共用方式為

雲端解決方案提供者中的 Windows 企業版 E3

CSP 中的 Windows 企業版 E3 會依訂用帳戶提供保留給 Windows Enterprise 版本的獨佔功能。 此服務是透過合作夥伴中心的雲端解決方案提供者 (CSP) 通路,以線上服務的形式提供。 CSP 中的 Windows 企業版 E3 為中小型組織提供彈性的每個使用者訂用帳戶, (從一到數百個使用者) 。 若要利用此供應項目,必須符合下列必要條件:

  • 在要升級的裝置上安裝並啟用目前支援的 Windows 版本。
  • Microsoft Entra 適用於身分識別管理。

從 Windows Pro 移至 Windows 企業版比以往更簡單,沒有密鑰且沒有重新啟動。 當使用者輸入與 Windows 企業版 E3 授權相關聯的 Microsoft Entra 認證之後,操作系統就會從 Windows Pro 變成 Windows 企業版,而且所有適當的企業功能都會解除鎖定。 當訂用帳戶授權過期或轉移給另一位使用者時,企業版裝置會順暢地回溯到 Windows Pro。

以前只有具有Microsoft大量許可協議的組織可以將 Windows 企業版部署到其使用者。 現在,透過 CSP 中的 Windows 企業版 E3,中小型組織可以更輕鬆地利用企業版功能。

透過合作夥伴購買 Windows 企業版 E3 時,會包含下列權益:

  • Windows 企業版。 目前執行 Windows Pro 的裝置可以取得 Windows 企業最新分支 (CB) 或最新商務分支 (CBB) 。 此權益不包含長期服務分支 (LTSB) 。
  • 支援從一到數百個使用者。 雖然雲端解決方案提供者計劃中的 Windows 企業版 E3 對於組織可擁有的授權數目沒有限制,但此計劃是針對中小型組織所設計。
  • 最多可部署到五部裝置。 針對授權涵蓋的每個使用者,Windows Enterprise Edition 最多可以部署在五部裝置上。
  • 隨時復原到 Windows Pro。 當使用者的訂閱過期或轉移給另一位使用者時,Windows Enterprise 裝置會在最多 90 天的寬限期后,順暢地還原至 Windows Pro 版本 () 。
  • 每月每使用者計價模式。 此模型可讓組織經濟實惠的 Windows 企業版 E3。
  • 在使用者之間移動授權。 授權可以快速且輕鬆地從一位使用者重新配置給另一位使用者,讓授權投資能夠針對變更的需求進行優化。

雲端解決方案提供者計劃中的 Windows 企業版 E3 與Microsoft大量許可協定和軟體保證有何比較?

  • Microsoft 大量授權方案的範圍更廣,可為組織提供所有 Microsoft 產品授權的存取權。

  • 軟體保證為組織提供下列權益:

    • 部署及管理。 這些優點包括規劃服務:

      • Microsoft桌面優化 (MDOP) 。
      • Windows 虛擬桌面訪問許可權。
      • Windows 漫遊使用許可權。
      • 其他優點。

    • 訓練。 這些好處包括訓練憑券、線上 E-Learning 以及軟體家用計畫。

    • 支援。 這些優點包括:

      • 24x7 問題解決支援。
      • 災害復原的備份功能。
      • System Center 全域服務監視。
      • SQL Server 的被動次要實例。

    • 特殊化。 這些優點包括逐步授權可用性,可讓您將軟體從舊版移轉至較高層級的版本。 它也會將授權和軟體保證付款分散到三個等於的年度總和。

      此外,在 CSP 的 Windows 企業版 E3 中,合作夥伴可以管理組織的授權。 使用軟體保證,組織必須管理自己的授權。

總而言之,雲端解決方案提供者計劃中的 Windows 企業版 E3 是一項升級供應專案,可讓中小型組織更輕鬆、更有彈性地存取 Windows 企業版的優點。 另一方面,Microsoft大量授權方案和軟體保證的範圍更廣,並提供超越 Windows 企業版存取權的優點。

