Windows 10/11 Enterprise E3 en CSP

  • Artículo

Se aplica a:

  • Windows 10
  • Windows 11

Windows 10 Enterprise E3 se lanzó en el canal Proveedor de soluciones en la nube (CSP) el 1 de septiembre de 2016. Con la versión de Windows 11, Windows 10/11 Enterprise E3 en CSP está disponible.

Windows 10/11 Enterprise E3 en CSP ofrece, por suscripción, características exclusivas reservadas para Windows 10 o Windows 11 Empresas ediciones. Esta oferta está disponible a través del canal Proveedor de soluciones en la nube (CSP) del Centro de partners como un servicio en línea. Windows 10/11 Enterprise E3 en CSP proporciona una suscripción flexible por usuario para organizaciones pequeñas y medianas (de uno a cientos de usuarios). Para aprovechar esta oferta, debe tener los siguientes requisitos previos:

  • Windows 10 Pro, versión 1607 (Actualización de aniversario de Windows 10) o posterior (o Windows 11), instalada y activada, en los dispositivos que se van a actualizar.
  • Azure Active Directory (Azure AD) disponible para la administración de identidades

Puede pasar de Windows 10 Pro o Windows 11 Pro a Windows 10 Enterprise o Windows 11 Empresas más fácilmente que nunca sin claves ni reinicios. Después de que uno de los usuarios escriba las credenciales de Azure AD asociadas a una licencia de Windows 10/11 Enterprise E3, el sistema operativo pasa de Windows 10 Pro a Windows 10 Enterprise o Windows 11 Pro a Windows 11 Empresas y se desbloquean todas las características de Enterprise adecuadas.. Cuando una licencia de suscripción expira o se transfiere a otro usuario, el dispositivo Enterprise retrocede sin problemas a Windows 10 Pro o Windows 11 Pro.

Anteriormente, solo las organizaciones con un Contrato de licencias por volumen de Microsoft podían implementar Windows 10 Enterprise o Windows 11 Empresas a sus usuarios. Ahora, con Windows 10/11 Enterprise E3 en CSP, las organizaciones pequeñas y medianas pueden aprovechar más fácilmente las características de enterprise edition.

Al comprar Windows 10/11 Enterprise E3 a través de un asociado, obtiene las siguientes ventajas:

  • Edición Enterprise de Windows 10/11. Los dispositivos que ejecutan actualmente Windows 10 Pro o Windows 11 Pro pueden obtener la rama actual de Windows 10/11 Enterprise (CB) o la rama actual para empresas (CBB). Esta ventaja no incluye la rama de servicio a largo plazo (LTSB).
  • Compatibilidad de uno a cientos de usuarios. Aunque el programa Windows 10/11 Enterprise E3 en CSP no tiene una limitación en el número de licencias que puede tener una organización, el programa está diseñado para organizaciones pequeñas y medianas.
  • Implementación en un máximo de cinco dispositivos. Para cada usuario que esté cubierto por la licencia, puedes implementar Windows 10 Enterprise Edition en hasta cinco dispositivos.
  • Revierta a Windows 10/11 Pro en cualquier momento. Cuando la suscripción de un usuario expira o se transfiere a otro usuario, el dispositivo Windows 10/11 Enterprise se revierte sin problemas a la edición Windows 10/11 Pro (después de un período de gracia de hasta 90 días).
  • Modelo de precios mensual por usuario. Esto hace que Windows 10/11 Enterprise E3 sea asequible para cualquier organización.
  • Mover licencias entre usuarios. Las licencias se pueden reasignar rápida y fácilmente de un usuario a otro, lo que permite optimizar tu inversión en licencias según las necesidades cambiantes.

¿Cómo se compara el programa Windows 10/11 Enterprise E3 en CSP con los contratos de licencia por volumen de Microsoft y Software Assurance?

  • Los programas de Licencias por volumen de Microsoft cuentan con un ámbito más amplio, lo que permite que las organizaciones puedan obtener licencias para todos los productos de Microsoft.

  • Software Assurance proporciona las siguientes categorías de ventajas a las organizaciones:

    • Implementación y mantenimiento. Entre estas ventajas se incluyen servicios para la planeación, Microsoft Desktop Optimization (MDOP), derechos de acceso al escritorio virtual de Windows, derechos para Windows To Go, derechos de uso para la itinerancia de Windows, Windows Thin PC y derechos de VDA complementarios para Windows RT.

