуществами возможностей выпуска Windows Enterprise.

    Credential Guard

    Примечание.

    Требуется UEFI 2.3.1 или более поздней версии с доверенной загрузкой; Необходимо включить расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; x64 версия Windows; IOMMU, например Intel VT-d, AMD-Vi; Блокировка BIOS; TPM 2.0 рекомендуется для аттестации работоспособности устройства (будет использовать программное обеспечение, если TPM 2.0 отсутствует).

    Credential Guard можно реализовать на устройствах Windows Enterprise, включив Credential Guard на этих устройствах. Credential Guard использует функции безопасности на основе виртуализации Windows (Hyper-V), которые должны быть включены на каждом устройстве, прежде чем Credential Guard можно будет включить. Credential Guard можно включить с помощью одного из следующих методов:

    • Автоматически. Credential Guard можно включить для одного или нескольких устройств с помощью групповая политика. Параметры групповой политики автоматически добавляют функции безопасности на основе виртуализации и настраивают параметры реестра Credential Guard на управляемых устройствах.

    • Вручную. Credential Guard можно включить вручную, выполнив одно из следующих действий:

      • Добавьте функции безопасности на основе виртуализации в разделе «Программы и компоненты» или с помощью системы обслуживания образов развертывания и управления ими (DISM).

      • Настройте параметры реестра Credential Guard с помощью редактора реестра или средства проверки готовности оборудования для Device Guard и Credential Guard.

        Эти действия вручную можно автоматизировать с помощью средства управления, например Microsoft Configuration Manager.

    Подробнее об использовании Credential Guard см. в следующих материалах:

    Device Guard

    Теперь, когда устройства имеют Windows Enterprise, Device Guard можно реализовать на устройствах Windows Enterprise, выполнив следующие действия:

    1. Дополнительно вы можете создать сертификат подписи для политик целостности кода. При развертывании политик целостности кода файлы каталога или политики целостности кода могут быть подписаны внутренне. Для внутренней подписи файлов каталога или политик целостности кода требуется общедоступный сертификат подписи кода (обычно приобретается) или внутренний центр сертификации (ЦС). Если выбран внутренний ЦС, необходимо создать сертификат подписи кода.

    2. Создайте политики целостности кода на "золотых" компьютерах. Отделы или роли иногда используют отличительные или частично отличительные наборы оборудования и программного обеспечения. В таких случаях можно настроить "золотые" компьютеры, содержащие программное обеспечение и оборудование для этих отделов или ролей. В этом отношении создание и управление политиками целостности кода в соответствии с потребностями ролей или отделов могут походить на управление корпоративными образами. На каждом "золотом" компьютере можно создать политику целостности кода, а затем решить, как управлять этой политикой. Политики целостности кода можно объединить, чтобы создать более широкую политику или основную политику, либо управлять и развертывать каждой политикой по отдельности.

    3. Выполните аудит политики целостности кода и соберите информацию о приложениях, которые не охвачены этой политикой. Корпорация Майкрософт рекомендует использовать режим аудита, чтобы тщательно протестировать каждую политику целостности кода, прежде чем применять ее. В режиме аудита приложение не блокируется. Политика просто регистрирует событие при каждом запуске приложения за пределами политики. Позже политику можно развернуть, чтобы разрешить эти приложения по мере необходимости.

    4. Создайте файл каталога для бизнес-приложений без знака. Используйте средство "Инспектор пакетов", чтобы создать и подписать файл каталога для неподписанных бизнес-приложений. На последующих шагах сигнатуру файла каталога можно объединить с политикой целостности кода, чтобы политика разрешала приложения в каталоге.

