Новые возможности Windows 10 Корпоративная LTSC 2019

Относится к:

  • Windows 10 Корпоративная LTSC 2019

В этой статье перечислены новые и обновленные функции и содержимое, представляющие интерес для ИТ-специалистов Windows 10 Корпоративная LTSC 2019, по сравнению с Windows 10 Корпоративная LTSC 2016 (LTSB). Краткое описание канала обслуживания LTSC и связанной поддержки см. в статье Windows 10 Корпоративная LTSC.

Примечание

Функции Windows 10 Корпоративная LTSC 2019 эквивалентны Windows 10, версия 1809.

Windows 10 Корпоративная LTSC 2019 на основе Windows 10 Pro версии 1809 добавлены функции уровня "Премиум", предназначенные для решения потребностей крупных и средних организаций (включая крупные учебные заведения), например:

  • Расширенная защита от современных угроз безопасности
  • Полная гибкость развертывания ОС
  • Параметры обновления и поддержки
  • Комплексные возможности управления устройствами и приложениями

Выпуск Windows 10 Корпоративная LTSC 2019 является важным выпуском для пользователей LTSC, так как он включает накопительные улучшения, предоставляемые в Windows 10 версиях 1703, 1709, 1803 и 1809. Подробные сведения об этих улучшениях приведены ниже.

Важно!

Выпуск LTSC предназначен для устройств специального назначения. Поддержка LTSC приложениями и средствами, предназначенными для выпуска Канала общей доступности Windows 10, может быть ограничена.

Microsoft Intune

Microsoft Intune поддерживает Windows 10 Корпоративная LTSC 2019 и более поздних версий. Однако профили Windows 10 обновления не поддерживают выпуски LTSC. Для установки обновлений программного обеспечения используйте поставщик служб конфигурации политики (CSP), Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager.

Безопасность

Эта версия Windows 10 включает улучшения безопасности для защиты от угроз, защиты информации и защиты идентификации.

Защита от угроз

Microsoft Defender для конечной точки

Платформа Microsoft Defender для конечной точки включает несколько аспектов безопасности. В этой версии Windows Defender для конечной точки включает мощную аналитику, интеграцию стека безопасности и централизованное управление для лучшего обнаружения, предотвращения, исследования, реагирования и управления.

Уменьшение числа возможных направлений атак

Уменьшение уязвимой зоны включает системы предотвращения вторжений на основе узла, такие как [контролируемый доступ к папкам]/microsoft-365/security/defender-endpoint/enable-controlled-folders).

  • Эта функция помогает предотвратить изменение личных файлов программ-шантажистов и других вредоносных программ. В некоторых случаях внесение изменений в такие общие папки, как Документы и Изображения, приложениями, которые вы часто используете, может блокироваться. Мы упростили добавление недавно заблокированных приложений, чтобы вы могли продолжать использовать устройство, не отключая эту функцию.

  • При блокировании приложения, оно будет появляться в списке недавно заблокированных приложений, который можно открыть, щелкнув Управление параметрами в разделе Защита от программ-шантажистов. Выберите "Разрешить приложению через управляемый доступ к папкам". После запроса нажмите кнопку + и выберите недавно заблокированные приложения. Выберите любые приложения, которые необходимо добавить в список разрешенных. Кроме того, к приложению можно перейти с этой страницы.

Брандмауэр Защитника Windows

брандмауэр Защитника Windows теперь поддерживает подсистема Windows для Linux (WSL). Вы можете добавить определенные правила для процесса WSL так же, как и для любого Windows процесса. Кроме того, брандмауэр Защитника Windows теперь поддерживает уведомления для процессов WSL. Например, когда средство Linux решит разрешить доступ к порту извне (например, SSH или веб-серверный NGINX), брандмауэр Защитника Windows предложит разрешить доступ так же, как и для процессов Windows, когда порт начинает принимать подключения. Это поведение впервые появилось в сборке 17627.

Device Guard в Защитнике Windows

Device Guard всегда был коллекцией технологий, которые можно объединить для блокировки компьютера, в том числе:

  • Защита на основе программного обеспечения, предоставляемая политиками целостности кода
  • Аппаратная защита, предоставляемая целостностью кода, защищенной гипервизором (HVCI)

Но эти средства защиты также можно настроить отдельно. И, в отличие от HVCI, политики целостности кода не требуют безопасности на основе виртуализации (VBS). Чтобы подчеркнуть уникальные значения этих защиты, политики целостности кода были изменены как Защитник Windows application Control.

Защита следующего поколения

Обнаружения угроз в конечных точках и реагирование на них

Улучшено обнаружение конечных точек и реагирование на них. Enterprise клиенты теперь могут воспользоваться преимуществами всего стека безопасности Windows с обнаружением антивирусная программа в Microsoft Defender и блоками Device Guard в **** Microsoft Defender для конечной точки портале.

