Windows Enterprise E3 en CSP

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

Windows Enterprise E3 en CSP ofrece, por suscripción, características exclusivas reservadas para las ediciones de Windows Enterprise. Esta oferta está disponible a través del canal Proveedor de soluciones en la nube (CSP) del Centro de partners como un servicio en línea. Windows Enterprise E3 en CSP proporciona una suscripción flexible por usuario para organizaciones pequeñas y medianas (de uno a cientos de usuarios). Para aprovechar esta oferta, deben cumplirse los siguientes requisitos previos:

• Una versión compatible actualmente de Windows, instalada y activada, en los dispositivos que se van a actualizar.
• Microsoft Entra disponible para la administración de identidades.

Pasar de Windows Pro a Windows Enterprise es más fácil que nunca sin claves ni reinicios. Después de que un usuario escriba las credenciales de Microsoft Entra asociadas a una licencia de Windows Enterprise E3, el sistema operativo pasa de Windows Pro a Windows Enterprise y se desbloquean todas las características de Enterprise adecuadas. Cuando una licencia de suscripción expira o se transfiere a otro usuario, el dispositivo Enterprise retrocede sin problemas a Windows Pro.

Anteriormente, solo las organizaciones con un Contrato de licencias por volumen de Microsoft podían implementar Windows Enterprise para sus usuarios. Ahora, con Windows Enterprise E3 en CSP, las organizaciones pequeñas y medianas pueden aprovechar más fácilmente las características de enterprise edition.

Cuando Se compra Windows Enterprise E3 a través de un asociado, se incluyen las siguientes ventajas:

• Edición de Windows Enterprise. Los dispositivos que ejecutan Actualmente Windows Pro pueden obtener la rama actual (CB) de Windows Enterprise o la rama actual para empresas (CBB). Esta ventaja no incluye la rama de servicio a largo plazo (LTSB).
• Compatibilidad de uno a cientos de usuarios. Aunque el programa Windows Enterprise E3 en CSP no tiene una limitación en el número de licencias que puede tener una organización, el programa está diseñado para organizaciones pequeñas y medianas.
• Implementación en un máximo de cinco dispositivos. Para cada usuario cubierto por la licencia, la edición Windows Enterprise se puede implementar en hasta cinco dispositivos.
• Revierta a Windows Pro en cualquier momento. Cuando la suscripción de un usuario expira o se transfiere a otro usuario, el dispositivo Windows Enterprise se revierte sin problemas a la edición Windows Pro (después de un período de gracia de hasta 90 días).
• Modelo de precios mensual por usuario. Este modelo hace que Windows Enterprise E3 sea asequible para las organizaciones.
• Mover licencias entre usuarios. Las licencias se pueden reasignar rápida y fácilmente de un usuario a otro, lo que permite optimizar la inversión en licencias frente a las necesidades cambiantes.

¿Cómo se compara el programa Windows Enterprise E3 en CSP con los contratos de licencia por volumen de Microsoft y Software Assurance?

• Los programas de Licencias por volumen de Microsoft cuentan con un ámbito más amplio, lo que permite que las organizaciones puedan obtener licencias para todos los productos de Microsoft.

• Software Assurance proporciona las siguientes categorías de ventajas a las organizaciones:

  • Implementación y mantenimiento. Entre estas ventajas se incluyen los servicios de planeamiento:

    • Optimización de escritorio de Microsoft (MDOP).
    • Derechos de acceso de Windows Virtual Desktop.
    • Derechos de uso de Windows Roaming.
    • Otras ventajas.

  • Aprendizaje. Estas ventajas incluyen cupones de aprendizaje, aprendizaje en línea y un programa de uso doméstico.

  • Soporte técnico. Estas ventajas incluyen:

    • Compatibilidad con la resolución de problemas 24x7.
    • Funcionalidades de copia de seguridad para la recuperación ante desastres.
    • System Center Global Service Monitor.
    • Instancia secundaria pasiva de SQL Server.

  • Especializados. Estas ventajas incluyen la disponibilidad de licencias paso a paso, que permite la migración de software de una edición anterior a una edición de nivel superior. También distribuye los pagos de licencias y Software Assurance en tres sumas iguales y anuales.

