部署 Windows 企业版许可证
本文介绍如何在 CSP 和Microsoft Entra ID中部署具有订阅激活或企业版 E3 的 Windows 企业版 E3 或 E5 许可证。
这些激活功能需要受支持和许可的 Windows 专业版:
- 使用企业协议 (EA) 或MICROSOFT产品 & 服务协议 (MPSA) 激活订阅。
- CSP 中的企业 E3。
- 自动非 KMS 激活还需要具有固件嵌入激活密钥的设备。
- 订阅激活需要 企业每用户 许可。 它不适用于 每个设备 许可。
使用现有 EA 启用订阅激活
具有现有 Microsoft 365 租户的 EA 客户可以使用以下步骤在现有租户上启用 Windows 订阅许可证:
请与经销商合作,为每个用户订购一个 $0 SKU。 截至 2022 年 10 月 1 日,有三个 SKU 可用,具体取决于当前的 Windows 企业版 SA 许可证:
SKU 说明 AAA-51069 Win OLS Activation User Alng Sub Add-on E3AAA-51068 Win OLS Activation User Sub Add-on E5VRM-00001 Win OLS Activation User GCC Sub Per User注意
自 2022 年 10 月 1 日起,订阅激活适用于 商业 租户和 GCC 租户。 它目前在 GCC High 或 DoD 租户上不可用。
下订单后,协议上的 OLS 管理员将收到一封服务激活电子邮件,该电子邮件指示在租户上预配了订阅许可证。
现在可以将订阅许可证分配给用户。
若要更新联系信息并重新发送激活电子邮件,请使用以下过程:
登录到 Microsoft 批量许可服务中心。
选择“ 订阅”。
选择“ 联机服务协议列表”。
输入协议编号,然后选择“ 搜索”。
选择 “服务名称”。
在 “订阅联系人 ”部分中,选择“ 姓氏”下列出的姓名。
更新联系人信息,然后选择“ 更新联系人详细信息”。 此操作会触发新电子邮件。
准备部署:查看要求
- 设备必须运行受支持的 Windows 专业版。
- 已加入Microsoft Entra域,或使用 Microsoft Entra Connect 加入混合域。 与 Microsoft Entra ID 联合的客户也有资格。
有关详细信息,请参阅本文后面的 查看设备上的要求。
Active Directory 与 Microsoft Entra ID 同步
如果有本地 Active Directory 域服务 (AD DS) 域,则需要将本地 AD DS 域中的标识与Microsoft Entra ID同步。 此同步要求用户具有一个标识,他们可以使用该标识来访问其使用Microsoft Entra ID的本地应用和云服务。 云服务的一个示例是 Windows 企业版 E3 或 E5。
有关将本地 AD DS 域与Microsoft Entra ID集成的详细信息,请参阅以下资源:
- 配置Microsoft Entra混合联接
- 什么是具有Microsoft Entra ID的混合标识?
- Microsoft Entra Connect 和 Microsoft Entra Connect Health 安装路线图
将许可证分配给用户
订购 Windows 订阅后,将发送一封电子邮件,其中包含有关如何将 Windows 用作联机服务的指导。 以下方法可用于分配许可证:
当所需的Microsoft Entra订阅可用时,基于组的许可是向用户分配企业 E3 或 E5 许可证的首选方法。
可以通过登录到 Microsoft 365 管理中心 手动分配许可证。
可以通过上传电子表格来分配许可证。
可以通过 PowerShell 分配许可证。
了解升级体验
现在,已建立订阅并将许可证分配给用户,运行受支持 Windows 专业版的设备可以升级到企业版。
提示
本升级体验演练假定未使用 Autopilot。 有关加入Microsoft Entra ID时的 Autopilot 体验,请参阅用户驱动的Microsoft Entra加入:部署设备。
步骤 1:将 Windows 专业版设备加入到Microsoft Entra ID
设备首次启动时,Windows 专业版设备可以在安装过程中加入Microsoft Entra ID。 现有设备还可以加入Microsoft Entra ID。
首次启动设备时,加入设备以在 OOBE 期间Microsoft Entra ID
首次打开设备以启动 Windows 安装程序,并 (OOBE) 的现装体验。
