Новые возможности Windows 10 Корпоративная 2015 LTSC
- Время чтения: 12 мин
В этой статье
Относится к:
- Windows10 Enterprise 2015 ЛТСК
В этой статье перечислены новые и обновленные функции и содержимое, которые представляют собой полезные ИТ-специалистам для Windows10 Enterprise 2015 ЛТСК (ЛТСБ). Краткое описание канала обслуживания ЛТСК можно найти в разделе Windows 10 корпоративный лтск.
Примечание
Функции в Windows 10 Корпоративная 2015 ЛТСК эквивалентны Windows 10 версии 1507.
Развертывание
Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD)
В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. С помощью подготовки Windows ИТ-администратор может легко указать конфигурацию и параметры, необходимые для регистрации устройств в управлении с помощью пользовательского интерфейса, управляемого мастером, а затем применить эту конфигурацию к оконечным устройствам за считанные минуты. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров.
Дополнительные сведения о подготовке в Windows 10
Безопасность
AppLocker
Функция AppLocker была доступна для Windows 8,1 и улучшена в Windows 10. Ознакомьтесь с требованиями для использования AppLocker для получения списка требований к операционной системе.
Улучшенные возможности AppLocker в Windows 10 включают в себя:
- В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. Для включения этой функции задайте для параметра ServiceEnforcement значение Enabled.
- Добавлен новый поставщик служб конфигурации AppLocker , что позволяет включать правила AppLocker, используя сервер MDM.
- Для управления устройствами с Windows 10 Mobile можно использовать новый поставщик служб конфигураций AppLocker.
Узнайте, как управлять AppLocker в вашей организации.
BitLocker
Улучшенные возможности AppLocker в Windows 10 включают в себя:
- Шифрование и восстановление устройства с помощью Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. Это упрощает восстановление ключа BitLocker в Интернете.
- Защита портов прямого доступа к памяти (DMA). Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. После разблокировки устройства все порты DMA снова включаются.
- Новая групповая политика по настройке предзагрузочного восстановления. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker».
Узнайте, как развернуть BitLocker и управлять им в вашей организации.
Управление сертификатами
Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в том числе сертификаты для включения Windows Hello для бизнеса в вашей организации. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов. Как и в Windows Phone 8.1, вы можете использовать приложение Сертификаты для просмотра сведений о сертификатах на своем устройстве. Узнайте, как установить цифровые сертификаты в Windows 10 Mobile.
Microsoft Passport
В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код.
Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам.
Аудит безопасности
В Windows 10 реализован ряд улучшений аудита безопасности:
новые подкатегории аудита;
В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для повышения степени детализации событий аудита.
- Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий.
- Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Для этой категории записываются только успешные операции аудита. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. Список идентификаторов поставщиков оборудования включается в событие.
дополнительные сведения для имеющихся событий аудита.
В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. Дополнены следующие события аудита:
изменена политика аудита ядра по умолчанию;
В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. В Windows 10 политика аудита событий создания процессов по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA.
процесс SACL по умолчанию добавлен в LSASS.exe;
В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. Этот SACL — L»S:(AU;SAFA;0x0010;;;WD)». Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра. Это помогает определить атаки, которые крадут учетные данные из памяти процесса.
Новые поля в событии входа
Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. В событие 4624 добавлены следующие поля.
- Строка MachineLogon: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». В противном случае — «нет».
- Строка ElevatedToken: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». В противном случае — «нет». Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION).
- Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика.
- Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». В противном случае — «нет».
- Строка GroupMembership. Список всех групп в маркере пользователя.
- Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола.
Новые поля в событии создания процесса
Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. В событие 4688 добавлены следующие поля.
- Строка TargetUserSid. Идентификатор безопасности целевого субъекта.
- Строка TargetUserName. Имя учетной записи целевого пользователя.
- Строка TargetDomainName. Домен целевого пользователя.
- Строка TargetLogonId. Идентификатор входа целевого пользователя.
- Строка ParentProcessName. Имя процесса-автора.
- Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора.
Новые события диспетчера учетных записей безопасности
В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. В предыдущих версиях Windows отслеживались только операции записи. Новые события — 4798 и 4799. Теперь отслеживаются следующие интерфейсы API:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
Новые события BCD
Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD):
- Параметры DEP/NEX
- Тестовая подпись
- Эмуляция PCAT SB
- Отладка
- Отладка загрузки
- Integrity Services
- Отключение меню отладки Winload
Новые события PNP
Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена.
Узнайте, как управлять политиками аудита безопасности в вашей организации.
Доверенный платформенный модуль
Новые функции доверенного платформенного модуля в Windows10
В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10.
Аттестация работоспособности устройства
Подтверждение работоспособности устройства позволяет предприятиям устанавливать доверие на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. На устройстве можно проверить следующее.
- Предотвращение выполнения данных поддерживается и включено?
- Шифрование диска BitLocker поддерживается и включено?
- Безопасная загрузка поддерживается и включена?
Примечание. Устройство должно работать под управлением Windows10 и должно поддерживать доверенный платформенный модуль версии не ниже 2.0.
Узнайте, как развернуть TPM и управлять им в вашей организации.
Контроль учетных записей
Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду.
Не следует выключать контроль учетных записей, так как такой сценарий не поддерживается для устройств под управлением Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. Параметру реестра хклм\софтваре\микрософт\виндовс\куррентверсион\полиЦиес\систем\енаблелуа всегда необходимо присвоить значение 1. Если вы хотите предоставить автоматический доступ к программному обеспечению или установке, вы можете задать для параметра реестра хклм\софтваре\микрософт\виндовс\куррентверсион\полиЦиес\систем\консентпромптбехавиорадмин значение 0, которое совпадает с установкой ползунка UAC не уведомляются. Подобное действие не рекомендуется выполнять для устройств под управлением Windows 10.
Дополнительные сведения о том, как управлять контролем учетных записей, см. в разделе Параметры групповой политики контроля учетных записей и параметры раздела реестра.
В Windows10 элемент управления учетными записями пользователей добавил некоторые улучшения:
- Интеграция с интерфейсом Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. Если обнаружена вредоносная программа, привилегии администратора блокируются.
Узнайте, как управлять контролем учетных записей в вашей организации.
Параметры профиля VPN
Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе:
- автоматическое подключение для обеспечения режима «Постоянное подключение»;
- VPN-подключение, инициируемое приложением;
- фильтры трафика VPN;
- блокировка VPN;
- интеграция с Microsoft Passport for Work.
Дополнительные сведения о параметрах VPN в Windows 10.
Управление
Windows 10 предоставляет функции управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, которые позволяют управлять личными и корпоративными устройствами на уровне предприятия.
Поддержка MDM
Политики MDM для Windows 10 соответствуют политикам, поддерживаемым в Windows 8.1. Они расширены для поддержки большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Microsoft Store, настройка VPN и др.
Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA).
Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Справочник по управлению мобильными устройствами для Windows 10
Отмена регистрации
Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства.
Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются.
Инфраструктура
Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением.
| Область | Варианты |
|---|---|
| Удостоверение | Active Directory; Azure AD |
| Группирование | Присоединение к домену, рабочей группе, Azure AD |
| Управление устройствами | Групповая политика; Диспетчер конфигураций конечных точек Майкрософт; Microsoft Intune; другие решения для MDM; Exchange ActiveSync; Windows PowerShell; Инструментарий управления Windows (WMI) |
Обратите внимание , что при выпуске Windows Server 2012 R2 защита доступа к сети (NAP) устарела, а клиент NAP удален из Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft.
Блокировка устройств
Вам нужен компьютер, который предназначен только для решения одной задачи? Пример.
- Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов.
- Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте.
- Устройство, которое используется стажером для ввода данных.
Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение.
Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений.
Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана.
Макет начального экрана
Стандартный начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Узнайте, как настраивать и экспортировать макет начального экрана.
Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки.
