適用於 IT 專業人員的 Windows 10 版本 1809 新功能

適用於:Windows 10 版本 1809

此文章說明 IT 專業人員對 Windows 10 版本 1809 感興趣的全新和更新功能。 此更新也包含 Windows 10 版本 1803 之前累積之更新的所有功能和修正程式。

以下 3 分鐘的影片摘要說明此版本中一些可供 IT 專業人員使用的新功能。

 

部署

Windows Autopilot 自我部署模式

Windows Autopilot 部署自我模式啟用零觸控裝置佈建體驗。 只需啟動裝置、插入乙太網路,並透過 Windows Autopilot 完全自動設定裝置。

在部署程序期間按 [下一步] 按鈕,這個自我部署能力便會移除與使用者互動的目前需求。

您可以利用 Windows Autopilot 自我部署模式,將裝置註冊到 AAD 租用戶、在您組織的 MDM 提供者中註冊,以及佈建原則和應用程式,全部都不需要使用者身分驗證,也不需與使用者互動。

深入了解 Autopilot 自我部署模式,並了解執行這類部署 Windows Autopilot 自我部署模式的逐步指示。

SetupDiag

SetupDiag 版本 1.4 已發行。 SetupDiag 是一種獨立診斷工具,可在 Windows 10 升級失敗時用於疑難排解問題。

安全性

我們持續致力於病毒與威脅防護中的 [目前的威脅] 區域,它現在會顯示所有需要採取動作的威脅。 您可以從這個畫面針對威脅快速採取行動:

病毒與威脅防護設定

有了受控資料夾存取權,您可以協助防止勒索軟體和其他具破壞性的惡意程式碼變更您的個人檔案。 在某些情況下,您通常使用的應用程式可能遭到封鎖,無法對常用的資料夾如** [文件]** 和 [圖片] 進行變更。 我們已經讓您更容易新增最近已封鎖的應用程式,因此您可以繼續使用您的裝置,而不需完全關閉該功能。

當應用程式遭到封鎖時,它會出現在最近封鎖的應用程式清單中,要取得此清單只需按一下 [勒索軟體防護] 標題下方的 [管理設定] 即可。 按一下 [允許應用程式通過受控資料夾存取權]。 提示後,按一下 + 按鈕,然後選擇 [最近封鎖的應用程式]。 選取任何應用程式以將它們新增到允許清單。 您也可以從這個頁面瀏覽應用程式。

我們將 Windows 時間服務的新評估加入至 [裝置效能與運作狀況] 區段。 如果我們偵測到您裝置的時間未正確地與我們時間伺服器同步,而且時間同步服務已停用,此時我們將提供選項,讓您將它重新開啟。

我們正持續運作有關已安裝的其他安全性應用程式,如何顯示在 Windows 安全性應用程式中。 還有一個新頁面,稱為安全性提供者,這可以在應用程式的 [設定] 區段中找到。 按一下 [管理提供者] 查看所有在您的裝置上執行的其他安全性提供者清單 (包括防毒軟體,防火牆和網頁保護)。 您可以在此處輕鬆地開啟提供者的應用程式,或取得更多有關如何解決透過 Windows 安全性回報給您的問題。

這也表示您會看到多個 Windows 安全性內的其他安全性應用程式的連結。 例如,如果您開啟 [防火牆與網路保護]**** 區段,您會看到每個防火牆類型 (包括網域、私人和公用網路) 之裝置上所執行的防火牆應用程式。

BitLocker

固定式磁碟機上的無訊息強制執行

透過現代化裝置管理 (MDM) 原則,標準 Azure Active Directory (AAD) 加入的使用者,以無訊息方式啟用 BitLocker。 在 Windows 10 版本 1803 中,針對標準 AAD 使用者啟用自動 BitLocker 加密,但這仍需要通過硬體安全測試介面 (HSTI) 的現代硬體。 這項新功能也可透過未通過 HSTI 的裝置原則來啟用 BitLocker。

這是 BitLocker 雲端解決方案提供者的更新,這已在 Windows 10 版本 1703 中推出,並由 Intune 及其他項目運用。

這很快就會在 Olympia Corp 上啟用為選用的功能。

在 OOBE 期間,傳送 BitLocker 原則至 AutoPilot 裝置

您可以選擇將哪些加密演算法套用至具備 BitLocker 加密功能的裝置,而不是自動讓這些裝置使用預設演算法對其本身進行加密。 這可讓加密演算法 (及其他必須於加密前套用的 BitLocker 原則) 在 BitLocker 加密開始之前既已傳遞。

例如,您可以選擇 XTS-AES 256 加密演算法,並在 OOBE 期間,使用預設 XTS-AES 128 演算法,將它套用到會正常自動自行加密的裝置。

若要達到此目的:

  1. 將 Windows 10 Endpoint Protection 設定檔中的加密方法設定設定為所需的加密演算法。
  2. 指派原則給您的 Autopilot 裝置群組。
    • 重要:必須將加密原則指派給群組 (而非使用者) 中的裝置
  3. 啟用這些裝置的 Autopilot 註冊狀態頁面 (ESP)。
    • 重要:如果沒有啟用 ESP,原則就不會在加密開始之前套用。

如需詳細資訊,請參閱設定 Autopilot 裝置的 BitLocker 加密演算法

Windows Defender 應用程式防護的改進功能

Windows Defender 應用程式防護 (WDAG) 在此版本中在 Windows 安全性內推出新的使用者介面。 獨立使用者現在可以在 [Windows 安全性] 內安裝並設定他們的 Windows Defender 應用程式防護設定,而不需要變更登錄機碼設定。

此外,受企業原則管理的使用者,將可檢查他們的設定,以查看其系統管理員已為其電腦設定哪些功能來更深入了解 Windows Defender 應用程式防護的行為。 這個新的 UI 可改善使用者的整體體驗,同時管理並檢查其 Windows Defender 應用程式防護設定。 只要裝置符合最低需求,這些設定會出現在 [Windows 安全性]。 如需詳細資訊,請參閱 Windows 安全性應用程式中的 Windows Defender 應用程式防護 (英文)。

若要嘗試看看:

  1. 請移至 [Windows 安全性],並選取 [應用程式與瀏覽器控制]
  2. [隔離的瀏覽] 下,選取 [安裝 Windows Defender 應用程式防護],然後安裝並重新開機裝置。
  3. 選取 [變更應用程式防護] 設定。
  4. 設定或檢查應用程式防護設定。

請參閱下列範例:

安全性概覽 隔離的瀏覽器 變更 WDAG 設定 檢視 WDAG 設定

Windows 資訊安全中心

Windows Defender 資訊安全中心現在稱為 Windows 資訊安全中心

您仍然可以所有常用方式來使用應用程式 – 只需要求 Cortana 開啟 Windows 資訊安全中心 (WSC),或與工作列圖示互動。 WSC 可讓您管理所有的安全需求,包括 Windows Defender 防毒軟體Windows Defender 防火牆

WSC 服務現在需要防毒軟體產品,當成要註冊的受保護處理程序來執行。有尚未實作此項目的產品將不會出現在 Windows 資訊安全中心的使用者介面中,而且 Windows Defender 防毒軟體將會維持與這些產品並排啟用。

WSC 現在包含您知道且喜愛的 Fluent Design 系統元素。 您也會發現我們已調整間距和應用程式周圍的邊框間距。 如果額外的資訊需要更多的空間,它會立即動態調整主頁面上的類別大小。 我們也更新標題列,如果您已在 [色彩設定] 中啟用該選項,它會使用您的輔色。

替代文字

Windows Defender 防火牆現在支援 Linux (WSL) 適用的 Windows 子系統處理程序

就像任何 Windows 處理程序一樣,您可以在 Windows Defender 防火牆為 WSL 處理程序新增特定規則。 此外,Windows Defender 防火牆現在支援 WSL 處理程序通知。 例如,當 Linux 工具想要允許存取來自外部的連接埠 (像是 SSH 或網頁伺服器,例如 nginx),Windows Defender 防火牆會提示允許存取,就像當連接埠開始接受連線時,也會對 Windows 處理程序允許存取。 這首次於組建 17627中推出。

Microsoft Edge 群組原則

我們推出新的群組原則與現代裝置管理設定來管理 Microsoft Edge。 新的原則包含啟用和停用全螢幕模式、列印、我的最愛列及儲存歷程記錄;防止憑證錯誤會覆寫;設定首頁按鈕和啟動選項;設定新的索引標籤頁面和首頁按鈕 URL,以及管理延伸模組。 深入了解新 Microsoft Edge 原則

預設支援已加入 AAD 之 10S 裝置上的 Windows Defender Credential Guard

Windows Defender Credential Guard 是 Windows 10 中的一種安全服務,建置目的是為保護 Active Directory (AD) 網域憑證,如此便不會遭竊或由使用者電腦上的惡意程式碼誤用。 它被設計來防禦已知的威脅,例如 Pass-the-Hash 和憑證蒐集。

Windows Defender Credential Guard 始終都是選用功能,但 Windows 10 S 在電腦已加入 Azure Active Directory 時會預設開啟此功能。 當連線至通常不會出現在 10 S 裝置上的網域資源時,這會提供額外的安全性層級。 請注意 Windows Defender Credential Guard 僅適用於 S 模式裝置或企業版及教育版。