在“ 这是否是正确的国家或地区?” 屏幕中,选择所需的国家/地区,然后选择“ 是 ”按钮。
在“ 这是正确的键盘布局还是输入法?” 屏幕中,选择所需的键盘/输入方法,然后选择“ 是 ”按钮。
在“ 想要添加第二个键盘布局?” 屏幕中,如果需要,可以通过选择“ 添加布局”来添加其他键盘/输入方法。 否则,请选择“ 跳过 ”按钮。
如果未检测到网络连接,将显示“ 将你连接到网络 ”屏幕。 连接到可访问 Internet 的无线或有线网络,然后选择“ 下一步 ”按钮。
此时,可能会安装 Windows 安装程序的更新。 如果安装了更新,设备将重新启动以完成更新的安装。
在Windows 11 专业版版本中,将显示“为设备命名”屏幕。 为设备命名,然后选择“ 下一步 ”按钮。 为设备指定名称后,设备可能会重新启动。
在Windows 11 专业版版本中,将显示“你希望如何设置此设备?”屏幕。 选择“ 为工作或学校设置 ”,然后选择“ 下一步 ”按钮。
在“ 让我们为工作或学校设置内容” 屏幕中:
在someone@example.com“登录”下的文本框中,输入Microsoft Entra用户帐户的用户名,然后选择“下一步”按钮。 用户名采用 的电子邮件格式 user@domain.com。
在“输入密码”下的“密码”文本框中,输入Microsoft Entra用户帐户的密码,然后选择“登录”按钮。
设备继续执行其余 Windows 设置,包括组织特定设置的配置。
在 “选择设备的隐私设置” 屏幕中,根据需要配置隐私设置,使用“ 下一步 ”按钮在设置之间切换。 完成后,选择“ 接受 ”按钮。
根据设备和组织特定设置的配置,可能会显示其他屏幕。 例如,可能会出现Windows Hello屏幕。
首次打开设备以启动 Windows 安装程序,并 (OOBE) 的现装体验。
在“ 让我们从区域开始”。这是对的吗? 屏幕上,选择所需的国家/地区,然后选择“ 是 ”按钮。
在“ 这是否是正确的键盘布局?” 屏幕中,选择所需的键盘/输入方法,然后选择“ 是 ”按钮。
在 “想要添加第二个键盘布局?” 屏幕中,如果需要,可以通过选择“ 添加布局 ”按钮添加其他键盘/输入方法。 否则,请选择“ 跳过 ”按钮。
如果未检测到网络连接,将显示“ 将你连接到网络 ”屏幕。 连接到可访问 Internet 的无线或有线网络,然后选择“ 下一步 ”按钮。
此时,可能会安装 Windows 安装程序的更新。 如果安装了更新,设备将重新启动以完成更新的安装。
在Windows 10 专业版版本中,将显示“你希望如何设置?”屏幕。 选择“ 为组织设置 ”,然后选择“ 下一步 ”按钮。
在“使用Microsoft登录”屏幕的someone@example.com文本框中,输入Microsoft Entra用户帐户的用户名,然后选择“下一步”按钮。 用户名采用 的电子邮件格式 user@domain.com。
在“输入密码”屏幕的“密码”文本框中,输入Microsoft Entra用户帐户的密码,然后选择“下一步”按钮。
设备继续执行其余 Windows 设置,包括组织特定设置的配置。
在 “选择设备的隐私设置” 屏幕中,根据需要配置隐私设置。 完成后,选择“ 接受 ”按钮。
根据设备和组织特定设置的配置,可能会显示其他屏幕。 例如,可能会出现Windows Hello屏幕。
Windows 安装程序完成后,用户会自动登录,并且设备Microsoft Entra加入组织的订阅。
加入设备以在设备已使用 Windows 进行设置时Microsoft Entra ID
重要提示
确保登录的用户不是 BUILTIN/Administrator 帐户。 该用户无法使用操作 + Connect 加入工作或学校帐户。
通过选择以下链接,打开“设置”应用中的“帐户>访问工作或学校”窗格:
或
右键单击“ 开始 ”菜单,然后选择“ 运行”。
在 “运行” 窗口中,在 “打开:”旁边输入:
ms-settings:workplace然后选择“ 确定”。
或
右键单击“ 开始 ”菜单,然后选择 “设置”。
在 “设置” 应用中,选择左侧窗格中的“ 帐户 ”。
在 “帐户 ”窗格中,选择“ 访问工作单位或学校”。
打开 “帐户 > 访问工作或学校 ”窗格后:
在 “帐户 > 访问工作或学校 ”窗格中,选择 “添加工作或学校帐户”旁边的“ 连接 ”按钮。
在打开 的Microsoft帐户 窗口中:
在“设置工作或学校帐户”页的“备用操作”下,选择“加入此设备以Microsoft Entra ID”。
