Меню

2015 windows 10 laptops

Содержимое

Новые возможности Windows 10 Корпоративная LTSC 2015 What’s new in Windows 10 Enterprise LTSC 2015

Относится к: Applies to

  • Windows 10 Корпоративная LTSC 2015 Windows 10 Enterprise LTSC 2015

В этой статье перечислены новые и обновленные функции и контент, которые интересны ИТ-специалисты для Windows 10 Корпоративная LTSC 2015 (LTSB). This article lists new and updated features and content that are of interest to IT Pros for Windows 10 Enterprise LTSC 2015 (LTSB). Краткое описание канала обслуживания LTSC см. в описании Windows 10 Корпоративная LTSC. For a brief description of the LTSC servicing channel, see Windows 10 Enterprise LTSC.

Функции Windows 10 Корпоративная LTSC 2015 эквивалентны Windows 10 версии 1507. Features in Windows 10 Enterprise LTSC 2015 are equivalent to Windows 10, version 1507.

Развертывание Deployment

Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD) Provisioning devices using Windows Imaging and Configuration Designer (ICD)

В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. With Windows 10, you can create provisioning packages that let you quickly and efficiently configure a device without having to install a new image. С помощью программы «Подготовка Windows» ИТ-администратор может легко указать конфигурацию и параметры, необходимые для регистрации устройств в управлении с помощью пользовательского интерфейса, управляемого мастером, а затем применить эту конфигурацию к целевым устройствам в течение нескольких минут. Using Windows Provisioning, an IT administrator can easily specify the configuration and settings required to enroll devices into management using a wizard-driven user interface, and then apply this configuration to target devices in a matter of minutes. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров. It is best suited for small- to medium-sized businesses with deployments that range from tens to a few hundred computers.

Безопасность Security

AppLocker AppLocker

AppLocker был доступен для Windows 8.1 и улучшен в Windows 10. AppLocker was available for Windows 8.1, and is improved with Windows 10. Список требований к операционной системе см. в подсистеме «Требования к использованию AppLocker». See Requirements to use AppLocker for a list of operating system requirements.

К улучшениям AppLocker в Windows 10 относятся: Enhancements to AppLocker in Windows 10 include:

  • В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. A new parameter was added to the New-AppLockerPolicy Windows PowerShell cmdlet that lets you choose whether executable and DLL rule collections apply to non-interactive processes. Для включения этой функции задайте для параметра ServiceEnforcement значение Enabled. To enable this, set the ServiceEnforcement to Enabled.
  • Добавлен новый поставщик служб конфигурации AppLocker , что позволяет включать правила AppLocker, используя сервер MDM. A new AppLocker configuration service provider was add to allow you to enable AppLocker rules by using an MDM server.
  • Для управления устройствами с Windows 10 Mobile можно использовать новый AppLocker CSP. You can manage Windows 10 Mobile devices by using the new AppLocker CSP.

BitLocker BitLocker

К улучшениям AppLocker в Windows 10 относятся: Enhancements to AppLocker in Windows 10 include:

  • Шифрование и восстановление устройства с помощью Azure Active Directory. Encrypt and recover your device with Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. In addition to using a Microsoft Account, automatic Device Encryption can now encrypt your devices that are joined to an Azure Active Directory domain. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. When the device is encrypted, the BitLocker recovery key is automatically escrowed to Azure Active Directory. Это упрощает восстановление ключа BitLocker в Интернете. This will make it easier to recover your BitLocker key online.
  • Защита портов прямого доступа к памяти (DMA). DMA port protection. Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. You can use the DataProtection/AllowDirectMemoryAccess MDM policy to block DMA ports when the device is starting up. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. Also, when a device is locked, all unused DMA ports are turned off, but any devices that are already plugged into a DMA port will continue to work. После разблокировки устройства все порты DMA снова включаются. When the device is unlocked, all DMA ports are turned back on.
  • Новая групповая политика по настройке предзагрузочного восстановления. New Group Policy for configuring pre-boot recovery. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. You can now configure the pre-boot recovery message and recover URL that is shown on the pre-boot recovery screen. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker». For more info, see the Configure pre-boot recovery message and URL section in «BitLocker Group Policy settings.»

