Windows 10 Корпоративная LTSC
Область применения
В этом разделе
В этом разделе содержатся ссылки на статьи со сведениями о новых возможностях каждого выпуска Windows 10 Корпоративная LTSC и краткое описание этого канала обслуживания.
Канал Long-Term Servicing Channel (LTSC)
В следующей таблице обобщены аналогичные версии обновления компонентов выпусков Windows 10 LTSC и канала Semi-Annual Channel (SAC).
| Выпуск LTSC | Аналогичный выпуск SAC | Дата доступности |
|---|---|---|
| Windows 10 Корпоративная LTSC 2015 | Windows 10 версии 1507 | 29.07.2015 |
| Windows 10 Корпоративная LTSC 2016 | Windows 10 версии 1607 | 02.08.2016 |
| Windows 10 Корпоративная LTSC 2019 | Windows 10 версии 1809 | 13.11.2018 |
| Windows 10 Корпоративная LTSC 2021 | Windows 10 версии 21H2 | 16.11.2021 |
Канал Long-Term Servicing Channel ранее назывался Long-Term Servicing Branch (LTSB). Все ссылки на LTSB изменены в этой статье на LTSC для обеспечения согласованности, хотя название предыдущих версий по-прежнему может отображаться как LTSB.
С помощью режима службы LTSC клиенты могут откладывать получение обновлений компонентов и получать на устройствах только ежемесячные исправления. Кроме того, не включаются компоненты из Windows 10, в которые могут добавляться новые функции, в том числе Кортана, Microsoft Edge и все встроенные универсальные приложения Windows. Обновления компонентов предлагаются в новых выпусках LTSC каждые 2–3 года, а не каждые 6 месяцев, и организации могут устанавливать их в качестве обновлений на месте или даже пропускать выпуски на протяжении 10-летнего жизненного цикла. Корпорация Майкрософт обязуется предоставлять исправления ошибок и системы безопасности для каждого выпуска LTSC в течение этого 10-летнего периода.
Канал Long-Term Servicing Channel не предназначен для развертывания на всех (или большинстве) компьютеров в организации. Выпуск LTSC Windows 10 предоставляет клиентам доступ к параметру развертывания для их специальных устройств и сред. Эти устройства, как правило, выполняют одну важную задачу, и им не требуются обновления компонентов так часто, как другим устройствам в организации. Кроме того, эти устройства обычно не зависят от поддержки со стороны внешних приложений и средств. Так как набор компонентов для LTSC не меняется в течение жизненного цикла выпуска, со временем некоторые внешние средства могут перестать поддерживать устаревшие версии. См. статью LTSC: описание и назначение.
Подробные сведения об обслуживании Windows 10 см. в статье Обзор модели «Windows как услуга».
См. также
Что нового в Windows 10 — новые возможности в других версиях Windows 10.
Windows 10 — сведения о выпуске: текущие версии Windows 10 по вариантам обслуживания.
Новые возможности Windows 10 Корпоративная LTSC 2019
Область применения:
В этой статье перечислены новые и обновленные функции и контент, которые интересуют ИТ-специалистов для Windows 10 Корпоративная LTSC 2019 по сравнению с Windows 10 Корпоративная LTSC 2016 (LTSB). Краткое описание канала обслуживания LTSC и связанной с ним поддержки см. в Windows 10 Корпоративная LTSC.
Возможности Windows 10 Корпоративная LTSC 2019 эквивалентны Windows 10, версия 1809.
Windows 10 Корпоративная LTSC 2019 строится на Windows 10 Pro версии 1809 с добавлением функций премиум-класса, предназначенных для решения потребностей крупных и средних организаций (в том числе крупных академических учреждений), таких как:
Выпуск Windows 10 Корпоративная LTSC 2019 является важным выпуском для пользователей LTSC, так как включает накопительные улучшения, предоставляемые в Windows 10 версиях 1703, 1709, 1803 и 1809 годов. Подробные сведения об этих улучшениях приведены ниже.
Выпуск LTSC предназначен для устройств специального использования. Поддержка LTSC приложениями и средствами, предназначенными для полугодовых выпусков Windows 10 каналов, может быть ограничена.
Microsoft Intune
Microsoft Intune поддерживает Windows 10 Корпоративная LTSC 2019 и более поздний. Однако обратите внимание, Windows 10 профили устройств update Rings не поддерживают выпуски LTSC, поэтому для исправления следует использовать поставщика служб конфигурации политики,WSUS или Configuration Manager.
Безопасность
Эта версия Windows 10 безопасности для защиты от угроз, защиты информации и защиты удостоверений.
Защита от угроз
Microsoft Defender для конечной точки
Платформа Microsoft Defender для конечной точки содержит столбы безопасности, показанные на следующей схеме. В этой версии Windows, Defender for Endpoint включает мощную аналитику, интеграцию стеков безопасности и централизованное управление для улучшения обнаружения, предотвращения, расследования, реагирования и управления.
Уменьшение числа возможных направлений атак
Уменьшение поверхности атаки включает системы предотвращения вторжений на основе хостов, такие как [управляемый доступ к папкам]/microsoft-365/security/defender-endpoint/enable-controlled-folders).