Обновления
Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем прямого подключения этих систем к службе Центра обновления Windows корпорации Майкрософт.
Благодаря объектам групповой политики Центр обновления Windows для бизнеса представляет собой простую в установке и внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10.
Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие— после (чтобы обеспечить соблюдение требований по качеству).
Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты (с ограниченной пропускной способностью).
Использование с существующими инструментами , такими как диспетчер настройки конечных точек Майкрософт и набор корпоративных Mobility Service.
Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить более быструю доступность обновлений для системы безопасности и новейших инноваций Майкрософт на постоянной основе. Центр обновления Windows — это бесплатная служба для всех выпусков Windows 10 Pro, Enterprise и образовательных, и их можно использовать независимо от существующих решений для управления устройствами, например служб Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager.
Подробнее о Центре обновления Windows для бизнеса.
Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10.
Microsoft Edge
Microsoft Edge недоступен в ЛТСК выпуске Windows 10.
См. также
Windows 10 корпоративный лтск: описание канала обслуживания лтск со ссылками на сведения о каждом выпуске.
Управление корпоративными устройствами (Windows 10)
- Время чтения: 2 мин
В этой статье
Область применения
- Windows 10
- Windows 10 Mobile
Вы можете использовать одни и те же средства управления для управления всеми типами устройств под управлением Windows10: настольных компьютеров, ноутбуков, планшетов и телефонов. А ваши текущие средства управления, такие как групповая политика, Инструментарий управления Windows (WMI), сценарии PowerShell, System Center и т. д., продолжат работать для Windows10.
В этом разделе
| Статья | Описание |
|---|---|
| Управление Windows 10 в вашей организации — переход к современным методам управления | Стратегии развертывания и управления Windows 10, в том числе для развертывание Windows 10 в смешанной среде |
| Подключение к удаленному компьютеру, присоединенному к Azure Active Directory | Использование подключения к удаленному рабочему столу для установления связи с компьютером, присоединенным к Azure AD |
| Управление подсказками, рекомендациями и предложениями Windows 10 и Microsoft Store | Варианты управления взаимодействием с пользователями для создания согласованной и предсказуемой рабочей среды |
| Новые политики для Windows 10 | Новые параметры групповой политики в Windows 10 |
| Групповые политики, которые применяются только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений | Параметры групповых политик, которые применяются только к выпускам Windows 10 Корпоративная и Windows 10 для образовательных учреждений |
| Изменения параметров групповой политики начального экрана Windows10 | Изменения параметров групповой политики, которые можно использовать для управления меню «Пуск» |
| Windows 10 Mobile и MDM | Планирование и развертывания устройств с Windows 10 Mobile |
| Введение в поставщики служб конфигурации (CSP) для ИТ-специалистов | Как ИТ-специалисты и системные администраторы могут использовать преимущества множества параметров, доступных в службах криптографии, чтобы настроить устройства под управлением Windows10 и Windows10 для мобильных устройств в их организациях |
Подробнее
Массовая регистрация устройств с помощью локального управления мобильными устройствами в System Center Configuration Manager
Azure AD, Microsoft Intune и Windows 10 — использование облака для модернизации мобильной среды предприятия
Руководство по регистрации конечного пользователя в Microsoft Intune
Присоединение к Azure AD на устройствах с Windows 10
Поддержка Azure AD для Windows 10
Windows 10 и Azure Active Directory: использование возможностей облака
Управление устройствами с Windows10 при помощи Intune
Использование Intune отдельно и с Configuration Manager
Курс Microsoft Virtual Academy: System Center 2012 R2 Configuration Manager и Windows Intune
Обновление Windows 10 в корпоративных развертываниях (Windows 10)
- Время чтения: 3 мин
В этой статье
Область применения
- Windows 10
- Windows10 Mobile
Ищете информацию для потребителей? См. раздел Центр обновления Windows: вопросы и ответы
Windows как услуга— это совершенно новый подход к сборке, развертыванию и обслуживанию операционной системы Windows. Главная особенность модели «Windows как услуга»— это постоянное предоставление пользователям новых возможностей и обновлений при сохранении высокого уровня совместимости с оборудованием и программным обеспечением. Развертывать новые версии Windows стало проще, чем когда-либо: корпорация Майкрософт выпускает новые компоненты два-три раза в год, в отличие тот традиционного цикла обновления, когда новые компоненты становятся доступны только раз в несколько лет. В конечном итоге эта модель заменит собой традиционные проекты развертывания Windows, которые могут быть дорогостоящими и серьезно нарушать работу пользователей. Развертывание превращается в постоянный процесс обновления, благодаря чему общий объем работ, необходимый для обслуживания устройств с Windows 10, уменьшается. Кроме того, с операционной системой Windows 10 организации могут знакомиться с тестовыми сборками Windows по мере того, как корпорация Майкрософт их разрабатывает, а значит получать представление о новых компонентах и возможность высказывать свое мнение о них.
В этом разделе
| Статья | Описание |
|---|---|
| Краткое руководство по Windows как услуге | Содержит краткую сводку основных особенностей новой модели обслуживания для Windows 10. |
| Обзор модели «Windows как услуга» | Рассматриваются отличия в сборке, развертывании и обслуживании Windows 10. Поясняется, что такое обновления компонентов, исправления и различные ветви обслуживания. Приводится сравнение средств обслуживания. |
| Подготовка стратегии обслуживания для обновлений Windows 10 | Поясняется, какие решения необходимо принять для выработки стратегии обслуживания. |
| Построение кругов развертывания для обновлений Windows 10 | Поясняется порядок использования ветвей обслуживания и отсрочек обновлений для управления обновлениями Windows 10. |
| Назначение устройств ветвям обслуживания для обновлений Windows10 | В этой статье описано, как назначать устройства каналу Semi-Annual Channel для обновления компонентов и исправлений, а также как регистрировать устройства в программе предварительной оценки Windows. |
| Мониторинг обновлений Windows с соответствием обновлений | Описаны способы использования Windows Analytics: соответствие обновлений для мониторинга обновлений Windows на устройствах в вашей организации и управления ними. |
| Оптимизация доставки для обновлений Windows 10 | Рассматриваются преимущества использования оптимизации доставки или BranchCache для распространения обновлений. |
| Развертывание обновлений для Windows10 Mobile Корпоративная и Windows 10 IoT Mobile | Сведения об обновлениях для Windows10 Mobile Корпоративная и Windows 10 IoT Mobile. |
| Развертывание обновлений с помощью Центра обновления Windows для бизнеса | Поясняется, как с помощью Центра обновления Windows для бизнеса управлять получением устройствами обновлений непосредственно из Центра обновления Windows. Приводятся пошаговые инструкции по настройке Центра обновления Windows для бизнеса с помощью групповой политики и Microsoft Intune. |
| Развертывание обновлений Windows 10 с помощью служб Windows Server Update Services (WSUS) | Рассматривается управление обновлениями Windows 10 с помощью WSUS. |
| Развертывание обновлений Windows 10 с помощью System Center Configuration Manager | Рассматривается управление обновлениями Windows 10 с помощью Configuration Manager. |
| Управление перезапусками устройства после обновлений | Рассматривается управление перезапусками устройства, связанными с обновлениями. |
| Управление дополнительными параметрами Центра обновления Windows | Предоставляет подробные сведения о параметрах, доступных для управления и настройки центра обновления Windows |
| Программа предварительной оценки Windows для бизнеса | Объясняется, как работает программа предварительной оценки Windows для бизнеса и как стать ее участником. |
Совет
Схемы обслуживания Windows меняются, однако для аварийного восстановления или чистого развертывания Windows 10 на новых компьютерах по-прежнему можно использовать традиционное ПО для работы с образами, например System Center Configuration Manager или Microsoft Deployment Toolkit. Использование этих средств для развертывания образов Windows 10 аналогично развертыванию предыдущих версий Windows. При каждом выпуске обновления компонентов для CB корпорация Майкрософт предоставляет новые ISO-файлы, которые вы можете использовать для обновления своих образов. Каждая сборка Windows 10 имеет определенный срок обслуживания, поэтому очень важно, чтобы образы были актуальными, т.е. соответствовали последней сборке. Подробные сведения о том, как развертывать Windows 10 на новых компьютерах или обновлять предыдущие сборки Windows до Windows 10, см. в статье Deploy Windows 10 with System Center 2012 R2 Configuration Manager (Развертывание Windows 10 с помощью System Center 2012 R2 Configuration Manager). Кроме того, клиенты с Windows 10 могут напрямую перейти с любой поддерживаемой версии Windows 10 (например, версии 1511) на последнюю версию (например, 1709).