    • Aprendizaje. Estas ventajas incluyen cupones de aprendizaje, aprendizaje en línea y un programa de uso doméstico.

    • Soporte técnico. Estas ventajas incluyen soporte técnico de resolución de problemas ininterrumpido, funcionalidades de copia de seguridad para la recuperación ante desastres, System Center Global Service Monitor y una segunda instancia pasiva de SQL Server.

    • Especializados. Estas ventajas incluyen disponibilidad de licencias de migración a edición superior (lo que te permite migrar software de una edición anterior a una edición de nivel superior) y la posibilidad de repartir los pagos de Software Assurance y las licencias en tres importes iguales anuales.

      Además, en Windows 10/11 Enterprise E3 en CSP, un asociado puede administrar las licencias automáticamente. Con Software Assurance, tú, como cliente, administras tus propias licencias.

En resumen, el programa Windows 10/11 Enterprise E3 en CSP es una oferta de actualización que proporciona a las organizaciones pequeñas y medianas un acceso más fácil y flexible a las ventajas de Windows 10 Enterprise edición, mientras que los programas de licencias por volumen de Microsoft y Software Assurance son más amplios en el ámbito y proporcionan ventajas más allá del acceso a la edición Enterprise de Windows 10 o Windows 11.

Comparar Windows 10 Pro y Enterprise Edition

Windows 10 Enterprise edición tiene muchas características que no están disponibles en Windows 10 Pro. En la tabla 1 se enumeran las características de Windows 10 Enterprise que no se encuentran en Windows 10 Pro. Muchas de estas características están relacionadas con la seguridad, mientras que otras permiten una administración de dispositivos más precisa.

Tabla 1. Características de Windows 10 Enterprise que no se encuentran en Windows 10 Pro

Característica Descripción
Credential Guard Credential Guard usa la seguridad basada en virtualización para ayudar a proteger los secretos de seguridad para que solo el software del sistema con privilegios pueda acceder a ellos. Entre los ejemplos de secretos de seguridad que se pueden proteger se incluyen los hashes de contraseña NTLM y los vales de concesión de vales de Kerberos. Esta protección ayuda a evitar ataques pass-the-hash o pass-the-ticket.

Credential Guard tiene las siguientes características:
  • Seguridad de nivel de hardware : Credential Guard usa características de seguridad de la plataforma de hardware (como arranque seguro y virtualización) para ayudar a proteger las credenciales de dominio derivadas y otros secretos.
  • Seguridad basada en virtualización : los servicios de Windows que acceden a credenciales de dominio derivadas y otros secretos se ejecutan en un entorno virtualizado y protegido que está aislado.
  • Protección mejorada contra amenazas persistentes : Credential Guard funciona con otras tecnologías (por ejemplo, Device Guard) para ayudar a proporcionar más protección contra ataques, independientemente de la persistencia.
  • Capacidad de administración mejorada: Credential Guard se puede administrar mediante directiva de grupo, Instrumental de administración de Windows (WMI) o Windows PowerShell.

    Para obtener más información, consulta Proteger las credenciales de dominio derivadas con Credential Guard.

    Credential Guard requiere UEFI 2.3.1 o superior con arranque de confianza; Las extensiones de virtualización como Intel VT-x, AMD-V y SLAT deben estar habilitadas; versión x64 de Windows; IOMMU, como Intel VT-d, AMD-Vi; Bloqueo del BIOS; TPM 2.0 recomendado para la atestación de estado del dispositivo (usará software si TPM 2.0 no está presente)
    		•
    Device Guard Esta característica es una combinación de características de seguridad de hardware y software que permite que solo se ejecuten aplicaciones de confianza en un dispositivo. Incluso si un atacante consigue obtener el control del kernel de Windows, será mucho menos probable que ejecute código ejecutable. Device Guard puede usar seguridad basada en la virtualización (VBS) en Windows 10 Enterprise Edition para aislar el servicio de Integridad de código desde el propio kernel de Windows. Con VBS, incluso si el malware obtiene acceso al kernel, los efectos pueden ser muy limitados, ya que el hipervisor puede impedir que el malware ejecute código.