Эта функция может помочь предотвратить изменение личных файлов программ-вымогателей и других вредоносных программ. В некоторых случаях внесение изменений в такие общие папки, как Документы и Изображения, приложениями, которые вы часто используете, может блокироваться. Мы упростили процесс добавления приложений, которые были недавно заблокированы, в список разрешенных, чтобы вы могли продолжать пользоваться устройством без полного отключения функции.
При блокировании приложения, оно будет появляться в списке недавно заблокированных приложений, который можно открыть, щелкнув Управление параметрами в разделе Защита от программ-шантажистов. Щелкните Разрешить работу приложения через контролируемый доступ к файлам После отображения запроса нажмите кнопку + и выберите Недавно заблокированные приложения. Выберите любые приложения, которые необходимо добавить в список разрешенных. Кроме того, к приложению можно перейти с этой страницы.
Брандмауэр Защитника Windows
Защитник Windows Брандмауэр теперь поддерживает подсистема Windows для Linux (WSL). Вы можете добавить определенные правила для процесса WSL так же, как и для любого Windows процесса. Кроме того, брандмауэр Защитника Windows теперь поддерживает уведомления для процессов WSL. Например, когда средство Linux решит разрешить доступ к порту извне (например, SSH или веб-серверный NGINX), брандмауэр Защитника Windows предложит разрешить доступ так же, как и для процессов Windows, когда порт начинает принимать подключения. Это было впервые реализовано в сборке 17627.
Device Guard в Защитнике Windows
Device Guard всегда была коллекцией технологий, которые можно объединить для блокировки компьютера, в том числе:
Но эти средства защиты также можно настроить отдельно. И, в отличие от HVCI, политики целостности кода не требуют безопасности на основе виртуализации (VBS). Чтобы подчеркнуть явное значение этих защиты, политики целостности кода были ребрендингом в Защитник Windows application Control.
Защита следующего поколения
Обнаружения угроз в конечных точках и реагирование на них
Улучшено обнаружение конечных точек и реагирование. Enterprise теперь клиенты могут использовать весь стек Windows безопасности с обнаружением антивирусная программа в Microsoft Defender и блоками device Guard, которые будут всплыть на портале Microsoft Defender для конечных точек. ****
Защитник Windows теперь называется антивирусная программа в Microsoft Defender и теперь делится состоянием обнаружения между службами M365 и взаимодействиями с Microsoft Defender для Endpoint. Кроме того, реализованы дополнительные политики для улучшения облачной защиты. Созданы новые каналы для экстренной защиты. Дополнительные сведения см. в статьях Защита от вирусов и угроз и Использование технологий следующего поколения в антивирусной программе в Microsoft Defender с помощью облачной защиты.
Мы также увеличили ширину библиотеки документации для администраторов корпоративной безопасности. В новой библиотеке доступна следующая информация:
Некоторые из основных моментов новой библиотеки включают руководство по оценке для Microsoft Defender AV и руководство по развертыванию для Microsoft Defender AV в виртуальной среде инфраструктуры настольных компьютеров.
Новые функции microsoft Defender AV в Windows 10 Корпоративная LTSC 2019 включают:
Мы вложилизначительные средства в защиту от вымогателей, и мы продолжаем эти инвестиции с обновленным мониторингом поведения и защитой в режиме реального времени.
Кроме того, улучшены обнаружение конечных точек и ответные действия. Новые возможности обнаружения включают:
Настраиваемый обнаружение. С помощью настраиваемых средств обнаружения угроз можно создавать настраиваемые запросы для мониторинга событий в поведении любого типа, например подозрительных и возникающих угроз. Это можно делать, используя возможности расширенного поиска, путем создания пользовательских правил обнаружения.
Улучшения в памяти ОС и датчиках ядра для обнаружения злоумышленников, использующих атаки на уровне памяти и на уровне ядра.
Обновленные обнаружения программ-вымогателей и других расширенных атак.
Историческая возможность обнаружения обеспечивает применение новых правил обнаружения к хранимой информации сроком до шести месяцев для обнаружения предыдущих атак, которые, возможно, не были замечены.
Реагирование на угрозы улучшается при обнаружении атаки, что позволяет незамедлительно принять меры, чтобы группы безопасности содержали нарушение:
Добавлены дополнительные возможности, которые помогут получить целостное представление о расследованиях:
Изучение учетной записи пользователя — Определение учетных записей пользователей с наиболее активными оповещениями и изучение случаев потенциальной компрометации учетных данных.
Дерево процесса оповещения — Объединяет несколько обнаружений и событий в одном представлении, сокращая время разрешения случаев.
Получение оповещений с помощью REST API — Использование REST API для получения оповещений из Microsoft Defender для конечной точки.
Другие расширенные функции безопасности:
Проверка состояния работоспособности датчика — проверка способности конечной точки предоставить данные датчика и связаться со службой Microsoft Defender для конечной точки для устранения известных проблем.
