Windows 10 企业版 LTSC 2019 中的新增功能

本文列出了与 Windows 10 企业版 LTSC 2016 (LTSB) 相比,WINDOWS 10 企业版 LTSC 2019 IT 专业人员感兴趣的新增和更新功能和内容。 有关 LTSC 服务通道和相关支持的简要说明,请参阅 Windows 10 企业版 LTSC

注意

Windows 10 企业版 LTSC 2019 于 2018 年 11 月 13 日首次发布。 Windows 10 企业版 LTSC 2019 中的功能相当于Windows 10 版本 1809。

Windows 10 企业版 LTSC 2019 基于 Windows 10 专业版 版本 1809 构建,添加了高级功能,旨在满足大型和中型组织的需求, (包括大型学术机构) ,例如:

  • 针对新式安全威胁的高级防护
  • OS 部署的完全灵活性
  • 更新和支持选项
  • 全面的设备和应用管理和控制功能

Windows 10 企业版 LTSC 2019 版本是 LTSC 用户的重要版本,因为它包括Windows 10版本 1703、1709、1803 和 1809 中提供的累积增强功能。 下面提供了有关这些增强功能的详细信息。

重要提示

LTSC 版本适用于特殊用途设备。 为 Windows 10 的正式发布通道版本设计的应用和工具对 LTSC 的支持可能会受到限制。

Microsoft Intune

Microsoft Intune支持 Windows 10 企业版 LTSC 2019,但有以下例外:

  • 更新通道不能用于功能更新,因为Windows 10 LTSC 版本不接收功能更新。 更新通道可用于 Windows 10 企业版 LTSC 2019 客户端的质量更新。

安全性

此版本的Windows 10包括威胁防护、信息保护和标识保护的安全改进。

威胁防护

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint平台包含多个安全支柱。 在此版本的 Windows 中,Defender for Endpoint 包括强大的分析、安全堆栈集成和集中管理,以便更好地检测、预防、调查、响应和管理。

攻击面减少

攻击面减少包括基于主机的入侵防护系统,例如 受控的文件夹访问

  • 此功能有助于防止勒索软件和其他破坏性恶意软件更改你的个人文件。 在某些情况下,通常使用的应用可能会阻止对文档图片等常见文件夹进行更改。 我们让你能够更轻松地添加最近被阻止的应用,以便你可以继续使用你的设备,而无需完全关闭该功能。

  • 阻止应用后,该应用将显示在最近已阻止的应用列表中,通过单击勒索软件防护标题下的管理设置可以访问此列表。 选择 “允许应用通过受控文件夹访问”。 出现提示后,选择按钮并选择+“最近阻止的应用”。 选择任何要添加到允许列表中的应用。 你还可以浏览此页面中的应用。

Windows Defender 防火墙

Windows Defender防火墙现在支持适用于 Linux 的 Windows 子系统 (WSL) 进程。 可以像为任何 Windows 进程添加特定规则一样,为 WSL 进程添加特定规则。 此外,Windows Defender 防火墙现在支持 WSL 进程通知。 例如,当 Linux 工具想要允许从外部(如 SSH 或像 nginx 这样的 Web 服务器)访问端口时,Windows Defender 防火墙将提示允许访问,就像端口开始接受连接时针对 Windows 进程给出提示一样。 此行为最初在 内部版本 17627 中引入。

Windows Defender Device Guard

Device Guard 一直是一系列技术,可以组合起来锁定电脑,包括:

  • 代码完整性策略提供的基于软件的保护
  • 由受虚拟机监控程序保护的代码完整性提供的基于硬件的保护 (HVCI)

但这些保护也可以单独配置。 而且,与 HVCI 不同,代码完整性策略不需要基于虚拟化的安全性 (VBS) 。 为了帮助强调这些保护的独特价值,代码完整性策略已重新命名为Windows Defender应用程序控制

下一代保护

终结点检测和响应

终结点检测和响应得到改进。 企业客户现在可以利用整个 Windows 安全堆栈,Microsoft Defender for Endpoint门户中显示Microsoft Defender防病毒检测和设备防护