Защитник Windows теперь называется антивирусная программа в Microsoft Defender и теперь совместно использует состояние обнаружения между Microsoft 365 службами и взаимодействиями с Microsoft Defender для конечной точки. Кроме того, были реализованы другие политики для улучшения защиты на основе облака, а также доступны новые каналы для защиты от экстренных служб. Дополнительные сведения см. в статьях Защита от вирусов и угроз и Использование технологий следующего поколения в антивирусной программе в Microsoft Defender с помощью облачной защиты.

Мы также увеличили ширину библиотеки документации для администраторов безопасности предприятия. В новой библиотеке доступна следующая информация:

Некоторые из параметров новой библиотеки включают руководство по оценке антивирусной программы в Microsoft Defender и руководство по развертыванию антивирусной программы в Microsoft Defender в среде инфраструктуры виртуальных рабочих столов.

Новые возможности антивирусной программы Microsoft Defender в Windows 10 Корпоративная LTSC 2019:

Мы внесли значительные средства в защиту от программ-шантажистов, и мы продолжаем выполнять эти инвестиции с помощью обновленного мониторинга поведения и постоянного обеспечения защиты в режиме реального времени.

Кроме того, улучшены обнаружение конечных точек и реагирование на них. К новым возможностям обнаружения относятся:

  • Пользовательское обнаружение. С помощью настраиваемых средств обнаружения угроз можно создавать настраиваемые запросы для мониторинга событий в поведении любого типа, например подозрительных и возникающих угроз. Вы можете использовать расширенную охоту, создав настраиваемые правила обнаружения.

  • Усовершенствования в памяти ОС и датчиках ядра для обнаружения злоумышленников, использующих атаки в памяти и на уровне ядра.

  • Обновлены обнаружения программ-шантажистов и других расширенных атак.

  • Исторические возможности обнаружения обеспечивают применение новых правил обнаружения к хранимых данных за шесть месяцев для обнаружения предыдущих атак, которые, возможно, не были обнаружены.

Реагирование на угрозы улучшается при обнаружении атаки, позволяя немедленным действиям групп безопасности содержать бреши:

Добавлены и другие возможности, которые помогут вам получить целостное представление об исследованиях :

К другим расширенным функциям безопасности относятся:

  • Проверка состояния работоспособности датчика — проверка способности конечной точки предоставить данные датчика и связаться со службой Microsoft Defender для конечной точки для устранения известных проблем.

  • Поддержка поставщика управляемых служб безопасности (MSSP) — Microsoft Defender для конечной точки добавляет поддержку для этого сценария, обеспечивая интеграцию MSSP. Интеграция позволяет поставщикам MSSP выполнять следующие действия: осуществлять доступ к порталу Центра безопасности Защитника Windows пользователя MSSP, получать уведомления об электронной почте, а также получать оповещения с помощью средств управления событиями и информацией о безопасности (SIEM).

  • Интеграция с Azure Defender Microsoft Defender для конечной точки интеграции с Azure Defender для предоставления комплексного решения для защиты сервера. Благодаря этой интеграции Azure Defender может использовать Defender для конечной точки для улучшения обнаружения угроз для Windows серверов.

  • Интеграция с Microsoft Cloud App Security Microsoft Cloud App Security использует Microsoft Defender для конечной точки сигналы, позволяющие напрямую отслеживать использование облачных приложений, включая использование неподдерживаемых облачных служб (теневых ИТ) со всех компьютеров, отслеживаемых Defender для конечной точки.

  • Подключение Windows Server 2019 Microsoft Defender для конечной точки теперь добавляет поддержку Windows Server 2019. Вы сможете подключать Windows Server 2019 таким же способом, как и клиентские компьютеры Windows 10.

  • Подключение предыдущих версий Windows — подключение поддерживаемых версий Windows, чтобы они могли отправлять данные датчика Microsoft Defender для конечной точки датчику.

  • Включение условного доступа для улучшения защиты пользователей, устройств и данных

Мы также добавили новую оценку службы времени Windows в раздел производительности устройств & работоспособности. Если мы обнаруживаем, что время вашего устройства неправильно синхронизировано с нашими серверами времени и служба синхронизации времени отключена, мы предоставьте вам возможность включить его.

Мы продолжаем работать над отображением других установленных приложений безопасности в Безопасность Windows приложения. В разделе Параметры приложения есть новая страница **** с именем " Поставщики безопасности". Выберите "Управление поставщиками ", чтобы просмотреть список всех других поставщиков безопасности (включая антивирусную программу, брандмауэр и веб-защиту), работающих на вашем устройстве. Здесь можно легко открыть приложения поставщиков или получить дополнительные сведения о том, как устранить проблемы, о которых вам сообщили через Безопасность Windows.

Это улучшение также означает, что вы увидите дополнительные ссылки на другие приложения безопасности в Безопасность Windows. Например, если открыть раздел защиты & **** брандмауэра, вы увидите приложения брандмауэра, работающие на устройстве, в каждом типе брандмауэра, включая домены, частные и общедоступные сети.

Дополнительные сведения о средствах защиты от программ-шантажистов и возможностях обнаружения см. по адресу:

См. также новые возможности Microsoft Defender для конечной точки повышения эффективности и надежности безопасности конечных точек.