Поддержка поставщика управляемых служб безопасности (MSSP) — Microsoft Defender for Endpoint добавляет поддержку для этого сценария, предоставляя интеграцию MSSP. Интеграция позволяет поставщикам MSSP выполнять следующие действия: осуществлять доступ к порталу Центра безопасности Защитника Windows пользователя MSSP, получать уведомления об электронной почте, а также получать оповещения с помощью средств управления событиями и информацией о безопасности (SIEM).
Интеграция с Azure Defender — Microsoft Defender для конечной точки интегрируется с Azure Defender, чтобы обеспечить комплексное решение по защите серверов. С помощью этой интеграции Azure Defender может использовать возможности Defender для конечной точки, чтобы обеспечить улучшенное обнаружение угроз для Windows серверов.
Onboard Windows Server 2019 — Microsoft Defender for Endpoint теперь добавляет поддержку Windows Server 2019. Вы сможете подключать Windows Server 2019 таким же способом, как и клиентские компьютеры Windows 10.
Мы также добавили новую оценку службы Windows времени в раздел Производительность устройства & работоспособности. Если мы определим, что время вашего устройства синхронизировано с нашими серверами времени неправильно и служба синхронизации времени отключена, система предоставит вам возможность включить службу.
Мы продолжаем работать над тем, как другие устанавливаемые вами приложения для обеспечения безопасности, отображаются в приложении Безопасность Windows. Появилась новая страница под названием Поставщики безопасности в разделе Параметры приложения. Нажмите кнопку Управление поставщиками для просмотра списка всех других поставщиков безопасности (включая антивирусные программы, межсетевой экран и защиту от веб-угроз), работающих на вашем устройстве. Здесь можно легко открыть приложения поставщиков или получить дополнительные сведения о способах устранения проблем, о которых сообщает Безопасность Windows.
Это также означает, что в Безопасности Windows будут отображаться дополнительные ссылки на другие приложения для обеспечения безопасности. Например, если вы откроете раздел Брандмауэр и защита сети, вы увидите приложения брандмауэра, работающие на вашем устройстве, с разбивкой по типу брандмауэра, то есть доменный, частный и для публичных сетей.
Дополнительные возможности по смягчению последствий и обнаружению программ-вымогателей можно узнать по:
Кроме того, см. новые возможности Microsoft Defender для конечной точки и далее повышения эффективности и надежности безопасности конечных точек
Получите краткий, но углубленный обзор Microsoft Defender для конечной точки для Windows 10: Defender for Endpoint.
Защита информации
Улучшения добавлены в Windows и BitLocker.
Windows Information Protection
Windows Information Protection теперь работает с Microsoft Office и Azure Information Protection. Подробнее: Развертывание и управление Windows Information Protection (WIP) с Azure Information Protection.
С помощью Microsoft Intune вы можете создать и развернуть политику Windows Information Protection (WIP), а также выбрать разрешенные приложения, уровень защиты с помощью WIP и способ поиска корпоративных данных в сети. Дополнительные сведения см. в статьях Создание политики Windows Information Protection (WIP) с помощью Microsoft Intune и Сопоставление и развертывание политик Windows Information Protection (WIP) и VPN с помощью Microsoft Intune.
Кроме того, теперь можно собирать журналы событий аудита с помощью поставщика служб конфигурации отчетов (CSP) или службы пересылки событий Windows (для компьютеров с Windows, подключенных к домену). Дополнительные сведения см. в новой статье Как собирать журналы событий аудита Windows Information Protection (WIP).
В этом выпуске реализована поддержка WIP с файлами по запросу, шифрование файлов, когда файл открыт в другом приложении, а также улучшена производительность. Дополнительные сведения: Файлы из OneDrive по запросу для предприятий.
BitLocker
Минимальная длина ПИН-кода меняется с 6 символов на 4 (по умолчанию 6). Подробнее: Параметры групповой политики BitLocker.
Автоматическое принудительное включение для фиксированных жестких дисков
С помощью политики управления современными устройствами (MDM) BitLocker можно включить автоматически для обычных пользователей, подключенных к Azure Active Directory (AAD). В Windows 10 версии 1803 автоматическое шифрование BitLocker было включено для обычных пользователей AAD, тем не менее, требовалось использовать современное оборудование, которое прошло проверку интерфейса проверки безопасности оборудования (HSTI). Эта новая функциональная возможность включает шифрование BitLocker через политику даже на устройствах, которые не прошли проверку HSTI.
Это обновление поставщика служб конфигурации BitLocker, который появился в Windows 10 версии 1703 и использовался Intune и другими службами.
Эта функция будет скоро реализована в Olympia Corp в качестве дополнительной функции.
Защита идентификации
Добавлены улучшения для Windows Hello для бизнеса и службы учетных данных.
Windows Hello для бизнеса
Новые функции в Windows Hello позволяют лучше работать с блокировкой устройства, используя многофакторную разблокировку с помощью новых сигналов расположения и близости пользователей. С помощью сигналов Bluetooth можно настроить устройства с Windows 10 так, чтобы они автоматически блокировались, когда вы они отходите, или запретить доступ других людей к устройству в ваше отсутствие.
Теперь можно выполнить сброс забытого ПИН-кода без удаления данных организации или приложений на устройствах под управлением Microsoft Intune.