Windows Defender现在称为“Microsoft Defender防病毒”,现在在 Microsoft 365 服务之间共享检测状态,并与 Microsoft Defender for Endpoint 互操作。 还实施了其他策略来增强基于云的保护,并提供了用于紧急保护的新渠道。 有关详细信息,请参阅病毒和威胁防护通过云提供的保护在 Microsoft Defender 防病毒中使用下一代技术

我们还 增加了面向企业安全管理员的文档库的广度。 新库包含以下相关信息:

新库的一些亮点包括用于Microsoft Defender AV 的评估指南和虚拟桌面基础结构环境中Microsoft Defender AV 的部署指南

Windows 10 企业版 LTSC 2019 中Microsoft Defender AV 的新增功能包括:

我们在 帮助防范勒索软件方面投入了大量资金,并通过 更新的行为监视和始终启用的实时保护继续投资。

终结点检测和响应 也得到了增强。 新的 检测 功能包括:

  • 自定义检测。 利用自定义检测,你可以创建自定义查询来监视任何行为类型的事件,如可疑或新兴威胁。 可以通过创建自定义检测规则来使用高级搜寻。

  • 对 OS 内存和内核传感器进行了改进,可检测使用内存中和内核级攻击的攻击者。

  • 升级了对勒索软件和其他高级攻击的检测。

  • 历史检测功能可确保新的检测规则应用于最多六个月的存储数据,以检测以前可能未注意到的攻击。

检测到攻击时,威胁响应得到改进,使安全团队能够立即采取行动来遏制违规:

添加了其他功能,可帮助你全面了解 调查情况 ,包括:

其他增强的安全功能包括:

  • 检查传感器运行状况 - 检查终结点是否可以提供传感器数据,与 Microsoft Defender for Endpoint 服务进行通信,并解决已知问题。

  • 托管安全服务提供程序 (MSSP) 支持 - Microsoft Defender for Endpoint通过提供 MSSP 集成来添加对此方案的支持。 该集成将允许 MSSP 采取以下操作:访问 MSSP 客户的 Windows Defender 安全中心门户、获取电子邮件通知,以及通过安全信息和事件管理 (SIEM) 工具获取警报。

  • 与 Azure Defender 的集成 - Microsoft Defender for Endpoint与 Azure Defender 集成,以提供全面的服务器保护解决方案。 通过此集成,Azure Defender 可以使用 Defender for Endpoint 为 Windows Server 提供改进的威胁检测。

  • 与 Microsoft 云应用安全 集成 - Microsoft 云应用安全使用Microsoft Defender for Endpoint信号来直接查看云应用程序使用情况,包括使用所有受 Defender for Endpoint 监视的计算机中不支持的云服务 (影子 IT) 。

  • 载入 Windows Server 2019 - Microsoft Defender for Endpoint现在添加了对 Windows Server 2019 的支持。 你可以使用可用于 Windows 10 客户端计算机的相同方法载入 Windows Server 2019。

  • 载入以前版本的 Windows - 载入受支持的 Windows 计算机版本,以便它们可以将传感器数据发送到Microsoft Defender for Endpoint传感器。

  • 启用条件访问以更好地保护用户、设备和数据

我们还向 “设备性能 & 运行状况 ”部分添加了 Windows 时间服务的新评估。 如果我们检测到你的设备时间未正确与我们的时间服务器同步,并且时间同步服务已禁用,我们将为你提供将其重新打开的选项。

我们将继续研究你安装的其他安全应用在Windows 安全中心应用中的显示方式。 可以在应用的“设置”部分找到名为“安全提供程序”的新页面。 选择“ 管理提供程序 ”可查看设备上运行的所有其他安全提供程序 (列表,包括防病毒、防火墙和 Web 保护) 。 在这里,可以轻松打开提供商的应用,或获取有关如何通过Windows 安全中心报告的问题的详细信息。

这一改进还意味着你将看到更多指向Windows 安全中心内其他安全应用的链接。 例如,如果打开 “防火墙 & 网络保护 ”部分,你将看到每种防火墙类型(包括域、专用和公用网络)在设备上运行的防火墙应用。