Получите краткий, но подробный обзор Microsoft Defender для конечной точки для Windows 10: Defender для конечной точки.

Защита информации

Усовершенствования добавлены в Windows Information Protection BitLocker.

Windows Information Protection

Windows Information Protection теперь работает с Microsoft Office и Azure Information Protection.

С помощью Microsoft Intune вы можете создать и развернуть политику Windows Information Protection (WIP), а также выбрать разрешенные приложения, уровень защиты с помощью WIP и способ поиска корпоративных данных в сети. Дополнительные сведения см. в статьях Создание политики Windows Information Protection (WIP) с помощью Microsoft Intune и Сопоставление и развертывание политик Windows Information Protection (WIP) и VPN с помощью Microsoft Intune.

Кроме того, теперь можно собирать журналы событий аудита с помощью поставщика служб конфигурации отчетов (CSP) или службы пересылки событий Windows (для компьютеров с Windows, подключенных к домену). Дополнительные сведения см. в статье о сборе Windows Information Protection событий аудита (WIP).

В этом выпуске реализована поддержка WIP с файлами по запросу, шифрование файлов, когда файл открыт в другом приложении, а также улучшена производительность. Дополнительные сведения см. OneDrive по запросу для предприятия.

BitLocker

Минимальная длина ПИН-кода меняется с 6 символов на 4 (по умолчанию 6). Подробнее: Параметры групповой политики BitLocker.

Автоматическое принудительное включение для фиксированных жестких дисков

С помощью политики Управление устройствами (MDM) BitLocker можно включить автоматически для Azure Active Directory (Azure AD) пользователей. В Windows 10 автоматическое шифрование BitLocker версии 1803 было включено для стандартных пользователей Azure AD, но для этого по-прежнему требовалось современное оборудование, прошедшее интерфейс проверки безопасности оборудования (HSTI). Эта новая функция включает BitLocker с помощью политики даже на устройствах, которые не передают HSTI.

Это изменение является обновлением CSP BitLocker и используется Intune и другими пользователями.

Защита идентификации

Добавлены улучшения для Windows Hello для бизнеса Credential Guard.

Windows Hello для бизнеса

Новые функции в Windows Hello обеспечивают более эффективное взаимодействие с блокировкой устройства, используя многофакторную разблокировку с новым расположением и сигналами близкого взаимодействия пользователей. Используя Bluetooth сигналы, вы можете настроить автоматическое блокировку устройства Windows 10 при отключении от него или запретить другим пользователям доступ к устройству, когда вы отсутствуете.

К новым функциям в Windows Hello для бизнеса относятся:

  • Теперь можно выполнить сброс забытого ПИН-кода без удаления данных организации или приложений на устройствах под управлением Microsoft Intune.

  • Пользователи настольных компьютеров с Windows могут сбросить забытый ПИН-код в меню "Параметры" > "Учетные записи" > "Параметры входа". Дополнительные сведения см. в разделе "Что делать, если я забыл СВОЙ ПИН-код?".

Windows Hello для бизнеса теперь поддерживает проверку подлинности FIDO 2.0 для устройств Azure AD, присоединенных к Windows 10, и имеет расширенную поддержку общих устройств, как описано в конфигурации киоска.

  • Windows Hello теперь не требует пароля в S-режиме.

  • Поддержка S/MIME с Windows Hello для бизнеса и API-интерфейсов для решений по управлению жизненным циклом удостоверений сторонних производителей.

  • Windows Hello— это часть системы защиты учетных записей в Центре безопасности Защитника Windows. Защита учетных записей будет рекомендовать пользователям паролей настроить Windows Hello Face, Fingerprint или PIN-код для ускорения входа, а также уведомит пользователей динамической блокировки, если динамическая блокировка перестала работать из-за отключения Bluetooth устройства.

  • Вы можете настроить Windows Hello на экране блокировки для учетных записей Microsoft. Мы упростили настройку Windows Hello для пользователей учетной записи Майкрософт на устройствах для более быстрого и безопасного входа в систему. Ранее вам требовалось перейти в "Параметры" для поиска Windows Hello. Теперь вы можете настроить распознавание лиц Windows Hello, отпечаток пальца или ПИН-код напрямую на экране блокировки, щелкнув плитку Windows Hello в разделе "Параметры входа".

  • Новый общедоступный API для единого входа дополнительной учетной записи для определенного поставщика идентификаторов.

  • Настроить динамическую блокировку проще, и когда динамическая блокировка перестает работать, добавляются интерактивные оповещения WD SC (например, отключена Bluetooth устройства).

Дополнительные сведения: Windows Hello и ключи безопасности FIDO2 обеспечивают безопасную и удобную проверку подлинности для общих устройств

Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows — это служба безопасности в Windows 10, разработанная для защиты учетных данных домена Active Directory (AD), чтобы их не могли украсть или неправомерно использовать вредоносные программы на компьютере пользователя. Он предназначен для защиты от известных угроз, таких как передача хэша и сбор учетных данных.

