Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Omówienie
Program Extended Security Aktualizacje (ESU) firmy Microsoft dostarcza krytyczne i ważne aktualizacje zabezpieczeń dla kwalifikujących się urządzeń Windows 10 Enterprise i education po zakończeniu wsparcia technicznego (EOS) 14 października 2025 r. W tym dokumencie wyjaśniono, w jaki sposób uprawnienia, aktywacja i administracja ESU działają w przypadku wdrożeń przy użyciu Windows 365, ze szczególnym uwzględnieniem obsługiwanych modeli, kontroli uprawnień, zasad oraz technicznych kroków implementacji odpowiednich dla administratorów IT i klientów planujących zarządzanie cyklem życia Windows 10.
Odwołania:
Włączanie rozszerzonego Aktualizacje zabezpieczeń dla systemu Windows
Windows 10 ESU dla Windows 365
1. Modele uprawnień ESU
Jednostka ESU działa inaczej w zależności od scenariusza wdrażania:
Azure Virtual Desktop (AVD): Windows 10 maszyny wirtualne z wieloma sesjami i maszynami wirtualnymi z jedną sesją w Azure Virtual Desktop (w dzierżawach komercyjnych, rządowych i edukacyjnych) automatycznie kwalifikują się do ESU. Nie jest wymagany dodatkowy zakup licencji ani aktywacja.
Windows 365 komputery w chmurze: w przypadku istniejących komputerów z systemem Windows 10 w wersji 22H2 w Azure jednostki ESU są dostępne bez dodatkowych kosztów.
Fizyczne/inne punkty końcowe: Pokrycie ESU za pośrednictwem licencji Windows 365 jest możliwe dla bazowego urządzenia używanego do łączenia się z licencjonowanym komputerem w chmurze.
2. Logika uprawnień i aktywacji ESU
2.1 Komputer w chmurze Windows 365 Urządzenia.
Od 14 października 2025 r. Windows 10 obrazy galerii są usuwane i nie są już dostępne do tworzenia nowych zasad aprowizacji. Jeśli nadal musisz tworzyć zasady aprowizacji oparte na Windows 10, postępuj zgodnie z procedurą, aby utworzyć obraz niestandardowy na podstawie obrazów maszyn wirtualnych Azure Marketplace, które są dostępne do 14 kwietnia 2026 r.
2.2. Lokalne punkty końcowe połączone Windows 365
2.2.1 Lokalny punkt końcowy połączony z urządzeniami Windows 365 Enterprise
Sprawdzanie uprawnień: Po zalogowaniu użytkownika kwalifikujące się Windows 10 punkty końcowe wersji 22H2 sprawdzają, czy użytkownikowi przypisano komputer Windows 365 Enterprise Cloud, za pośrednictwem bezpośredniego przypisania licencji lub licencjonowania opartego na grupach.
Logika uprawnień: Jeśli istnieje aktywna licencja Windows 365 Enterprise i przypisanie komputera w chmurze, uprawnienie ESU jest przyznawane urządzeniu fizycznemu podczas logowania dla sesji użytkownika.
2.2.2 Lokalny punkt końcowy połączony z dedykowanymi urządzeniami linii frontu Windows 365
Charakter licencji linii frontu: Licencje linii frontu są dostępne dla całej dzierżawy i nie mogą być przypisane indywidualnie do użytkowników.
Kwalifikowalności: Każdy użytkownik z co najmniej jednym aprowizowanym komputerem z dedykowaną chmurą frontline kwalifikuje się do ESU. Bieżące użycie nie jest wymagane; Uprawnienia są oparte na aprowizowanym komputerze w chmurze.
Czas trwania uprawnień: Użytkownicy muszą zalogować się do lokalnego urządzenia Windows 10 przy użyciu tego samego konta Microsoft Entra ID, którego używają do Windows 365 komputerów w chmurze co najmniej raz na 22 dni, aby zachować uprawnienia do aktualizacji ESU na tym urządzeniu.
Obsługiwane udostępnione urządzenia fizyczne: W systemie Windows Enterprise E3 lub Microsoft 365 E3/E5 użytkownicy mają licencję uruchamiania maksymalnie 10 wystąpień systemu Windows Enterprise na użytkownika, fizycznych lub wirtualnych. ESU ma zastosowanie do każdego licencjonowanego wystąpienia.