另请参阅Microsoft Defender for Endpoint进一步提高终结点安全性的有效性和稳定性的新功能

快速深入地了解适用于 Windows 10 的 Microsoft Defender for Endpoint:Defender for Endpoint

信息保护

Windows 信息保护 和 BitLocker 已添加改进。

Windows 信息保护

Windows 信息保护现在旨在与 Microsoft Office 和 Azure 信息保护一起使用。

Microsoft Intune 可帮助你创建和部署 Windows 信息保护 (WIP) 策略,包括允许你选择允许的应用、WIP 保护级别以及如何在网络上查找企业数据。 有关详细信息,请参阅使用 Microsoft Intune 创建 Windows 信息保护 (WIP)使用 Microsoft Intune 关联和部署你的 Windows 信息保护 (WIP) 和 VPN 策略

你现在还可以使用报告配置服务提供程序 (CSP) 或 Windows 事件转发(对于 Windows 加入域的桌面设备)收集你的审核事件日志。 有关详细信息,请参阅如何收集 Windows 信息保护 (WIP) 审核事件日志

此版本通过文件随选功能实现了对 WIP 的支持,因而当文件在另一个应用中打开时可进行文件加密,并提高了性能。 有关详细信息,请参阅 企业的 OneDrive 文件按需提供

BitLocker

PIN 最低长度已从 6 更改为 4,默认为 6。 有关详细信息,请参阅 BitLocker 组策略设置

固定驱动器上的静默强制执行

通过新式设备管理 (MDM) 策略,可以无提示地为标准Microsoft Entra ID加入的用户启用 BitLocker。 在 Windows 10 中,为标准 Entra ID 用户启用了版本 1803 自动 BitLocker 加密,但这仍然需要通过硬件安全测试接口 (HSTI) 的新式硬件。 即使在未通过 HSTI 的设备上,这项新功能也能通过策略启用 BitLocker。

此更改是 BitLocker CSP 的更新,由 Intune 和其他人使用。

身份保护

对 Windows Hello 企业版 和 Credential Guard 进行了改进。

Windows Hello 企业版

Windows Hello 中的新功能使用具有新位置和用户邻近信号的多重解锁功能,从而提供更好的设备锁定体验。 你可以使用蓝牙信号将你的 Windows 10 设备配置为当你离开设备时自动锁定,或当你不在时阻止其他人访问该设备。

Windows Hello 企业版中的新功能包括:

  • 现在无需在 Microsoft Intune 管理的设备上删除公司托管的数据或应用,即可重设忘记了的 PIN。

  • 对于 Windows 桌面,用户可以通过 “设置 > 帐户 > ”登录选项重置忘记的 PIN。 有关详细信息,请参阅 忘记 PIN 时该怎么办?

Windows Hello 企业版现在支持对已加入 Entra ID Windows 10 设备的 FIDO 2.0 身份验证,并且已增强对共享设备的支持,如展台配置中所述。

  • Windows Hello 现在在 S 模式下无需密码。

  • 支持 S/MIME 与 Windows Hello 企业版和 API 用于非 Microsoft 标识生命周期管理解决方案。

  • Windows Hello 在 Windows Defender 安全中心中发挥着重要的帐户保护作用。 帐户保护将鼓励密码用户设置Windows Hello人脸、指纹或 PIN 以加快登录速度,并在动态锁定因设备蓝牙关闭而停止工作时通知动态锁定用户。

  • 可以从锁屏界面为 Microsoft 帐户设置 Windows Hello。 我们让 Microsoft 帐户用户能够更轻松地在其设备上设置Windows Hello,以便更快、更安全地登录。 以前,必须深入导航到设置中才能找到 Windows Hello。 现在,可以通过单击登录选项下的 Windows Hello 磁贴直接从锁屏界面设置 Windows Hello 人脸、指纹或 PIN。

  • 为特定标识提供程序第二个帐户 SSO 提供了新公共 API

  • 设置动态锁更容易,并且当动态锁停止工作时,已添加 WD SC 可操作警报 (例如:设备蓝牙) 关闭。

有关详细信息,请参阅:Windows Hello 和 FIDO2 安全密钥针对共享设备实现了安全简单的身份验证

Credential Guard

Credential Guard 是 Windows 10 中的一项安全服务,旨在保护 Active Directory (AD) 域凭据,以便用户计算机上的恶意软件不会窃取或滥用它们。 它旨在防范众所周知的威胁,如哈希传递和凭据截获。