Credential Guard в Защитнике Windows всегда была необязательной функцией, но Windows 10 режиме S включает эту функцию по умолчанию, когда компьютер Azure Active Directory присоединен. Эта функция обеспечивает дополнительный уровень безопасности при подключении к ресурсам домена, которые обычно не присутствуют на устройствах, работающих Windows 10 режиме S.

Примечание

Credential Guard в Защитнике Windows доступны только для устройств в режиме S или Enterprise выпусков и выпусков для образовательных учреждений.

Дополнительные сведения см. в разделе "Вопросы безопасности Credential Guard".

Другие улучшения безопасности

Базовые параметры безопасности Windows

Корпорация Майкрософт выпустила новые базовые параметры безопасности Windows для Windows Server и Windows 10. Базовые показатели безопасности — это группа рекомендуемых корпорацией Майкрософт параметров конфигурации с объяснением их влияния на безопасность. Подробнее: Набор средств обеспечения совместимости с правилами безопасности Microsoft 1.0(в этом разделе также можно скачать анализатор политик).

Уязвимость SMBLoris

Устранена проблема, известная как SMBLoris, которая могла приводить к отказу в обслуживании.

Центр обеспечения безопасности Windows

Центр безопасности Защитника Windows теперь называется Центр обеспечения безопасности Windows.

Вы по-прежнему можете получить доступ к приложению всеми обычными способами. Попросите Кортана открыть Безопасность Windows Center (WSC) или взаимодействовать со значком панели задач. WSC позволяет управлять всеми функциями безопасности, включая антивирусную программу "Microsoft Defender" и брандмауэр Защитника Windows.

Теперь, чтобы зарегистрировать антивирусный продукт, служба WSC запрашивает их запуск в качестве защищенного процесса.Продукты, которые еще не реализовали эту функцию, не будут отображаться в пользовательском интерфейсе Безопасность Windows Center, и антивирусная программа в Microsoft Defender будут включены параллельно с этими продуктами.

В состав WSC теперь входят всем привычные элементы системы Fluent Design. Вы также заметите, что мы настроили интервалы и заполнение вокруг приложения. Теперь размер категорий на главной странице будет динамически изменяться при необходимости освободить место для дополнительных сведений. Мы также обновили строку заголовка таким образом, чтобы она использовали ваш цвет элементов, если вы включили этот параметр в Параметры.

Снимок экрана: Безопасность Windows Center.

Параметры безопасности групповой политики

Интерактивный вход в систему параметра безопасности: отображение сведений о пользователе при блокировке сеанса для работы с параметром конфиденциальности в параметрах > Параметры Accounts > .****

В LTSC 2019 в LTSC 2019 появился новый параметр политики безопасности "Интерактивный вход: не отображать имя пользователя при входе Windows 10 Корпоративная".**** Этот параметр политики безопасности определяет, отображается ли имя пользователя во время входа. Он работает с параметром конфиденциальности в Параметры > Accounts > . Этот параметр влияет только на плитку Другой пользователь.

Windows10 в S-режиме

Мы продолжаем работать с областью "Текущие **** угрозы" & защиты от угроз, в которой теперь отображаются все угрозы, которые требуют действий. Можно быстро принять соответствующие меры в отношении угроз на этом экране:

Снимок экрана: параметры защиты & вирусов в Windows.

Развертывание

MBR2GPT.EXE

MBR2GPT.EXE — это новое средство командной строки, добавленное в Windows 10 версии 1703, а также доступное в Windows 10 Корпоративная LTSC 2019 (и более поздних версиях). MBR2GPT преобразовывает диск из стиля раздела "Основная загрузочная запись" (MBR) в стиль раздела "Таблица разделов GPT" (GPT) без изменения или удаления данных на диске. Средство запускается из командной строки Windows среды предустановки (Windows PE), но также может выполняться из Windows 10 операционной системы.

Формат раздела GPT более новый и позволяет использовать более объемные и дополнительные разделы диска. Он также обеспечивает надежность данных, поддерживает другие типы секций и обеспечивает более высокую скорость загрузки и завершения работы. Если вы хотите преобразовать системный диск на компьютере из MBR в GPT, необходимо также настроить компьютер на загрузку в режиме UEFI. Перед преобразованием системного диска убедитесь, что устройство поддерживает UEFI.

Другие функции безопасности Windows 10, которые включены при загрузке в режиме UEFI: безопасная загрузка, драйвер раннего запуска антивредоносной программы (ELAM), Windows доверенная загрузка, измеряемая загрузка, Device Guard, Credential Guard и разблокировка сети BitLocker.

Дополнительные сведения см. в статье MBR2GPT.EXE.

DISM

Были добавлены следующие новые команды DISM для управления обновлениями компонентов.

  • DISM /Online /Initiate-OSUninstall: инициирует удаление ОС, чтобы вернуть компьютер к предыдущей установке окон.

  • DISM /Online /Remove-OSUninstall: удаляет возможность удаления ОС с компьютера.

  • DISM /Online /Get-OSUninstallWindow: отображает количество дней после обновления, в течение которых можно выполнить удаление.

