雲端解決方案提供者中的 Windows 企業版 E3
CSP 中的 Windows 企業版 E3 會依訂用帳戶提供保留給 Windows Enterprise 版本的獨佔功能。 此服務是透過合作夥伴中心的雲端解決方案提供者 (CSP) 通路,以線上服務的形式提供。 CSP 中的 Windows 企業版 E3 為中小型組織提供彈性的每個使用者訂用帳戶, (從一到數百個使用者) 。 若要利用此供應項目,必須符合下列必要條件:
- 在要升級的裝置上安裝並啟用目前支援的 Windows 版本。
- Microsoft Entra 適用於身分識別管理。
從 Windows Pro 移至 Windows 企業版比以往更簡單,沒有密鑰且沒有重新啟動。 當使用者輸入與 Windows 企業版 E3 授權相關聯的 Microsoft Entra 認證之後,操作系統就會從 Windows Pro 變成 Windows 企業版,並解除鎖定所有適當的企業功能。 當訂用帳戶授權過期或轉移給另一位使用者時,企業版裝置會順暢地回溯到 Windows Pro。
以前只有具有 Microsoft 大量許可協議的組織可以將 Windows 企業版部署到其使用者。 現在,透過 CSP 中的 Windows 企業版 E3,中小型組織可以更輕鬆地利用企業版功能。
透過合作夥伴購買 Windows 企業版 E3 時,會包含下列權益:
- Windows 企業版。 目前執行 Windows Pro 的裝置可以取得 Windows 企業最新分支 (CB) 或最新商務分支 (CBB) 。 此權益不包含長期服務分支 (LTSB) 。
- 支援從一到數百個使用者。 雖然雲端解決方案提供者計劃中的 Windows 企業版 E3 對於組織可擁有的授權數目沒有限制,但此計劃是針對中小型組織所設計。
- 最多可部署到五部裝置。 針對授權涵蓋的每個使用者,Windows Enterprise Edition 最多可以部署在五部裝置上。
- 隨時復原到 Windows Pro。 當使用者的訂閱過期或轉移給另一位使用者時,Windows Enterprise 裝置會在最多 90 天的寬限期后,順暢地還原至 Windows Pro 版本 () 。
- 每月每使用者計價模式。 此模型可讓組織經濟實惠的 Windows 企業版 E3。
- 在使用者之間移動授權。 授權可以快速且輕鬆地從一位使用者重新配置給另一位使用者,讓授權投資能夠針對變更的需求進行優化。
雲端解決方案提供者計劃中的 Windows 企業版 E3 與 Microsoft 大量許可協定和軟體保證有何比較?
Microsoft 大量授權方案的範圍更廣,可為組織提供所有 Microsoft 產品授權的存取權。
軟體保證為組織提供下列權益:
部署及管理。 這些優點包括規劃服務:
- Microsoft Desktop Optimization (MDOP) 。
- Windows 虛擬桌面訪問許可權。
- Windows 漫遊使用許可權。
- 其他優點。
訓練。 這些好處包括訓練憑券、線上 E-Learning 以及軟體家用計畫。
支援。 這些優點包括:
- 24x7 問題解決支援。
- 災害復原的備份功能。
- System Center 全域服務監視。
- SQL Server 的被動次要實例。
特殊化。 這些優點包括逐步授權可用性,可讓您將軟體從舊版移轉至較高層級的版本。 它也會將授權和軟體保證付款分散到三個等於的年度總和。
此外,在 CSP 的 Windows 企業版 E3 中,合作夥伴可以管理組織的授權。 使用軟體保證,組織必須管理自己的授權。
總而言之,雲端解決方案提供者計劃中的 Windows 企業版 E3 是一項升級供應專案,可讓中小型組織更輕鬆、更有彈性地存取 Windows 企業版的優點。 另一方面,Microsoft 大量授權方案和軟體保證的範圍更廣,除了存取 Windows 企業版之外,還提供優點。
比較 Windows 專業版和企業版
Windows 企業版有許多 Windows Pro 無法使用的功能。 表 1 列出 Windows Pro 中找不到的一些 Windows 企業版功能。 許多這些功能與安全性相關,而其他功能可讓您進行精細的裝置管理。
表 1. Windows Pro 中找不到 Windows 企業版功能
| 功能 | 描述 |
|---|---|