Для устройств под управлением Windows Phone администратор может инициировать удаленный сброс ПИН-кода через портал Intune.
Пользователи настольных компьютеров с Windows могут сбросить забытый ПИН-код в меню «Параметры» > «Учетные записи» > «Параметры входа». Дополнительные сведения см. в разделе Что делать, если я не помню свой ПИН-код?.
Windows Hello поддерживает проверку подлинности FIDO 2.0 для устройств Azure AD Joined Windows 10 и имеет расширенную поддержку общих устройств, как описано в конфигурации Киоска.
Поддержка S/MIME с Windows Hello для бизнеса и API-интерфейсов для решений по управлению жизненным циклом удостоверений сторонних производителей.
Windows Hello— это часть системы защиты учетных записей в Центре безопасности Защитника Windows. Система защиты учетных записей помогает пользователям, применяющим пароли, настроить распознавание лиц Windows Hello, отпечаток пальца или ПИН-код для более быстрого входа и уведомляет пользователей динамической блокировки об остановке работы динамической блокировки из-за отключения функции Bluetooth на телефоне или устройстве.
Вы можете настроить Windows Hello на экране блокировки для учетных записей MSA. Мы упростили настройку Windows Hello для пользователей учетной записи Майкрософт на устройствах для более быстрого и безопасного входа в систему. Ранее вам требовалось перейти в «Параметры» для поиска Windows Hello. Теперь вы можете настроить распознавание лиц Windows Hello, отпечаток пальца или ПИН-код напрямую на экране блокировки, щелкнув плитку Windows Hello в разделе «Параметры входа».
Новый общедоступный API для единого входа дополнительной учетной записи для определенного поставщика идентификаторов.
Упрощена настройка динамической блокировки, добавлены оповещения WD SC о прекращении работы динамической блокировки перестает работать (например, функция Bluetooth телефона выключена).
Credential Guard в Защитнике Windows
Credential Guard в Защитнике Windows — это служба безопасности в Windows 10, разработанная для защиты учетных данных домена Active Directory (AD), чтобы их не могли украсть или неправомерно использовать вредоносные программы на компьютере пользователя. Она предназначена для защиты от известных угроз, таких как атаки с передачей хэша и сборщики учетных данных.
Защитник Windows Credential Guard всегда была необязательным элементом, но Windows 10 режиме S включает эту функцию по умолчанию, когда машина была Azure Active Directory. Это обеспечивает дополнительный уровень безопасности при подключении к ресурсам домена, которые обычно не присутствуют на устройствах, работающих Windows 10 режиме S.
Защитник Windows Credential Guard доступен только для устройств режима S или Enterprise и образовательных выпусков.
Другие улучшения безопасности
Базовые параметры безопасности Windows
Корпорация Майкрософт выпустила новые базовые параметры безопасности Windows для Windows Server и Windows 10. Базовые параметры безопасности — это группа рекомендуемых корпорацией Майкрософт параметров конфигурации с пояснением их влияния на безопасность. Подробнее: Набор средств обеспечения совместимости с правилами безопасности Microsoft 1.0(в этом разделе также можно скачать анализатор политик).
Базовые параметры безопасности Windows были обновлены для Windows 10. Базовые параметры безопасности— это группа рекомендуемых корпорацией Майкрософт параметров конфигурации с пояснением их влияния на безопасность. Дополнительные сведения см. в разделе Набор средств обеспечения совместимости с правилами безопасности Microsoft 1.0(в этом разделе также можно скачать анализатор политик).
Уязвимость SMBLoris
Устранена проблема, известная как SMBLoris, которая могла приводить к отказу в обслуживании.
Центр обеспечения безопасности Windows
Центр безопасности Защитника Windows теперь называется Центр обеспечения безопасности Windows.
Вы по-прежнему можете открыть приложение всеми стандартными способами: просто попросите Кортану открыть центр обеспечения безопасности Windows (WSC) или выберите значок на панели задач. WSC позволяет управлять всеми функциями безопасности, включая антивирусную программу «Microsoft Defender» и брандмауэр Защитника Windows.
Теперь, чтобы зарегистрировать антивирусный продукт, служба WSC запрашивает их запуск в качестве защищенного процесса.Продукты, в которых этот механизм еще не реализован, не будут отображаться в пользовательском интерфейсе центра обеспечения безопасности Windows и антивирусная программа «Microsoft Defender» будет оставаться включенной параллельно с этими продуктами.
В состав WSC теперь входят всем привычные элементы системы Fluent Design. Вы также заметите, что мы настроили интервалы и заполнение вокруг приложения. Теперь размер категорий на главной странице будет динамически изменяться при необходимости освободить место для дополнительных сведений. Мы также обновили заголовок окна. В нем будет использоваться цвет элементов при включении этого параметра в разделе Параметры цвета.
Параметры безопасности для групповой политики
Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, когда сеанс заблокирован теперь работает совместно с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.