  • DISM /Online /Set-OSUninstallWindow: задает количество дней после обновления, в течение которых можно выполнить удаление.

Дополнительные сведения см. в разделе Параметры командной строки DISM для удаления операционной системы.

Программа установки Windows

Теперь вы можете запускать собственные настраиваемые действия и сценарии параллельно с программой установки Windows. Программа установки также переносит сценарии в следующую версию компонента, поэтому их можно добавить всего один раз.

Необходимые условия

  • Windows 10 версии 1803 или Windows 10 Корпоративная LTSC 2019 или более поздней.
  • Windows 10 Корпоративная или Pro

Дополнительные сведения см. в разделе Выполнение настраиваемых действий во время обновления компонентов.

Теперь также можно запустить скрипт, если пользователь откатит свою версию Windows с помощью параметра PostRollback.

/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]

Дополнительные сведения см. в Windows параметров Command-Line установки.

Доступны новые параметры командной строки для управления BitLocker:

  • Setup.exe /BitLocker AlwaysSuspend: Всегда приостанавливать BitLocker во время обновления.

  • Setup.exe /BitLocker TryKeepActive: включите обновление без приостановки BitLocker, но если обновление не работает, приостановите BitLocker и завершите обновление.

  • Setup.exe /BitLocker ForceKeepActive: включить обновление без приостановки BitLocker, но если обновление не работает, не выполните обновление.

Дополнительные сведения см. в Windows параметров Command-Line установки.

Улучшения обновлений компонентов

Часть работы, которая совершалась в автономном режиме при обновлении Windows, перенесена на оперативный этап. Это изменение приводит к значительному сокращению автономного времени при установке обновлений. Дополнительные сведения см. в разделе Мы вас слушаем.

Средство SetupDiag

SetupDiag — это новое средство командной строки, которое помогает с определением причины сбоя обновления Windows 10.

SetupDiag выполняет поиск в файлах журнала программы установки Windows. При поиске файлов журнала SetupDiag использует набор правил для сопоставления известных проблем. В текущей версии SetupDiag файл rules.xml содержит 53 правил, которые извлекаются при запуске SetupDiag. Файл rules.xml будет обновляться по мере выхода новых версий SetupDiag.

Вход

Более быстрый вход на общий компьютер с Windows 10

Если у вас есть общие устройства, развернутые в рабочей области, быстрый вход позволяет пользователям быстро войти на общий компьютер Windows 10 компьютера.

Включение быстрого входа

  1. Настройка общего или гостевого устройства с Windows 10, версия 1809 или Windows 10 Корпоративная LTSC 2019.

  2. Задайте поставщик служб конфигурации политики и политики проверки подлинности и EnableFastFirstSignIn , чтобы включить быстрый вход.

  3. Войдите в общий компьютер сот своей учетной записью.

    Анимированное изображение, демонстрирующее функцию быстрого входа.

Веб-вход в Windows 10

До этого Windows вход поддерживал только использование удостоверений, федеративных для ADFS или других поставщиков, поддерживающих протокол WS-Fed. Мы представляем "веб-вход" — новый способ входа на Windows компьютера. Веб-вход позволяет Windows входа для федеративных поставщиков, отличных от ADFS (например, SAML).

Попробуйте выполнить веб-вход

  1. Присоедините компьютер с Windows 10 к Azure AD. (Веб-вход поддерживается только на компьютерах, присоединенных к Azure AD.)

  2. Задайте поставщик служб конфигурации политики и политики проверки подлинности и EnableWebSignIn, чтобы включить веб-вход.

  3. На экране блокировки выберите веб-вход в разделе "Параметры входа".

  4. Нажмите кнопку "Войти", чтобы продолжить.

    Снимок экрана: Windows входа, на котором выделена функция входа в Веб-приложение.

Поддержка обновлений

Соответствие обновлений обеспечивает защиту и актуальность устройств Windows 10 в вашей организации.

Поддержка обновлений — это решение, созданное на основе журналов и аналитики OMS и предоставляющее информацию о состоянии установки ежемесячных исправлений и обновлений компонентов. Здесь представлены сведения о ходе развертывания существующих обновлений и состоянии будущих обновлений. Также предоставляется информация об устройствах, которые могут требовать внимания для устранения проблем.

Новые возможности в Поддержке обновлений позволяют контролировать состояние защиты Защитника Windows, сравнивать соответствие с другими представителями отрасли, а также оптимизировать полосу пропускания для развертывания обновлений.

Дополнительные сведения о поддержке обновлений см. в статье Мониторинг обновлений Windows с поддержкой обновлений.

Специальные возможности и конфиденциальность

Специальные возможности

Встроенные специальные возможности дополнены автоматически создаваемыми описаниями изображений. Дополнительные сведения о специальных возможностях см. в разделе Информация о специальных возможностях для ИТ-специалистов. См. также раздел специальных возможностей в разделе "Новые возможности" Windows 10 за апрель 2018 г.