Управление сертификатами Certificate management

Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в т. ч. сертификаты по включению Windows Hello для бизнеса в вашей организации. For Windows 10-based devices, you can use your MDM server to directly deploy client authentication certificates using Personal Information Exchange (PFX), in addition to enrolling using Simple Certificate Enrollment Protocol (SCEP), including certificates to enable Windows Hello for Business in your enterprise. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов. You’ll be able to use MDM to enroll, renew, and delete certificates. Как и в Windows Phone 8.1, вы можете использовать приложение Сертификаты для просмотра сведений о сертификатах на своем устройстве. As in Windows Phone 8.1, you can use the Certificates app to review the details of certificates on your device. Узнайте, как установить цифровые сертификаты в Windows 10 Mobile. Learn how to install digital certificates on Windows 10 Mobile.

Microsoft Passport Microsoft Passport

В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код. In Windows 10, Microsoft Passport replaces passwords with strong two-factor authentication that consists of an enrolled device and a Windows Hello (biometric) or PIN.

Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user’s device and the user sets a gesture, which can be Windows Hello or a PIN. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам. The user provides the gesture to verify identity; Windows then uses Microsoft Passport to authenticate users and help them to access protected resources and services.

Аудит безопасности Security auditing

В Windows 10 реализован ряд улучшений аудита безопасности: In Windows 10, security auditing has added some improvements:

новые подкатегории аудита; New audit subcategories

В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита. In Windows 10, two new audit subcategories were added to the Advanced Audit Policy Configuration to provide greater granularity in audit events:

  • Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. Audit Group Membership Found in the Logon/Logoff audit category, the Audit Group Membership subcategory allows you to audit the group membership information in a user’s logon token. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Events in this subcategory are generated when group memberships are enumerated or queried on the PC where the logon session was created. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. For an interactive logon, the security audit event is generated on the PC that the user logged on to. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the PC hosting the resource. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. When this setting is configured, one or more security audit events are generated for each successful logon. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий. Multiple events are generated if the group membership information cannot fit in a single security audit event.
  • Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Audit PNP Activity Found in the Detailed Tracking category, the Audit PNP Activity subcategory allows you to audit when plug and play detects an external device. Для этой категории записываются только успешные операции аудита. Only Success audits are recorded for this category. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. If you do not configure this policy setting, no audit event is generated when an external device is detected by plug and play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. A PnP audit event can be used to track down changes in system hardware and will be logged on the PC where the change took place. Список идентификаторов поставщиков оборудования включается в событие. A list of hardware vendor IDs are included in the event.

дополнительные сведения для имеющихся событий аудита. More info added to existing audit events

В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. With Windows 10, version 1507, we’ve added more info to existing audit events to make it easier for you to put together a full audit trail and come away with the information you need to protect your enterprise. Дополнены следующие события аудита: Improvements were made to the following audit events:

изменена политика аудита ядра по умолчанию; Changed the kernel default audit policy

В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. In previous releases, the kernel depended on the Local Security Authority (LSA) to retrieve info in some of its events. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. In Windows 10, the process creation events audit policy is automatically enabled until an actual audit policy is received from LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA. This results in better auditing of services that may start before LSA starts.

процесс SACL по умолчанию добавлен в LSASS.exe; Added a default process SACL to LSASS.exe

В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. In Windows 10, a default process SACL was added to LSASS.exe to log processes attempting to access LSASS.exe. Этот SACL — L»S:(AU;SAFA;0x0010;;;WD)». The SACL is L»S:(AU;SAFA;0x0010;;;WD)». Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра. You can enable this under Advanced Audit Policy Configuration\Object Access\Audit Kernel Object. Это помогает определить атаки, которые крадут учетные данные из памяти процесса. This can help identify attacks that steal credentials from the memory of a process.

