CSP 中的 Windows 企业版 E3

CSP 中的 Windows 企业版 E3 按订阅提供为 Windows 企业版保留的独占功能。 此优惠通过合作伙伴中心在云解决方案提供商 (CSP) 通道中作为联机服务提供。 CSP 中的 Windows 企业版 E3 为中小型组织提供灵活的按用户订阅, (1 到数百个用户) 。 若要利用此产品/服务,必须满足以下先决条件:

  • 在要升级的设备上安装并激活的当前受支持的 Windows 版本。
  • 可用于标识管理的Microsoft Entra。

从 Windows 专业版迁移到 Windows 企业版比以往更加轻松,无需密钥,也无需重启。 用户输入与 Windows 企业版 E3 许可证关联的Microsoft Entra凭据后,操作系统将从 Windows 专业版切换到 Windows 企业版,并且所有相应的企业版功能均已解锁。 当订阅许可证过期或转让给其他用户时,企业版设备会无缝地退到 Windows 专业版。

以前,只有具有Microsoft批量许可协议的组织才能向其用户部署 Windows 企业版。 现在,借助 CSP 中的 Windows 企业版 E3,中小型组织可以更轻松地利用企业版功能。

通过合作伙伴购买 Windows 企业版 E3 时,包括以下权益:

  • Windows 企业版。 当前运行 Windows 专业版的设备可以获得 Windows Enterprise Current Branch (CB) 或 Current Branch for Business (CBB) 。 此权益不包括长期服务分支 (LTSB) 。
  • 支持范围介于一到数百位用户。 尽管 CSP 计划中的 Windows 企业版 E3 对组织可以拥有的许可证数量没有限制,但该计划专为中小型组织设计。
  • 在最多五台设备上部署。 对于许可证涵盖的每个用户,最多可以在五台设备上部署 Windows 企业版。
  • 随时回滚到 Windows 专业版。 当用户的订阅过期或转让给其他用户时,Windows 企业版设备将在) 长达 90 天的宽限期后无缝还原为 Windows 专业版 (。
  • 每月的每用户定价模型。 此模型使组织能够负担得起的 Windows 企业版 E3。
  • 在用户之间移动许可证。 许可证可以快速轻松地从一个用户重新分配给另一个用户,从而针对不断变化的需求优化许可投资。

云解决方案提供商计划中的 Windows 企业版 E3 与 Microsoft 批量许可协议和软件保障相比如何?

  • Microsoft 批量许可计划范围更广,可为组织提供对所有 Microsoft 产品许可的访问权限。

  • 软件保证为组织提供以下类别的优势:

    • 部署和管理。 这些优势包括规划服务:

      • Microsoft桌面优化 (MDOP) 。
      • Windows 虚拟桌面访问权限。
      • Windows 漫游使用权限。
      • 其他优势。
    • 培训。 这些优势包括培训凭证、联机电子学习和家庭使用计划。

    • 支持。 这些优势包括:

      • 全天候问题解决支持。
      • 灾难恢复的备份功能。
      • System Center 全局服务监视器。
      • SQL Server的被动辅助实例。
    • 专用。 这些优势包括提升许可可用性,使软件能够从早期版本迁移到更高级别的版本。 它还将许可证和软件保障付款分散到三个相等的年度金额中。

      此外,在 CSP 中的 Windows 企业版 E3 中,合作伙伴可以管理组织的许可证。 借助软件保障,组织必须管理自己的许可证。

总之,CSP 中的 Windows 企业版 E3 计划是一种升级产品/服务,使中小型组织能够更轻松、更灵活地访问 Windows 企业版的优势。 另一方面,Microsoft批量许可计划和软件保障的范围更广,除了访问 Windows 企业版之外,还提供好处。

比较 Windows 专业版和企业版

Windows 企业版具有许多在 Windows 专业版中不可用的功能。 表 1 列出了 Windows 专业版中未找到的一些 Windows 企业版功能。 其中许多功能与安全性相关,而其他功能启用更精细的设备管理。

表 1. 在 Windows 专业版中找不到 Windows 企业版功能

功能 描述
Credential Guard Credential Guard 使用基于虚拟化的安全性来帮助保护安全机密,以便只有特权系统软件可以访问它们。 可以保护的安全机密示例包括 NTLM 密码哈希和 Kerberos 票证授予票证。 此保护有助于防止传递哈希或传递票证攻击。

Credential Guard 具有以下特征:
  • 硬件级别安全性 - Credential Guard 使用硬件平台安全功能 ((例如安全启动和虚拟化) )来帮助保护派生域凭据和其他机密。
  • 基于虚拟化的安全性 - 访问派生域凭据和其他机密的 Windows 服务在隔离的受保护虚拟化环境中运行。
  • 改进了针对持久性威胁的防护 - Credential Guard 与其他技术 ((例如,Device Guard) )配合使用,无论攻击的持久性如何,都有助于进一步防范攻击。
  • 改进了可管理性 - 可以通过组策略、Windows Management Instrumentation (WMI) 或Windows PowerShell来管理 Credential Guard。