В LTSC 2019 в LTSC 2019 был представлен новый параметр политики безопасности Interactive logon: Windows 10 Корпоративная не отображайте имя пользователя при входе. Этот параметр политики безопасности определяет, отображается ли имя пользователя при входе в систему. Он работает в сочетании с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Другой пользователь.
Windows10 в S-режиме
Мы продолжили работу над текущими угрозами в компоненте Защита от вирусов и угроз, в которой теперь отображаются все угрозы, которые необходимо устранить. Можно быстро принять соответствующие меры в отношении угроз на этом экране:
Развертывание
MBR2GPT.EXE
MBR2GPT.EXE — это новое средство командной строки, внедренное с Windows 10 версии 1703, а также доступное в Windows 10 Корпоративная LTSC 2019 (и более поздних версиях). MBR2GPT преобразовывает диск из стиля раздела «Основная загрузочная запись» (MBR) в стиль раздела «Таблица разделов GPT» (GPT) без изменения или удаления данных на диске. Данное средство запускается в командной строке среды предустановки Windows (Windows PE), но также может быть запущено в полной операционной системе Windows 10.
Формат раздела GPT более новый и позволяет использовать более объемные и дополнительные разделы диска. Кроме того, он повышает надежность хранения данных, поддерживает дополнительные типы разделов, ускоряет загрузку и завершение работы. Если вы хотите преобразовать системный диск на компьютере из MBR в GPT, необходимо также настроить компьютер на загрузку в режиме UEFI. Перед преобразованием системного диска убедитесь, что устройство поддерживает UEFI.
При загрузке в режиме UEFI включаются дополнительные функции безопасности Windows 10: безопасная загрузка, драйвер для раннего запуска антивредоносной программы (ELAM), надежная загрузка Windows, измеряемая загрузка, Device Guard, Credential Guard и сетевая разблокировка BitLocker.
Дополнительные сведения см. в разделе MBR2GPT.EXE.
Были добавлены следующие новые команды DISM для управления обновлениями компонентов.
DISM /Online /Initiate-OSUninstall
DISM /Online /Remove-OSUninstall
DISM /Online /Get-OSUninstallWindow
DISM /Online /Set-OSUninstallWindow
Программа установки Windows
Теперь вы можете запускать собственные настраиваемые действия и сценарии параллельно с программой установки Windows. Программа установки также переносит сценарии в следующую версию компонента, поэтому их можно добавить всего один раз.
Теперь также можно запустить сценарий, если пользователь выполняет откат своей версии Windows с помощью параметра PostRollback.
/PostRollback [\setuprollback.cmd] [/postrollback
Доступны новые параметры командной строки для управления BitLocker:
Setup.exe/BitLocker AlwaysSuspend
Setup.exe/BitLocker TryKeepActive
Setup.exe/BitLocker ForceKeepActive
Улучшения обновлений компонентов
Часть работы, которая совершалась в автономном режиме при обновлении Windows, перенесена на оперативный этап. Это привело к существенному сокращению времени работы в автономном режиме при установке обновлений. Дополнительные сведения см. в разделе Мы вас слушаем.
Средство SetupDiag
SetupDiag — это новое средство командной строки, которое помогает с определением причины сбоя обновления Windows 10.
SetupDiag выполняет поиск в файлах журнала программы установки Windows. SetupDiag использует набор правил для обнаружения известных проблем. В текущей версии SetupDiag файл rules.xml содержит 53 правил, которые извлекаются при запуске SetupDiag. Файл rules.xml будет обновляться по мере выхода новых версий SetupDiag.
Более быстрый вход на общий компьютер с Windows 10
Если у вас есть общие устройства, развернутые в вашем месте работы, быстрый вход позволяет пользователям войти на общий компьютер Windows 10 в один миг!
Чтобы включить функцию быстрого входа, выполните следующие действия.
Настройка общего или гостевого устройства с Windows 10, версия 1809 или Windows 10 Корпоративная LTSC 2019.
Установите CSP политики и политики проверки подлинности и EnableFastFirstSignIn, чтобы включить быстрый вход.
Войдите в общий компьютер сот своей учетной записью. Вы заметите разницу!
Веб-вход в Windows 10
До недавнего времени процесс входа в Windows поддерживал использование только федеративных удостоверений Active Directory или других поставщиков, которые поддерживают протокол WS-Fed. Мы представляем «веб-вход» — новый способ входа на компьютер с Windows. Веб-вход реализует поддержку входа в систему Windows для федеративных поставщиков, отличных от ADFS (например, SAML).
Чтобы попробовать веб-вход на практике, выполните следующие действия.
Присоедините компьютер с Windows 10 к Azure AD. (Веб-вход поддерживается только на компьютерах, присоединенных к Azure AD.)
Настройте включение веб-входа в поставщике служб конфигурации политики, а также в политиках проверки подлинности и политике EnableWebSignIn.
На экране блокировки выберите веб-вход в разделе «Параметры входа».
Чтобы продолжить, нажмите кнопку «Войти».
Windows Analytics
Готовность к обновлению
Готовность к обновлению не позволяет оценить обновление до выпуска LTSC (сборки LTSC недоступны в качестве целевых версий). Однако можно записать устройства под управлением LTSC для планирования обновления до полугодовых выпусков каналов.