Новые поля в событии входа New fields in the logon event

Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4624 has been updated to include more verbose information to make them easier to analyze. В событие 4624 добавлены следующие поля. The following fields have been added to event 4624:

  1. Строка MachineLogon: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». MachineLogon String: yes or no If the account that logged into the PC is a computer account, this field will be yes. В противном случае — «нет». Otherwise, the field is no.
  2. Строка ElevatedToken: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». ElevatedToken String: yes or no If the account that logged into the PC is an administrative logon, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION). Additionally, if this is part of a split token, the linked login ID (LSAP_LOGON_SESSION) will also be shown.
  3. Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика. TargetOutboundUserName String TargetOutboundUserDomain String The username and domain of the identity that was created by the LogonUser method for outbound traffic.
  4. Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». VirtualAccount String: yes or no If the account that logged into the PC is a virtual account, this field will be yes. В противном случае — «нет». Otherwise, the field is no.
  5. Строка GroupMembership. Список всех групп в маркере пользователя. GroupMembership String A list of all of the groups in the user’s token.
  6. Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». RestrictedAdminMode String: yes or no If the user logs into the PC in restricted admin mode with Remote Desktop, this field will be yes. Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола. For more info on restricted admin mode, see Restricted Admin mode for RDP.

Новые поля в событии создания процесса New fields in the process creation event

Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4688 has been updated to include more verbose information to make them easier to analyze. В событие 4688 добавлены следующие поля. The following fields have been added to event 4688:

  1. Строка TargetUserSid. Идентификатор безопасности целевого субъекта. TargetUserSid String The SID of the target principal.
  2. Строка TargetUserName. Имя учетной записи целевого пользователя. TargetUserName String The account name of the target user.
  3. Строка TargetDomainName. Домен целевого пользователя. TargetDomainName String The domain of the target user..
  4. Строка TargetLogonId. Идентификатор входа целевого пользователя. TargetLogonId String The logon ID of the target user.
  5. Строка ParentProcessName. Имя процесса-автора. ParentProcessName String The name of the creator process.
  6. Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора. ParentProcessId String A pointer to the actual parent process if it’s different from the creator process.

Новые события диспетчера учетных записей безопасности New Security Account Manager events

В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. In Windows 10, new SAM events were added to cover SAM APIs that perform read/query operations. В предыдущих версиях Windows отслеживались только операции записи. In previous versions of Windows, only write operations were audited. Новые события — 4798 и 4799. The new events are event ID 4798 and event ID 4799. Теперь отслеживаются следующие интерфейсы API: The following APIs are now audited:

  • SamrEnumerateGroupsInDomain SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership SamrGetAliasMembership
  • SamrLookupNamesInDomain SamrLookupNamesInDomain
  • SamrLookupIdsInDomain SamrLookupIdsInDomain
  • SamrQueryInformationUser SamrQueryInformationUser
  • SamrQueryInformationGroup SamrQueryInformationGroup
  • SamrQueryInformationUserAlias SamrQueryInformationUserAlias
  • SamrGetMembersInGroup SamrGetMembersInGroup
  • SamrGetMembersInAlias SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation SamrGetUserDomainPasswordInformation

Новые события BCD New BCD events

Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD): Event ID 4826 has been added to track the following changes to the Boot Configuration Database (BCD):

  • Параметры DEP/NEX DEP/NEX settings
  • Тестовая подпись Test signing
  • Эмуляция PCAT SB PCAT SB simulation
  • Отладка Debug
  • Отладка загрузки Boot debug
  • Integrity Services Integrity Services
  • Отключение меню отладки Winload Disable Winload debugging menu

Новые события PNP New PNP events

Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Event ID 6416 has been added to track when an external device is detected through Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена. One important scenario is if an external device that contains malware is inserted into a high-value machine that doesn’t expect this type of action, such as a domain controller.

Доверенный платформенный модуль Trusted Platform Module

Новые функции TPM в Windows 10 New TPM features in Windows 10

В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10. The following sections describe the new and changed functionality in the TPM for Windows 10:

Аттестация работоспособности устройства Device health attestation

Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. With device health attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource. На устройстве можно проверить следующее. Some things that you can check on the device are:

  • Предотвращение выполнения данных поддерживается и включено? Is Data Execution Prevention supported and enabled?
  • Шифрование диска BitLocker поддерживается и включено? Is BitLocker Drive Encryption supported and enabled?
  • Безопасная загрузка поддерживается и включена? Is SecureBoot supported and enabled?

Примечание. Устройство должно работать под управлением Windows 10 и должно поддерживать хотя бы TPM 2.0. Note The device must be running Windows 10 and it must support at least TPM 2.0.