План активации корпоративных лицензий (Windows 10)
- Время чтения: 15 мин
В этой статье
Относится к:
- Windows 10
- Windows 8.1
- Windows 8
- Windows7
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server2008 R2
Необходимо активировать розничную версию?
Активация продукта— это проверка программного обеспечения у изготовителя после того, как оно было установлено на конкретном компьютере. Активация подтверждает, что продукт является подлинной копией и что ключ или серийный номер продукта действительны и не были скомпрометированы или аннулированы. Активация также устанавливает связь между ключом продукта и конкретной установкой.
Во время активации анализируются сведения о конкретной установке. При активации через Интернет эти данные отправляются на сервер в Microsoft. Они могут включать версию ПО, ключ продукта, IP-адрес компьютера и информацию об устройстве. Методы активации, используемые Майкрософт, призваны помочь защитить конфиденциальность пользователей и не могут применяться для идентификации пользователя или компьютера. Собранные данные подтверждают, что ПО является законно лицензированной копией, и используются для статистического анализа. Корпорация Майкрософт не использует эти сведения для идентификации пользователя или организации или для связи с ними.
Примечание
IP-адрес используется только для проверки расположения источника запроса, так как некоторые выпускиWindows (например, версии «Начальная») можно активировать только на определенных целевых рынках.
Каналы распространения и активация
Обычно ПО Майкрософт распространяется по трем основным каналам: в розницу, через изготовителей оборудования(OEM) и в рамках соглашений корпоративного лицензирования. Для каждого канала доступны свои методы активации. Поскольку организации могут приобретать ПО по нескольким каналам одновременно (например, покупать одни продукты в розницу, а другие— по программе корпоративного лицензирования), большинство организаций предпочитают использовать сочетание нескольких методов активации.
Розничная активация
В последних нескольких версиях Windows и WindowsServer розничный метод активации не менялся.Для каждой приобретенной копии предоставляется один уникальный ключ продукта (его часто называют розничным ключом). Пользователь вводит этот ключ во время установки продукта. Компьютер использует розничный ключ для выполнения активации после окончания установки. В большинстве случаев активация осуществляется через Интернет, но возможна также активация по телефону. Недавно область применения розничных ключей была расширена: теперь они также используются для ряда новых сценариев распространения. Для активации продуктов, которые были предустановлены или загружены ранее, доступны карточки с ключом продукта. Такие программы, как программа обновления Windows AnytimeUpgrade и GetGenuine, позволяют пользователям приобретать легальные ключи отдельно от ПО. Эти ключи распространяются в электронном виде и могут поставляться в комплекте с носителем, содержащимПО, как часть пакетаПО, в виде печатной карточки или электронной копии. Активация продуктов с этими ключами в любом формате осуществляется одинаково.
Изготовители оборудования
Большинство изготовителей оборудования(OEM) продают системы, включающие стандартную сборку операционной системыWindows. Для активацииWindows поставщик оборудования связывает операционную систему со встроенным ПО(BIOS) компьютера. Это происходит до того, как компьютер отправляется покупателю, и никакие дополнительные действия не требуются. АктивацияOEM действительна при условии, что клиент использует образ системы, предоставленный изготовителем оборудования. АктивацияOEM доступна только для компьютеров, которые приобретаются через OEM-каналы и содержат предустановленную операционную системуWindows.
Корпоративное лицензирование
Для корпоративного лицензирования предлагаются индивидуальные программы, соответствующие размеру и покупательским предпочтениям организации. Чтобы стать участником программы корпоративного лицензирования, организация должна заключить соглашение корпоративного лицензирования с Майкрософт. Приобретение лицензий для нового компьютера в рамках корпоративного лицензирования часто является источником недоразумений. Есть два законных способа приобрести полную клиентскую лицензиюWindows для нового компьютера.
- Предустановка лицензии изготовителем оборудования.
- Покупка коробочного продукта в розницу.
Лицензии, предоставляемые по программам корпоративного лицензирования, например по соглашениям OpenLicense, SelectLicense и Enterprise, включают только обновления для клиентских версий ОСWindows. Для каждого компьютера, на котором запущены Windows10, Windows 8.1 Pro, Windows8Pro, Windows 7 Профессиональная или WindowsXP Professional, требуется лицензия на операционную систему розничной торговли или OEM-версии, которая может быть получена с помощью программы корпоративного лицензирования. в упражнениях. Корпоративное лицензирование также предлагается по некоторым программам подписки и членским программам, например Microsoft PartnerNetwork иMSDN. Эти корпоративные лицензии могут включать особые ограничения и другие изменения общих условий, относящиеся к корпоративному лицензированию.
Обратите внимание , что некоторые выпуски операционной системы, например Windows10 Enterprise, и некоторые выпуски программного обеспечения доступны только в рамках соглашений о корпоративном лицензировании или подписок.
Модели активации
Пользователи и ИТ-отделы в основном не могут выбирать, каким образом активировать продукты, приобретенные по розничным или OEM-каналам. Изготовитель оборудования выполняет активацию на заводе, и пользователю или ИТ-отделу ничего не нужно делать для активации.
При покупке продукта в розницу для отслеживания и контроля ключей можно использовать средство управления активацией корпоративных лицензий(VAMT), о котором пойдет речь далее в этом руководстве. Для каждой розничной активации можно выбрать один из следующих вариантов.
- Активация через Интернет
- Активация по телефону
- Прокси-активация с помощьюVAMT
Активация по телефону в основном используется в ситуациях, когда компьютер изолирован от всех сетей. Прокси-активация с помощьюVAMT (с розничными ключами) иногда используется в тех случаях, когда ИТ-отдел хочет выполнять розничные активации централизованно или когда компьютер с розничной версией операционной системы изолирован от Интернета, но подключен к локальной сети. Однако для продуктов с корпоративным лицензированием необходимо определить наилучший метод или сочетание методов для конкретной среды. В Windows10 Pro и Enterprise вы можете выбрать один из трех моделей.
- КлючиMAK
- KMS
- Активация с помощью ActiveDirectory
Обратите внимание на то, что активация на основе маркеров доступна для определенных ситуаций, когда одобренные клиенты полагаются на инфраструктуру открытых ключей в изолированной среде с высоким уровнем безопасности. За дополнительной информацией обращайтесь в службу технической поддержки учетных записейМайкрософт или к своему представителю отдела обслуживания. Вариант «Активация на основе маркеров» доступен для выпусков Windows 10 Корпоративная с долгосрочным обслуживанием (версии 1507 и 1607).
Ключ многократной активации
Ключ многократной активации(MAK) обычно используется в организациях небольшого и среднего размера, заключивших соглашение корпоративного лицензирования, но не соответствующих требованиям для использования сервиса управления ключами(KMS) либо предпочитающих более простой подход. КлючMAK также обеспечивает постоянную активацию компьютеров, изолированных отKMS или входящих в изолированную сеть, где недостаточно компьютеров для использованияKMS.