Ponowne: Może wystąpić sprawdzanie uprawnień przed wygaśnięciem (zazwyczaj do 7 dni przed wygaśnięciem) i wymaga zalogowania się użytkownika.
2.2.3 Skojarzenie użytkownika & urządzenia
Na urządzenie, na sesję: Uprawnienie ESU nie jest możliwe do przeniesienia. Autoryzowanie jednostki ESU dla jednego urządzenia podczas sesji użytkownika nie jest propagowane na inne urządzenia, nawet w przypadku uzyskania dostępu przez tego samego użytkownika.
Ograniczenie po październiku 2025 r.: Po 15 października 2025 r. nie będzie dostępnego narzędzia administratora ani użytkownika końcowego do identyfikowania, które punkty końcowe ubiegały się o uprawnienie do ESU za pośrednictwem Windows 365.
3. Administracja, kontrolki & Opt-In zasad
Jawne włączanie zasad: Urządzenia wymagają jawnego włączania zasad ESU (za pośrednictwem zasad Microsoft Intune lub konfiguracji rejestru), zanim zaczną otrzymywać aktualizacje ESU. Aby uzyskać szczegółowe informacje o zasadach, zobacz Enable Windows 10 Extended Security Aktualizacje (ESU) for clients accessing cloud and virtual machines | Microsoft Learn
Przypisania & wymuszanie: Administratorzy IT są odpowiedzialni za zapewnienie, że zasady ESU są skonfigurowane i poprawnie ograniczone do kwalifikujących się urządzeń; nieprawidłowa konfiguracja może spowodować brak kwalifikujących się urządzeń ESU.
Limity użytkowników/urządzeń: Uprawnienia ESU są obliczane na użytkownika i zezwalają na maksymalnie 10 kwalifikujących się urządzeń na użytkownika zgodnie z bieżącymi zasadami.
Reporting: Po 15 października 2025 r. mapowanie i raportowanie ESU typu użytkownik-urządzenie nie są już dostępne za pośrednictwem narzędzi administracyjnych firmy Microsoft.
4. Techniczne kroki implementacji
W przypadku punktów końcowych Windows 10 lokalnych za pośrednictwem Windows 365
Upewnij się, że licencjonowanie: Sprawdź, czy użytkownik ma licencję Windows 365 Enterprise lub Frontline i przypisany komputer w chmurze.
Sprawdzanie wyzwalane przez logowanie: Zalogowanie się do urządzenia lokalnego przy użyciu tego samego konta Microsoft Entra ID używanego do uzyskiwania dostępu do komputera w chmurze wyzwala weryfikację uprawnień urządzenia za pośrednictwem uzgadniania chmury firmy Microsoft.
Włączanie zasad: Administratorzy IT muszą skonfigurować włączanie ESU za pomocą zasad Microsoft Intune lub ustawień rejestru na tych urządzeniach.
Wymagania dotyczące łączności: Urządzenie musi regularnie łączyć się z usługami firmy Microsoft (co najmniej raz na 22 dni lub na sesję), aby zachować bieżące uprawnienia do ESU.
5. Najlepsze rozwiązania
Określanie priorytetów migracji Windows 11: używaj jednostki ESU do Windows 10 tylko wtedy, gdy ograniczenia sprzętowe lub zależności obciążenia uniemożliwiają uaktualnienie do Windows 11.
Rygorystyczne śledzenie urządzeń: Przechowuj własne rekordy punktów końcowych kwalifikujących się do ESU. Po październiku 2025 r. nie jest dostępne wyliczenie administratora centralnego.
Automatyzuj tam, gdzie to możliwe: Automatyzuj sprawdzanie uprawnień ESU, przypisywanie zasad i wdrażanie poprawek wszędzie tam, gdzie to możliwe, szczególnie w środowiskach urządzeń dynamicznych lub udostępnionych.
- Regularnie przeglądaj zakres zasad: Okresowo przeglądaj zakresy zasady grupy i MDM, aby upewnić się, że jednostka ESU jest stosowana tylko do kwalifikujących się punktów końcowych. Wycofane, zmienione przeznaczenie lub zlikwidowane urządzenia powinny być jawnie wykluczone.