    Además, en Windows Enterprise E3 en CSP, un asociado puede administrar las licencias de una organización. Con Software Assurance, la organización tiene que administrar sus propias licencias.

En resumen, el programa Windows Enterprise E3 en CSP es una oferta de actualización que proporciona a las organizaciones pequeñas y medianas un acceso más fácil y flexible a las ventajas de la edición Windows Enterprise. Por otro lado, los programas de licencias por volumen de Microsoft y Software Assurance son más amplios en el ámbito y proporcionan ventajas más allá del acceso a la edición Enterprise de Windows.

Comparación de las ediciones Windows Pro y Enterprise

Windows Enterprise Edition tiene muchas características que no están disponibles en Windows Pro. En la tabla 1 se enumeran algunas de las características de Windows Enterprise que no se encuentran en Windows Pro. Muchas de estas características están relacionadas con la seguridad, mientras que otras permiten una administración de dispositivos más precisa.

Tabla 1. Características de Windows Enterprise no encontradas en Windows Pro

Característica	Descripción
Credential Guard	Credential Guard usa la seguridad basada en virtualización para ayudar a proteger los secretos de seguridad para que solo el software del sistema con privilegios pueda acceder a ellos. Entre los ejemplos de secretos de seguridad que se pueden proteger se incluyen los hashes de contraseña NTLM y los vales de concesión de vales de Kerberos. Esta protección ayuda a evitar ataques pass-the-hash o pass-the-ticket. Credential Guard tiene las siguientes características: Seguridad de nivel de hardware : Credential Guard usa características de seguridad de la plataforma de hardware (como arranque seguro y virtualización) para ayudar a proteger las credenciales de dominio derivadas y otros secretos. Seguridad basada en virtualización : los servicios de Windows que acceden a credenciales de dominio derivadas y otros secretos se ejecutan en un entorno virtualizado y protegido que está aislado. Protección mejorada contra amenazas persistentes : Credential Guard funciona con otras tecnologías (por ejemplo, Device Guard) para ayudar a proporcionar más protección contra ataques, independientemente de la persistencia. Capacidad de administración mejorada: Credential Guard se puede administrar mediante directiva de grupo, Instrumental de administración de Windows (WMI) o Windows PowerShell. Para obtener más información, consulta Proteger las credenciales de dominio derivadas con Credential Guard. Credential Guard requiere UEFI 2.3.1 o posterior con arranque de confianza Las extensiones de virtualización, como Intel VT-x, AMD-V y SLAT, deben estar habilitadas Versión x64 de Windows IOMMU, como Intel VT-d, AMD-Vi Bloqueo del BIOS TPM 2.0 recomendado para la atestación de estado del dispositivo (usa software si TPM 2.0 no está presente)
Device Guard	Esta característica es una combinación de características de seguridad de hardware y software que permite que solo se ejecuten aplicaciones de confianza en un dispositivo. Incluso si un atacante consigue obtener el control del kernel de Windows, es mucho menos probable que ejecute código ejecutable. Device Guard puede usar la seguridad basada en virtualización (VBS) en la edición Windows Enterprise para aislar el servicio integridad de código del propio kernel de Windows. Con VBS, incluso si el malware obtiene acceso al kernel, los efectos pueden ser muy limitados, ya que el hipervisor puede impedir que el malware ejecute código. Device Guard protege de las siguientes maneras: Ayuda a proteger contra malware Ayuda a proteger el núcleo del sistema de Windows de las vulnerabilidades de seguridad de tipo zero-day, entre otras. Permite que se ejecuten solo las aplicaciones de confianza Para más información, consulta Introducción a Device Guard.
Administración de AppLocker	Esta característica ayuda a los profesionales de TI a determinar qué aplicaciones y archivos pueden ejecutar los usuarios en un dispositivo. Las aplicaciones y los archivos que se pueden administrar incluyen archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (archivos .dll), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas. Para más información, consulta AppLocker.
Virtualización de la aplicación (App-V)	Esta característica hace que las aplicaciones estén disponibles para los usuarios finales sin instalar las aplicaciones directamente en los dispositivos de los usuarios. App-V transforma las aplicaciones en servicios administrados de forma centralizada que nunca se instalan y no entran en conflicto con otras aplicaciones. Esta característica también permite garantizar que las aplicaciones se mantienen actualizadas con las últimas actualizaciones de seguridad. Para obtener más información, consulte Introducción al cliente de App-V para Windows.
Virtualización de la experiencia de usuario (UE-V)	Con esta característica, la configuración de Windows y la aplicación personalizada por el usuario se puede capturar y almacenar en un recurso compartido de archivos de red administrado de forma centralizada. Cuando los usuarios inician sesión, su configuración personalizada se aplica a su sesión de trabajo, independientemente de en qué dispositivos o sesiones de infraestructura de escritorio virtual (VDI) inicien sesión. UE-V proporciona las siguientes características: Especificar qué configuraciones de Windows y de las aplicaciones se deben sincronizar entre los dispositivos del usuario Proporcionar la configuración en cualquier momento y en cualquier lugar a los usuarios que trabajan en la empresa Creación de plantillas personalizadas para aplicaciones de línea de negocio Recuperar la configuración después del reemplazo o actualización de hardware, o después de volver aimajar una máquina virtual a su estado inicial Para obtener más información, consulte Información general sobre la virtualización de experiencia de usuario (UE-V).
Experiencia del usuario administrada	Esta característica ayuda a personalizar y bloquear la interfaz de usuario de un dispositivo Windows para restringirla a una tarea específica. Por ejemplo, un dispositivo se puede configurar para un escenario controlado, como un quiosco o un dispositivo educativo. La experiencia del usuario se restablece automáticamente cuando un usuario cierra sesión. El acceso a servicios como la Tienda Windows también se puede restringir. Para Windows 10, las opciones de diseño De inicio también se pueden administrar, como: Quitar los comandos Apagar, Reiniciar, Suspender e Hibernar e impedir el acceso a ellos Quitar la opción Cerrar sesión (el icono de usuario) del menú Inicio Quitar del menú Inicio los programas de uso frecuente Quitar del menú Inicio la lista Todos los programas Impedir que los usuarios personalicen su pantalla Inicio Forzar que el menú Inicio se muestre en tamaño de pantalla completa o tamaño de menú Impedir cambios en la configuración de la barra de tareas y del menú Inicio