Чтобы использовать ключMAK, он должен быть установлен на активируемых компьютерах. КлючMAK используется для однократной активации при помощи размещенных в Интернете служб активацииМайкрософт, по телефону или путем прокси-активации с помощьюVAMT. В упрощенном представлении ключMAK аналогичен розничному ключу, за исключением того, что MAKможно применять для активации нескольких компьютеров. Каждый ключMAK можно использовать строго определенное число раз. VAMTпомогает отслеживать количество активаций, выполненных с каждым ключом, и количество оставшихся попыток активации.
Организации могут загрузить ключиMAK иKMS с веб-сайта MicrosoftVolume Licensing ServiceCenter. Для каждого ключаMAK установлено определенное число активаций, основанное на проценте от количества лицензий, приобретенных организацией. Однако вы можете увеличить количество активаций, доступных с вашим ключомMAK, обратившись в Майкрософт.
Служба управления ключами
С помощью службы управления ключами (KMS) Итпрос может выполнять активацию в локальной сети, устраняя необходимость подключения отдельных компьютеров к корпорации Майкрософт для активации продукта. СлужбаKMS потребляет минимум ресурсов, не требует отдельной системы для запуска и может размещаться на системе совместно с другими службами.
Корпоративные выпуски Windows10 и Windows Server2012R2 (в дополнение к корпоративным выпускам выпусков операционной системы, так как Виндовсвиста и Windows Server2008) автоматически подключаются к системе, в которой размещается служба KMS для запроса активации. Никаких действий от пользователя не требуется.
Для работыKMS в сетевой среде должно присутствовать минимальное количество компьютеров (физических компьютеров или виртуальных машин). Чтобы активировать Windows Server2012R2 и на least25 компьютерах, для активации клиентских компьютеров, на которых запущены Windows10, Организация должна иметь не менее пяти компьютеров. Эти минимальные количества называются порогами активации.
Планирование использованияKMS включает выбор оптимального расположения узлаKMS и количества узловKMS. Один узелKMS может обслуживать большое количество активаций, однако организации часто развертывают два узлаKMS для обеспечения высокой доступности. Вы используете больше двух хостов KMS. СлужбуKMS можно разместить на клиентском компьютере или на сервере. Ее можно запускать на старых версиях операционной системы, выполнив соответствующие настройки. НастройкаKMS описана далее в этом руководстве.
Активация с помощью ActiveDirectory
Активация на основе Active Directory является новым типом многопользовательской активации, и она появилась в Windows8. Активация с помощью ActiveDirectory во многом аналогична активации с использованиемKMS, однако при ее использовании активированному компьютеру не нужно поддерживать периодический контакт с узломKMS. Вместо этого компьютер, подключенный к домену, в котором работают запросы Windows 10, Windows 8.1, Windows8, Windows Server2012R2 или Windows Server2012R2, добавляет объект активации тома, хранящийся в домене. Операционная система проверяет цифровые подписи, содержащиеся в объекте активации, а затем активирует устройство.
Активация с помощью ActiveDirectory позволяет организациям активировать компьютеры через подключение к собственному домену. Во многих случаях компьютеры используются в удаленных офисах или филиалах, где подключаться кKMS нецелесообразно либо где не достигается порог активации дляKMS. Чтобы активировать компьютеры под управлением Windows 10, Windows 8.1, Windows8, Windows Server2012R2 или Windows Server2012R2, а не использовать Макс, необходимо, чтобы компьютеры могли обращаться к домену компании. Преимущество активации с помощью ActiveDirectory заключается том, что службы активации корпоративных лицензий теперь могут работать во всех доменных областях.
Сеть и подключения
Современная корпоративная сеть характеризуется множеством нюансов и взаимосвязей. В этом разделе рассматривается оценка вашей сети и доступных подключений с целью определить, как будет осуществляться активация корпоративных лицензий.
Основная сеть
Основная сеть— это часть вашей сети, которая имеет устойчивые, высокоскоростные, надежные подключения к серверам инфраструктуры. Во многих случаях основная сеть также подключена к Интернету, хотя она не является требованием для активации на основе KMS или Active Directory после того, как вы настроили сервер KMS или ДОБАВЛЕНЫ и активны. Основная сеть обычно состоит из множества сетевых сегментов. Во многих организациях основная сеть составляет большую часть корпоративной сети.
В основной сети рекомендуется централизованное решение KMS. Можно также использовать активацию с помощью ActiveDirectory, но во многих организациях KMS по-прежнему потребуется для активации старых клиентских компьютеров и компьютеров, которые не подключены к домену. Некоторые администраторы предпочитают использовать оба решения, чтобы получить максимальную гибкость, другие же выбирают только решение на основеKMS для упрощения работы. Активация на основе Active Directory является единственной решением проблемы, если все клиенты в вашей организации работают под управлением Windows 10, Windows 8.1 или Windows8.
В Figure1 показана типичная основная сеть, включающая сервер KMS.
Рисунок 1. Типичная основная сеть
Изолированные сети
В большой сети некоторые сегменты гарантированно будут изолированы, либо из соображений безопасности, либо в связи с географической разрозненностью или сложностями подключения.
Изоляция из соображений безопасности
Определенный сетевой сегмент, иногда называемый зоной высокого уровня безопасности, может быть изолирован от основной сети брандмауэром или полностью отсоединен от других сетей. Оптимальный способ активации компьютеров в изолированной сети зависит от политик безопасности, действующих в организации.
Если изолированная сеть может получить доступ к основной сети с помощью исходящих запросов по протоколу TCP port1688, и она может принимать вызовы удаленных процедур (RPC), вы можете выполнить активацию с помощью службы KMS в основной сети, что предотвращает необходимость обращения к дополнительным пороговые значения активации.
Если изолированная сеть полностью подключена к корпоративному лесу, и она может обычно подключаться к контроллерам домена, например использовать протокол LDAP для запросов и службы доменных имен (DNS) для разрешения имен, это хороший возможность использовать активацию на основе Active Directory для Windows 10, Windows 8.1, Windows8, Windows Server2012R2 и Windows Server2012R2.
Если у изолированной сети нет связи с серверомKMS основной сети и она не может использовать активацию с помощью ActiveDirectory, то можно создать в изолированной сети узелKMS. Эта конфигурация показана в Figure2. Однако если в изолированной сети мало компьютеров, она не достигнет необходимого дляKMS порога активации. В этом случае можно провести активацию с помощью ключейMAK.
Если сеть полностью изолирована, рекомендуется проводить активацию без использования ключейMAK, например, по телефону. Однако также может быть возможной и прокси-активация с помощьюVAMT. КлючиMAK можно также использовать для активации новых компьютеров во время установки перед их размещением в изолированной сети.
Figure2. Новый узел KMS в изолированной сети
Филиалы и удаленные сети. В некоторых случаях, например на горнодобывающих предприятиях и кораблях в открытом море, у организации бывает несколько компьютеров, которые очень трудно подключить к основной сети или Интернету. В филиалах некоторых организаций имеются крупные и тесно связанные друг с другом сетевые сегменты, однако их подключение к остальным корпоративным подразделениям осуществляется по медленным или ненадежным каналам глобальной сети. В таких случаях доступно несколько вариантов.
- Активация с помощью ActiveDirectory. На любом сайте, на котором запущены клиентские компьютеры Windows10, активация на основе Active Directory поддерживается, и ее можно активировать, присоединяясь к домену.
- Локальный KMS-сервер. Если сайт has25 или несколько клиентских компьютеров, он может активироваться на локальном сервере KMS.
- Удаленный (основной)KMS-сервер. Если удаленный узел имеет связь с существующим KMS-сервером (например через VPN-подключение к основной сети), можно использовать этотKMS. При использовании существующего сервераKMS достаточно обеспечить порог активации только на этом сервере.
- Активация с помощью MAK. Если на узле мало компьютеров и у него нет связи с существующим узломKMS, оптимальным вариантом является активация с помощьюMAK.