Credential Guard 一直是一项可选功能,但在 S 模式下,Windows 10在计算机已加入 Entra ID 时默认启用此功能。 当连接到在 S 模式下运行Windows 10的设备上通常不存在的域资源时,此功能可提供额外的安全级别。

注意

Credential Guard 仅适用于 S 模式设备或企业版和教育版。

有关详细信息,请参阅 Credential Guard 概述

其他安全改进

Windows 安全基线

Microsoft 已发布了适用于 Windows Server 和 Windows 10 的新 Windows 安全基线。 安全基线是一组 Microsoft 建议的配置设置,其中说明了其安全效果。 有关详细信息,以及若要下载策略分析器工具,请参阅 Microsoft Security Compliance Toolkit 1.0

SMBLoris 漏洞

已经解决一个称为 SMBLoris 的问题,该问题可能导致拒绝服务。

Windows 安全中心

Windows Defender 安全中心现在称为 Windows 安全中心

你仍然可以以所有常用方式访问应用。 在 WSC 可以管理所有安全需求,包括 Microsoft Defender 防病毒Windows Defender 防火墙

WSC 服务现在要求防病毒产品以受保护的进程形式运行以进行注册。 尚未实现此功能的产品不会出现在Windows 安全中心中心用户界面中,并且Microsoft Defender防病毒将与这些产品并行启用。

WSC 现在包含你知道且喜欢的 Fluent Design 系统元素。 你还会注意到,我们已调整了应用周围的间距和填充。 现在,如果需要更多空间来呈现额外信息,那么系统将动态调整主页面上的类别。 我们还更新了标题栏,以便它将使用主题色(如果你已在颜色设置中启用了该选项)。

Windows 安全中心中心的屏幕截图。

组策略安全选项

安全设置交互式登录:会话锁定时显示用户信息已更新为使用“设置帐户>登录”选项中的“隐私”>设置。

Windows 10 企业版 LTSC 2019 中引入了新的安全策略设置“交互式登录:登录时不显示用户名”。 此安全策略设置决定是否在登录期间显示用户名。 它适用于“设置帐户>登录选项”中的“隐私”>设置。 此设置仅影响其他用户磁贴。

处于 S 模式的 Windows 10

我们继续研究“病毒 & 威胁防护”中的“当前威胁”区域,其中现在会显示需要采取操作的所有威胁。 你可以对此屏幕中的威胁快速采取行动:

Windows 10 企业版 LTSC 2019 中的“病毒 & 威胁防护”设置的屏幕截图。

部署

MBR2GPT.EXE

MBR2GPT.EXE 是随 Windows 10 版本 1703 引入的新命令行工具,在 Windows 10 企业版 LTSC 2019 (及更高版本) 中也可用。 MBR2GPT 可将磁盘从主启动记录 (MBR) 转换为 GUID 分区表 (GPT) 分区形式,无需修改或删除磁盘上的数据。 该工具从 Windows 预安装环境 (Windows PE) 命令提示符运行,但也可以从完整的Windows 10操作系统运行。

GPT 分区格式较新,允许使用更大更多的磁盘分区。 它还增加了数据可靠性,支持其他分区类型,并加快了启动和关机速度。 如果在计算机上将系统磁盘从 MBR 转换为 GPT,那么也必须将计算机配置为在 UEFI 模式下启动,从而确保你的设备在尝试转换系统磁盘之前支持 UEFI。

在 UEFI 模式下启动时启用的其他 Windows 10 安全功能包括:安全启动、预先启动反恶意软件 (ELAM) 驱动程序、Windows 受信任的启动、测量的启动、Device Guard、Credential Guard 和 BitLocker 网络解锁。

有关详细信息,请参阅 MBR2GPT.EXE

DISM

增加了以下新 DISM 命令来管理功能更新:

  • DISM /Online /Initiate-OSUninstall:启动 OS 卸载,使计算机返回到以前安装的 Windows。

  • DISM /Online /Remove-OSUninstall:从计算机中删除 OS 卸载功能。

  • DISM /Online /Get-OSUninstallWindow:显示升级后的天数,在此期间可以执行卸载。

  • DISM /Online /Set-OSUninstallWindow:设置升级后的天数,在此期间可以执行卸载。

有关详细信息,请参阅 DISM 操作系统卸载命令行选项

Windows 安装程序

你现在可以使用 Windows 安装程序来并行运行自己的自定义操作或脚本。 安装程序会将你的脚本迁移到下一个功能版本,因此只需添加一次即可。

先决条件:

  • Windows 10版本 1803 或 Windows 10 企业版 LTSC 2019 或更高版本。
  • Windows 10 企业版或专业版

有关详细信息,请参阅在功能更新期间运行自定义操作

如果用户使用 PostRollback 选项回滚其 Windows 版本,现在还可以运行脚本。

/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]

有关详细信息,请参阅 Windows 安装程序命令行选项

还提供了新命令行开关来控制 BitLocker:

  • Setup.exe /BitLocker AlwaysSuspend:升级期间始终挂起 BitLocker。

  • Setup.exe /BitLocker TryKeepActive:在不暂停 BitLocker 的情况下启用升级,但如果升级不起作用,则暂停 BitLocker 并完成升级。

  • Setup.exe /BitLocker ForceKeepActive:在不暂停 BitLocker 的情况下启用升级,但如果升级不起作用,升级失败。

有关详细信息,请参阅 Windows 安装程序 Command-Line 选项

功能更新改进

在 Windows 更新的脱机阶段完成的部分工作已经转移到联机阶段。 此更改可显著缩短安装更新时的脱机时间。

SetupDiag

SetupDiag 是一个新的命令行工具,可以帮助诊断 Windows 10 更新失败的原因。

SetupDiag 通过搜索 Windows 安装程序日志文件工作。 在搜索日志文件时,SetupDiag 使用一组规则来匹配已知问题。 在当前版本的 SetupDiag 中,rules.xml 文件中包含 53 条规则,运行 SetupDiag 时会解压缩此文件。 当推出新版本的 SetupDiag 时,将更新 rules.xml 文件。

登录

更快登录到共享的 Windows 10 电脑

如果你在工作区中部署了共享设备,则快速登录使用户能够快速登录到共享Windows 10电脑

启用快速登录

  1. 使用 Windows 10 版本 1809 或 Windows 10 企业版 LTSC 2019 设置共享或来宾设备。

  2. 设置策略 CSP 以及 身份验证EnableFastFirstSignIn 策略以启用快速登录。

  3. 使用你的帐户登录到共享的电脑。

    演示 WINDOWS 10 企业版 LTSC 2019 中的快速登录功能的动画图像。

从 Web 登录到 Windows 10

到目前为止,Windows 登录仅支持使用联合到 ADFS 的身份或其他支持 WS-Fed 协议的提供程序。 我们将引入“Web 登录”,这是一种登录到 Windows 电脑的新方法。 Web 登录为非 ADFS 联合提供程序启用 Windows 登录支持, (例如 SAML) 。

试用 Web 登录

  1. Entra ID 加入Windows 10电脑。 (Web 登录仅在已加入 Entra ID 的电脑上) 受支持。

  2. 设置策略 CSP 以及身份验证和 EnableWebSignIn 策略以启用 Web 登录。

  3. 在锁屏界面上,选择登录选项下面的 Web 登录。

  4. 选择“登录”以继续。

    Windows 10登录屏幕的屏幕截图,其中突出显示了 Web 登录功能。

更新一致性

Update Compliance 有助于保证组织中的 Windows 10 设备是安全的和最新的。

更新一致性是一个使用 OMS Log Analytics 构建的解决方案,可提供月度质量和功能更新的安装状态的相关信息。 提供了有关现有更新的部署进程和未来更新状态的详细信息。 还提供了有关可能需要关注以解决问题的设备的信息。

更新一致性中的新功能可用来监视 Windows Defender 保护状态、比较与同行之间的一致性以及优化带宽以进行部署更新。

辅助功能和隐私

辅助功能

“全新”辅助功能通过自动生成图片说明获得增强。 有关辅助功能的详细信息,请参阅针对 IT 专业人员的辅助功能信息。 另请参阅 2018 年 4 月更新Windows 10新增功能中的辅助功能部分。