    Device Guard protege de las siguientes maneras:
  • Ayuda a proteger contra malware
  • Ayuda a proteger el núcleo del sistema de Windows de las vulnerabilidades de seguridad de tipo zero-day, entre otras.
  • Permite que se ejecuten solo las aplicaciones de confianza

    Para más información, consulta Introducción a Device Guard.
    		•
    Administración de AppLocker Esta característica ayuda a los profesionales de TI a determinar qué aplicaciones y archivos pueden ejecutar los usuarios en un dispositivo. Las aplicaciones y los archivos que se pueden administrar incluyen archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (archivos .dll), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.

    Para más información, consulta AppLocker.
    Virtualización de la aplicación (App-V) Esta característica hace que las aplicaciones estén disponibles para los usuarios finales sin instalar las aplicaciones directamente en los dispositivos de los usuarios. App-V transforma las aplicaciones en servicios administrados de forma centralizada que nunca se instalan y no entran en conflicto con otras aplicaciones. Esta característica también permite garantizar que las aplicaciones se mantienen actualizadas con las últimas actualizaciones de seguridad.

    Para obtener más información, consulta Getting Started with App-V for Windows 10 (Introducción a App-V para Windows 10).
    Virtualización de la experiencia de usuario (UE-V) Con esta característica, puedes capturar opciones de configuración de Windows y de las aplicaciones personalizadas por el usuario y almacenarlas en un recurso compartido de archivos de red administrado de forma centralizada.

    Cuando los usuarios inician sesión, su configuración personalizada se aplica a su sesión de trabajo, sin importar el dispositivo o ni las sesiones de infraestructura de escritorio virtual (VDI) en que inicien sesión.

    UE-V proporciona las siguientes características:
  • Especificar qué configuraciones de Windows y de las aplicaciones se deben sincronizar entre los dispositivos del usuario
  • Proporcionar la configuración en cualquier momento y en cualquier lugar a los usuarios que trabajan en la empresa
  • Crear plantillas personalizadas para las aplicaciones de línea de negocio o de terceros
  • Recuperar la configuración después de sustituir o actualizar el hardware, o de recrear la imagen de una máquina virtual en su estado inicial.

    Para obtener más información, consulta User Experience Virtualization (UE-V) for Windows 10 overview (Introducción a la virtualización de la experiencia de usuario (UE-V) para Windows 10).
    		•
    Experiencia del usuario administrada Esta característica ayuda a personalizar y bloquear la interfaz de usuario de un dispositivo Windows para restringirla a una tarea específica. Por ejemplo, puedes configurar un dispositivo para un escenario controlado como un dispositivo de clase o quiosco multimedia. La experiencia del usuario se restablece automáticamente cuando un usuario cierra sesión. También puedes restringir el acceso a los servicios, p. ej., Cortana o la Microsoft Store, y administrar opciones de diseño de Inicio, como:
  • Quitar los comandos Apagar, Reiniciar, Suspender e Hibernar e impedir el acceso a ellos
  • Quitar la opción Cerrar sesión (el icono de usuario) del menú Inicio
  • Quitar del menú Inicio los programas de uso frecuente
  • Quitar del menú Inicio la lista Todos los programas
  • Impedir que los usuarios personalicen su pantalla Inicio
  • Forzar que el menú Inicio se muestre en tamaño de pantalla completa o tamaño de menú
  • Impedir cambios en la configuración de la barra de tareas y del menú Inicio
    		•

    Implementación de licencias de Windows 10/11 Enterprise E3

    Consulta Implementar licencias de Windows 10 Enterprise.

    Implementación de características de Windows 10/11 Enterprise

    Ahora que tiene Windows 10/11 Enterprise Edition ejecutándose en dispositivos, ¿cómo aprovecha las características y funcionalidades de la edición Enterprise? ¿Cuáles son los pasos siguientes que deben tomarse para cada una de las características descritas en la Tabla 1?

    En las secciones siguientes se proporcionan las tareas de alto nivel que deben realizarse en el entorno para ayudar a los usuarios a aprovechar las características de la edición Enterprise de Windows 10/11.