Неподключенные компьютеры
Некоторые пользователи работают удаленно или часто перемещаются. Это типичный сценарий для мобильных клиентов, например компьютеров торговых представителей или других пользователей, работающих удаленно, но не в филиалах. Данный сценарий также применим к удаленным филиалам, не имеющим подключения к основной сети. Такую конфигурацию можно считать изолированной сетью, состоящей из одного компьютера. Отсоединенные от сети компьютеры могут использовать активацию с помощью ActiveDirectory, KMSилиMAK в зависимости от версии клиента и частоты подключения к основной сети. Если компьютер подключен к домену и работает под управлением Windows 10, Windows 8.1, Windows8, Windows Server2012R2 или Windows Server2012R28, вы можете использовать активацию на основе Active Directory напрямую или через VPN — по крайней мере один раз каждый 180days. Если компьютер подключается к сети с узлом KMS по крайней мере каждые 180days, но он не поддерживает активацию на основе Active Directory, вы можете использовать активацию с помощью службы KMS. Для компьютеров, которые никогда не подключаются к сети или подключаются редко, используйте активацию без использования ключаMAK (по телефону или через Интернет).
Лаборатории тестирования и разработки
В лабораторных средах часто присутствует большое количество виртуальных компьютеров, причем конфигурация физических компьютеров и виртуальных компьютеров часто меняется. Поэтому сначала определите, требуется ли активация компьютеров в лабораториях тестирования и разработки. Выпуски Windows10, которые включают корпоративное лицензирование, будут работать в обычном режиме, даже если они не могут активироваться немедленно. Если вы установили, что ваши копии операционной системы для тестирования или разработки охвачены условиями лицензионного соглашения, активация компьютеров с часто изменяемой конфигурацией может не потребоваться. Если требуется активация лабораторных компьютеров, рассматривайте лабораторию как изолированную сеть и используйте методы, описанные ранее в этом руководстве. В лабораториях, где компьютеры часто меняются, и количество клиентовKMS является небольшим, необходимо следить за счетчиком KMS-активаций. Может потребоваться настроить срок, на который KMS кэширует запросы активации. Значение по умолчанию — 30days.
Выбор подходящего метода активации для вашей сети
Теперь пора объединить отдельные компоненты в рабочее решение. Проанализировав сетевые подключения, число компьютеров на каждом узле и используемые в вашей среде версии операционной системы, вы собрали информацию, необходимую для выбора оптимальных методов активации. Вы можете заполнять данные в Table1, чтобы облегчить их определение.
Таблица 1. Критерии для методов активации
| Критерий | Метод активации |
|---|---|
| Количество компьютеров, подключенных к домену, которые поддерживают активацию на основе Active Directory (компьютеры под управлением Windows 10, Windows 8.1, Windows8, Windows Server2012R2 или Windows Server2012R2), и будут подключены к контроллеру домена по крайней мере каждые 180days. Компьютеры могут быть мобильными, полуизолированными либо располагаться в филиале или основной сети. | Активация с помощью ActiveDirectory |
| Количество компьютеров в основной сети, которые будут подключаться (напрямую или через VPN) по крайней мере в каждом 180days Примечание. | KMS(централизованная) |
| Количество компьютеров, которые не подключаются к сети по крайней мере один раз в каждую 180days (или если сеть не отвечает порогу активации) | MAK |
| Количество компьютеров в полуизолированных сетях с подключением кKMS в основной сети | KMS(централизованная) |
| Количество компьютеров в изолированных сетях, где достигнут порог активацииKMS | KMS(локальная) |
| Количество компьютеров в изолированных сетях, где не достигнут порог активацииKMS | MAK |
| Количество компьютеров в лабораториях тестирования и разработки, которые не будут активированы | Нет |
| Количество компьютеров, не имеющих розничной корпоративной лицензии | Розничная (через Интернет или по телефону) |
| Количество компьютеров, не имеющих корпоративной лицензииOEM | OEM (на заводе) |
| Общее количество активаций компьютеров Примечание |
Выбор и приобретение ключей
Определив, какие ключи вам требуется, необходимо получить их. В целом получить ключи многократной установки можно двумя способами.
Ключи узлаKMS
Для узлаKMS требуется ключ, который активирует (проверяет подлинность) узлаKMS в Майкрософт. Этот ключ, как правило, называется ключом узла KMS, но формально называется ключом корпоративной лицензии (ксвлк) для определенного пользователя Майкрософт . Большая часть документации и Интернет-ссылок более ранней версии, чем Windows 8.1, используют термин ключа KMS, но КСВЛК является более распространенным в текущей документации и средствах управления.
На узле KMS под управлением Windows Server2012R2, Windows Server2012 или Windows Server2008R2 можно активировать операционные системы Windows Server и Windows Client. Ключ узла KMS также нужен для создания объектов активации в ADDS, как описано далее в этом руководстве. Вам понадобится ключ узлаKMS для любого устанавливаемого сервисаKMS и в том случае, если вы собираетесь использовать активацию с помощью ActiveDirectory.
Универсальные ключи корпоративного лицензирования
Когда вы создаете установочный носитель или образы для клиентских компьютеров, которые будут активированы с помощьюKMS или ActiveDirectory, установите универсальный ключ корпоративного лицензирования(GVLK) для данного выпускаWindows. КлючиGVLK также называются ключами установки клиентаKMS.
Установочный носитель от Майкрософт для корпоративных версий операционной системыWindows может уже содержатьGVLK. Один ключGVLK доступен для каждого типа установки. ГЛВК не будет использовать программное обеспечение для серверов активации Майкрософт, а не для объектов активации на базе службы KMS или Active Directory. Другими словами, ключGVLK не работает, если не удается найти действительный ключ узлаKMS. GVLK— единственные ключи продуктов, в отношении которых не нужно соблюдать конфиденциальность.
Обычно вручную вводитьGVLK приходится только в том случае, если компьютер был активирован с помощьюMAK или розничного ключа, а теперь требуется перейти к активации с помощьюKMS или ActiveDirectory. Если нужно найтиGVLK для определенного клиентского выпуска, см. ПриложениеA. Ключи установки клиентаKMS.
Ключи многократной активации
Вам также потребуются ключи многократной активации(MAK) с соответствующим количеством доступных активаций. Узнать, сколько раз был использован ключMAK, можно на веб-сайте MicrosoftVolume Licensing ServiceCenter или в средствеVAMT.
Выбор узлаKMS
Для службыKMS не требуется выделенный сервер. Она может быть размещена вместе с другими службами, например добавляет контроллеры домена и контроллеры домена только для чтения. УзлыKMS могут работать на физических компьютерах или виртуальных машинах с любой поддерживаемой операционной системойWindows. Узел KMS, на котором работает Windows Server2012R2, Windows Server2012 или Windows Server2008R2, может активировать любую клиентскую операционную систему Windows или сервер, поддерживающую корпоративную активацию. Сервер службы KMS, на котором работает Windows10, может активировать только компьютеры под управлением Windows 10, Windows 8.1, Windows8, Windows7 или Windows Vista. Один узелKMS поддерживает неограниченное число клиентовKMS, но Майкрософт рекомендует развертывать минимум два узлаKMS для обеспечения отказоустойчивости. Однако по мере того, как все больше клиентов активируется с помощью ActiveDirectory, KMSи резервированиеKMS становятся менее важными. Большинство организаций могут использовать всего два узлаKMS для всей инфраструктуры.
Поток активации KMS показан в Figure3, и он проходит следующую последовательность:
- Администратор настраивает узелKMS и устанавливает ключ узлаKMS с использованием консолиVAMT.
- Майкрософт проверяет ключ узлаKMS, и узел начинает ожидать запросы.
- УзелKMS обновляет записи ресурса вDNS, чтобы дать клиентам возможность найти узелKMS. (Если ваша среда не поддерживает протокол динамических обновленийDNS, добавлять записиDNS необходимо вручную.)
- Клиент с установленным ключомGVLK используетDNS, чтобы обнаружить узелKMS.