在“登录”页的“Email或电话”文本框中,输入Microsoft Entra用户帐户的用户名,然后选择“下一步”按钮。 用户名采用 的电子邮件格式 user@domain.com。
在“输入密码”页的“密码”文本框中,输入Microsoft Entra用户帐户的密码,然后选择“登录”按钮。
当“ 确保这是你的组织 ”窗口打开时,确认信息正确,然后选择“ 加入 ”按钮。
设备加入组织的Microsoft Entra ID订阅。 完成后,将显示“ 你已设置! ”页。 选择“ 完成 ”按钮以完成该过程。
右键单击“ 开始 ”菜单,然后选择 “设置”。
在 “设置” 应用中,选择“ 帐户”。
在左侧窗格中,选择“ 访问工作单位或学校”。
打开 “访问工作或学校 ”窗格后:
在“访问工作或学校”窗格中,选择“连接”+旁边的按钮。
在打开 的Microsoft帐户 窗口中:
在“设置工作或学校帐户”页的“备用操作”下,选择“加入此设备以Microsoft Entra ID”。
在“登录”页的“Email或电话”文本框中,输入Microsoft Entra用户帐户的用户名,然后选择“下一步”按钮。 用户名采用 的电子邮件格式 user@domain.com。
在“输入密码”页的“密码”文本框中,输入Microsoft Entra用户帐户的密码,然后选择“登录”按钮。
当“ 确保这是你的组织 ”窗口打开时,确认信息正确,然后选择“ 加入 ”按钮。
设备加入组织的Microsoft Entra订阅。 完成后,将显示“ 你已设置! ”页。 选择“ 完成 ”按钮以完成该过程。
设备现已Microsoft Entra加入组织的订阅。
步骤 2:专业版激活
必须在设备上激活 Windows 专业版。 但是,如果设备运行的是当前受支持的 Windows 版本,则大多数新式设备都会使用固件嵌入的激活密钥自动激活 Windows 专业版。
步骤 3:使用 Microsoft Entra 帐户登录
设备加入Microsoft Entra ID并完成 Windows 安装程序/OOBE 后,用户使用其Microsoft Entra帐户登录。 用户使用其Microsoft Entra帐户登录后,与用户关联的 Windows 企业版 E3 或 E5 许可证在设备上启用 Windows 企业版功能。
步骤 4:验证是否已启用企业版
若要验证 Windows 企业版 E3 或 E5 订阅,请执行以下操作:
通过选择以下链接,打开“设置”应用中的“激活”窗格:
或
右键单击“ 开始 ”菜单,然后选择“ 运行”。
在 “运行” 窗口中,在 “打开:”旁边输入:
ms-settings:activation然后选择“ 确定”。
或
右键单击“ 开始 ”菜单,然后选择 “设置”。
在 “设置” 应用中,选择左侧窗格中的“ 系统 ”。
在“ 系统 ”窗格中, “激活”。
打开 “系统 > 激活 ”窗格后:
在“ 系统 > 激活 ”窗格中,展开 “激活状态 ”和“ 订阅 ”,查看激活状态和状态的完整详细信息:
在 “激活状态”下,验证是否已激活 Windows。 它应显示消息:
Windows is activated with a digital license在“订阅”下,验证Windows 11 企业版订阅是否处于活动状态。 它应显示消息:
Windows 11 Enterprise subscription is active注意
如果尚未应用 Windows 企业版订阅,则不会显示“ 订阅 ”窗格。
右键单击“ 开始 ”菜单,然后选择 “设置”。
在 “设置” 应用中,选择“ 更新 & 安全性”。
在左侧窗格中,选择“ 激活”。
打开“ 激活 ”窗格后:
在 “激活 ”窗格中:
- 在“订阅”旁边,验证Windows 10 企业版订阅是否处于活动状态。 它应显示消息:
Windows Enterprise 10 subscription is active注意
如果尚未应用 Windows 企业版订阅,则不会显示 “订阅” 字段。
- 在 “激活”旁边,验证是否已激活 Windows。 它应显示消息:
Windows is activated with a digital license
当订阅和激活都处于活动状态时,设备正常。 如果 Windows 企业版 E3 或 E5 许可证或许可证激活存在任何问题,“ 激活 ”窗格会显示相应的错误消息或状态。 此信息可用于帮助诊断许可和激活过程。
验证是否已使用 slmgr 启用企业版
Slmgr 还可用于验证激活信息:
打开命令提示符。
若要获取基本许可信息,请在命令提示符处运行以下命令:
slmgr /dli此时会打开一个输出类似于以下内容的窗口:
Name: Windows(R), Professional edition Description: Windows(R) Operating System, RETAIL channel Partial Product Key: 3V66T License Status: Licensed
若要获取详细的许可信息,请运行以下命令:
slmgr /dlv
有关 Slmgr 的详细信息,请参阅 获取批量激活信息Slmgr.vbs 选项。
用户体验疑难解答
在某些情况下,用户可能会遇到激活 Windows 企业版 E3 或 E5 订阅的问题。 用户可能会遇到的最常见问题是以下问题:
- Windows 企业版 E3 或 E5 订阅已失效、已删除或未应用。
- 从未激活过 Windows 专业版。
当 Windows 企业版 E3 或 E5 订阅激活出现问题时,“ 激活 ”窗格中可能会出现以下错误:
未激活 Windows 专业版
如果未在设备上激活 Windows 专业版,则会在“激活”窗格中显示以下激活消息:
Windows is not activated此外,可能会显示以下消息:
We can't activate Windows on this device right now. You can try activating again later or go to the Store to buy genuine Windows. Error code: 0xC004F034.出现此问题的示例包括:
- 设备没有固件嵌入的激活密钥。
- Windows 的起始版本不是 Windows 专业版。 例如,Windows 的起始版本是 Windows 家庭版。
在这些情况下,可能需要手动输入 Windows 专业版密钥。
Windows 企业版订阅未处于活动状态
当具有 Windows 企业版订阅的设备已失效或已删除时,“激活”窗格中会显示“订阅”的以下消息:
Windows Enterprise subscription isn't valid.注意
如果从未应用过 Windows 企业版订阅,则不会显示“ 订阅 ”窗格。
注意
如果从未应用过 Windows 企业版订阅,则不会显示 “订阅” 字段。
查看设备要求
如果设备上存在 Windows 企业版 E3 或 E5 许可证激活问题,请验证它是否满足所有要求:
设备必须运行当前受支持的 Windows 专业版。 支持的 Windows 专业版不支持此功能。
设备必须加入到Microsoft Entra ID,或使用 Microsoft Entra Connect 加入混合域。 与 Microsoft Entra ID 联合的客户也有资格。
若要自动激活 Windows 专业版,设备必须具有固件嵌入的激活密钥。
使用以下指南验证以下每个要求:
确定当前是否支持 Windows 版本。
若要确定当前是否支持 Windows 版本,请执行以下操作:
打开命令提示符
在命令提示符窗口中,输入:
winver.exe“ 关于 Windows ”窗口随即打开,并显示 Windows 的 OS 版本和内部版本信息。
将“ 关于 Windows ”窗口中的信息与 Windows 支持生命周期进行比较:
确定设备是否已Microsoft Entra联接。
若要确定设备是否已Microsoft Entra联接:
打开命令提示符。
在命令提示符窗口中,输入:
dsregcmd.exe /status查看输出。 在第一个名为 “设备状态”的部分下,验证 AzureAdJoined 的值是否为 YES。 如果值为 YES,则设备将联接到Microsoft Entra ID。
+----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : NO Virtual Desktop : NOT SET Device Name : Demo-PC
确定设备是否具有固件嵌入的激活密钥。
若要确定设备是否具有固件嵌入的激活密钥,请执行以下操作:
打开提升的Windows PowerShell命令提示符。
在提升的Windows PowerShell命令提示符中,输入:
(Get-CimInstance -query 'select * from SoftwareLicensingService').OA3xOriginalProductKey如果设备具有固件嵌入的激活密钥,则密钥将显示在输出中。 如果输出为空,则设备没有固件嵌入激活密钥。 大多数新式 OEM 提供的用于运行当前受支持的 Windows 版本的设备都具有固件嵌入密钥。