Upgrade Readiness позволяет убедиться, что приложения и драйверы готовы к обновлению до Windows 10. Решение предоставляет актуальные данные о драйверах и приложениях, сведения об известных проблемах, рекомендации по устранению неполадок и сведения об отслеживании и готовности устройства. Средство Проверка готовности к обновлению стало общедоступным 2марта 2017г.
На разработку Upgrade Readiness сильно повлияли входные данные сообщества, а разработка новых функций продолжается. Чтобы начать работу с Upgrade Readiness, добавьте его в существующую рабочую область Operation Management Suite (OMS) или зарегистрируйтесь для получения новой рабочей области OMS с включенным решением Upgrade Readiness.
Дополнительные сведения об Upgrade Readiness см. в следующих статьях:
Проверка готовности к обновлению позволяет получить информацию о проблемах совместимости приложений и драйверов. Среди новых возможностей — расширение охвата приложений, отчеты о работоспособности после обновления и усовершенствованная фильтрация отчетов. Подробнее: Управление обновлениями Windows с помощью средства «Проверка готовность к обновлению».
Поддержка обновлений
Соответствие обновлений обеспечивает защиту и актуальность устройств Windows 10 в вашей организации.
Поддержка обновлений — это решение, созданное на основе журналов и аналитики OMS и предоставляющее информацию о состоянии установки ежемесячных исправлений и обновлений компонентов. Здесь представлены сведения о ходе развертывания существующих обновлений и состоянии будущих обновлений. Также предоставляется информация об устройствах, которые могут требовать внимания для устранения проблем.
Дополнительные сведения о поддержке обновлений см. в статье Мониторинг обновлений Windows с поддержкой обновлений.
Новые возможности в Поддержке обновлений позволяют контролировать состояние защиты Защитника Windows, сравнивать соответствие с другими представителями отрасли, а также оптимизировать полосу пропускания для развертывания обновлений. Подробнее см. в статье Мониторинг обновлений Windows и антивирусной программы в Microsoft Defender с помощью средства «Поддержка обновлений».
Работоспособность устройств
Работоспособность устройств — это новое аналитическое средство для упрощения обслуживания устройств, способное идентифицировать устройства и драйверы, которые часто дают сбой и могут требовать замены или повторной сборки. Подробнее: Мониторинг работоспособности устройств с помощью средства «Работоспособность устройств».
Специальные возможности и конфиденциальность
Специальные возможности
Встроенные специальные возможности дополнены автоматически создаваемыми описаниями изображений. Дополнительные сведения о специальных возможностях см. в разделе Информация о специальных возможностях для ИТ-специалистов. Также см. раздел «Доступность» в разделе Что нового в Windows 10 2018 update, в блоге.
Конфиденциальность
На странице «Отзывы и параметры» в разделе «Параметры конфиденциальности» теперь можно удалить диагностические данные, которые устройство отправляет в корпорацию Microsoft. Вы также можете просмотреть этот диагностических данных с помощью приложения Просмотр диагностических данных.
Конфигурация
Конфигурация киоска
Новый Microsoft Edge на основе хрома имеет множество улучшений, специально предназначенных для киосков. Однако он не входит в выпуск LTSC Windows 10. Вы можете скачать и установить Microsoft Edge отдельно здесь.
Internet Explorer включен в Windows 10 LTSC, так как его набор функций не меняется, и он будет продолжать получать исправления безопасности для Windows 10 выпуска LTSC.
Если вы хотите воспользоваться возможностями киоска в Edge,рассмотрите режим Киоск с полугодовым каналом выпуска.
Совместное управление
Добавлены Microsoft Endpoint Manager intune и Microsoft Endpoint Manager для обеспечения гибридной проверки подлинности с использованием Azure AD. В этом выпуске в систему управления мобильными устройствами (MDM) добавлено более 150новых политик в параметров, в том числе политика MDMWinsOverGP, для упрощения перехода к облачному управлению.
Период удаления ОС
Период удаления ОС— это время, в течение которого пользователи могут выполнить откат обновления Windows 10. В этом выпуске администраторы могут использовать Intune или DISM для настройки периода удаления ОС.
Пакетное присоединение к Azure Active Directory
Используя новые мастера в конструкторе конфигураций Windows, вы можете создать пакеты подготовки для регистрации устройств в Azure Active Directory. Пакетное присоединение к Azure AD доступно в мастерах рабочего стола, мобильных устройств, киосков и Surface Hub.
Windows: интересное
Расширены возможности экрана «Windows: интересное» — добавлены новые параметры групповой политики и параметры управления мобильными устройствами (MDM):
Расположение элементов на начальном экране и на панели задач
Ранее настраиваемую панель задач можно было развернуть только с помощью групповой политики или пакетов подготовки. Windows 10 Корпоративная LTSC 2019 добавляет поддержку настраиваемых панели задач в MDM.