| Credential Guard | Credential Guard 會使用虛擬化型安全性來協助保護安全性秘密,讓只有具特殊許可權的系統軟體可以存取它們。 可保護的安全性秘密範例包括NTLM密碼哈希和 Kerberos 票證授權票證。 此保護有助於防止傳遞哈希或票證傳遞攻擊。 Credential Guard 具有下列功能: 如需詳細資訊,請參閱使用 Credential Guard 保護衍生的網域認證。 Credential Guard 需要
|
| Device Guard | 此功能結合了硬體與軟體的安全性功能,在裝置上只允許受信任的應用程式執行。 即使攻擊者管理取得 Windows 核心的控制權,他們執行可執行程式代碼的可能性也較低。 Device Guard 可以在 Windows Enterprise 版本中使用虛擬化型安全 (VBS) ,將程式代碼完整性服務與 Windows 核心本身隔離。 使用 VBS 時,即使惡意程式碼取得核心的存取權,效果也相當有限,因為 Hypervisor 可以防止惡意程式碼執行程式碼。 Device Guard 會以下列方式保護: 如需詳細資訊,請參閱 Device Guard 簡介。 |
| AppLocker 管理 | 這項功能可協助 IT 專業人員判斷使用者可以在裝置上執行的應用程式和檔案。 可管理的應用程式與檔案包含可執行檔、指令碼、Window Installer 檔案、動態連結程式庫 (DLL)、已封裝的 App 與已封裝的 App 安裝程式。 如需詳細資訊,請參閱 AppLocker。 |
| Application Virtualization (App-V) | 這項功能可讓使用者使用應用程式,而不需要直接在使用者的裝置上安裝應用程式。 App-V 會將應用程式轉換成永遠不會安裝的集中管理服務,而且這些應用程式也不會與其他應用程式衝突。 此功能也可利用最新的安全性更新來協助確保應用程式一律處於最新狀態。 如需詳細資訊, 請參閱開始使用適用於 Windows 用戶端的 App-V。 |
| 使用者體驗虛擬化 (UE-V) | 透過這項功能,可以擷取使用者自定義的 Windows 和應用程式設定,並儲存在集中管理的網路檔案共用上。 當使用者登入時,其個人化設定會套用至其工作會話,而不論其登入的會話 (VDI) (哪個裝置或虛擬桌面基礎結構。 UE-V 提供下列功能: 如需詳細資訊,請 參閱用戶體驗虛擬化 (UE-V) 概觀。 |
| 受管理的使用者體驗 | 這項功能可協助自定義和鎖定 Windows 裝置的使用者介面,以將其限制為特定工作。 例如,您可以針對 kiosk 或教室裝置等受控制的案例設定裝置。 一旦使用者登出,使用者體驗會自動重設。 也可以限制對 Windows 市集等服務的存取。 針對 Windows 10,也可以管理 [開始] 設定選項,例如: |
部署 Windows 企業版 E3 授權
部署 Windows 企業版功能
現在 Windows Enterprise 版本已在裝置上執行,企業版的功能如何利用? 對於表 1 中所討論的每個功能,需要採取的後續步驟有哪些?
下列各節提供需要在環境中執行的高階工作,以協助使用者利用 Windows 企業版功能。
Credential Guard
注意
需要具有受信任開機的 UEFI 2.3.1 或更新版本;必須啟用 Intel VT-x、AMD-V 和 SLAT 等虛擬化擴充功能;x64 版本的 Windows;IOMMU,例如 Intel VT-d、AMD-Vi;BIOS 鎖定;如果 TPM 2.0 不存在) ,建議用於裝置健康情況證明 (的 TPM 2.0 將會使用軟體。
在這些裝置上開啟 Credential Guard,即可在 Windows 企業版裝置上實作 Credential Guard。 Credential Guard 使用 Windows 虛擬化型 (Hyper-V) 必須先在每個裝置上啟用的安全性功能,才能開啟 Credential Guard。 Credential Guard 可以使用下列其中一種方法來開啟:
自動。 您可以使用 群組原則,為一或多個裝置開啟 Credential Guard。 群組原則設定會自動在受管理的裝置上新增虛擬化型安全性功能並設定 Credential Guard 登錄設定。
手動。 您可以採取下列其中一個動作,手動開啟 Credential Guard:
使用 [程式和功能] 或部署映像服務與管理 (DISM) 來新增虛擬化型安全性功能。
您也可以使用「登錄編輯器」或 Device Guard 與 Credential Guard 硬體整備工具來設定 Credential Guard 登錄設定。
這些手動步驟可以使用管理工具自動化,例如 Microsoft Configuration Manager。
如需實作 Credential Guard 的詳細資訊,請參閱下列資源︰
Device Guard
現在裝置已有 Windows 企業版,您可以執行下列步驟,在 Windows 企業版裝置上實作 Device Guard:
選擇性地建立適用於程式碼完整性原則的簽署憑證。 部署程式代碼完整性原則時,可能需要在內部簽署目錄檔案或程式代碼完整性原則。 若要在內部簽署類別目錄檔案或程式代碼完整性原則,需要公開發行的程式代碼簽署憑證 (通常會購買) 或內部證書頒發機構單位 (CA) 。 如果選擇內部 CA,則必須建立程式代碼簽署憑證。
從「黃金」計算機建立程式碼完整性原則。 部門或角色有時會使用特別或部分獨特的硬體和軟體集。 在這些情況下,可以設定包含這些部門或角色之軟體和硬體的「黃金」計算機。 在這方面,建立和管理程式碼完整性原則以符合角色或部門的需求,非常類似管理公司映像的方式。 您可以從每部「黃金」計算機建立程式碼完整性原則,然後決定如何管理該原則。 您可以合併程式代碼完整性原則來建立更廣泛的原則或主要原則,或是個別管理和部署每個原則。
稽核程式碼完整性原則,並擷取與原則以外的應用程式相關的資訊。 Microsoft 建議您使用「稽核模式」,在強制執行每個程式代碼完整性原則之前,先仔細測試這些原則。 使用稽核模式時,不會封鎖任何應用程式。 每當原則以外的應用程式啟動時,原則只會記錄事件。 稍後可以視需要擴充原則以允許這些應用程式。
為未簽署的企業營運 (LOB) 應用程式建立「目錄檔案」。 使用套件偵測器工具來建立及簽署未簽署LOB應用程式的目錄檔案。 在後續步驟中,目錄檔案的簽章可以合併到程式代碼完整性原則中,讓原則允許目錄中的應用程式。
從事件記錄檔中擷取所需的原則資訊,並視需要將資訊合併到現有的原則。 在稽核模式中執行程式碼完整性原則一段時間之後,事件記錄檔將會包含原則以外的應用程式的相關資訊。 若要擴充原則以允許這些應用程式,請使用 Windows PowerShell 命令從事件記錄檔擷取所需的原則資訊。 擷取信息之後,將該資訊合併到現有原則中。 程序代碼完整性原則也可以從其他來源合併,以提供建立最終程式代碼完整性原則的彈性。
部署程式碼完整性原則和類別目錄檔案。 確認上述所有步驟都已完成之後,即可部署類別目錄檔案,並可將程式代碼完整性原則從稽核模式中移除。 Microsoft 強烈建議您以測試使用者群組開始此程式。 測試可在更廣泛地部署類別目錄檔案和程式代碼完整性原則之前,先提供最終的品質控制驗證。
啟用需要的硬體安全性功能 以硬體為基礎的安全性功能 (亦稱為虛擬化型安全性 (VBS) 功能) 可加強程式碼完整性原則所提供的保護。
如需實作 Device Guard 的詳細資訊,請參閱︰
AppLocker 管理
您可以使用 群組原則 來管理 Windows Enterprise 中的 AppLocker。 群組原則 需要有AD DS,而且 Windows 企業版裝置已加入AD DS網域。 您可以使用 群組原則 來建立 AppLocker 規則。 AppLocker 規則接著可以以適當的裝置為目標。
如需使用群組原則管理 AppLocker 的詳細資訊,請參閱 AppLocker 部署指南。
App-V
App-V 需要能夠支援 APP-V 用戶端的 App-V 伺服器基礎結構。 需要的主要 App-V 元件如下:
App-V 伺服器。 App-V 伺服器提供 App-V 管理、虛擬化的 App 發佈、App 串流處理與報告服務。 這些服務的每一個都可在一部伺服器上執行,也可以在多部伺服器上分別執行。 例如,可能會有多個串流伺服器。 App-V 用戶端會連絡 App-V 伺服器,以判斷哪些 App 發佈到使用者或裝置,然後從伺服器執行虛擬化的 App。
App-V Sequencer。 App-V Sequencer 是典型的用戶端裝置,用來排序 (擷取) App,並準備從 App-V 伺服器裝載它們。 應用程式會安裝在 App-V 排序器上,而 App-V 排序器軟體會決定應用程式安裝期間變更的檔案和登錄設定。 然後 Sequencer 會擷取這些設定來建立虛擬化的 App。