Implementación de licencias de Windows Enterprise E3

Consulte Implementación de licencias de Windows Enterprise.

Implementación de características de Windows Enterprise

Ahora que la edición Windows Enterprise se ejecuta en dispositivos, ¿cómo se aprovechan las características y funcionalidades de la edición Enterprise? ¿Cuáles son los pasos siguientes que deben tomarse para cada una de las características descritas en la Tabla 1?

En las secciones siguientes se proporcionan las tareas de alto nivel que deben realizarse en un entorno para ayudar a los usuarios a aprovechar las características de la edición de Windows Enterprise.

Credential Guard

Nota

Requiere UEFI 2.3.1 o superior con arranque de confianza; Las extensiones de virtualización como Intel VT-x, AMD-V y SLAT deben estar habilitadas; versión x64 de Windows; IOMMU, como Intel VT-d, AMD-Vi; Bloqueo del BIOS; TPM 2.0 recomendado para la atestación de estado del dispositivo (usará software si TPM 2.0 no está presente).

Credential Guard se puede implementar en dispositivos Windows Enterprise activando Credential Guard en estos dispositivos. Credential Guard usa características de seguridad basadas en la virtualización de Windows (Hyper-V) que se deben habilitar en cada dispositivo antes de que Credential Guard se pueda activar. Credential Guard se puede activar mediante uno de los métodos siguientes:

• Automatizado. Credential Guard se puede activar para uno o varios dispositivos mediante directiva de grupo. La configuración de la directiva de grupo agrega automáticamente las características de seguridad basada en la virtualización y configura las opciones del Registro de Credential Guard en dispositivos administrados.

• Manual. Credential Guard se puede activar manualmente mediante una de las siguientes acciones:

  • Agrega las características de seguridad basada en la virtualización mediante Programas y características o Administración y mantenimiento de imágenes de implementación (DISM).