Центр обновления Windows
Программа предварительной оценки Windows для бизнеса
Недавно мы добавили возможность загрузки Windows 10 предварительного просмотра с помощью корпоративных учетных данных в Azure Active Directory (Azure AD). Зарегистрив устройства в Azure AD, вы повышаете видимость отзывов, представленных пользователями в организации, особенно в том, что касается функций, которые поддерживают ваши конкретные бизнес-потребности. Подробные сведения см. в разделе Программа предварительной оценки Windows для бизнеса.
Теперь вы можете регистрировать свои домены Azure AD в Программе предварительной оценки Windows. Подробнее: Программа предварительной оценки Windows для бизнеса.
Оптимизация доставки обновлений
Перечисленные изменения можно применить к Windows 10 версии 1607, установив накопительный пакет обновления за апрель 2017 г.
Политики оптимизации доставки теперь позволяют настраивать дополнительные ограничения и повышают эффективность работы в различных сценариях.
Добавлены следующие политики:
Удаленные встроенные приложения больше не будут переустанавливаться автоматически
Начиная с Windows 10 Корпоративная LTSC 2019, включительно приложения, которые были неустановлены пользователем, не будут автоматически переустановлены в рамках процесса установки обновления функций.
Кроме того, приложения, отостановимые администраторами на Windows 10 Корпоративная машинах LTSC 2019, останутся отостановками после будущих установок обновления функций. Это не будет применяться к обновлению Windows 10 Корпоративная LTSC 2016 (или ранее) Windows 10 Корпоративная LTSC 2019.
Управление
Новые возможности MDM
Windows 10 Корпоративная LTSC 2019 добавляет множество новых поставщиков служб конфигурации (CSPs), которые предоставляют новые возможности для управления Windows 10 устройствами с помощью MDM или пакетов обеспечения. Помимо прочего, эти CSP позволяют настраивать несколько сотен оптимальных параметров групповой политики через MDM. См. Политики CSP — политики с поддержкой ADMX.
Ниже перечислены еще некоторые новые CSP:
DynamicManagement CSP позволяет управлять устройствами в зависимости от местоположения, сети или времени. Например, можно отключать камеры на устройствах в рабочей среде, услуги операторов сотовой связи при выезде за границу (во избежание затрат на роуминг) или доступ к беспроводной сети, когда устройство находится за пределами организации или территории учебного заведения. После настройки этих параметров они применяются даже тогда, когда устройству не удается связаться с сервером управления по причине изменения местоположения или параметров сети. DynamicManagement CSP позволяет настраивать политики, которые меняют тип управления устройством и определяют условия, когда происходят эти изменения.
CleanPC CSP позволяет удалять предустановленные и установленные пользователем приложения с возможностью сохранения данных пользователя.
BitLocker CSP используется для управления шифрованием компьютеров и устройств. Например, можно включить обязательное шифрование карт памяти в мобильных устройствах или дисков операционной системы.
NetworkProxy CSP позволяет настраивать прокси-сервер для соединений Wi-Fi и Ethernet.
Office CSP позволяет устанавливать на устройствах клиент Microsoft Office с помощью средства развертывания Office. Дополнительные сведения см. в разделе Параметры конфигурации для средства развертывания Office.
EnterpriseAppVManagement CSP используется для управления виртуальными приложениями на компьютерах с Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Он обеспечивает потоковую передачу приложений, виртуализированных с помощью App-V, на компьютеры, даже если они находятся под управлением MDM.
ИТ-специалисты могут использовать новое средство анализа миграции MDM (MMAT) для определения параметров групповой политики, настроенных для пользователя или компьютера, и проверять эти параметры на соответствие встроенному списку поддерживаемых политик MDM. MMAT позволяет создавать отчеты в формате XML и HTML, отражающие уровень поддержки для каждого параметра групповой политики и эквивалентных параметров MDM.
MDM теперь распространяется на присоединенные к домену устройства с регистрацией в Azure Active Directory. Для устройств, присоединенных к Active Directory, можно использовать групповую политику для запуска автоматической регистрации в MDM. Подробнее: Автоматическая регистрация устройства Windows 10 с помощью групповой политики.
Поддержка управления мобильными приложениями для Windows 10
Версия управления мобильными приложениями (MAM) для Windows — это облегченное решение для управления доступом к данным организации и безопасностью на личных устройствах. Поддержка MAM встроена в Windows поверх Windows защиты информации (WIP), начиная с Windows 10 Корпоративная LTSC 2019.
Диагностика MDM
В Windows 10 Корпоративная LTSC 2019 мы продолжаем работу по улучшению диагностики современного управления. Благодаря автоматическому ведению журнала для мобильных устройств Windows автоматически собирает журналы при обнаружении ошибок в MDM, и вам больше не потребуется постоянно вести журналы на устройствах с ограниченными ресурсами памяти. Кроме того, добавлено средство Microsoft Message Analyzer, которое позволяет специалистам службы поддержки быстро выявлять причины проблем, не затрачивая дополнительных средств и времени.