    Credential Guard

    Nota

    Requiere UEFI 2.3.1 o superior con arranque de confianza; Las extensiones de virtualización como Intel VT-x, AMD-V y SLAT deben estar habilitadas; versión x64 de Windows; IOMMU, como Intel VT-d, AMD-Vi; Bloqueo del BIOS; TPM 2.0 recomendado para la atestación de estado del dispositivo (usará software si TPM 2.0 no está presente).

    Puedes implementar Credential Guard en dispositivos Windows 10 Enterprise si activas Credential Guard en estos dispositivos. Credential Guard usa características de seguridad basadas en virtualización de Windows 10/11 (características de Hyper-V) que se deben habilitar en cada dispositivo para poder activar Credential Guard. Puedes activar Credential Guard mediante uno de los siguientes métodos:

    • Automatizado. Puedes activar automáticamente Credential Guard para uno o más dispositivos mediante la directiva de grupo. La configuración de la directiva de grupo agrega automáticamente las características de seguridad basada en la virtualización y configura las opciones del Registro de Credential Guard en dispositivos administrados.

    • Manual. Puede activar manualmente Credential Guard realizando una de las siguientes acciones:

    Para obtener más información sobre la implementación de Credential Guard, consulta los siguientes recursos:

    Device Guard

    Ahora que los dispositivos tienen Windows 10/11 Enterprise, puede implementar Device Guard en los dispositivos Windows 10 Enterprise realizando los pasos siguientes:

    1. De forma opcional, crea un certificado de firma para las directivas de integridad de código. Al implementar directivas de integridad de código, es posible que necesites firmar archivos de catálogo o directivas de integridad de código internamente. Para firmar archivos de catálogo o directivas de integridad de código internamente, necesitará un certificado de firma de código emitido públicamente (que compre) o una entidad de certificación (CA) interna. Si decide usar una entidad de certificación interna, deberá crear un certificado de firma de código.

    2. Cree directivas de integridad de código desde equipos "dorados". Cuando haya identificado departamentos o roles que usan conjuntos distintivos o parcialmente distintivos de hardware y software, puede configurar equipos "dorados" que contengan ese software y hardware. En este sentido, crear y administrar directivas de integridad de código para alinearse con las necesidades de los departamentos o roles puede ser similar a administrar imágenes corporativas. Desde cada equipo "dorado", puede crear una directiva de integridad de código y decidir cómo administrar esa directiva. Puedes combinar las directivas de integridad de código para crear una directiva más amplia o una directiva maestra, o puedes administrar e implementar cada directiva de forma individual.

    3. Audita la directiva de integridad de código y captura información acerca de las aplicaciones que están fuera de la directiva. Se recomienda usar el "modo de auditoría" para probar cuidadosamente cada directiva de integridad de código antes de aplicarla. Con el modo de auditoría, no se bloquea ninguna aplicación; la directiva solo registra un evento cuando se inicia una aplicación fuera de la directiva. Más adelante, puedes expandir la directiva para permitir estas aplicaciones, según sea necesario.

    4. Cree un "archivo de catálogo" para aplicaciones de línea de negocio (LOB) sin firmar. Usar la herramienta de Inspector de paquetes para crear y firmar un archivo de catálogo para las aplicaciones de LOB sin firmar. En pasos posteriores, puedes combinar la firma del archivo de catálogo en la directiva de integridad de código para que la directiva permita las aplicaciones del catálogo.

    5. Captura la información de directiva necesaria del registro de eventos y combina la información en la directiva existente según sea necesario. Después de que una directiva de integridad de código se haya estado ejecutando durante un tiempo en modo de auditoría, el registro de eventos contendrá información acerca de las aplicaciones que están fuera de la directiva. Para ampliar la directiva para que permita estas aplicaciones, usa los comandos de Windows PowerShell para capturar la información necesaria del registro de eventos y combina esa información en la directiva existente. Puedes combinar las directivas de integridad de código de otros orígenes también, si deseas conseguir flexibilidad a la hora crear directivas de integridad de código final.

    6. Implementa directivas de integridad de código y archivos de catálogo. Después de confirmar que ha completado todos los pasos anteriores, puede empezar a implementar archivos de catálogo y a quitar las directivas de integridad de código del modo de auditoría. Te recomendamos encarecidamente que inicies este proceso con un grupo de usuarios de prueba. Esto ofrece una validación de control de calidad final antes de implementar las directivas de integridad de código y los archivos de catálogo de forma más amplia.