  • Configura las opciones del Registro de Credential Guard mediante el Editor del Registro o Device Guard and Credential Guard hardware readiness tool (Herramienta de preparación de hardware de Device Guard y Credential Guard).

    Estos pasos manuales se pueden automatizar mediante una herramienta de administración como Microsoft Configuration Manager.

Para obtener más información sobre la implementación de Credential Guard, consulta los siguientes recursos:

• Información general de Credential Guard
• Consideraciones de seguridad para fabricantes de equipos originales
• Device Guard and Credential Guard hardware readiness tool (Herramienta de preparación de hardware de Device Guard y Credential Guard)

Device Guard

Ahora que los dispositivos tienen Windows Enterprise, Device Guard se puede implementar en los dispositivos Windows Enterprise realizando los pasos siguientes:

1. De forma opcional, crea un certificado de firma para las directivas de integridad de código. A medida que se implementan las directivas de integridad de código, es posible que sea necesario firmar internamente los archivos de catálogo o las directivas de integridad de código. Para firmar archivos de catálogo o directivas de integridad de código internamente, se necesita un certificado de firma de código emitido públicamente (normalmente comprado) o una entidad de certificación (CA) interna. Si se elige una entidad de certificación interna, es necesario crear un certificado de firma de código.

2. Cree directivas de integridad de código desde equipos "dorados". Los departamentos o roles a veces usan conjuntos distintivos o parcialmente distintivos de hardware y software. En estos casos, se pueden configurar equipos "dorados" que contengan el software y el hardware de estos departamentos o roles. En este sentido, crear y administrar directivas de integridad de código para alinearse con las necesidades de los departamentos o roles puede ser similar a administrar imágenes corporativas. Desde cada equipo "dorado", se puede crear una directiva de integridad de código y, a continuación, decidir cómo administrar esa directiva. Las directivas de integridad de código se pueden combinar para crear una directiva más amplia o una directiva principal, o cada directiva se puede administrar e implementar individualmente.

3. Audita la directiva de integridad de código y captura información acerca de las aplicaciones que están fuera de la directiva. Microsoft recomienda usar el "modo de auditoría" para probar cuidadosamente cada directiva de integridad de código antes de aplicarla. Con el modo de auditoría, no se bloquea ninguna aplicación. La directiva solo registra un evento cada vez que se inicia una aplicación fuera de la directiva. Más adelante, la directiva se puede expandir para permitir estas aplicaciones, según sea necesario.

4. Cree un "archivo de catálogo" para aplicaciones de línea de negocio (LOB) sin firmar. Use la herramienta Inspector de paquetes para crear y firmar un archivo de catálogo para las aplicaciones LOB sin firmar. En los pasos posteriores, la firma del archivo de catálogo se puede combinar en la directiva de integridad de código para que la directiva permita las aplicaciones del catálogo.

5. Captura la información de directiva necesaria del registro de eventos y combina la información en la directiva existente según sea necesario. Después de que una directiva de integridad de código se haya estado ejecutando durante un tiempo en modo de auditoría, el registro de eventos contendrá información acerca de las aplicaciones que están fuera de la directiva. Para expandir la directiva de modo que permita estas aplicaciones, use Windows PowerShell comandos para capturar la información de directiva necesaria del registro de eventos. Una vez capturada la información, combine esa información en la directiva existente. Las directivas de integridad de código también se pueden combinar desde otros orígenes, lo que permite flexibilidad en la creación de las directivas de integridad de código final.

6. Implementa directivas de integridad de código y archivos de catálogo. Después de confirmar que se han completado todos los pasos anteriores, se pueden implementar archivos de catálogo y las directivas de integridad de código se pueden quitar del modo de auditoría. Microsoft recomienda encarecidamente iniciar este proceso con un grupo de usuarios de prueba. Las pruebas proporcionan una validación final del control de calidad antes de implementar los archivos de catálogo y las directivas de integridad de código de forma más amplia.

7. Habilita las características de seguridad de hardware deseadas. Las características de seguridad basada en hardware, también llamadas características de seguridad basada en la virtualización (VBS), refuerzan las protecciones que ofrecen las directivas de integridad de código.