Контроль учетных записей User Account Control

Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду. User Account Control (UAC) helps prevent malware from damaging a computer and helps organizations deploy a better-managed desktop environment.

Не следует выключать контроль учетных записей, так как такой сценарий не поддерживается для устройств под управлением Windows 10. You should not turn off UAC because this is not a supported scenario for devices running Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. If you do turn off UAC, all Univeral Windows Platform apps stop working. Необходимо всегда устанавливать для реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA значение 1. You must always set the HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA registry value to 1. Если необходимо обеспечить автоматическое повышение прав для программного доступа или установки, можно установить для реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin значение 0, что то же, что и при установке ползунка UAC Never Notify. If you need to provide auto elevation for programmatic access or installation, you could set the HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin registry value to 0, which is the same as setting the UAC slider Never Notify. Подобное действие не рекомендуется выполнять для устройств под управлением Windows 10. This is not recommended for devices running Windows 10.

Дополнительные сведения о том, как управлять контролем учетных записей, см. в разделе Параметры групповой политики контроля учетных записей и параметры раздела реестра. For more info about how manage UAC, see UAC Group Policy Settings and Registry Key Settings.

В Windows 10 контроль учетных записей добавил некоторые улучшения: In Windows 10, User Account Control has added some improvements:

  • Интеграция с интерфейсом Antimalware Scan Interface (AMSI). Integration with the Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. The AMSI scans all UAC elevation requests for malware. Если обнаружена вредоносная программа, привилегии администратора блокируются. If malware is detected, the admin privilege is blocked.

Параметры профиля VPN VPN profile options

Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе: Windows 10 provides a set of VPN features that both increase enterprise security and provide an improved user experience, including:

  • автоматическое подключение для обеспечения режима «Постоянное подключение»; Always-on auto connection behavior
  • VPN-подключение, инициируемое приложением; App=triggered VPN
  • фильтры трафика VPN; VPN traffic filters
  • блокировка VPN; Lock down VPN
  • интеграция с Microsoft Passport for Work. Integration with Microsoft Passport for Work

Управление Management

Windows 10 располагает функциями управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, обеспечивающих управление личными и корпоративными устройствами на уровне предприятия. Windows 10 provides mobile device management (MDM) capabilities for PCs, laptops, tablets, and phones that enable enterprise-level management of corporate-owned and personal devices.

Поддержка MDM MDM support

Политики MDM для Windows 10 соответствуют политикам, поддерживаемым Windows 8.1. Они расширены для поддержки большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Microsoft Store, конфигурация VPN и др. MDM policies for Windows 10 align with the policies supported in Windows 8.1 and are expanded to address even more enterprise scenarios, such as managing multiple users who have Microsoft Azure Active Directory (Azure AD) accounts, full control over the Microsoft Store, VPN configuration, and more.

Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA). MDM support in Windows 10 is based on Open Mobile Alliance (OMA) Device Management (DM) protocol 1.2.1 specification.

Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Corporate-owned devices can be enrolled automatically for enterprises using Azure AD. Справочник по управлению мобильными устройствами для Windows 10 Reference for Mobile device management for Windows 10

Отмена регистрации Unenrollment

Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. When a person leaves your organization and you unenroll the user account or device from management, the enterprise-controlled configurations and apps are removed from the device. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства. You can unenroll the device remotely or the person can unenroll by manually removing the account from the device.

Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются. When a personal device is unenrolled, the user’s data and apps are untouched, while enterprise information such as certificates, VPN profiles, and enterprise apps are removed.

Инфраструктура Infrastructure

Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением. Enterprises have the following identity and management choices.

Область Area Варианты Choices
Удостоверение Identity Active Directory; Azure AD Active Directory; Azure AD
Группирование Grouping Присоединение к домену, рабочей группе, Azure AD Domain join; Workgroup; Azure AD join
Управление устройствами Device management Групповая политика; Microsoft Endpoint Configuration Manager; Microsoft Intune; другие решения MDM; Exchange ActiveSync; Windows PowerShell; инструментарий управления Windows (WMI) Group Policy; Microsoft Endpoint Configuration Manager; Microsoft Intune; other MDM solutions; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI)

Примечание. Note
С момента выпуска Windows Server 2012 R2 защита доступа к сети (NAP) является устаревшей технологией и была удалена из Windows 10. With the release of Windows Server 2012 R2, Network Access Protection (NAP) was deprecated and the NAP client has now been removed in Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft. For more information about support lifecycles, see Microsoft Support Lifecycle.