- Клиент отправляет один пакет узлуKMS.
- УзелKMS записывает сведения о клиенте, отправившем запрос (с использованием идентификатора клиента). Идентификаторы клиентов используются для подсчета количества клиентов и определения случаев, когда один и тот же компьютер запрашивает активацию повторно. Идентификатор клиента применяется только для определения того, достигнуты ли пороги активации. Идентификаторы не хранятся постоянно и не передаются вМайкрософт. В случае перезапускаKMS сбор идентификаторов клиентов начинается снова.
- Если ключ узлаKMS соответствует продуктам вGVLK, узелKMS отправляет один пакет обратно клиенту. Этот пакет содержит число компьютеров, которые запросили активацию у этого узлаKMS.
- Если данное количество превышает порог активации для активируемого продукта, то клиент активируется. Если порог активации еще не достигнут, то клиент повторит попытку.
Рисунок 3. Процесс активации с помощьюKMS
См. также
Активация подписки на Windows 10
- Время чтения: 13 мин
В этой статье
Начиная с Windows 10, версия 1703 Windows 10 Pro поддерживает функцию активации подписки, позволяя пользователям автоматически подписываться на Windows 10 Pro до Windows 10 Корпоративная , если они подписаны на Windows 10 корпоративный E3 или в разделе «перемещение».
В Windows 10 версии 1903 функция активации подписки также поддерживает возможность пошагового использования Windows 10 Pro для образования и для образовательных учреждений – Windows 10 для образования.
Функция активации подписки избавляет от необходимости вручную развертывать образы Windows 10 Enterprise или образовательных учреждений на каждом целевом устройстве, а затем в дальнейшем разключаться к локальным службам управления ключами, такими как KMS или MAK-активация, входя в Гвлкс и Затем перезагрузите клиентские устройства.
Активация подписки для Windows 10 корпоративный
В Windows 10 версия 1703 и в Windows 10 корпоративный E3, и в Windows 10 Enterprise ~ доступны в виде веб-служб с помощью подписки. Развертывание Windows 10 Корпоративная в вашей организации теперь выполняется без ключей и перезагрузок.
Если вы используете Windows 10 версии 1703 или более поздней, выполните указанные ниже действия.
- Устройства с текущей лицензией Windows 10 Pro можно легко обновить до Windows 10 Корпоративная.
- Лицензии на программное обеспечение Windows 10 Корпоративная на основе ключей продукта можно перевести на подписки на Windows 10 Корпоративная.
Организации с соглашением Enterprise Agreement могут также воспользоваться новой службой, используя традиционные устройства, подключенные к Active Directory. В этом сценарии пользователь Active Directory, входящий в систему на своем устройстве, должен быть синхронизирован с Azure AD с помощью синхронизации Azure AD Connect.
Активация подписки на Windows 10 для образовательных учреждений
Активация по подписке для образовательных учреждений действует так же, как и Корпоративная версия, но для использования активации по подписке для образовательных учреждений вам потребуется устройство под управлением Windows 10 Pro для образовательных учреждений, версия 1903 или более поздней версии и активный план подписки с Windows 10. Корпоративная лицензия. Дополнительные сведения можно найти в разделе требования .
В этой статье:
Сведения о том, как развертывать лицензии Windows 10 Корпоративная, см. в разделе Развертывание лицензий Windows 10 Корпоративная.
Унаследованная активация
Унаследованная Активация — это новая функция, доступная в Windows 10 версии 1803, которая позволяет виртуальным машинам Windows 10 наследовать состояние активации от своего узла Windows 10.
Если пользователь с назначенной лицензией Windows 10 E3/3 или A3/A5 создает новую виртуальную машину Windows 10 (VM) с помощью локального узла Windows 10, VM наследует состояние активации от компьютера-хоста, независимо от того, есть ли у вас входные данные с помощью локальной учетной записи или с использованием учетной записи Azure Active Directory (AAD) на виртуальной машине.
Для поддержки унаследованной активации на главном компьютере и виртуальной машине должна быть установлена операционная система Windows 10 версии 1803 или более поздней.
Эволюция развертывания
Исходную версия этого раздела можно найти в статье Переключение между SKU Windows.
На следующем рисунке показано, как развертывание Windows 10 изменялось в каждом новом выпуске. В этом выпуске развертывание выполняется автоматически.
- В Windows 7 требовалось повторное развертывание операционной системы методом полной «очистки и загрузки», если требовалось перейти с Windows 7 Профессиональная на Windows 10 Корпоративная.
- В Windows 8.1 была добавлена поддержка выполнения обновления на месте с Windows 8.1 Профессиональная до Windows 8.1 Корпоративная (такое обновление считается «обновлением восстановления», поскольку версия после обновления не отличается от прежней).Такой способ был намного проще, чем очистка и загрузка, но по-прежнему требовал много времени.
- В Windows 10 версии 1507 добавлена возможность установки нового ключа продукта с помощью пакета подготовки или с помощью MDM для изменения SKU.Для этого требовалась перезагрузка, в ходе которой устанавливались новые компоненты операционной системы, что занимало несколько минут. Тем не менее этот способ был намного быстрее, чем обновление на месте.
- В Windows 10 версия 1607 была проведена очень большой скачок вперед. Теперь можно просто изменить ключ продукта и SKU мгновенно изменится с Windows 10 Pro на Windows 10 Корпоративная.Помимо использования пакетов подготовки и MDM можно просто ввести ключ с помощью команды SLMGR.VBS (которая вставляет ключ в WMI), поэтому это действие стало проще выполнять с помощью командной строки.
- Windows 10 версии 1703 сделали это с помощью программы «Пошаговое руководство» для Windows 10 для предприятий, которые подписались на Windows 10 корпоративный E3 или в разделе «Управление».
- В Windows 10 версии 1709 добавлена поддержка активации подписок на Windows 10, очень похожая на поддержку CSP, но для больших предприятий, позволяя использовать Azure AD для назначения лицензий пользователям. Когда пользователи выполняют вход на компьютер, присоединенный к AD или Azure AD, переход с Windows 10 Pro на Windows 10 Корпоративная происходит автоматически.
- Windows 10 версии 1803 обновляет активацию подписки на Windows 10, чтобы включить получение ключей активации непосредственно из микропрограмм для устройств, поддерживающих встроенные в микропрограммы клавиши. Чтобы выполнить активацию в Windows 10 Pro до активации предприятия, вам больше не нужно выполнять сценарии. Для виртуальных машин и узлов, работающих под управлением Windows 10, включена также унаследованная активация версии 1803.
- Windows 10 версии 1903 обновляет активацию подписки на Windows 10, чтобы обеспечить возможность перехода с Windows 10 Pro для образования на Windows 10 для образовательных учреждений для пользователей с подпадающей подпиской на Windows 10 или Microsoft 365.
Требования
Требования к Windows 10 для предприятий
Для клиентов Майкрософт, подписавших соглашение Enterprise (EA) или Microsoft Products and Services Agreement (MPSA), необходимо следующее:
- Windows 10 (Pro или Enterprise) версии 1703 или более поздней на обновляемых устройствах.
- доступ к Azure Active Directory (Azure AD) для управления удостоверениями;
- Устройства должны быть присоединены к Azure AD или гибридной службе Azure AD. Зарегистрированные устройства, подключенные к Рабочей группе или Azure AD, не поддерживаются.
Для пользователей Microsoft, у которых нет EA или МПСА, вы можете получить Windows 10 Корпоративная E3/водоили a3/A5 с помощью поставщика облачных решений (CSP). Требования к управлению удостоверениями и устройствам такие же при использовании CSP для управления лицензиями, но при этом Windows 10 Корпоративная E3 также доступна через CSP для устройств под управлением Windows 10 версии 1607. Дополнительные сведения о получении Windows 10 Корпоративная E3 через CSP см. в разделе Windows 10 Корпоративная E3 в CSP.