Para obtener más información sobre la implementación de Device Guard, consulta:

• Control de aplicaciones de Windows Defender y protección basada en la virtualización de la integridad del código
• Guía de implementación de Device Guard

Administración de AppLocker

AppLocker en Windows Enterprise se puede administrar mediante directiva de grupo. directiva de grupo requiere tener AD DS y que los dispositivos Windows Enterprise estén unidos a un dominio de AD DS. Las reglas de AppLocker se pueden crear mediante directiva de grupo. Las reglas de AppLocker se pueden dirigir a los dispositivos adecuados.

Para obtener más información sobre la administración de AppLocker mediante la directiva de grupo, consulta AppLocker deployment guide (Guía de implementación de AppLocker).

App-V

App-V requiere una infraestructura de servidor de App-V que admita clientes de App-V. Los componentes principales de App-V necesarios son:

• Servidor de App-V. El servidor de App-V ofrece administración de App-V, publicación de aplicaciones virtualizadas, streaming de aplicaciones y Reporting Services. Cada uno de estos servicios se puede ejecutar en un servidor o se puede ejecutar en varios servidores individualmente. Por ejemplo, pueden existir varios servidores de streaming. Los clientes de App-V se ponen en contacto con los servidores de App-V para determinar qué aplicaciones se publican en el usuario o el dispositivo y, a continuación, ejecutan la aplicación virtualizada desde el servidor.

• Secuenciador de App-V. El secuenciador de App-V es un dispositivo típico de cliente que se usa para realizar secuencias de (capturar) aplicaciones y prepararlas para hospedarse en el servidor de App-V. Las aplicaciones se instalan en el secuenciador de App-V y el software del secuenciador de App-V determina los archivos y la configuración del Registro que se cambian durante la instalación de la aplicación. A continuación, el secuenciador capturará estas opciones de configuración para crear una aplicación virtualizada.

• Cliente de App-V. El cliente de App-V debe estar habilitado en cualquier dispositivo cliente de Windows Enterprise E3 que necesite ejecutar aplicaciones desde el servidor de App-V.

Para obtener más información acerca de cómo implementar el servidor de App-V, el secuenciador de App-V y el cliente de App-V, consulta los siguientes recursos:

• Introducción al cliente de App-V para Windows
• Implementación del servidor de App-V
• Implementación del secuenciador de App-V y configuración del cliente

UE-V

UE-V requiere componentes del lado cliente y del servidor que deben descargarse, activarse e instalarse. Estos componentes incluyen:

• Servicio UE-V. El servicio UE-V (cuando está habilitado en dispositivos) supervisa las aplicaciones registradas y Windows en búsqueda de cambios en la configuración y, luego, sincroniza esa configuración entre dispositivos.

• Paquetes de configuración. Los paquetes de configuración que crea el servicio UE-V almacenan opciones de configuración de las aplicaciones y de Windows. Los paquetes de configuración se integran, se almacenan localmente y se copian en la ubicación de almacenamiento de configuración.

• Ubicación de almacenamiento de configuración. Esta ubicación es un recurso compartido de red estándar al que los usuarios pueden acceder. El servicio UE-V comprueba la ubicación y crea una carpeta del sistema oculta en el que se almacenarán y recuperarán las opciones de configuración del usuario.

• Plantillas de ubicación de la configuración. Las plantillas de ubicación de la configuración son archivos XML que UE-V usa para supervisar y sincronizar la configuración de la aplicación de escritorio y la configuración del escritorio de Windows entre los equipos del usuario. De manera predeterminada, algunas plantillas de ubicación de la configuración se incluyen en UE-V. Las plantillas de ubicación de configuración personalizada también se pueden crear, editar o validar mediante el generador de plantillas de UE-V. Las plantillas de ubicación de configuración no son necesarias para las aplicaciones windows.

• Lista aplicaciones universales de Windows. UE-V determina qué aplicaciones Windows están habilitadas para la sincronización de la configuración con una lista administrada de aplicaciones. De manera predeterminada, esta lista incluye la mayoría de las aplicaciones Windows.