Блокировка устройств Device lockdown

Вам нужен компьютер, который предназначен только для решения одной задачи? Do you need a computer that can only do one thing? Например: For example:

  • Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов. A device in the lobby that customers can use to view your product catalog.
  • Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте. A portable device that drivers can use to check a route on a map.
  • Устройство, которое используется стажером для ввода данных. A device that a temporary worker uses to enter data.

Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. You can configure a persistent locked down state to create a kiosk-type device. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение. When the locked-down account is logged on, the device displays only the app that you select.

Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. You can also configure a lockdown state that takes effect when a given user account logs on. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений. The lockdown restricts the user to only the apps that you specify.

Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана. Lockdown settings can also be configured for device look and feel, such as a theme or a custom layout on the Start screen.

Макет начального экрана Start layout

Стандартный начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. A standard Start layout can be useful on devices that are common to multiple users and devices that are locked down for specialized purposes. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Starting in Windows 10, version 1511, administrators can configure a partial Start layout, which applies specified tile groups while allowing users to create and customize their own tile groups. Узнайте, как настраивать и экспортировать макет начального экрана. Learn how to customize and export Start layout.

Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки. Administrators can also use mobile device management (MDM) or Group Policy to disable the use of Windows Spotlight on the lock screen.

Обновления Updates

Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем непосредственного подключения этих систем к службе Центра обновления Windows корпорации Microsoft. Windows Update for Business enables information technology administrators to keep the Windows 10-based devices in their organization always up to date with the latest security defenses and Windows features by directly connecting these systems to Microsoft’s Windows Update service.

Благодаря объектам групповой политикиЦентр обновления Windows для бизнеса представляет собой простую в установке и внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10. By using Group Policy Objects, Windows Update for Business is an easily established and implemented system which enables organizations and administrators to exercise control on how their Windows 10-based devices are updated, by allowing:

Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие— после (чтобы обеспечить соблюдение требований по качеству). Deployment and validation groups; where administrators can specify which devices go first in an update wave, and which devices will come later (to ensure any quality bars are met).

Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты (с ограниченной пропускной способностью). Peer-to-peer delivery, which administrators can enable to make delivery of updates to branch offices and remote sites with limited bandwidth very efficient.

Использование с существующими системами, такими как Microsoft Endpoint Configuration Manager и Enterprise Mobility Suite. Use with existing tools such as Microsoft Endpoint Configuration Manager and the Enterprise Mobility Suite.

Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить более быструю доступность обновлений для системы безопасности и новейших инноваций Майкрософт на постоянной основе. Together, these Windows Update for Business features help reduce device management costs, provide controls over update deployment, offer quicker access to security updates, as well as provide access to the latest innovations from Microsoft on an ongoing basis. Центр обновления Windows для бизнеса — это бесплатная служба для всех выпусков Windows 10 Pro, Корпоративная и Windows 10 для образовательных учреждений. Эту службу можно использовать отдельно или совместно с существующими решениями для управления устройствами, такими как Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Windows Update for Business is a free service for all Windows 10 Pro, Enterprise, and Education editions, and can be used independent of, or in conjunction with, existing device management solutions such as Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager.

Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10. For more information about updating Windows 10, see Windows 10 servicing options for updates and upgrades.

Microsoft Edge Microsoft Edge

Microsoft Edge не доступен в выпуске LTSC для Windows 10. Microsoft Edge is not available in the LTSC release of Windows 10.

См. также See Also

Windows 10 Корпоративная LTSC: описание канала обслуживания LTSC со ссылками на сведения о каждом выпуске. Windows 10 Enterprise LTSC: A description of the LTSC servicing channel with links to information about each release.

Источник статьи: http://docs.microsoft.com/ru-ru/windows/whats-new/ltsc/whats-new-windows-10-2015


Adblock
detector