隐私

在“反馈和设置”页面中的“隐私设置”下,现在可以删除设备发送给 Microsoft 的诊断数据。 还可以使用诊断数据查看器应用来查看此诊断数据。

配置

展台配置

新的基于铬的 Microsoft Edge 针对展台进行了许多改进。 但是,它不包括在 Windows 10 的 LTSC 版本中。 可以单独下载和安装 Microsoft Edge。 有关详细信息,请参阅 下载和部署 Microsoft Edge 商业版

Internet Explorer 包含在 Windows 10 LTSC 版本中,因为它的功能集不会更改,并且它将在 ltSC Windows 10版本中继续获取安全修补程序。

如果想要利用 Microsoft Edge 中的展台功能,请考虑使用半年发布频道的 展台模式

联合管理

已添加Intune和Microsoft Configuration Manager策略,以启用加入混合 Entra ID 的身份验证。 在此版本中,移动设备管理 (MDM) 添加了 150 多种新策略和设置,包括 MDMWinsOverGP 策略,以便轻松地过渡到基于云的管理。

有关详细信息,请参阅 MDM 注册和管理中的新增功能

操作系统卸载期限

操作系统卸载期限是指为用户给定的可以选择回滚 Windows 10 更新的一段时间。 在此版本中,管理员可以使用 Intune 或 DISM 来自定义操作系统卸载期限的长度。

批量Microsoft Entra ID加入

使用 Windows 配置Designer中的新向导,可以创建预配包以在 Entra ID 中注册设备。 桌面、移动、展台和 Surface Hub 向导中提供了批量 Entra ID 加入。

Windows 聚焦

添加了以下新的组策略和移动设备管理 (MDM) 设置,以帮助配置 Windows 聚焦用户体验:

  • 在操作中心上关闭 Windows 聚焦
  • 请勿将诊断数据用于定制体验
  • 关闭“欢迎使用 Windows”体验

有关详细信息,请参阅 在锁屏界面上配置 Windows 聚焦

“开始”菜单和任务栏布局

以前只能使用组策略或预配包部署自定义的任务栏。 Windows 10 企业版 LTSC 2019 向 MDM 添加了对自定义任务栏的支持。

其他 MDM 策略设置也适用于“开始”菜单和任务栏布局。 新的 MDM 策略设置包括:

Windows 更新

面向企业的 Windows 预览体验成员

我们最近添加了一个选项,用于在 Microsoft Entra ID 中使用公司凭据下载 Windows 10 Insider Preview 版本。 通过在 Entra ID 中注册设备,可以提高组织中用户提交的反馈的可见性,尤其是支持特定业务需求的功能。 有关详细信息,请参阅面向企业的 Windows 预览体验计划

现在可以将 Entra ID 域注册到 Windows 预览体验计划。 有关详细信息,请参阅 Windows 预览体验计划企业版

优化更新传递

随着 Windows 10 企业版 LTSC 2019 中提供的更改,Configuration Manager现在完全支持快速更新。 实现 此新功能的其他第三方更新和管理产品也支持此功能。 此支持是当前针对 Windows 更新、Windows 更新 商业版和 WSUS 的快速支持。

注意

通过安装 2017 年 4 月累积更新,可针对 Windows 10 版本 1607 进行以上改动。

传递优化策略现在使你能够配置其他限制,以便在各种方案中拥有更多控制。

增加的策略包括:

有关详细信息,请参阅 配置 Windows 更新的传递优化

已卸载的收件箱应用不再自动重新安装

从 Windows 10 企业版 LTSC 2019 开始,用户卸载的内置应用不会在功能更新安装过程中自动重新安装。

此外,Windows 10 企业版 LTSC 2019 计算机上的管理员取消预配的应用将在将来的功能更新安装后保持取消预配状态。 此行为不适用于从 Windows 10 企业版 LTSC 2016 (或更早) 到 Windows 10 企业版 LTSC 2019 的更新。

管理

新的 MDM 功能

Windows 10 企业版 LTSC 2019 添加了许多新的配置服务提供程序 (CSP) ,这些提供程序提供了使用 MDM 或预配包管理Windows 10设备的新功能。 除此之外,这些 CSP 使你能够通过 MDM 配置几百个最有用的组策略设置。 有关详细信息,请参阅 策略 CSP - ADMX 支持的策略