Конфиденциальность

На странице "Отзывы и параметры" в разделе "Параметры конфиденциальности" теперь можно удалить диагностические данные, которые устройство отправляет в корпорацию Microsoft. Вы также можете просмотреть этот диагностических данных с помощью приложения Просмотр диагностических данных.

Конфигурация

Конфигурация киоска

В новой версии на основе chromium Microsoft Edge множество улучшений, предназначенных для киосков. Однако он не включен в выпуск LTSC Windows 10. Вы можете скачать и установить Microsoft Edge отдельно. Дополнительные сведения см. в статье "Скачивание и развертывание Microsoft Edge для бизнеса".

Internet Explorer входит в Windows 10 LTSC, так как его набор функций не изменяется, и он будет по-прежнему получать исправления безопасности в течение всего Windows 10 LTSC.

Если вы хотите воспользоваться преимуществами киоска в Microsoft Edge, рассмотрите режим киоска с каналом полугодовых выпусков.

Совместное управление

Добавлены политики Intune и Microsoft Endpoint Configuration Manager для поддержки гибридной проверки подлинности при присоединении к Azure AD. В этом выпуске в систему управления мобильными устройствами (MDM) добавлено более 150новых политик в параметров, в том числе политика MDMWinsOverGP, для упрощения перехода к облачному управлению.

Дополнительные сведения см. в статье "Новые возможности регистрации и управления MDM".

Период удаления ОС

Период удаления ОС— это время, в течение которого пользователи могут выполнить откат обновления Windows 10. В этом выпуске администраторы могут использовать Intune или DISM для настройки периода удаления ОС.

Пакетное присоединение к Azure Active Directory

Используя новые мастера в конструкторе конфигураций Windows, вы можете создать пакеты подготовки для регистрации устройств в Azure Active Directory. Пакетное присоединение к Azure AD доступно в мастерах рабочего стола, мобильных устройств, киосков и Surface Hub.

Windows: интересное

Добавлены следующие новые параметры групповой политики и управления мобильными устройствами (MDM), которые помогут вам настроить Windows приложения Spotlight:

  • Отключение функции "Windows: интересное" в центре уведомлений
  • Запрет использования данных диагностики для специализированных интерфейсов
  • Отключение приветствия Windows

Дополнительные сведения см. в разделе Windows Spotlight на экране блокировки.

Расположение элементов на начальном экране и на панели задач

Ранее настраиваемую панель задач можно было развернуть только с помощью групповой политики или пакетов подготовки. Windows 10 Корпоративная LTSC 2019 добавляет поддержку настраиваемых панелей задач в MDM.

Для макета начального экрана и панели задач доступны дополнительные параметры политики MDM. Новые параметры политики MDM:

Центр обновления Windows

Программа предварительной оценки Windows для бизнеса

Недавно мы добавили возможность скачивания сборок Windows 10 За кулисами preview с использованием корпоративных учетных данных в Azure Active Directory (Azure AD). Регистрация устройств в Azure AD позволяет повысить видимость отзывов, отправленных пользователями в организации, особенно для функций, которые поддерживают конкретные бизнес-потребности. Подробные сведения см. в разделе Программа предварительной оценки Windows для бизнеса.

Теперь вы можете регистрировать свои домены Azure AD в Программе предварительной оценки Windows. Подробнее: Программа предварительной оценки Windows для бизнеса.

Оптимизация доставки обновлений

Благодаря изменениям, внесенным Windows 10 Корпоративная LTSC 2019, экспресс-обновления теперь полностью поддерживаются Configuration Manager. Он также поддерживается другими сторонними продуктами обновления и управления, которые реализуют эту новую функцию. Эта поддержка является дополнением к текущей экспресс-поддержке клиентский компонент Центра обновления Windows, клиентский компонент Центра обновления Windows для бизнеса и WSUS.

Примечание

Перечисленные изменения можно применить к Windows 10 версии 1607, установив накопительный пакет обновления за апрель 2017 г.

Политики оптимизации доставки теперь позволяют настроить другие ограничения, чтобы обеспечить более полный контроль в различных сценариях.

Добавлены следующие политики:

Дополнительные сведения см. в разделе "Настройка оптимизации доставки для Windows обновлений".

Удаленные встроенные приложения больше не будут переустанавливаться автоматически

Начиная с Windows 10 Корпоративная LTSC 2019, встроенные приложения, которые были удалены пользователем, не будут автоматически переустановлены в процессе установки обновления компонентов.

Кроме того, приложения, не подготовленные администраторами на Windows 10 Корпоративная LTSC 2019, будут оставаться неавторизованными после будущих установок обновления компонентов. Это поведение не будет применяться к обновлению Windows 10 Корпоративная LTSC 2016 (или более ранней версии) до Windows 10 Корпоративная LTSC 2019.

Управление

Новые возможности MDM

Windows 10 Корпоративная LTSC 2019 добавляет множество новых поставщиков служб конфигурации (CSP), которые предоставляют новые возможности для управления устройствами Windows 10 с помощью MDM или пакетов подготовки. Помимо прочего, эти поставщики конфигураций позволяют настроить несколько сотен наиболее полезных параметров групповой политики с помощью MDM. Дополнительные сведения см. в разделе Policy CSP — ADMX-backed policies.