    5. Получите необходимые сведения о политике из журнала событий и при необходимости включите сведения в существующую политику. После того, как политика целостности кода проработает в режиме аудита в течение некоторого времени, журнал событий будет содержать сведения о приложениях, которые не охвачены этой политикой. Чтобы расширить политику таким образом, чтобы она позволяла использовать эти приложения, используйте команды Windows PowerShell для сбора необходимых сведений о политике из журнала событий. После записи сведений объедините эти сведения в существующую политику. Политики целостности кода также можно объединить из других источников, что обеспечивает гибкость при создании окончательных политик целостности кода.

    6. Разверните политики целостности кода и файлы каталога. После подтверждения выполнения всех описанных выше шагов можно развернуть файлы каталога и вывести политики целостности кода из режима аудита. Корпорация Майкрософт настоятельно рекомендует начать этот процесс с тестовой группы пользователей. Тестирование обеспечивает окончательную проверку контроля качества перед развертыванием файлов каталога и политик целостности кода в более широком смысле.

    7. Включите необходимые аппаратные функции безопасности. Аппаратные функции безопасности — также называемые функциями безопасности на основе виртуализации (VBS) — усиливают защиту, обеспечиваемую политиками целостности кода.

    Подробнее об использовании Device Guard см. в следующих материалах:

    Управление AppLocker

    AppLocker в Windows Enterprise можно управлять с помощью групповая политика. групповая политика требуется наличие AD DS и присоединение устройств Windows Enterprise к домену AD DS. Правила AppLocker можно создать с помощью групповая политика. Затем правила AppLocker можно настроить на соответствующие устройства.

    Подробнее об управлении AppLocker с помощью групповой политики см. в руководстве по развертыванию AppLocker.

    App-V

    Для поддержки клиентов App-V требуется серверная инфраструктура App-V. Основные необходимые компоненты App-V:

    • Сервер App-V. Сервер App-V обеспечивает управление App-V, публикацию виртуализированных приложений, потоковую передачу приложений и функции отчетности. Все эти службы можно запустить на одном сервере или по отдельности на нескольких серверах. Например, может существовать несколько серверов потоковой передачи. Клиенты App-V связываются с серверами App-V, чтобы определить, какие приложения опубликованы для пользователя или для устройства, а затем запустить виртуализированное приложение с сервера.

    • Секвенсор App-V. Секвенсор App-V — это типовое клиентское устройство, которые используется для упаковки (записи) приложений и подготовке их к размещению на сервере App-V. Приложения устанавливаются в последовательность App-V, а программное обеспечение последовательности App-V определяет файлы и параметры реестра, которые были изменены во время установки приложения. Затем секвенсор записывает эти параметры, чтобы создать виртуализированное приложение.

    • Клиент App-V. Клиент App-V должен быть включен на любом клиентском устройстве Windows Enterprise E3, которое должно запускать приложения с сервера App-V.

    Подробнее о реализации сервера App-V, секвенсора App-V и клиента App-V см. в следующих материалах:

    UE-V

    Для UE-V требуются серверные и клиентские компоненты, которые необходимо скачать, активировать и установить. К этим компонентам относятся:

    • Служба UE-V. Служба UE-V (когда она включена на устройствах) отслеживает зарегистрированные приложения и Windows на предмет изменения параметров, а затем синхронизирует эти параметры между устройствами.

    • Пакеты параметров. В параметрах пакетов, создаваемых службой UE-V, хранятся параметры приложений и параметры Windows. Параметры пакетов формируются, сохраняются локально и копируются в место хранения параметров.

    • Место хранения параметров. Это расположение является стандартным сетевым ресурсом, к которому пользователи могут получить доступ. Служба UE-V проверяет это расположение и создает скрытную системную папку, в которой хранятся и из которой извлекаются параметры пользователей.

    • Шаблоны расположения параметров. Шаблоны расположения параметров — это XML-файлы, которые UE-V использует для мониторинга параметров классических приложений и параметров рабочего стола Windows и их синхронизации между компьютерами пользователей. По умолчанию в состав UE-V входит несколько шаблонов расположения параметров. Пользовательские шаблоны расположения параметров также можно создавать, изменять или проверять с помощью генератора шаблонов UE-V. Шаблоны расположения параметров не требуются для приложений Windows.

