CSP 中的 Windows 企业版 E3
CSP 中的 Windows 企业版 E3 按订阅提供为 Windows 企业版保留的独占功能。 此优惠通过合作伙伴中心在云解决方案提供商 (CSP) 通道中作为联机服务提供。 CSP 中的 Windows 企业版 E3 为中小型组织提供灵活的按用户订阅, (1 到数百个用户) 。 若要利用此产品/服务,必须满足以下先决条件:
- 在要升级的设备上安装并激活的当前受支持的 Windows 版本。
- 可用于标识管理的Microsoft Entra。
从 Windows 专业版迁移到 Windows 企业版比以往更加轻松,无需密钥,也无需重启。 用户输入与 Windows 企业版 E3 许可证关联的Microsoft Entra凭据后,操作系统将从 Windows 专业版切换到 Windows 企业版,并且所有相应的企业版功能均已解锁。 当订阅许可证过期或转让给其他用户时,企业版设备会无缝地退到 Windows 专业版。
以前,只有具有 Microsoft 批量许可协议的组织才能向其用户部署 Windows 企业版。 现在,借助 CSP 中的 Windows 企业版 E3,中小型组织可以更轻松地利用企业版功能。
通过合作伙伴购买 Windows 企业版 E3 时,包括以下权益:
- Windows 企业版。 当前运行 Windows 专业版的设备可以获得 Windows Enterprise Current Branch (CB) 或 Current Branch for Business (CBB) 。 此权益不包括长期服务分支 (LTSB) 。
- 支持范围介于一到数百位用户。 尽管 CSP 计划中的 Windows 企业版 E3 对组织可以拥有的许可证数量没有限制,但该计划专为中小型组织设计。
- 在最多五台设备上部署。 对于许可证涵盖的每个用户,最多可以在五台设备上部署 Windows 企业版。
- 随时回滚到 Windows 专业版。 当用户的订阅过期或转让给其他用户时,Windows 企业版设备将在) 长达 90 天的宽限期后无缝还原为 Windows 专业版 (。
- 每月的每用户定价模型。 此模型使组织能够负担得起的 Windows 企业版 E3。
- 在用户之间移动许可证。 许可证可以快速轻松地从一个用户重新分配给另一个用户,从而针对不断变化的需求优化许可投资。
云解决方案提供商计划中的 Windows 企业版 E3 与 Microsoft 批量许可协议和软件保障相比如何?
Microsoft 批量许可计划范围更广,可为组织提供对所有 Microsoft 产品许可的访问权限。
软件保证为组织提供以下类别的优势:
部署和管理。 这些优势包括规划服务:
- Microsoft 桌面优化 (MDOP) 。
- Windows 虚拟桌面访问权限。
- Windows 漫游使用权限。
- 其他优势。
培训。 这些优势包括培训凭证、联机电子学习和家庭使用计划。
支持。 这些优势包括:
- 全天候问题解决支持。
- 灾难恢复的备份功能。
- System Center 全局服务监视器。
- SQL Server的被动辅助实例。
专用。 这些优势包括提升许可可用性,使软件能够从早期版本迁移到更高级别的版本。 它还将许可证和软件保障付款分散到三个相等的年度金额中。
此外,在 CSP 中的 Windows 企业版 E3 中,合作伙伴可以管理组织的许可证。 借助软件保障,组织必须管理自己的许可证。
总之,CSP 中的 Windows 企业版 E3 计划是一种升级产品/服务,使中小型组织能够更轻松、更灵活地访问 Windows 企业版的优势。 另一方面,Microsoft 批量许可计划和软件保障的范围更广,除了访问 Windows 企业版之外,还提供了其他优势。
比较 Windows 专业版和企业版
Windows 企业版具有许多在 Windows 专业版中不可用的功能。 表 1 列出了 Windows 专业版中未找到的一些 Windows 企业版功能。 其中许多功能与安全性相关,而其他功能启用更精细的设备管理。
表 1. 在 Windows 专业版中找不到 Windows 企业版功能
| 功能 | 描述 |
|---|---|