Ниже перечислены еще некоторые новые CSP:

  • DynamicManagement CSP позволяет управлять устройствами в зависимости от местоположения, сети или времени. Например, на управляемых устройствах могут быть отключены камеры, когда в рабочем расположении служба сотовой связи может быть отключена за пределами страны, чтобы избежать расходов на роуминг, или беспроводную сеть можно отключить, если устройство не находится в корпоративном здании или учебном центре. После настройки эти параметры будут применяться, даже если устройство не может подключиться к серверу управления при изменении расположения или сети. Поставщик служб конфигурации динамического управления включает настройку политик, которые изменяют способ управления устройством в дополнение к настройке условий, при которых происходит изменение.

  • CleanPC CSP позволяет удалять предустановленные и установленные пользователем приложения с возможностью сохранения данных пользователя.

  • BitLocker CSP используется для управления шифрованием компьютеров и устройств. Например, можно включить обязательное шифрование карт памяти в мобильных устройствах или дисков операционной системы.

  • NetworkProxy CSP позволяет настраивать прокси-сервер для соединений Wi-Fi и Ethernet.

  • Office CSP позволяет устанавливать на устройствах клиент Microsoft Office с помощью средства развертывания Office. Дополнительные сведения см. в разделе Параметры конфигурации для средства развертывания Office.

  • EnterpriseAppVManagement CSP используется для управления виртуальными приложениями на компьютерах с Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Он обеспечивает потоковую передачу приложений, виртуализированных с помощью App-V, на компьютеры, даже если они находятся под управлением MDM.

Дополнительные сведения см. в статье "Новые возможности регистрации и управления мобильными устройствами".

MDM теперь распространяется на присоединенные к домену устройства с регистрацией в Azure Active Directory. Групповую политику можно использовать с устройствами, присоединенными к Active Directory, для активации автоматической регистрации в MDM. Подробнее: Автоматическая регистрация устройства Windows 10 с помощью групповой политики.

Также добавлен ряд новых элементов конфигурации. Подробнее: Новые возможности регистрации в MDM и управления устройствами.

Поддержка управления мобильными приложениями для Windows 10

Версия управления мобильными приложениями (MAM) для Windows — это облегченное решение для управления доступом к данным организации и безопасностью на личных устройствах. Поддержка MAM встроена в Windows на основе Windows Information Protection (WIP), начиная с Windows 10 Корпоративная LTSC 2019.

Дополнительные сведения см. в статье Реализации поддержки управления мобильными приложениями в Windows на стороне сервера.

Диагностика MDM

В Windows 10 Корпоративная LTSC 2019 мы продолжаем работу по улучшению диагностического интерфейса для современного управления. Благодаря автоматическому ведению журнала для мобильных устройств Windows автоматически собирает журналы при обнаружении ошибок в MDM, и вам больше не потребуется постоянно вести журналы на устройствах с ограниченными ресурсами памяти. Кроме того, мы представляем Анализатор сообщений Майкрософт в качестве еще одного средства, которое помогает сотрудникам быстро сократить количество проблем с их основной причиной, экономя время и затраты.

Виртуализация приложений (App-V) для Windows

В предыдущих версиях Microsoft Application Virtualization Sequencer (App-V Sequencer) приходилось вручную создавать среды виртуализации. Windows 10 Корпоративная LTSC 2019 представляет два новых командлета PowerShell: New-AppVSequencerVM и Подключение-AppvSequencerVM. Эти командлеты автоматически создают среду виртуализации, включая подготовку виртуальной машины. Кроме того, в Sequencer App-V добавлено обновление, позволяя одновременно выполнять последовательность или обновление нескольких приложений, а также автоматически записывать и сохранять настройки в виде файла шаблона проекта () App-V.appvt, а также использовать параметры PowerShell или групповой политики для автоматической очистки неопубликованных пакетов после перезапуска устройства.

Дополнительные сведения доступны в следующих статьях.

Данные диагностики Windows

Узнайте подробнее о диагностических данных, собираемых на базовом уровне, и некоторых примерах типов данных, собираемых на полном уровне.

Электронная таблица групповой политики

Узнайте о новых групповых политиках, добавленных Windows 10 Корпоративная LTSC 2019.

Приложения смешанной реальности

В этой версии Windows 10 появился компонент Windows Mixed Reality. Организации, в которых используется WSUS, должны выполнить определенные действия для включения Windows Mixed Reality. Также можно запретить использование Windows Mixed Reality путем блокирования установки портала смешанной реальности. Подробнее: Включение или запрет приложений Windows Mixed Reality на предприятии.

Сеть

Сетевой стек

В этот выпуск вошло несколько усовершенствований сетевого стека. Некоторые из них также были доступны в Windows 10 версии 1703. Дополнительные сведения см. в разделе "Основные функции сетевого стека" в Creators Update for Windows 10.