    7. Habilita las características de seguridad de hardware deseadas. Las características de seguridad basada en hardware, también llamadas características de seguridad basada en la virtualización (VBS), refuerzan las protecciones que ofrecen las directivas de integridad de código.

    Para obtener más información sobre la implementación de Device Guard, consulta:

    Administración de AppLocker

    Puedes administrar AppLocker en Windows 10 Enterprise mediante la directiva de grupo. directiva de grupo requiere que tenga AD DS y que los dispositivos Windows 10/11 Enterprise estén unidos al dominio de AD DS. Puedes crear reglas de AppLocker mediante la directiva de grupo y luego dirigir esas reglas a los dispositivos adecuados.

    Para obtener más información sobre la administración de AppLocker mediante la directiva de grupo, consulta AppLocker deployment guide (Guía de implementación de AppLocker).

    App-V

    App-V requiere una infraestructura de servidor de App-V que admita clientes de App-V. Los componentes principales de App-V que debe tener son los siguientes:

    • Servidor de App-V. El servidor de App-V ofrece administración de App-V, publicación de aplicaciones virtualizadas, streaming de aplicaciones y Reporting Services. Cada uno de estos servicios se puede ejecutar en un servidor o se puede ejecutar en varios servidores individualmente. Por ejemplo, podrías tener varios servidores de streaming. Los clientes de App-V se ponen en contacto con los servidores de App-V para determinar qué aplicaciones se publican en el usuario o el dispositivo y, a continuación, ejecutan la aplicación virtualizada desde el servidor.

    • Secuenciador de App-V. El secuenciador de App-V es un dispositivo típico de cliente que se usa para realizar secuencias de (capturar) aplicaciones y prepararlas para hospedarse en el servidor de App-V. Debes instalar aplicaciones en el secuenciador de App-V y el software del secuenciador de App-V determinará los archivos y las opciones de configuración del Registro que se modificarán durante la instalación de la aplicación. A continuación, el secuenciador capturará estas opciones de configuración para crear una aplicación virtualizada.

    • Cliente de App-V. El cliente de App-V debe estar habilitado en cualquier dispositivo de cliente en el que se ejecutarán aplicaciones del servidor de App-V. Estos serán los dispositivos Windows 10/11 Enterprise E3.

    Para obtener más información acerca de cómo implementar el servidor de App-V, el secuenciador de App-V y el cliente de App-V, consulta los siguientes recursos:

    UE-V

    UE-V requiere componentes del lado cliente y del servidor que tendrá que descargar, activar e instalar. Estos componentes incluyen:

    • Servicio UE-V. El servicio UE-V (cuando está habilitado en dispositivos) supervisa las aplicaciones registradas y Windows en búsqueda de cambios en la configuración y, luego, sincroniza esa configuración entre dispositivos.

    • Paquetes de configuración. Los paquetes de configuración que crea el servicio UE-V almacenan opciones de configuración de las aplicaciones y de Windows. Los paquetes de configuración se integran, se almacenan localmente y se copian en la ubicación de almacenamiento de configuración.

    • Ubicación de almacenamiento de configuración. Esta ubicación es un recurso compartido de la red estándar al que pueden tener acceso tus usuarios. El servicio UE-V comprueba la ubicación y crea una carpeta del sistema oculta en el que se almacenarán y recuperarán las opciones de configuración del usuario.

    • Plantillas de ubicación de la configuración. Las plantillas de ubicación de la configuración son archivos XML que UE-V usa para supervisar y sincronizar la configuración de la aplicación de escritorio y la configuración del escritorio de Windows entre los equipos del usuario. De manera predeterminada, algunas plantillas de ubicación de la configuración se incluyen en UE-V. También puedes crear, editar o validar plantillas de ubicación de la configuración personalizadas mediante el generador de plantillas UE-V. Las plantillas de ubicación de configuración no son necesarias para las aplicaciones windows.

    • Lista aplicaciones universales de Windows. UE-V determina qué aplicaciones Windows están habilitadas para la sincronización de la configuración con una lista administrada de aplicaciones. De manera predeterminada, esta lista incluye la mayoría de las aplicaciones Windows.