Виртуализация приложений (App-V) для Windows
В предыдущих версиях Microsoft Application Virtualization Sequencer (App-V Sequencer) приходилось вручную создавать среды виртуализации. Windows 10 Корпоративная LTSC 2019 представляет два новых cmdlets PowerShell, New-AppVSequencerVM и Подключение-AppvSequencerVM, которые автоматически создают для вас среду последовательного секвенизма, включая подготовка виртуальной машины. Кроме того, с помощью нового приложения App-V Sequencer можно виртуализировать и обновлять сразу несколько приложений, автоматически сохраняя параметры в шаблоне проекта App-V (APPVT). Можно также автоматически удалять неопубликованные пакеты с помощью сценариев PowerShell или параметров групповой политики, вступающих в силу после перезапуска устройства.
См. также следующие разделы:
Данные диагностики Windows
Узнайте подробнее о диагностических данных, собираемых на базовом уровне, и некоторых примерах типов данных, собираемых на полном уровне.
Электронная таблица групповой политики
Узнайте о новых групповых политиках, добавленных в Windows 10 Корпоративная LTSC 2019.
Приложения смешанной реальности
В этой версии Windows 10 появился компонент Windows Mixed Reality. Организации, в которых используется WSUS, должны выполнить определенные действия для включения Windows Mixed Reality. Также можно запретить использование Windows Mixed Reality путем блокирования установки портала смешанной реальности. Подробнее: Включение или запрет приложений Windows Mixed Reality на предприятии.
Сетевой стек
В этот выпуск вошло несколько усовершенствований сетевого стека. Некоторые из них также были доступны в Windows 10 версии 1703. Подробнее: Основные возможности сетевого стека в Creators Update для Windows 10.
Miracast над инфраструктурой
В этой версии Windows 10 microsoft расширила возможность отправки потока Miracast локальной сети, а не по прямой беспроводной связи. Эта функция основана на протоколе установления соединения Miracast по инфраструктуре (MS-MICE).
Принцип работы
Пользователь выполняет попытку подключения к приемнику Miracast, как и ранее. После заполнения списка приемников Miracast Windows 10 определяет, что приемник поддерживает подключение по инфраструктуре. Когда пользователь выбирает приемник Miracast, Windows 10 пытается сопоставить имя узла устройства через стандартный DNS, а также через DNS мультивещания (mDNS). Если имя не разрешается через один из методов DNS, Windows 10 возвращается к установке сеанса Miracast с помощью стандартного подключения Wi-Fi Direct.
Miracast инфраструктуры предоставляет ряд преимуществ
Включение Miracast по инфраструктуре
Если у вас есть устройство, обновленное до Windows 10 Корпоративная LTSC 2019, у вас автоматически будет новая функция. Чтобы использовать ее преимущества в вашей среде, необходимо убедиться, что в вашем развертывании верно следующее:
Устройство (ПК, телефон или Surface Hub) должно работать Windows 10 версии 1703, Windows 10 Корпоративная LTSC 2019 или более поздней ОС.
Компьютер с Windows или Surface Hub может выступать в качестве приемника Miracast по инфраструктуре. Компьютер с Windows или телефон может выступать в качестве источника Miracast по инфраструктуре.
DNS-имя узла (имя устройства) устройства должно быть разрешаемым вашими DNS-серверами. Этого можно добиться, либо разрешив вашему устройству автоматически регистрироваться через динамический DNS, либо путем создания записи A или AAAA для имени узла устройства вручную.
Компьютеры с Windows 10 должны быть подключены к той же сети предприятия через Ethernet или защищенную сеть Wi-Fi.
Miracast инфраструктуры не является заменой стандартных Miracast. Это дополнительная функциональность, предоставляющее преимущество пользователям, подключенным к корпоративной сети. Пользователи, являющиеся гостями в определенном расположении и не имеющие доступа к корпоративной сети, по-прежнему будут подключаться, используя метод соединения Wi-Fi Direct.
Улучшения редактора реестра
Мы добавили раскрывающийся список, отображающийся по мере ввода текста, в котором отображаются слова-подсказки для автозаполнения. Можно также нажать клавиши CTRL+BACKSPACE, чтобы удалить последнее слово, и CTRL+DELETE для удаления следующего слова.
Удаленный рабочий стол с функцией биометрии
Пользователи Azure Active Directory и Active Directory, работающие с Windows Hello для бизнеса, могут использовать биометрические данные для проверки подлинности при подключении к сеансу удаленного рабочего стола.
Чтобы приступить к работе, войдите на устройство с помощью Windows Hello для бизнеса. Откройте Подключение к удаленному рабочему столу (mstsc.exe), введите имя компьютера, к которому необходимо подключиться, и нажмите кнопку Подключение.
Windows запоминает ваш вход с помощью Windows Hello для бизнеса и автоматически выбирает Windows Hello для бизнеса для проверки подлинности при подключении к сеансу RDP. Можно также щелкнуть Дополнительные варианты, чтобы выбрать другие учетные данные.
Windows использует распознавания лиц для проверки подлинности при подключении к сеансу RDP на сервере Windows Server 2016 Hyper-V. Вы можете продолжить использование Windows Hello для бизнеса в удаленном сеансе, но будет необходимо вводить PIN-код.
См. приведенный ниже пример.
См. также
Windows 10 Корпоративная LTSC: краткое описание канала обслуживания LTSC со ссылками на сведения о каждом выпуске.