确保已为Microsoft Entra用户分配许可证。
有关详细信息,请参阅 向用户分配许可证。
建议的做法
添加条件访问策略
当设备长时间脱机时,订阅激活可能不会在设备上自动重新激活。 若要解决此问题,请使用条件访问策略通过 选择“排除的云应用”从其条件访问策略中排除以下云应用之一来控制访问:
通用应用商店服务 API 和 Web 应用程序,AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
适用于企业的 Windows 应用商店,AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
注意
适用于企业的 Microsoft Store和适用于教育的 Microsoft Store已停用。 有关详细信息,请参阅 2023 年 3 月 31 日停用适用于企业的 Microsoft Store和教育版。
尽管这两个实例中的应用 ID 相同,但云应用的名称取决于租户。
有关在条件访问策略中配置排除项的详细信息,请参阅 应用程序排除。
设置此条件访问策略可确保订阅激活继续无缝工作。
从具有 KB5034848 或更高版本的 Windows 11 版本 23H2 开始,当需要重新激活订阅激活时,系统会提示用户使用 Toast 通知进行身份验证。 Toast 通知将显示以下消息:
你的帐户需要身份验证
请登录到工作或学校帐户以验证你的信息。
此外,在“ 激活 ”窗格中,可能会出现以下消息:
请登录到工作或学校帐户以验证你的信息。
当设备长时间脱机时,通常会出现身份验证提示。 此更改无需在具有 KB5034848 或更高版本的 Windows 11 版本 23H2 的条件访问策略中排除。 如果不需要通过 toast 通知进行用户身份验证的提示,则条件访问策略仍可用于 Windows 11 版本 23H2 和 KB5034848 或更高版本。
确保未阻止Windows 更新
如果设备无法连接到Windows 更新,它可能会失去激活状态或被阻止升级到 Windows 企业版。 确保设备上未阻止Windows 更新:
在域中使用
gpedit.msc或 组策略编辑器,确保将以下组策略设置设置为 “已禁用” 或 “未配置”:计算机配置>管理模板>Windows 组件>> Windows 更新 Windows Server 更新服务>提供的管理更新请勿连接到任何Windows 更新 Internet 位置
计算机配置>管理模板>Windows 组件>> Windows 更新不要连接到任何Windows 更新 Internet 位置
如果此策略设置为 “已启用”,则必须将其更改为 “已禁用” 或“ 未配置”。
在注册表的以下注册表项中:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate如果存在值
DoNotConnectToWindowsUpdateInternetLocations,则检查。 如果值确实存在,请验证其REG_DWORD值为0。 如果值改为设置为1,则必须将其更改为0。 可以通过从提升的命令提示符运行以下命令来更改该值:reg.exe add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v DoNotConnectToWindowsUpdateInternetLocations /t REG_DWORD /d 1 /f注意
请确保首先检查“不连接到任何Windows 更新 Internet 位置”的组策略。 如果策略为“已启用”,则即使通过
reg.exe手动将其设置为 ,此注册表项最终也会重置回1。0将“不连接到任何Windows 更新 Internet 位置”策略设置为“已禁用”或“未配置”可确保注册表值保持为0。
延迟激活 Windows 企业版许可证
在 Windows 中激活企业许可证时可能存在延迟。 这种延迟是设计造成的。 Windows 在确定升级资格时使用内置缓存。 此行为包括处理指示设备不符合升级条件的响应。 在符合条件的购买后,最多可能需要四天才能启用升级资格,并且缓存过期。
虚拟桌面访问 (VDA)
对 Windows 企业版的订阅也适用于虚拟化客户端。 企业 E3 和 E5 可用于 Azure 或其他符合条件的多租户主机中的虚拟桌面访问 (VDA) 。
虚拟机 (VM) 必须配置为为 VDA 启用 Windows 企业版订阅。 支持已加入 Active Directory 和 Microsoft Entra 联接的客户端。 有关详细信息,请参阅 为企业启用 VDA 订阅激活。