    有关详细信息,请参阅使用 Credential Guard 保护派生的域凭据

    Credential Guard 需要
    • 具有受信任启动的 UEFI 2.3.1 或更高版本
    • 必须启用虚拟化扩展,例如 Intel VT-x、AMD-V 和 SLAT
    • x64 版本的 Windows
    • IOMMU(例如 Intel VT-d)AMD-Vi
    • BIOS 锁定
    • TPM 2.0 建议用于设备运行状况证明 (使用软件(如果 TPM 2.0 不存在)
  • AppLocker 管理 此功能可帮助 IT 专业人员确定用户可以在设备上运行的应用程序和文件。 可管理的应用程序和文件包括可执行文件、脚本、Windows Installer 文件、动态链接库 (DLL)、封装应用和封装应用安装程序。

    有关详细信息,请参阅 AppLocker
    应用程序虚拟化 (App-V) 此功能使应用程序可供最终用户使用,而无需直接在用户的设备上安装应用程序。 App-V 将应用程序转换为集中管理的服务,这些服务永不安装,也不会与其他应用程序发生冲突。 此功能还有助于确保应用程序通过最新安全更新保持最新状态。

    有关详细信息,请参阅 适用于 Windows 客户端的 App-V 入门
    用户体验虚拟化 (UE-V) 使用此功能,可以捕获用户自定义的 Windows 和应用程序设置并将其存储在集中管理的网络文件共享上。

    当用户登录时,其个性化设置将应用于其工作会话,而不管他们登录到哪个设备或虚拟桌面基础结构 (VDI) 会话。

    UE-V 提供以下功能:
  • 指定在用户设备之间同步哪些应用程序和 Windows 设置
  • 在整个企业中随时随地提供用户工作所需的设置
  • 为业务线应用程序创建自定义模板
  • 在更换或升级硬件后,或在将虚拟机重置为初始状态的映像后恢复设置

    有关详细信息,请参阅 用户体验虚拟化 (UE-V) 概述
  • 托管用户体验 此功能有助于自定义和锁定 Windows 设备的用户界面,以将其限制为特定任务。 例如,可以为受控方案(例如展台或教室设备)配置设备。 用户注销后,用户体验将自动重置。 还可以限制对 Windows 应用商店等服务的访问权限。 对于Windows 10,还可以管理“开始”布局选项,例如:
  • 删除并阻止对“关机”、“重启”、“睡眠”和“休眠”命令的访问权限
  • 从“开始”菜单中删除注销(用户磁贴)
  • 从“开始”菜单中删除常用程序
  • 从“开始”菜单中删除“所有程序”列表
  • 阻止用户自定义“开始”屏幕
  • 强制“开始”菜单采用全屏大小或菜单大小
  • 阻止更改“任务栏”和“开始”菜单设置
  • 部署 Windows 企业版 E3 许可证

    请参阅 部署 Windows 企业版许可证

    部署 Windows 企业版功能

    现在,Windows 企业版已在设备上运行,企业版的特性和功能是如何利用的? 需要针对表 1 中所讨论的每项功能执行哪些后续步骤?

    以下部分提供了需要在环境中执行的高级任务,以帮助用户利用 Windows 企业版功能。

    Credential Guard

    注意

    需要具有受信任启动的 UEFI 2.3.1 或更高版本;必须启用虚拟化扩展,例如 Intel VT-x、AMD-V 和 SLAT;x64 版本的 Windows;IOMMU,例如 Intel VT-d、AMD-Vi;BIOS 锁定;如果 TPM 2.0) 不存在,建议用于设备运行状况证明的 TPM 2.0 (将使用软件。

    通过在 Windows 企业版设备上启用 Credential Guard,可以在这些设备上实现 Credential Guard。 Credential Guard 使用基于 Windows 虚拟化的 (Hyper-V) 安全功能,在启用 Credential Guard 之前,必须在每台设备上启用这些功能。 可以使用以下方法之一打开 Credential Guard:

    • 自动。 可以使用 组策略为一个或多个设备启用 Credential Guard。 组策略设置自动添加基于虚拟化的安全功能,并在托管设备上配置 Credential Guard 注册表设置。

    • 手动。 可以通过执行以下操作之一手动打开 Credential Guard:

      • 使用“程序和功能”或“部署映像服务和管理”(DISM) 添加基于虚拟化的安全功能。

      • 通过使用注册表编辑器或 Device Guard 和 Credential Guard 硬件准备工具配置 Credential Guard 注册表设置。

        可以使用管理工具(如Microsoft Configuration Manager)自动执行这些手动步骤。

    有关实现 Credential Guard 的详细信息,请参阅以下资源:

    AppLocker 管理

    Windows 企业版中的 AppLocker 可以使用 组策略 进行管理。 组策略需要具有 AD DS,并且 Windows 企业版设备已加入 AD DS 域。 可以使用 组策略 创建 AppLocker 规则。 然后,AppLocker 规则可以面向相应的设备。

    有关使用组策略的 AppLocker 管理的详细信息,请参阅 AppLocker 部署指南

    App-V

    App-V 要求 App-V 服务器基础结构支持 App-V 客户端。 所需的主要 App-V 组件包括:

    • App-V 服务器。 App-V 服务器提供 App-V 管理、虚拟化的应用发布、应用流和报告服务。 其中每个服务均可在一台服务器上运行,也可在多台服务器上单独运行。 例如,可能存在多个流式处理服务器。 App-V 客户端连接 App-V 服务器,以确定向用户或设备发布哪些应用,然后从该服务器运行虚拟化的应用。

    • App-V 顺序器。 App-V 顺序器是用于排序(捕获)应用并准备应用以供从 App-V 服务器托管的典型客户端设备。 应用安装在 App-V 排序器上,App-V 排序器软件确定在应用安装过程中更改的文件和注册表设置。 然后顺序器将捕获这些设置,以创建虚拟化的应用。

    • App-V 客户端。 必须在需要从 App-V 服务器运行应用的任何 Windows 企业版 E3 客户端设备上启用 App-V 客户端。

    有关实现 App-V 服务器、App-V 顺序器和 App-V 客户端的详细信息,请参阅以下资源:

    UE-V

    UE-V 需要需要下载、激活和安装的服务器端和客户端组件。 这些组件包括:

    • UE-V 服务。 UE-V 服务(已在设备上启用时)监视注册的应用程序和 Windows 中是否有任何设置更改,然后在设备之间同步这些设置。

    • 设置包。 UE-V 服务创建的设置包可存储应用程序设置和 Windows 设置。 生成、本地存储设置包,并将其复制到设置存储位置。

    • 设置存储位置。 此位置是用户可以访问的标准网络共享。 UE-V 服务验证该位置,并创建一个可存储和检索用户设置的隐藏系统文件夹。

    • 设置位置模板。 设置位置模板是 UE-V 用于监视桌面应用程序设置和 Windows 桌面设置并在用户计算机之间同步这些设置的 XML 文件。 默认情况下,某些设置位置模板包含在 UE-V 中。 还可以使用 UE-V 模板生成器创建、编辑或验证自定义设置位置模板。 Windows 应用程序不需要设置位置模板。

    • 通用 Windows 应用程序列表。 UE-V 确定使用应用程序托管列表为设置同步启用哪些 Windows 应用程序。 默认情况下,此列表包含大多数 Windows 应用程序。

    有关部署 UE-V 的详细信息,请参阅以下资源:

    托管用户体验

    托管用户体验功能是一组 Windows 企业版功能和可用于管理用户体验的相应设置。 表 2 按类别 () 介绍了托管用户体验设置,这些设置仅在 Windows 企业版中可用。 用于配置每个功能的管理方法取决于该功能。 某些功能使用组策略配置,而其他功能使用 Windows PowerShell、部署映像服务和管理 (DISM) 或其他命令行工具配置。 对于组策略设置,加入 AD DS 域的 Windows 企业版设备需要 AD DS。

    表 2. 托管用户体验功能

    功能 描述
    “开始”屏幕布局自定义 自定义的“开始”布局可以部署到域中的用户。 只需覆盖包含“开始”屏幕布局的 .xml 文件即可更新该布局,而无需重置映像。 XML 文件支持为不同部门或组织自定义“开始”菜单布局,并将管理开销降到最低。
    有关这些设置的详细信息,请参阅使用组策略自定义 Windows 10“开始”菜单和任务栏
    未品牌化启动 可以禁止在 Windows 启动或恢复时显示的 Windows 元素。 当 Windows 遇到无法恢复的错误时,也可以取消崩溃屏幕。
    有关这些设置的详细信息,请参阅未品牌化启动
    自定义登录 自定义登录功能可用于禁止显示与欢迎屏幕和关闭屏幕相关的 Windows UI 元素。 例如,可以禁止显示欢迎屏幕 UI 的所有元素,并提供自定义登录 UI。 “阻止的关闭冲突解决程序 (BSDR) ”屏幕也可以被禁止显示,并且当 OS 等待应用程序关闭之前,应用程序会自动结束。
    有关这些设置的详细信息,请参阅自定义登录
    Shell 启动程序 支持使用“分配的访问权限”通过 Shell 启动程序仅运行经典 Windows 应用,以替换 Shell。
    有关这些设置的详细信息,请参阅 Shell 启动程序
    键盘筛选器 键盘筛选器可用于抑制不需要的按键或组合键。 正常情况下,用户可以使用某些 Windows 组合键(如 Ctrl+Alt+Delete 或 Ctrl+Shift+Tab)控制设备,方法是锁定屏幕或使用任务管理器关闭运行的应用程序。 这些键盘操作在专用设备上不可取。
    有关这些设置的详细信息,请参阅键盘筛选器
    统一写入筛选器 可以在设备上使用统一写入筛选器 (UWF) 来帮助保护物理存储介质,包括 Windows 支持的大多数标准可写存储类型,例如:
    • 物理硬盘
    • 固态硬盘
    • 内部 USB 设备
    • 外部 SATA 设备
    • . UWF 还可用于使只读媒体在 OS 上显示为可写卷。
      有关这些设置的详细信息,请参阅统一写入筛选器