App-V 用戶端。 App-V 用戶端必須在需要從 App-V 伺服器執行應用程式的任何 Windows Enterprise E3 用戶端裝置上啟用。
如需實作 App-V 伺服器、App-V Sequencer 與 App-V 用戶端的詳細資訊,請參閱下列資源︰
UE-V
UE-V 需要需要下載、啟用及安裝的伺服器和用戶端元件。 這些元件包括︰
UE-V 服務。 UE-V 服務 (當已在裝置上啟用時) 會監視已登錄的應用程式與 Windows 的任何設定是否變更,然後在裝置之間同步這些設定。
設定套件。 UE-V 服務建立的設定套件是用來儲存應用程式設定與 Windows 設定。 設定套件建置後會儲存到本機,然後複製到設定儲存位置。
設定儲存位置。 此位置是使用者可以存取的標準網路共用。 UE-V 服務會驗證該位置,然後建立一個隱藏的系統資料夾來儲存及擷取使用者設定。
設定位置範本。 設定位置範本是 UE-V 用來監視以及同步使用者電腦之間傳統型應用程式設定與 Windows 桌面設定的 XML 檔案。 根據預設值,UE-V 中包含一些設定位置範本。 自訂設定位置範本也可以使用 UE-V 範本產生器來建立、編輯或驗證。 Windows 應用程式不需要設定位置範本。
通用 Windows 應用程式清單。 UE-V 使用受管理的應用程式清單來決定要為設定同步啟用哪些 Windows 應用程式。 根據預設值,此清單包含大部分的 Windows 應用程式。
如需部署 UE-V 的詳細資訊,請參閱下列資源:
受管理的使用者體驗
受控用戶體驗功能是一組 Windows 企業版功能和對應的設定,可用來管理用戶體驗。 表 2 描述依類別) (的受控用戶體驗設定,這些設定僅適用於 Windows Enterprise 版本。 用來設定每個功能的管理方法取決於功能。 某些功能是使用群組原則來設定,而其他功能是使用 Windows PowerShell、部署映像服務與管理 (DISM) 或其他命令列工具來設定。 針對 群組原則 設定,加入 AD DS 網域的 Windows Enterprise 裝置需要 AD DS。
表 2. 受管理的使用者體驗功能
| 功能 | 描述 |
|---|---|
| [開始] 配置自訂 | 自訂的 \[開始\] 配置可以部署給網域中的使用者。 不需要重新建立映像,且可以透過覆寫包含配置的 .xml 檔案來更新 \[開始\] 配置。 XML 檔案可讓您針對不同的部門或組織自定義 \[開始\] 配置,且管理額外負荷降到最低。 如需這些設定的詳細資訊,請參閱使用群組原則自訂 Windows 10 的 [開始] 與工作列。 |
| 非品牌化開機 | Windows 啟動或繼續時出現的 Windows 元素可以隱藏。 當 Windows 遇到無法復原的錯誤時,也會隱藏當機畫面。 如需這些設定的詳細資訊,請參閱非品牌化開機。 |
| 自定義登入 | 自定義登入功能可用來隱藏與歡迎畫面和關機畫面相關的 Windows UI 元素。 例如,您可以隱藏歡迎畫面 UI 的所有元素,並提供自定義登入 UI。 您也可以隱藏封鎖的關機解析程式 (BSDR) 畫面,而且當作業系統等候應用程式在關機前關閉時,應用程式可以自動結束。 如需這些設定的詳細資訊,請參閱自訂登入。 |
| 殼層啟動程式 | 透過「殼層啟動程式」,讓受指派的存取權只執行傳統型 Windows 應用程式來取代殼層。 如需這些設定的詳細資訊,請參閱殼層啟動程式。 |
| 鍵盤篩選器 | 鍵盤篩選可用來隱藏不想要的按鍵或按鍵組合。 通常,使用者可以使用特定的 Windows 按鍵組合 (例如 Ctrl + Alt + Delete 或 Ctrl + Shift + Tab) 來控制裝置,方式是將畫面鎖定或使用「工作管理員」來關閉執行中的應用程式。 這些鍵盤動作不適合用於專用的裝置。 如需這些設定的詳細資訊,請參閱鍵盤篩選器。 |
| 統一寫入篩選器 | 整合寫入篩選器 (UWF) 可用於裝置上,以協助保護實體記憶體媒體,包括 Windows 支援的大部分標準可寫入記憶體類型,例如:
如需這些設定的詳細資訊,請參閱統一寫入篩選器。 |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應