Para obtener más información acerca de la implementación de UE-V, vea los siguientes recursos:

• Introducción a la virtualización de experiencia de usuario (UE-V)
• Introducción a UE-V
• Preparar una implementación de UE-V

Experiencia del usuario administrada

La característica Experiencia de usuario administrada es un conjunto de características de edición de Windows Enterprise y la configuración correspondiente que se puede usar para administrar la experiencia del usuario. En la tabla 2 se describe la configuración de experiencia de usuario administrada (por categoría), que solo están disponibles en la edición Windows Enterprise. Los métodos de administración que se usan para configurar cada característica dependen de la característica. Algunas características se configuran con la directiva de grupo, mientras que otras se configuran mediante Windows PowerShell, Administración y mantenimiento de imágenes de implementación (DISM) u otras herramientas de línea de comandos. Para la configuración de directiva de grupo, AD DS es necesario con los dispositivos Windows Enterprise unidos a un dominio de AD DS.

Tabla 2. Características de Experiencia del usuario administrada

Característica	Descripción
Personalización del diseño de Inicio	Se puede implementar un diseño de inicio personalizado para los usuarios de un dominio. No es necesario restablecer la imagen inicial y, además, el diseño de la pantalla Inicio puede actualizarse simplemente al sobrescribir el archivo .xml que contiene el diseño. El archivo XML permite personalizar los diseños de Inicio para diferentes departamentos u organizaciones, con una sobrecarga de administración mínima. Para obtener más información sobre estas opciones de configuración, consulta Personalizar el diseño de la pantalla Inicio y la barra de tareas de Windows 10 con una directiva de grupo.
Arranque sin marca	Los elementos de Windows que aparecen cuando Windows se inicia o se reanuda se pueden suprimir. La pantalla de bloqueo cuando Windows encuentra un error desde el que no se puede recuperar también se puede suprimir. Para obtener más información sobre estas opciones de configuración, consulta Unbranded Boot (Arranque sin marca).
Inicio de sesión personalizado	La característica Inicio de sesión personalizado se puede usar para suprimir los elementos de la interfaz de usuario de Windows relacionados con la pantalla de bienvenida y la pantalla de apagado. Por ejemplo, se pueden suprimir todos los elementos de la interfaz de usuario de la pantalla de bienvenida y se puede proporcionar una interfaz de usuario de inicio de sesión personalizada. La pantalla Del solucionador de apagado bloqueado (BSDR) también se puede suprimir y las aplicaciones se pueden finalizar automáticamente mientras el sistema operativo espera a que las aplicaciones se cierren antes de un apagado. Para obtener más información sobre estas opciones de configuración, consulta Custom Logon (Inicio de sesión personalizado).
Selector de shell	Permite que el acceso asignado solo ejecute una aplicación Windows clásica a través del Selector de shell para reemplazar el shell. Para obtener más información sobre estas opciones de configuración, consulta Shell Launcher (Selector de shell).
Filtro de teclado	El filtro de teclado se puede usar para suprimir las pulsaciones de teclas no deseadas o las combinaciones de teclas. Normalmente, los usuarios pueden usar determinadas combinaciones de teclas de Windows, como Ctrl+Alt+Supr o Ctrl+Mayús+Tab, para controlar un dispositivo mediante el bloqueo de la pantalla o con el Administrador de tareas para cerrar una aplicación en ejecución. Estas acciones de teclado no son deseables en dispositivos destinados a un propósito dedicado. Para obtener más información sobre estas opciones de configuración, consulta Keyboard Filter (Filtro de teclado).
Filtro de escritura unificado	El filtro de escritura unificado (UWF) se puede usar en un dispositivo para ayudar a proteger los medios de almacenamiento físico, incluidos la mayoría de los tipos de almacenamiento de escritura estándar compatibles con Windows, como: Discos duros físicos Unidades de estado sólido Dispositivos USB internos Dispositivos SATA externos . UWF también se puede usar para hacer que los medios de solo lectura aparezcan en el sistema operativo como un volumen grabable. Para obtener más información sobre estas opciones de configuración, consulta Unified Write Filter (Filtro de escritura unificado).

Artículos relacionados

• Activación de suscripción de Windows Enterprise.
• Planee la implementación de la unión híbrida Microsoft Entra.
• Compara las ediciones de Windows.
• Windows para empresas.