Windows 10 專業版的 S 模式需要網路連線

設定新的裝置現在需要網路連線。 如此一來,我們會在網路設定頁面中全新體驗 (OOBE) 中移除 [暫時略過] 選項。

Windows Defender ATP

Windows Defender 進階威脅防護 已增強,現在有許多新的功能。 如需相關資訊,請參閱下列主題:

  • 威脅分析
    威脅分析是 Windows Defender ATP 研究團隊在識別新威脅和發作後,發佈的一組互動式報告。 該報告協助安全作業小組評估對其環境的影響,並提供建議的動作來包含、增加組織的復原能力,並防範特定的威脅。

  • 自訂偵測
    有了自訂偵測,您可以建立自訂查詢來監視任何類型的行為,例如可疑或新興威脅的事件。 這可以利用強大的進階獵狩透過建立自訂的偵測規則來完成。

  • 受管理的安全性服務提供者 (MSSP) 支援
    Windows Defender ATP 會藉由提供 MSSP 整合,新增對這種情況下的支援。 整合可讓 MSSP 採取下列動作:取得 MSSP 客戶的 Windows Defender 資訊安全中心入口網站的存取權、擷取電子郵件通知,及透過安全性資訊和事件管理 (SIEM) 工具擷取警示。

  • 與 Azure 資訊安全中心整合
    Windows Defender ATP 與 Azure 資訊安全中心整合,以提供完整的伺服器保護解決方案。 藉由此整合,Azure 資訊安全中心可以運用 Windows Defender ATP 的強大功能,為 Windows 伺服器提供更強大的威脅偵測功能。

  • 與 Microsoft Cloud App Security 整合
    Microsoft Cloud App Security 利用 Windows Defender ATP 端點訊號,允許直接查看雲端應用程式使用情況,包括使用來自 Windows Defender ATP 監視的所有電腦的不受支援雲端服務 (陰影 IT)。

  • 將 Windows Server 2019 上線
    Windows Defender ATP 現在新增對 Windows Server 2019 的支援。 您將無法以適用於 Windows 10 用戶端電腦的相同方法將 Windows Server 2019 上線。

  • 上線舊版的 Windows
    上線支援的 Windows 電腦版本,以便傳送感應器資料至 Windows Defender ATP 感應器

Kiosk 套裝電腦體驗

我們在 [設定] 處導入簡化的指派存取設定體驗,讓裝置管理員能夠輕鬆地將電腦設定為 kiosk 或數位告示板。 精靈體驗引導您完成 kiosk 設定程序,包括建立 kiosk 帳戶,其將會在裝置啟動時自動登入。

若要使用這項功能,請移至 [設定],搜尋指派的存取,並開啟 [設定 kiosk] 頁面。

設定 kiosk

以單一應用程式指派的存取方式所執行的 Microsoft Edge kiosk 模式,具有兩種 kiosk 類型。

  1. 數位/互動式招牌顯示特定網站全螢幕,並執行 InPrivate 模式。
  2. 公用瀏覽支援多個索引標籤瀏覽,並且以最簡功能執行 InPrivate 模式。 使用者無法最小化、關閉或開啟新的 Microsoft Edge 視窗,或使用 Microsoft Edge 設定來自訂。 使用者可以清除瀏覽資料和下載項目,並可藉由按一下 [結束工作階段] 重新啟動 Microsoft Edge。 系統管理員可以設定 Microsoft Edge 在一段閒置時間後重新啟動。

單一應用程式指派的存取

以多應用程式指派的存取來執行的 Microsoft Edge,具有兩種 kiosk 類型。

注意

下列的 Microsoft Edge kiosk 模式類型無法設定 Windows 10 設定中使用新的簡化指派的存取設定精靈。

公用瀏覽支援多個索引標籤瀏覽,並且以最簡功能執行 InPrivate 模式。 在此設定中,Microsoft Edge 也可以是許多可用應用程式的其中一個。 使用者可以關閉和開啟多個 InPrivate 模式視窗。

多應用程式指派的存取

一般模式執行完整版的 Microsoft Edge,雖然有些功能可能無法運作,這取決於哪些應用程式以指派的存取來設定。 例如,如果未設定 Microsoft Store ,使用者便無法取得書籍。

標準模式

深入了解Microsoft Edge kiosk 模式

登錄編輯程式改進功能

我們新增下拉式清單,其會在您輸入時顯示,協助完成路徑的下一個部分。 您也可以按 Ctrl + Backspace 刪除最後一個字,以及按 Ctrl + Delete 刪除下一個字。

登錄編輯程式下拉式清單

更快速登入 Windows 10 共用電腦

您工作場所是否有部署共用的裝置? 快速登入可讓使用者迅速登入共用的 Windows 10 電腦!