Если устройства работают под управлением Windows 7 или Windows 8.1, см. раздел Новые возможности обновления до Windows 10 для облачных подписок на Windows в CSP
Проверка подлинности Мути
Обнаружена неполадка с гибридными подключенными устройствами Azure AD с включенной многофакторной проверкой подлинности (MFA). Если пользователь входит в систему с помощью учетной записи службы каталогов Active Directory и MFA включена, устройство не будет успешно переходить на корпоративную подписку на Windows.
Чтобы устранить эту проблему, выполните указанные ниже действия.
Если на устройстве установлена операционная система Windows 10, версия 1703, 1709 или 1803, пользователю необходимо либо войти в учетную запись Azure AD, либо отключить этот пользователь в течение 30-дневного периода опроса и продления срока действия.
Если устройство работает под управлением Windows 10 версии 1809 или более поздней, выполните указанные ниже действия.
- Windows 10 версии 1809 должны быть обновлены с помощью KB4497934. Более поздние версии Windows 10 автоматически включают это исправление.
- Когда пользователь входит на гибридное подключенное устройство Azure Active Directory с включенным MFA, уведомление будет указывать на наличие проблемы. Щелкните уведомление и нажмите кнопку исправить сейчас , чтобы пошагово пройти процесс активации подписки. Ниже приведен пример.
Требования для образовательных учреждений в Windows 10
- Windows 10 Pro для образовательных учреждений, версия 1903 или более поздние версии установлены на устройствах, которые необходимо обновить.
- Устройство с цифровой лицензией на Windows 10 Pro для образовательных учреждений. Вы можете подтвердить эту информацию в настройках > обновление &> безопасности.
- Клиент образования должен иметь активную подписку на Microsoft 365 с лицензией на Windows 10 Корпоративная или с подпиской на Windows 10 Корпоративная или для образовательных учреждений.
- Устройства должны быть присоединены к Azure AD или гибридной службе Azure AD. Зарегистрированные устройства, подключенные к Рабочей группе или Azure AD, не поддерживаются.
Если Windows 10 Pro была преобразована в Windows 10 Pro для образовательных учреждений с использованием преимуществ, доступных в магазине для образовательных учреждений, функция не будет работать. Вам потребуется повторное создание образа устройства с помощью Windows 10 Pro для образовательных учреждений.
Преимущества
В Windows 10 Корпоративная или Windows 10 для образовательных учреждений компании и учреждения могут пользоваться преимуществами безопасности и управления на уровне предприятия. Ранее в соответствии с условиями лицензионного соглашения Майкрософт вы можете развернуть Windows 10 для образовательных учреждений или Windows 10 корпоративным пользователям. Теперь, если у вас есть Windows 10 Корпоративная версия E3 или A3, а также версия A5, доступная в виде веб-службы, она доступна в окне Выбор каналов, позволяя всем организациям использовать преимущества функций Windows 10 в масштабах предприятия. Сравнение выпусков Windows 10 и цены на них, см. в следующих материалах:
Преимущества перехода на Windows как веб-службу:
- Лицензии для Windows 10 корпоративный и образовательных учреждений проверяются на основе учетных данных Azure Active Directory (Azure AD), поэтому теперь компании имеют систематическую возможность назначения лицензий конечным пользователям и группам в своей организации.
- Вход пользователя запускает автоматическое обновление выпуска, перезагрузка при этом не требуется.
- Поддержка активации мобильных сотрудников и собственных устройств сотрудников; прекращение использования локальных ключей KMS и MAK.
- Обеспечение соответствия за счет назначения рабочих мест.
- Лицензия может динамически обновляться для разных пользователей, что позволяет оптимизировать инвестиции в лицензирование на основе нужных изменений.
Принцип работы
Это устройство является членом AAD из параметров > учетные записи > доступ к работе или учебному заведению.
ИТ-администратор назначает Windows 10 корпоративному пользователю. Смотрите на рисунке ниже.
Когда лицензированный пользователь входит в систему на устройстве, которое соответствует требованиям с помощью своих учетных данных Azure AD, операционная система выполняет действия, начиная с Windows 10 Pro до Windows 10 корпоративный (или Windows 10 Pro для образовательных учреждений), и все соответствующие возможности Windows 10 для образования не заблокировались. После истечения срока действия подписки пользователя или ее передачи другому пользователю устройство будет полностью преобразовано в Windows 10 Pro/Windows 10 Pro для образовательных учреждений, по истечении срока действия текущей подписки.
Устройства под управлением Windows 10 Pro, версия 1703 или Windows 10 Pro для образовательных учреждений, версия 1903 или более поздней версии, могут получать одновременный канал для Windows 10 Корпоративная или для образовательных учреждений на пяти устройствах для каждого пользователя, охваченного лицензией. Канал долгосрочного обслуживания (Long Term Servicing Channel) сюда не входит.
На приведенных ниже рисунках показано, как работает модель активации подписки.
До Windows 10 версии 1903:
После установки Windows 10 версии 1903:
Примечание.
- На устройствах с Windows 10 Pro для образования Office 365 для образовательных учреждений, если лицензия «Windows 10 Корпоративная» назначена в центре администрирования M365 (в 2019).
- Если лицензия «Windows 10 Корпоративная» была назначена в центре администрирования M365 (в 2019), на устройстве с Windows 10 Pro будет отображаться только переход на Windows 10 Enterprise Edition.
Сценарии
Сценарий #1: вы используете Windows 10, версию 1803 или более поздней версии и только что приобрели подписку на Windows 10 корпоративный E3 или для 10 долларов (или если у вас есть подписка на план E3 или вододействия, но еще не развернут Windows 10 корпоративная).
Все устройства с Windows 10 Pro будут повышены до Windows 10, а устройства, которые уже работают под управлением Windows 10 Корпоративная, будут переходить с KMS или MAK на корпоративный выпуск Enterprise Edition на подписку. Пользователи, поддерживающие активацию, подписываются на устройство.
Сценарий #2: вы используете Windows 10, версию 1607, 1703 или 1709 с KMS для активации и только что приобрели подписку на Windows 10 корпоративный E3 или для 10 долларов (или если у вас уже есть подписка на план E3 или г.), но еще не развернули Windows 10 Корпоративная.
Чтобы изменить все устройства с Windows 10 Pro на Windows 10 Enterprise, выполните на каждом компьютере следующую команду:
cscript.exe c:\windows\system32\slmgr.vbs /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43
При выполнении команды операционная система переходит на Windows 10 Корпоративная, а затем обращается к серверу KMS для повторной активации.Этот ключ поступает из Приложения A. Ключи установки клиента KMS руководства по многопользовательской активации.Можно также ввести ключ Windows 10 Pro из этой статьи, если вы хотите перейти обратно с версии Корпоративная на Pro.
Сценарий #3: использование устройств, подключенных к Azure AD, или устройств, подключенных к службе каталогов Active Directory, работающих под управлением Windows 10 1709 или более поздней версии, а также с настроенной синхронизацией Azure AD, просто выполните действия, описанные в статье развертывание лицензий Windows 10 корпоративный , для получения SKU $0 и получения новой лицензии на Windows 10 Корпоративная E3 или изпала Затем назначьте эту лицензию всем пользователям Azure AD. Это могут быть учетные записи, синхронизированные с AD.Устройство автоматически перейдет с Windows 10 Pro на Windows 10 Корпоративная, когда пользователь выполнит вход.
Таким образом, если вы приобрели подписку на Windows 10 Корпоративная E3 или E5, но по-прежнему используете Windows 10 Pro, можно очень просто (и быстро) перейти на Windows 10 Корпоративная, используя один из описанных выше сценариев.