比較 Windows 專業版和企業版

Windows 企業版有許多 Windows Pro 無法使用的功能。 表 1 列出 Windows Pro 中找不到的一些 Windows 企業版功能。 許多這些功能與安全性相關,而其他功能可讓您進行精細的裝置管理。

表 1. Windows Pro 中找不到 Windows 企業版功能

功能 描述
Credential Guard Credential Guard 會使用虛擬化型安全性來協助保護安全性秘密,讓只有具特殊許可權的系統軟體可以存取它們。 可保護的安全性秘密範例包括NTLM密碼哈希和 Kerberos 票證授權票證。 此保護有助於防止傳遞哈希或票證傳遞攻擊。

Credential Guard 具有下列功能:
  • 硬體層級安全性 - Credential Guard 使用硬體平臺安全性功能 (例如安全開機和虛擬化) ,以協助保護衍生的網域認證和其他秘密。
  • 虛擬化型安全性 - 存取衍生網域認證和其他秘密的 Windows 服務會在隔離的虛擬化受保護環境中執行。
  • 改善防範持續性威脅的防護 - Credential Guard 可與其他技術搭配使用 (例如 Device Guard) ,以協助進一步防範攻擊,無論其持續性為何。
  • 改善的管理能力 - Credential Guard 可以透過 群組原則、Windows Management Instrumentation (WMI) 或 Windows PowerShell 來管理。

    如需詳細資訊,請參閱使用 Credential Guard 保護衍生的網域認證

    Credential Guard 需要
    • 具有受信任開機的 UEFI 2.3.1 或更新版本
    • 必須啟用 Intel VT-x、AMD-V 和 SLAT 等虛擬化擴充功能
    • x64 版本的 Windows
    • IOMMU,例如 Intel VT-d,AMD-Vi
    • BIOS 鎖定
    • 如果 TPM 2.0 不存在,建議用於裝置健康情況證明的 TPM 2.0 (使用軟體)
    • AppLocker 管理 這項功能可協助 IT 專業人員判斷使用者可以在裝置上執行的應用程式和檔案。 可管理的應用程式與檔案包含可執行檔、指令碼、Window Installer 檔案、動態連結程式庫 (DLL)、已封裝的 App 與已封裝的 App 安裝程式。

    如需詳細資訊,請參閱 AppLocker
    Application Virtualization (App-V) 這項功能可讓使用者使用應用程式,而不需要直接在使用者的裝置上安裝應用程式。 App-V 會將應用程式轉換成永遠不會安裝的集中管理服務,而且這些應用程式也不會與其他應用程式衝突。 此功能也可利用最新的安全性更新來協助確保應用程式一律處於最新狀態。

    如需詳細資訊, 請參閱開始使用適用於 Windows 用戶端的 App-V
    使用者體驗虛擬化 (UE-V) 透過這項功能,可以擷取使用者自定義的 Windows 和應用程式設定,並儲存在集中管理的網路檔案共用上。

    當使用者登入時,其個人化設定會套用至其工作會話,而不論其登入的會話 (VDI) (哪個裝置或虛擬桌面基礎結構。

    UE-V 提供下列功能:
  • 指定要在使用者裝置之間同步哪些應用程式與 Windows 設定
  • 為整個企業的使用者隨時隨地提供設定
  • 建立企業營運應用程式的自定義範本
  • 在硬體更換或升級之後,或將虛擬機重新建立映像至其初始狀態之後,復原設定

    如需詳細資訊,請 參閱用戶體驗虛擬化 (UE-V) 概觀
    		•
    受管理的使用者體驗 這項功能可協助自定義和鎖定 Windows 裝置的使用者介面,以將其限制為特定工作。 例如,您可以針對 kiosk 或教室裝置等受控制的案例設定裝置。 一旦使用者登出,使用者體驗會自動重設。 也可以限制對 Windows 市集等服務的存取。 針對 Windows 10,也可以管理 [開始] 設定選項,例如:
  • 移除並禁止存取 \[關機\]、\[重新啟動\]、\[睡眠\] 與 \[休眠\] 命令
  • 從 \[開始\] 功能表移除 \[登出\] (\[使用者\] 磚)
  • 從 \[開始\] 功能表移除常用程式
  • 從 \[開始\] 功能表移除 \[所有程式\] 清單
  • 防止使用者自訂其 \[開始\] 畫面
  • 強制將 \[開始\] 功能表顯示為全螢幕大小或功能表大小
  • 防止變更工作列與 [開始] 功能表設定
    		•

    部署 Windows 企業版 E3 授權

    參閱部署 Windows 企業版授權

    部署 Windows 企業版功能

    現在 Windows Enterprise 版本已在裝置上執行,企業版的功能如何利用? 對於表 1 中所討論的每個功能,需要採取的後續步驟有哪些?