啟用快速登入:

  1. 使用 Windows 10 版本 1809 設定共用或來賓裝置。
  2. 設定原則雲端解決方案提供者及驗證和 EnableFastFirstSignIn 原則,以啟用快速登入。
  3. 從您的帳戶登入到共用電腦。 您會注意到差異!

    快速登入

注意

這是預覽功能,因此不適合或不建議用於生產環境。

Web 登入 Windows 10

到目前為止,Windows 登入僅支援使用同盟至 ADFS 或其他支援 WS Fed 通訊協定的提供者的身分識別。 我們引進了登入 Windows 電腦的 [Web 登入] 新方式。 Web 登入啟用非 ADFS 同盟提供者 (e.g.SAML) 的 Windows 登入支援。

嘗試 Web 登入:

  1. Azure AD 加入您的 Windows 10 電腦。 (Web 登入僅支援 Azure AD 加入的電腦)。
  2. 設定原則雲端解決方案提供者及驗證和 EnableWebSignIn 原則,以啟用 Web 登入。
  3. 在鎖定畫面上,在登入選項下方選取 [Web 登入]。
  4. 按一下 [登入] 按鈕以繼續。

    Web 登入

注意

這是預覽功能,因此不適合或不建議用於生產環境。

您的手機應用程式

Android 手機的使用者,您終於不需要再自行以電子郵件傳送相片。 有了「您的手機」,您就可以在您電腦上立即存取 Android 最新相片。 將相片從您的手機拖放到您的電腦上,則您可以複製、編輯相片,或為相片上油墨。 嘗試開啟您的手機應用程式。 您會收到以連結形式呈現的文字,透過該連結可從 Microsoft 下載應用程式到您的手機。 Android 7.0 + 具有乙太網路的裝置或未計量網路上的 Wi-Fi,均與您的手機應用程式相容。 對於繫結至中國地區的電腦,未來將會啟用您的手機應用程式服務。

對於 iPhone 的使用者,您的手機應用程式也可協助您將您的手機連結到您的電腦。 在您的手機上瀏覽網站,然後立即傳送網頁到您的電腦,以繼續閱讀、觀看或瀏覽:這些全是使用較大螢幕的好處。

您的手機

桌面的 pin 碼會將您直接帶到您的手機應用程式,以更快速存取您手機的內容。 您也可以瀏覽 [開始]中所有的應用程式清單,或使用 Windows 鍵並搜尋您的手機

無線投影體驗

我們從您那裡聽到的其中一件事是,很難了解您何時以無線方式投影,以及當從檔案總管或從應用程式啟動時,如何中斷與您的工作階段連線。 在 Windows 10 版本 1809,您在工作階段中會在螢幕頂端看到控制項橫幅標語 (就像您使用遠端桌面時所看到的)。 橫幅標語讓您能對連線狀態瞭若指掌,可讓您快速中斷連線或重新連線到相同的接收,並可讓您根據您正在執行的連線來做調整。 這項調整是透過設定完成的,這會根據三種模式的其中一個將螢幕到螢幕延遲最佳化:

  • 遊戲模式將螢幕到螢幕延遲最小化,使透過無線連線玩遊戲變成可能
  • 視訊模式會增加螢幕到螢幕延遲,確保大螢幕上的視訊能平順地播放
  • 生產力模式,可在遊戲模式和視訊模式之間取得平衡,而螢幕到螢幕延遲的回應性夠,輸入感覺自然,同時確保影片不會時常有音訊故障情況。

無線投影橫幅

使用生物特徵辨識技術的遠端桌面

使用 Windows Hello 企業版的 Azure Active Directory 和 Active Directory 使用者,可以使用生物識別技術來驗證遠端桌面工作階段。

若要快速入門,請登入使用 Windows Hello 企業版的裝置。 帶出遠端桌面連線(mstsc.exe),輸入您想要連線的電腦名稱,並按一下 [連接]。 Windows 會記住您使用 Windows Hello 企業版登入,並且會自動選取 Windows Hello 企業版來驗證您到 RDP 工作階段。 您也可以按一下 [更多選擇] 選擇替代憑證。 Windows 會使用臉部辨識功能來驗證 Windows Server 2016 Hyper-V 伺服器的 RDP 工作階段。 在遠端工作階段,您可以繼續使用 Windows Hello 企業版,但必須使用您的 PIN 碼。

請參閱下列範例:

輸入您的認證 輸入您的認證 Microsoft Hyper-V Server 2016