    Para obtener más información acerca de la implementación de UE-V, vea los siguientes recursos:

    Experiencia del usuario administrada

    La característica Experiencia del usuario administrada es un conjunto de características de Windows 10 Enterprise Edition y las opciones de configuración correspondientes que puedes usar para administrar la experiencia del usuario. En la Tabla 2 se describe la configuración de Experiencia del usuario administrada (por categoría), que solo está disponible en Windows 10 Enterprise Edition. Los métodos de administración que se usan para configurar cada característica dependen de la característica. Algunas características se configuran con la directiva de grupo, mientras que otras se configuran mediante Windows PowerShell, Administración y mantenimiento de imágenes de implementación (DISM) u otras herramientas de línea de comandos. Para la configuración de la directiva de grupo, debes tener AD DS con los dispositivos de Windows 10 Enterprise unidos al dominio de AD DS.

    Tabla 2. Características de Experiencia del usuario administrada

    Característica Descripción
    Personalización del diseño de Inicio Puedes implementar un diseño de Inicio personalizado para los usuarios de un dominio. No es necesario restablecer la imagen inicial y, además, el diseño de la pantalla Inicio puede actualizarse simplemente al sobrescribir el archivo .xml que contiene el diseño. El archivo XML le permite personalizar los diseños de Inicio para diferentes departamentos u organizaciones, con una sobrecarga de administración mínima.
    Para obtener más información sobre estas opciones de configuración, consulta Personalizar el diseño de la pantalla Inicio y la barra de tareas de Windows 10 con una directiva de grupo.
    Arranque sin marca Puedes suprimir los elementos de Windows que aparecen cuando Windows se inicia o reanuda y puede suprimir la pantalla de bloqueo cuando Windows encuentra un error del que no se puede recuperar.
    Para obtener más información sobre estas opciones de configuración, consulta Unbranded Boot (Arranque sin marca).
    Inicio de sesión personalizado Puedes usar la característica Inicio de sesión personalizado para suprimir elementos de la interfaz de usuario de Windows 10 que se relacionan con la pantalla de bienvenida y la pantalla de apagado. Por ejemplo, puedes suprimir todos los elementos de la interfaz de usuario de la pantalla de bienvenida y proporcionar una interfaz de usuario de inicio de sesión personalizada. También puedes suprimir la pantalla Resolución de apagado bloqueado (BSDR) y finalizar las aplicaciones automáticamente, mientras el sistema operativo espera a que se cierren las aplicaciones antes de un apagado.
    Para obtener más información sobre estas opciones de configuración, consulta Custom Logon (Inicio de sesión personalizado).
    Selector de shell Permite que el acceso asignado solo ejecute una aplicación Windows clásica a través del Selector de shell para reemplazar el shell.
    Para obtener más información sobre estas opciones de configuración, consulta Shell Launcher (Selector de shell).
    Filtro de teclado Puedes usar el filtro de teclado para suprimir las pulsaciones de tecla o combinaciones de teclas no deseadas. Normalmente, los usuarios pueden usar determinadas combinaciones de teclas de Windows, como Ctrl+Alt+Supr o Ctrl+Mayús+Tab, para controlar un dispositivo mediante el bloqueo de la pantalla o con el Administrador de tareas para cerrar una aplicación en ejecución. Esto no es deseable en dispositivos destinados a un propósito dedicado.
    Para obtener más información sobre estas opciones de configuración, consulta Keyboard Filter (Filtro de teclado).
    Filtro de escritura unificado Puedes usar el Filtro de escritura unificado (UWF) en el dispositivo para ayudar a proteger los medios de almacenamiento físico, lo que incluye la mayoría de tipos de almacenamiento grabables estándar que son compatibles con Windows, como discos duros físicos, unidades de estado sólido, dispositivos USB internos, dispositivos externos SATA, etc. También puedes usar UWF para hacer que los medios de solo lectura parezcan en el sistema operativo como un volumen grabable.
    Para obtener más información sobre estas opciones de configuración, consulta Unified Write Filter (Filtro de escritura unificado).

    Activación de la suscripción enterprise de Windows 10/11
    Experiencias de conexión de dispositivos unidos a un dominio a Azure AD para Windows 10
    Comparar las ediciones de Windows 10
    Windows para la empresa