    下列各節提供需要在環境中執行的高階工作,以協助使用者利用 Windows 企業版功能。

    Credential Guard

    注意

    需要具有受信任開機的 UEFI 2.3.1 或更新版本;必須啟用 Intel VT-x、AMD-V 和 SLAT 等虛擬化擴充功能;x64 版本的 Windows;IOMMU,例如 Intel VT-d、AMD-Vi;BIOS 鎖定;如果 TPM 2.0 不存在) ,建議用於裝置健康情況證明 (的 TPM 2.0 將會使用軟體。

    在這些裝置上開啟 Credential Guard,即可在 Windows 企業版裝置上實作 Credential Guard。 Credential Guard 使用 Windows 虛擬化型 (Hyper-V) 必須先在每個裝置上啟用的安全性功能,才能開啟 Credential Guard。 Credential Guard 可以使用下列其中一種方法來開啟:

    • 自動。 您可以使用 群組原則,為一或多個裝置開啟 Credential Guard。 群組原則設定會自動在受管理的裝置上新增虛擬化型安全性功能並設定 Credential Guard 登錄設定。

    • 手動。 您可以採取下列其中一個動作,手動開啟 Credential Guard:

      • 使用 [程式和功能] 或部署映像服務與管理 (DISM) 來新增虛擬化型安全性功能。

      • 您也可以使用「登錄編輯器」或 Device Guard 與 Credential Guard 硬體整備工具來設定 Credential Guard 登錄設定。

        這些手動步驟可以使用管理工具自動化,例如 Microsoft Configuration Manager。

    如需實作 Credential Guard 的詳細資訊,請參閱下列資源︰

    AppLocker 管理

    您可以使用 群組原則 來管理 Windows Enterprise 中的 AppLocker。 群組原則 需要有 AD DS,而且 Windows Enterprise 裝置已加入 AD DS 網域。 您可以使用 群組原則 來建立 AppLocker 規則。 AppLocker 規則接著可以以適當的裝置為目標。

    如需使用群組原則管理 AppLocker 的詳細資訊,請參閱 AppLocker 部署指南

    App-V

    App-V 需要能夠支援 APP-V 用戶端的 App-V 伺服器基礎結構。 需要的主要 App-V 元件如下:

    • App-V 伺服器。 App-V 伺服器提供 App-V 管理、虛擬化的 App 發佈、App 串流處理與報告服務。 這些服務的每一個都可在一部伺服器上執行,也可以在多部伺服器上分別執行。 例如,可能會有多個串流伺服器。 App-V 用戶端會連絡 App-V 伺服器,以判斷哪些 App 發佈到使用者或裝置,然後從伺服器執行虛擬化的 App。

    • App-V Sequencer。 App-V Sequencer 是典型的用戶端裝置,用來排序 (擷取) App,並準備從 App-V 伺服器裝載它們。 應用程式會安裝在 App-V 排序器上,而 App-V 排序器軟體會決定應用程式安裝期間變更的檔案和登錄設定。 然後 Sequencer 會擷取這些設定來建立虛擬化的 App。