| Credential Guard | Credential Guard 使用基于虚拟化的安全性来帮助保护安全机密,以便只有特权系统软件可以访问它们。 可以保护的安全机密示例包括 NTLM 密码哈希和 Kerberos 票证授予票证。 此保护有助于防止传递哈希或传递票证攻击。 Credential Guard 具有以下特征: 有关详细信息,请参阅使用 Credential Guard 保护派生的域凭据。 Credential Guard 需要
|
| Device Guard | 此功能是硬件和软件安全功能的组合,仅允许在设备上运行受信任的应用程序。 即使攻击者设法控制 Windows 内核,也不太可能运行可执行代码。 Device Guard 可以使用 Windows 企业版中基于虚拟化的安全 (VBS) ,将代码完整性服务与 Windows 内核本身隔离开来。 通过 VBS,即使恶意软件获得对内核的访问权限,影响也可能极其有限,因为虚拟机监控程序可以防止恶意软件执行代码。 Device Guard 通过以下方式提供保护: 有关详细信息,请参阅 Device Guard 简介。 |
| AppLocker 管理 | 此功能可帮助 IT 专业人员确定用户可以在设备上运行的应用程序和文件。 可管理的应用程序和文件包括可执行文件、脚本、Windows Installer 文件、动态链接库 (DLL)、封装应用和封装应用安装程序。 有关详细信息,请参阅 AppLocker。 |
| 应用程序虚拟化 (App-V) | 此功能使应用程序可供最终用户使用,而无需直接在用户的设备上安装应用程序。 App-V 将应用程序转换为集中管理的服务,这些服务永不安装,也不会与其他应用程序发生冲突。 此功能还有助于确保应用程序通过最新安全更新保持最新状态。 有关详细信息,请参阅 适用于 Windows 客户端的 App-V 入门。 |
| 用户体验虚拟化 (UE-V) | 使用此功能,可以捕获用户自定义的 Windows 和应用程序设置并将其存储在集中管理的网络文件共享上。 当用户登录时,其个性化设置将应用于其工作会话,而不管他们登录到哪个设备或虚拟桌面基础结构 (VDI) 会话。 UE-V 提供以下功能: 有关详细信息,请参阅 用户体验虚拟化 (UE-V) 概述。 |
| 托管用户体验 | 此功能有助于自定义和锁定 Windows 设备的用户界面,以将其限制为特定任务。 例如,可以为受控方案(例如展台或教室设备)配置设备。 用户注销后,用户体验将自动重置。 还可以限制对 Windows 应用商店等服务的访问权限。 对于Windows 10,还可以管理“开始”布局选项,例如: |
部署 Windows 企业版 E3 许可证
请参阅 部署 Windows 企业版许可证。
部署 Windows 企业版功能
现在,Windows 企业版已在设备上运行,企业版的特性和功能是如何利用的? 需要针对表 1 中所讨论的每项功能执行哪些后续步骤?
以下部分提供了需要在环境中执行的高级任务,以帮助用户利用 Windows 企业版功能。
Credential Guard
注意
需要具有受信任启动的 UEFI 2.3.1 或更高版本;必须启用虚拟化扩展,例如 Intel VT-x、AMD-V 和 SLAT;x64 版本的 Windows;IOMMU,例如 Intel VT-d、AMD-Vi;BIOS 锁定;如果 TPM 2.0) 不存在,建议用于设备运行状况证明的 TPM 2.0 (将使用软件。
通过在 Windows 企业版设备上启用 Credential Guard,可以在这些设备上实现 Credential Guard。 Credential Guard 使用基于 Windows 虚拟化的 (Hyper-V) 安全功能,在启用 Credential Guard 之前,必须在每台设备上启用这些功能。 可以使用以下方法之一打开 Credential Guard:
自动。 可以使用 组策略为一个或多个设备启用 Credential Guard。 组策略设置自动添加基于虚拟化的安全功能,并在托管设备上配置 Credential Guard 注册表设置。
手动。 可以通过执行以下操作之一手动打开 Credential Guard:
使用“程序和功能”或“部署映像服务和管理”(DISM) 添加基于虚拟化的安全功能。
通过使用注册表编辑器或 Device Guard 和 Credential Guard 硬件准备工具配置 Credential Guard 注册表设置。
可以使用管理工具(如Microsoft Configuration Manager)自动执行这些手动步骤。
有关实现 Credential Guard 的详细信息,请参阅以下资源:
Device Guard
设备具有 Windows 企业版后,可以通过执行以下步骤在 Windows 企业版设备上实现 Device Guard:
(可选)为代码完整性策略创建代码签名证书。 部署代码完整性策略时,可能需要在内部对目录文件或代码完整性策略进行签名。 若要在内部对目录文件或代码完整性策略进行签名,需要公共颁发的代码签名证书 (通常购买) ,或者需要内部证书颁发机构 (CA) 。 如果选择了内部 CA,则需要创建代码签名证书。
从“黄金”计算机创建代码完整性策略。 部门或角色有时使用独特或部分独特的硬件和软件集。 在这些实例中,可以设置包含这些部门或角色的软件和硬件的“黄金”计算机。 在这方面,创建和管理代码完整性策略以满足角色或部门需求可能与管理公司映像非常类似。 在每台“黄金”计算机上,可以创建代码完整性策略,然后决定如何管理该策略。 可以合并代码完整性策略以创建更广泛的策略或主策略,也可以单独管理和部署每个策略。
审核代码完整性策略并捕获有关游离于该策略之外的应用程序的信息。 Microsoft 建议使用“审核模式”在强制实施每个代码完整性策略之前仔细测试它。 使用审核模式时,不会阻止任何应用程序。 每当启动策略外部的应用程序时,策略只会记录事件。 稍后,可以根据需要扩展策略以允许这些应用程序。
为未签名的业务线 (LOB) 应用程序创建“目录文件”。 使用包检查器工具为未签名的 LOB 应用程序创建目录文件并对其进行签名。 在后续步骤中,可以将目录文件的签名合并到代码完整性策略中,以便该策略允许目录中的应用程序。
从事件日志中捕获所需策略信息,然后按需将信息合并到现有策略。 代码完整性策略在审核模式下运行一段时间后,事件日志中会包含有关游离于该策略之外的应用程序的信息。 若要扩展策略以允许这些应用程序,请使用Windows PowerShell命令从事件日志中捕获所需的策略信息。 捕获信息后,将该信息合并到现有策略中。 还可以从其他源合并代码完整性策略,从而可以灵活地创建最终的代码完整性策略。
部署代码完整性策略和目录文件。 确认完成上述所有步骤后,可以部署目录文件,并且代码完整性策略可以退出审核模式。 Microsoft 强烈建议通过测试用户组开始此过程。 在更广泛地部署目录文件和代码完整性策略之前,测试提供最终的质量控制验证。
启用所需的硬件安全功能。 基于硬件的安全功能(也称为基于虚拟化的安全性 (VBS) 功能)加强了代码完整性策略所提供的防护。
有关实现 Device Guard 的详细信息,请参阅:
AppLocker 管理
Windows 企业版中的 AppLocker 可以使用 组策略 进行管理。 组策略需要具有 AD DS,并且 Windows 企业版设备已加入 AD DS 域。 可以使用 组策略 创建 AppLocker 规则。 然后,AppLocker 规则可以面向相应的设备。
有关使用组策略的 AppLocker 管理的详细信息,请参阅 AppLocker 部署指南。
App-V
App-V 要求 App-V 服务器基础结构支持 App-V 客户端。 所需的主要 App-V 组件包括:
App-V 服务器。 App-V 服务器提供 App-V 管理、虚拟化的应用发布、应用流和报告服务。 其中每个服务均可在一台服务器上运行,也可在多台服务器上单独运行。 例如,可能存在多个流式处理服务器。 App-V 客户端连接 App-V 服务器,以确定向用户或设备发布哪些应用,然后从该服务器运行虚拟化的应用。
App-V 顺序器。 App-V 顺序器是用于排序(捕获)应用并准备应用以供从 App-V 服务器托管的典型客户端设备。 应用安装在 App-V 排序器上,App-V 排序器软件确定在应用安装过程中更改的文件和注册表设置。 然后顺序器将捕获这些设置,以创建虚拟化的应用。