    • Список универсальных приложений для Windows. UE-V определяет, для каких Windows-приложений необходимо синхронизировать параметры, по управляемому списку приложений. По умолчанию в этот список входит большинство Windows-приложений.

    Подробнее о развертывании UE-V см. в следующих материалах:

    Управляемое взаимодействие с пользователем

    Функция управляемого взаимодействия с пользователем — это набор функций выпуска Windows Enterprise и соответствующих параметров, которые можно использовать для управления взаимодействием с пользователем. В таблице 2 описаны параметры управляемого взаимодействия с пользователем (по категориям), доступные только в выпуске Windows Enterprise. Способы управления, используемые для настройки каждого компонента, зависят от компонента. Некоторые функции настраиваются с помощью групповой политики, тогда как другие — с помощью Windows PowerShell, системы обслуживания образов развертывания и управления ими (DISM) или других средств командной строки. Для групповая политика параметров требуется AD DS с устройствами Windows Enterprise, присоединенными к домену AD DS.

    Таблица 2. Компоненты управляемого взаимодействия с пользователем

    Компонент Описание
    Настройка макета начального экрана Настраиваемый макет начального экрана можно развернуть для пользователей в домене. Повторно создавать образ не требуется, а чтобы обновить макет начального экрана, достаточно перезаписать XML-файл, содержащий макет. XML-файл позволяет настраивать макеты начального запуска для разных отделов или организаций с минимальными затратами на управление.
    Подробнее об этом компоненте см. в статье Настройка меню Пуск, начального экрана и панели задач Windows 10 с помощью групповой политики.
    Загрузка без фирменного стиля Элементы Windows, которые появляются при запуске или возобновлении работы Windows, можно подавлять. Экран сбоя, когда Windows обнаруживает ошибку, из-за которой не удается восстановиться, также можно подавить.
    Подробнее об этом компоненте см. в статье Загрузка без фирменного стиля.
    Пользовательский вход Функция пользовательского входа может использоваться для подавления элементов пользовательского интерфейса Windows, относящихся к экрану приветствия и экрану завершения работы. Например, можно отключить все элементы пользовательского интерфейса экрана приветствия и предоставить настраиваемый пользовательский интерфейс входа. Экран Сопоставителя заблокированного завершения работы (BSDR) также можно отключить, и приложения могут быть автоматически завершены, пока ОС ожидает закрытия приложений перед завершением работы.
    Подробнее об этом компоненте см. в статье Настраиваемый вход в систему.
    Средство запуска оболочки Предоставляет ограниченный доступ для запуска только классического приложения для Windows через средство запуска оболочки для замены оболочки.
    Подробнее об этом компоненте см. в статье Средство запуска оболочки.
    Фильтр клавиатуры Фильтр клавиатуры можно использовать для подавления нежелательных нажатий клавиш или сочетаний клавиш. Обычно пользователи могут использовать определенные сочетания клавиш Windows, например CTRL+ALT+DELETE или CTRL+SHIFT+TAB, для управления устройством путем блокировки экрана или закрытия запущенного приложения через диспетчер задач. Эти действия с клавиатуры не являются желательными на устройствах, предназначенных для определенной цели.
    Подробнее об этом компоненте см. в статье Фильтр клавиатуры.
    Объединенный фильтр записи Единый фильтр записи (UWF) можно использовать на устройстве для защиты физических носителей, включая большинство стандартных типов записываемых хранилищ, поддерживаемых Windows, например:
    • Физические жесткие диски
    • Твердотельные накопители
    • Внутренние USB-устройства
    • Внешние устройства SATA
      • . UWF также можно использовать для отображения в ОПЕРАЦИОННОй системе носителя только для чтения в виде записываемого тома.
      Подробнее об этом компоненте см. в статье Объединенный фильтр записи.