Miracast инфраструктуры

В этой версии Windows 10 майкрософт расширила возможность отправки потока Miracast по локальной сети, а не по прямому беспроводному каналу. Эта функция основана на протоколе установления соединения Miracast по инфраструктуре (MS-MICE).

Принцип работы

Пользователь выполняет попытку подключения к приемнику Miracast, как и ранее. После заполнения списка приемников Miracast Windows 10 определяет, что приемник поддерживает подключение по инфраструктуре. Когда пользователь выбирает приемник Miracast, Windows 10 пытается разрешить имя узла устройства через стандартную DNS и многоадресную DNS (mDNS). Если имя невозможно разрешить с помощью любого из методов DNS, Windows 10 вернуться к установке сеанса Miracast с помощью стандартного Wi-Fi прямого подключения.

Miracast инфраструктуры предлагает множество преимуществ

  • Windows автоматически обнаруживает возможность отправки видеопотока по этому пути.
  • Windows выбирает этот маршрут только в том случае, если подключение установлено через Ethernet или защищенную сеть Wi-Fi.
  • Пользователям не нужно изменять способ подключения к Miracast приемнику. Используется то же взаимодействие с пользователем, что и при стандартном подключении Miracast.
  • Не требуется вносить изменения в текущее оборудование компьютера или драйверы адаптеров беспроводной сети.
  • Он хорошо работает со старым беспроводным оборудованием, которое не оптимизировано для Miracast через Wi-Fi Direct.
  • Он использует существующее подключение, которое сокращает время подключения и обеспечивает стабильный поток.

Включение Miracast по инфраструктуре

Если у вас есть устройство, обновленное Windows 10 Корпоративная LTSC 2019, эта новая функция будет автоматически добавлена. Чтобы использовать его в своей среде, необходимо убедиться, что в развертывании существует следующее требование:

  • Устройство (ПК или Surface Hub) должно работать под управлением Windows 10 версии 1703, Windows 10 Корпоративная LTSC 2019 или более поздней.

  • Компьютер с Windows или Surface Hub может выступать в качестве приемника Miracast по инфраструктуре. Устройство с Windows может выступать в качестве источника Miracast по инфраструктуре.

    • Как получатель Miracast компьютер или Surface Hub должны быть подключены к корпоративной сети через Ethernet или безопасное Wi-Fi подключения. Например, с помощью WPA2-PSK или WPA2-Enterprise безопасности. Если Surface Hub подключен к открытой сети Wi-Fi, Miracast по инфраструктуре автоматически отключается.
    • В качестве источника Miracast устройство должно быть подключено к той же сети предприятия через Ethernet или защищенную сеть Wi-Fi.
  • DNS-имя узла (имя устройства) устройства должно быть разрешаемым вашими DNS-серверами. Эту конфигурацию можно достичь, разрешив устройству автоматически регистрироваться через динамическую службу DNS или вручную создав запись A или AAAA для имени узла устройства.

  • Компьютеры с Windows 10 должны быть подключены к той же сети предприятия через Ethernet или защищенную сеть Wi-Fi.

Важно!

Miracast инфраструктуры не является заменой стандартного Miracast. Это дополнительная функциональность, предоставляющее преимущество пользователям, подключенным к корпоративной сети. Пользователи, которые являются гостями в определенном расположении и не имеют доступа к корпоративной сети, продолжат подключаться с помощью Wi-Fi прямого подключения.

Улучшения редактора реестра

Мы добавили раскрывающийся список, отображаемый при вводе, чтобы выполнить следующую часть пути. Можно также нажать клавиши CTRL+BACKSPACE, чтобы удалить последнее слово, и CTRL+DELETE для удаления следующего слова.

Снимок экрана: редактор реестра со списком завершения пути.

Удаленный рабочий стол с функцией биометрии

Пользователи Azure Active Directory и Active Directory, работающие с Windows Hello для бизнеса, могут использовать биометрические данные для проверки подлинности при подключении к сеансу удаленного рабочего стола.

Чтобы приступить к работе, войдите на устройство с помощью Windows Hello для бизнеса. Откройте подключение к удаленному рабочему столу (mstsc.exe), введите имя компьютера, к которому вы хотите подключиться, и выберите Подключение.

  • Windows запоминает ваш вход с помощью Windows Hello для бизнеса и автоматически выбирает Windows Hello для бизнеса для проверки подлинности при подключении к сеансу RDP. Вы также можете выбрать дополнительные параметры , чтобы выбрать альтернативные учетные данные.

  • Windows использует распознавания лиц для проверки подлинности при подключении к сеансу RDP на сервере Windows Server 2016 Hyper-V. Вы можете продолжить использование Windows Hello для бизнеса в удаленном сеансе, но будет необходимо вводить PIN-код.

См. приведенный ниже пример.

Введите свои учетные данные.  Укажите учетные данные.  Microsoft Hyper-V Server 2016.

См. также

Windows 10 Корпоративная LTSC: краткое описание канала обслуживания LTSC со ссылками на сведения о каждом выпуске.