Если вы используете Windows 7, для этого может потребоваться больше усилий.Можно использовать подход «очистка и загрузка», однако проще, вероятно, будет обновить Windows 7 Профессиональная непосредственно до Windows 10 Корпоративная. Это поддерживаемый вариант, позволяющий выполнить переход за один шаг.Данный метод также работает в том случае, если вы используете Windows 8.1 Профессиональная.
Лицензии
Следующие политики применяются к приобретению и продлению лицензий на устройствах.
- Устройства, которые были обновлены, попытаются продлить лицензии каждые 30 дней и должны быть подключены к Интернету, чтобы успешно приобрести или обновить лицензию.
- Если устройство отключено от Интернета до истечения срока действия текущей подписки, операционная система вернется к Windows 10 Pro или Windows 10 Pro для образовательных учреждений. После повторного подключения устройства к Интернету лицензия будет автоматически продлена.
- Для каждой пользовательской лицензии можно обновить до пяти устройств.
- Если устройство отвечает требованиям, а лицензированный пользователь входит на него, он будет обновлен.
Лицензия может быть перераспределена от одного пользователя другому, что позволяет оптимизировать инвестиции в лицензирование на основе нужных изменений.
При наличии необходимой подписки Azure AD лицензирование на основе групп является предпочтительным методом для назначения лицензий Корпоративная E3 и E5 пользователям. Дополнительные сведения см. в статье Основы группового лицензирования в Azure Active Directory.
Существующие развертывания Windows 10 Корпоративная
Если вы используете Windows 10 версии 1803 или более поздней, активация подписки будет автоматически заключаться в встроенный микрокод активации Windows 10 и активировать базовую лицензию Pro. После этого вы сможете перейти на Windows 10 Enterprise с помощью активации подписки. Это действие автоматически переносит ваши устройства с KMS или MAK на подписку на активированную корпоративную.
Если вы используете Windows 10, версию 1607, 1703 или 1709 и уже развернули Windows 10 корпоративный, но хотите выйти из в зависимости от серверов и ключей MAK для клиентских компьютеров Windows, вы можете без труда перейти на него, пока компьютер активируется с помощью встроенного в Windows 10 Pro ключа продукта.
Если компьютер никогда не активировали с помощью ключа Pro, запустите следующий скрипт. Скопируйте следующий текст в CMD-файл и запустите файл из командной строки с повышенными привилегиями:
@echo off
FOR /F "skip=1" %%A IN ('wmic path SoftwareLicensingService get OA3xOriginalProductKey') DO (
SET "ProductKey=%%A"
goto InstallKey
)
:InstallKey
IF [%ProductKey%]==[] (
echo No key present
) ELSE (
echo Installing %ProductKey%
changepk.exe /ProductKey %ProductKey%
)
Получение лицензии на Azure AD
Соглашение Enterprise Agreement/Software Assurance (EA/SA):
- Организациям с традиционными EA необходимо заказать SKU за 0 долл. США, обработать сообщения электронной почты, отправленные администратору лицензий в компании и назначить лицензии с помощью Azure AD (лучше всего группам с помощью новой функции Azure AD Premium для назначения групп). Дополнительные сведения см. в разделе Включение активации подписки с помощью существующей лицензии EA.
- Администратор лицензий может назначать рабочие места пользователям Azure AD с помощью того же процесса, который используется для O365.
- Новые клиенты с Windows Корпоративная и EA/SA могут приобрести и подписку SA, и связанную с ней облачную подписку за 0 долл. США.
Microsoft Products and Services Agreement (MPSA):
- Организации с MPSA автоматически получают по электронной почте сведения о новой службе. Они должны выполнить действия для обработки инструкций.
- Существующие клиенты MPSA будут получать сообщения электронной почты для активации службы, позволяющие администратору клиента назначать пользователей службе.
- Новые клиенты MPSA, которые приобрели подписку на программное обеспечение Windows Корпоративная E3 и E5, смогут воспользоваться как традиционным способом с ключами, так и новым способом активации с подпиской.
Развертывание лицензий
См. Развертывание лицензий Windows 10 Корпоративная.
Доступ к виртуальным рабочим столам (VDA)
Подписки на Windows 10 Корпоративная также доступны для виртуализированных клиентов. Windows 10 Корпоративная E3 и E5 доступны для доступа к виртуальным рабочим столам (VDA) в Windows Azure или у другого проверенного мультитенантного поставщика услуг размещения.
Чтобы включить подписки на Windows 10 Корпоративная для VDA, необходимо настроить виртуальные машины (ВМ). Поддерживаются клиенты, присоединенные к Active Directory и Azure Active Directory. См. Включение VDA для активации подписки.
Связанные темы
Подключение присоединенных к домену устройств к Azure AD для работы в Windows 10
Сравнение выпусков Windows 10
Windows для бизнеса
Активация корпоративных лицензий для Windows 10
- Время чтения: 2 мин
В этой статье
Относится к
- Windows10
- Windows Server 2012 R2
- Windows Server 2012
- WindowsServer2016
- WindowsServer2019
Ищете сведения о корпоративном лицензировании?
Требуется активация розничной версии?
Это руководство предназначено для того, чтобы помочь организациям, которые планирует использовать корпоративную активацию для развертывания и активации Windows10, в том числе организаций, в которых используется многопользовательская активация для более ранних версий Windows.
Активация корпоративных лицензий представляет собой процесс, который заказчики корпоративных лицензий Microsoft используют для автоматизации и администрирования активации операционных систем Windows, Microsoft Office и других продуктов Microsoft в крупных организациях. Корпоративное лицензирование доступно для пользователей, которые приобрели программное обеспечение в различных корпоративных программах (например, » Открыть » и » выбрать»), а также участникам в таких программах, как Партнерская программа Майкрософт и Подписка на MSDN.
Активация корпоративных лицензий представляет собой конфигурируемое решение, помогающее автоматизировать и управлять процессом активации продуктов на компьютерах под управлением операционных систем Windows, которые предоставляются по программе корпоративного лицензирования. Активация корпоративных лицензий также используется с другим программным обеспечением Майкрософт (прежде всего пакетами Office), которое продается по соглашениям корпоративного лицензирования и поддерживает активацию корпоративных лицензий.
Это руководство содержит сведения и пошаговые рекомендации, которые помогут выбрать подходящий для вашей среды метод активации корпоративных лицензий, а затем настроить это решение. В этом руководстве описаны возможности многопользовательской активации и инструменты для управления многопользовательской активацией.
Поскольку большинство организаций не будут немедленно переключать все компьютеры в Windows10, практические стратегии активации тома должны также учитывать способ работы с операционными системами Windows 8.1, Windows7, Windows Server2012 и Windows Server2008R2. В этом руководстве рассматривается поддержка новыми средствами корпоративной активации более ранних операционных систем, но не рассматриваются средства, которые предоставляются с более ранними версиями операционной системы.
Многопользовательская активация — и сама активация не является новой, и в этом руководстве не рассмотрены все основные понятия и история. Дополнительную информацию см. в приложениях данного руководства. Дополнительные сведения можно найти в статье Обзор многопользовательской активации.
Если вы хотите получить дополнительные сведения о планировании развертывания корпоративного активации специально для Windows7 и Windows Server2008R2, ознакомьтесь с руководством по планированию многопользовательской активации для Windows7.
Для успешного планирования и реализации стратегии активации корпоративных лицензий необходимо:
- ознакомиться и понять процесс активации продукта;
- просмотреть и проанализировать доступные типы или модели активации;
- рассмотреть возможность подключения активируемых клиентов;
- выбрать метод или методы, используемые для каждого типа клиента;
- указать типы и необходимое количество ключей продукта;
- определить необходимость мониторинга и формирования отчетов в организации;
- установить и настроить средства, необходимые для поддержки выбранных методов;
помнить, что метод активации не влияет на ответственность организации по требованиям лицензирования. Необходимо убедиться, что все используемое в организации программное обеспечение надлежащим образом лицензировано и активировано в соответствии с условиями лицензионных соглашений.