    • App-V 用戶端。 App-V 用戶端必須在需要從 App-V 伺服器執行應用程式的任何 Windows Enterprise E3 用戶端裝置上啟用。

    如需實作 App-V 伺服器、App-V Sequencer 與 App-V 用戶端的詳細資訊,請參閱下列資源︰

    UE-V

    UE-V 需要需要下載、啟用及安裝的伺服器和用戶端元件。 這些元件包括︰

    • UE-V 服務。 UE-V 服務 (當已在裝置上啟用時) 會監視已登錄的應用程式與 Windows 的任何設定是否變更,然後在裝置之間同步這些設定。

    • 設定套件。 UE-V 服務建立的設定套件是用來儲存應用程式設定與 Windows 設定。 設定套件建置後會儲存到本機,然後複製到設定儲存位置。

    • 設定儲存位置。 此位置是使用者可以存取的標準網路共用。 UE-V 服務會驗證該位置,然後建立一個隱藏的系統資料夾來儲存及擷取使用者設定。

    • 設定位置範本。 設定位置範本是 UE-V 用來監視以及同步使用者電腦之間傳統型應用程式設定與 Windows 桌面設定的 XML 檔案。 根據預設值,UE-V 中包含一些設定位置範本。 自訂設定位置範本也可以使用 UE-V 範本產生器來建立、編輯或驗證。 Windows 應用程式不需要設定位置範本。

    • 通用 Windows 應用程式清單。 UE-V 使用受管理的應用程式清單來決定要為設定同步啟用哪些 Windows 應用程式。 根據預設值,此清單包含大部分的 Windows 應用程式。

    如需部署 UE-V 的詳細資訊,請參閱下列資源:

    受管理的使用者體驗

    受控用戶體驗功能是一組 Windows 企業版功能和對應的設定,可用來管理用戶體驗。 表 2 描述依類別) (的受控用戶體驗設定,這些設定僅適用於 Windows Enterprise 版本。 用來設定每個功能的管理方法取決於功能。 某些功能是使用群組原則來設定,而其他功能是使用 Windows PowerShell、部署映像服務與管理 (DISM) 或其他命令列工具來設定。 針對 群組原則 設定,加入 AD DS 網域的 Windows Enterprise 裝置需要 AD DS。

    表 2. 受管理的使用者體驗功能

    功能 描述
    [開始] 配置自訂 自訂的 \[開始\] 配置可以部署給網域中的使用者。 不需要重新建立映像,且可以透過覆寫包含配置的 .xml 檔案來更新 \[開始\] 配置。 XML 檔案可讓您針對不同的部門或組織自定義 \[開始\] 配置,且管理額外負荷降到最低。
    如需這些設定的詳細資訊,請參閱使用群組原則自訂 Windows 10 的 [開始] 與工作列
    非品牌化開機 Windows 啟動或繼續時出現的 Windows 元素可以隱藏。 當 Windows 遇到無法復原的錯誤時,也會隱藏當機畫面。
    如需這些設定的詳細資訊,請參閱非品牌化開機
    自定義登入 自定義登入功能可用來隱藏與歡迎畫面和關機畫面相關的 Windows UI 元素。 例如,您可以隱藏歡迎畫面 UI 的所有元素,並提供自定義登入 UI。 您也可以隱藏封鎖的關機解析程式 (BSDR) 畫面,而且當作業系統等候應用程式在關機前關閉時,應用程式可以自動結束。
    如需這些設定的詳細資訊,請參閱自訂登入
    殼層啟動程式 透過「殼層啟動程式」,讓受指派的存取權只執行傳統型 Windows 應用程式來取代殼層。
    如需這些設定的詳細資訊,請參閱殼層啟動程式
    鍵盤篩選器 鍵盤篩選可用來隱藏不想要的按鍵或按鍵組合。 通常,使用者可以使用特定的 Windows 按鍵組合 (例如 Ctrl + Alt + Delete 或 Ctrl + Shift + Tab) 來控制裝置,方式是將畫面鎖定或使用「工作管理員」來關閉執行中的應用程式。 這些鍵盤動作不適合用於專用的裝置。
    如需這些設定的詳細資訊,請參閱鍵盤篩選器
    統一寫入篩選器 整合寫入篩選器 (UWF) 可用於裝置上,以協助保護實體記憶體媒體,包括 Windows 支援的大部分標準可寫入記憶體類型,例如:
    • 實體硬碟
    • 固態硬碟
    • 內部USB裝置
    • 外部 SATA 裝置
      • . UWF 也可用來讓唯讀媒體在OS中顯示為可寫入的磁碟區。
      如需這些設定的詳細資訊,請參閱統一寫入篩選器