一些其他新的 CSP 包括:

  • DynamicManagement CSP 允许你根据位置、网络或时间对设备进行多样化管理。 例如,在工作地点时,托管设备可以禁用摄像头,可以在国家/地区以外时禁用手机网络服务以避免漫游费用,或者当设备不在公司大楼或校园内时,可以禁用无线网络。 配置后,即使设备在位置或网络更改时无法访问管理服务器,也会强制实施这些设置。 动态管理 CSP 除了设置发生更改的条件外,还支持配置策略,以更改设备的管理方式。

  • CleanPC CSP 允许删除用户安装和预安装的应用程序,同时会询问是否保留用户数据。

  • BitLocker CSP 用于管理电脑和设备的加密。 例如,你可以要求对移动设备进行存储卡加密,或者要求加密操作系统驱动器。

  • NetworkProxy CSP 用于配置以太网和 WLAN 连接的代理服务器。

  • Office CSP 允许通过 Office 部署工具在设备上安装 Microsoft Office 客户端。 有关详细信息,请参阅 Office 部署工具的配置选项

  • EnterpriseAppVManagement CSP 用于管理 Windows 10 电脑(企业版和教育版)中的虚拟应用程序,并在 MDM 管理时,允许将 App-V 序列应用流式传输到电脑上。

有关详细信息,请参阅 移动设备注册和管理中的新增功能

MDM 已扩展为包括具有Microsoft Entra ID注册的已加入域的设备。 组策略可与已加入 Active Directory 的设备一起使用,以触发自动注册到 MDM。 有关详细信息,请参阅使用组策略自动注册 Windows 10 设备

此外添加了多个新配置项。 有关详细信息,请参阅 MDM 注册和管理中的新增功能

适用于 Windows 10 的移动应用程序管理支持

Windows 版本的移动应用管理 (MAM) 是一个轻量级解决方案,用于管理公司数据访问和个人设备安全。 从 Windows 10 企业版 LTSC 2019 开始,MAM 支持内置于 Windows 信息保护 (WIP) 之上的 Windows 中。

有关详细信息,请参阅在 Windows 上为移动应用程序管理实现服务器端支持

MDM 诊断

Windows 10 企业版 LTSC 2019 中,我们将继续努力改进新式管理的诊断体验。 通过为移动设备引入自动日志记录,当 Windows 在 MDM 中遇到错误时将自动收集日志,不需要为内存受限的设备始终记录日志。 此外,我们还引入了 Microsoft Message Analyzer 作为另一种工具,可帮助支持人员快速减少根本原因的问题,同时节省时间和成本。

适用于 Windows 的应用程序虚拟化 (App-V)

以前版本的 Microsoft Application Virtualization Sequencer (App-V Sequencer) 需要你手动创建序列化环境。 Windows 10 企业版 LTSC 2019 引入了两个新的 PowerShell cmdlet:New-AppVSequencerVMConnect-AppvSequencerVM。 这些 cmdlet 会自动为你创建排序环境,包括预配虚拟机。 此外,App-V Sequencer 已更新,允许你同时对多个应用进行排序或更新,同时自动捕获自定义项并将其存储为 app-V 项目模板 (.appvt) 文件,并允许使用 PowerShell 或组策略设置在设备重启后自动清理未发布的包。

有关详细信息,请参阅以下文章:

Windows 诊断数据

了解有关基本级别收集的诊断数据的详细信息和一些收完全级别收集的数据类型的示例。

组策略电子表格

了解 Windows 10 企业版 LTSC 2019 中添加的新组策略。

混合现实应用

此版本的 Windows 10 引入了 Windows Mixed Reality。 使用 WSUS 的组织必须采取措施来启用 Windows Mixed Reality。 你也可以通过阻止安装混合现实门户的方式来禁止使用 Windows Mixed Reality。 有关详细信息,请参阅在企业中启用或阻止 Windows Mixed Reality 应用

网络

网络堆栈

此版本提供了多个网络堆栈增强功能。 其中一些功能也在 Windows 10 版本 1703 中可用。 有关详细信息,请参阅 Windows 10创意者更新中的核心网络堆栈功能