App-V 客户端。 必须在需要从 App-V 服务器运行应用的任何 Windows 企业版 E3 客户端设备上启用 App-V 客户端。
有关实现 App-V 服务器、App-V 顺序器和 App-V 客户端的详细信息,请参阅以下资源:
UE-V
UE-V 需要需要下载、激活和安装的服务器端和客户端组件。 这些组件包括:
UE-V 服务。 UE-V 服务(已在设备上启用时)监视注册的应用程序和 Windows 中是否有任何设置更改,然后在设备之间同步这些设置。
设置包。 UE-V 服务创建的设置包可存储应用程序设置和 Windows 设置。 生成、本地存储设置包,并将其复制到设置存储位置。
设置存储位置。 此位置是用户可以访问的标准网络共享。 UE-V 服务验证该位置,并创建一个可存储和检索用户设置的隐藏系统文件夹。
设置位置模板。 设置位置模板是 UE-V 用于监视桌面应用程序设置和 Windows 桌面设置并在用户计算机之间同步这些设置的 XML 文件。 默认情况下,某些设置位置模板包含在 UE-V 中。 还可以使用 UE-V 模板生成器创建、编辑或验证自定义设置位置模板。 Windows 应用程序不需要设置位置模板。
通用 Windows 应用程序列表。 UE-V 确定使用应用程序托管列表为设置同步启用哪些 Windows 应用程序。 默认情况下,此列表包含大多数 Windows 应用程序。
有关部署 UE-V 的详细信息,请参阅以下资源:
托管用户体验
托管用户体验功能是一组 Windows 企业版功能和可用于管理用户体验的相应设置。 表 2 按类别 () 介绍了托管用户体验设置,这些设置仅在 Windows 企业版中可用。 用于配置每个功能的管理方法取决于该功能。 某些功能使用组策略配置,而其他功能使用 Windows PowerShell、部署映像服务和管理 (DISM) 或其他命令行工具配置。 对于组策略设置,加入 AD DS 域的 Windows 企业版设备需要 AD DS。
表 2. 托管用户体验功能
| 功能 | 描述 |
|---|---|
| “开始”屏幕布局自定义 | 自定义的“开始”布局可以部署到域中的用户。 只需覆盖包含“开始”屏幕布局的 .xml 文件即可更新该布局,而无需重置映像。 XML 文件支持为不同部门或组织自定义“开始”菜单布局,并将管理开销降到最低。 有关这些设置的详细信息,请参阅使用组策略自定义 Windows 10“开始”菜单和任务栏。 |
| 未品牌化启动 | 可以禁止在 Windows 启动或恢复时显示的 Windows 元素。 当 Windows 遇到无法恢复的错误时,也可以取消崩溃屏幕。 有关这些设置的详细信息,请参阅未品牌化启动。 |
| 自定义登录 | 自定义登录功能可用于禁止显示与欢迎屏幕和关闭屏幕相关的 Windows UI 元素。 例如,可以禁止显示欢迎屏幕 UI 的所有元素,并提供自定义登录 UI。 “阻止的关闭冲突解决程序 (BSDR) ”屏幕也可以被禁止显示,并且当 OS 等待应用程序关闭之前,应用程序会自动结束。 有关这些设置的详细信息,请参阅自定义登录。 |
| Shell 启动程序 | 支持使用“分配的访问权限”通过 Shell 启动程序仅运行经典 Windows 应用,以替换 Shell。 有关这些设置的详细信息,请参阅 Shell 启动程序。 |
| 键盘筛选器 | 键盘筛选器可用于抑制不需要的按键或组合键。 正常情况下,用户可以使用某些 Windows 组合键(如 Ctrl+Alt+Delete 或 Ctrl+Shift+Tab)控制设备,方法是锁定屏幕或使用任务管理器关闭运行的应用程序。 这些键盘操作在专用设备上不可取。 有关这些设置的详细信息,请参阅键盘筛选器。 |
| 统一写入筛选器 | 可以在设备上使用统一写入筛选器 (UWF) 来帮助保护物理存储介质,包括 Windows 支持的大多数标准可写存储类型,例如:
有关这些设置的详细信息,请参阅统一写入筛选器。 |
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