Miracast over Infrastructure

在此版本的Windows 10中,Microsoft 扩展了通过本地网络而不是通过直接无线链接发送 Miracast 流的功能。 此功能基于基础结构上的 Miracast 连接建立协议 (MS-MICE)

工作原理

用户尝试使用其以前的方法连接至 Miracast 接收器。 填充 Miracast 接收器列表时,Windows 10 将确认接收器是否能够支持通过基础结构进行连接。 当用户选择 Miracast 接收器时,Windows 10将尝试通过标准 DNS 和多播 DNS 解析设备的主机名, (mDNS) 。 如果名称无法通过任何一种 DNS 方法解析,则 Windows 10 将回退到使用标准 WLAN Direct 连接建立 Miracast 会话。

Miracast over Infrastructure 提供了许多优势

  • Windows 可以自动检测通过此路径发送视频流的合适时间。
  • 仅当通过以太网或安全的 WLAN 网络进行连接时,Windows 才将选择此路径。
  • 用户无需更改其与 Miracast 接收器的连接方式。 他们使用用于标准 Miracast 连接的相同 UX。
  • 无需更改当前无线驱动程序或电脑硬件。
  • 它非常适用于未针对 WLAN Direct 上的 Miracast 进行优化的旧版无线硬件。
  • 它使用现有连接来缩短连接时间并提供稳定的流。

启用基础架构上的 Miracast

如果设备已更新为 Windows 10 企业版 LTSC 2019,则会自动获得此新功能。 若要在环境中利用它,需要确保部署中存在以下要求:

  • (电脑或 Surface Hub) 的设备需要运行Windows 10版本 1703、Windows 10 企业版 LTSC 2019 或更高版本的操作系统。

  • Windows 电脑或 Surface Hub 可充当基础架构上的 Miracast 的接收器。 Windows 设备可充当基础结构上 Miracast

    • 作为 Miracast 接收器,电脑或 Surface Hub 必须通过以太网或安全 Wi-Fi 连接连接到企业网络。 例如,使用 WPA2-PSK 或 WPA2-Enterprise 安全性。 如果 Hub 连接至开放的 WLAN 连接,则基础架构上的 Miracast 将禁用自身。
    • 充当 Miracast 源时,设备必须通过以太网或安全的 Wi-Fi 连接来连接到同一企业网络。

  • 需要可通过你的 DNS 服务器解析设备的 DNS 主机名称(设备名称)。 可以通过允许设备通过动态 DNS 自动注册,或者手动为设备的主机名创建 A 或 AAAA 记录来实现此配置。

  • Windows 10 电脑必须通过以太网或安全的 WLAN 连接连接至相同的企业网络。

重要提示

Miracast over Infrastructure 不能替代标准 Miracast。 相反,此功能可作为补充,并且可以为企业网络中的用户带来优势。 作为特定位置的来宾且无权访问企业网络的用户将继续使用 Wi-Fi 直接连接方法进行连接。

注册表编辑器改进

我们添加了在键入时显示的下拉列表,以帮助完成路径的下一部分。 你还可以按 Ctrl + Backspace 删除最后一个单词,按 Ctrl + Delete 删除下一个单词。

Windows 10中注册表编辑器的屏幕截图,其中显示了路径完成列表。

具有生物识别功能的远程桌面

使用 Windows Hello 企业版 的Microsoft Entra ID和 Active Directory 用户可以使用生物识别对远程桌面会话进行身份验证。

若要开始,请使用 Windows Hello 企业版登录到你的设备。 打开远程桌面 连接 (mstsc.exe) ,键入要连接到的计算机的名称,然后选择“ 连接”。

  • Windows 会记住你已使用 Windows Hello 企业版进行了签名,并且将自动选择 Windows Hello 企业版以向 RDP 会话对你进行身份验证。 还可以选择“ 更多选项” 来选择备用凭据。

  • Windows 采用面部识别功能验证发送到 Windows Server 2016 Hyper-V 服务器的 RDP 会话。 你可以在远程会话中继续使用 Windows Hello 企业版,但这需要用到你的 PIN 码。

请参阅以下示例:

输入凭据。提供凭据。Microsoft Hyper-V Server 2016。

另请参阅

Windows 10 企业版 LTSC:LTSC 服务通道的简短说明,其中包含有关每个版本的信息的链接。