Windows Enterprise E3 em CSP

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

O Windows Enterprise E3 no CSP oferece, por subscrição, funcionalidades exclusivas reservadas para edições Windows Enterprise. Essa oferta é disponibilizada pelo canal Provedor de Soluções na Nuvem (CSP) por meio do Partner Center como um serviço online. O Windows Enterprise E3 no CSP fornece uma subscrição flexível por utilizador para pequenas e médias organizações (de uma a centenas de utilizadores). Para tirar partido desta oferta, têm de ser cumpridos os seguintes pré-requisitos:

• Uma versão atualmente suportada do Windows, instalada e ativada, nos dispositivos a atualizar.
• Microsoft Entra disponível para gestão de identidades.

Mudar do Windows Pro para o Windows Enterprise é mais fácil do que nunca, sem chaves e sem reinícios. Depois de um utilizador introduzir as credenciais do Microsoft Entra associadas a uma licença do Windows Enterprise E3, o sistema operativo passa do Windows Pro para o Windows Enterprise e todas as funcionalidades empresariais adequadas são desbloqueadas. Quando uma licença de subscrição expira ou é transferida para outro utilizador, o dispositivo Enterprise regressa sem problemas ao Windows Pro.

Anteriormente, apenas as organizações com um Contrato de Licenciamento em Volume da Microsoft podiam implementar o Windows Enterprise nos respetivos utilizadores. Agora, com o Windows Enterprise E3 no CSP, as pequenas e médias organizações podem tirar partido mais facilmente das funcionalidades da edição Enterprise.

Quando o Windows Enterprise E3 é comprado através de um parceiro, são incluídos os seguintes benefícios:

• Edição Windows Enterprise. Os dispositivos atualmente com o Windows Pro podem obter o Windows Enterprise Current Branch (CB) ou o Current Branch for Business (CBB). Este benefício não inclui o Long Term Service Branch (LTSB).
• Suporte de um a centenas de usuários. Embora o Windows Enterprise E3 no programa CSP não tenha uma limitação no número de licenças que uma organização pode ter, o programa foi concebido para pequenas e médias organizações.
• Implante em até cinco dispositivos. Para cada utilizador abrangido pela licença, a edição Windows Enterprise pode ser implementada em até cinco dispositivos.
• Reverter para o Windows Pro em qualquer altura. Quando a subscrição de um utilizador expira ou é transferida para outro utilizador, o dispositivo Windows Enterprise é revertido de forma totalmente integrada para a edição Windows Pro (após um período de tolerância de até 90 dias).
• Mensalmente, modelo de preço por usuário. Este modelo torna o Windows Enterprise E3 acessível para organizações.
• Alterne licenças entre usuários. As licenças podem ser reatribuídas rápida e facilmente de um utilizador para outro utilizador, permitindo a otimização do investimento de licenciamento face às necessidades em mudança.

Como é que o Windows Enterprise E3 no programa CSP se compara com os Contratos de Licenciamento em Volume da Microsoft e o Software Assurance?

• Os programas Licenciamento por Volume da Microsoft têm escopo mais abrangente, dando para as organizações acesso a todos os produtos Microsoft.

• O Software Assurance oferece às organizações as seguintes categorias de benefícios:

  • Implantação e gerenciamento. Estes benefícios incluem serviços de planeamento:

    • Otimização do Ambiente de Trabalho da Microsoft (MDOP).
    • Direitos de Acesso do Windows Virtual Desktop.
    • Direitos de Utilização de Roaming do Windows.
    • Outros benefícios.

  • Treinamento. Entre esses benefícios estão cupons de treinamento, e-learning online e um programa de uso doméstico.

  • Suporte. Estes benefícios incluem:

    • Suporte de resolução de problemas 24 x 7.
    • Capacidades de cópia de segurança para recuperação após desastre.
    • Monitor de Serviço Global do System Center.
    • Uma instância secundária passiva do SQL Server.

  • Especializado. Estes benefícios incluem a disponibilidade de licenciamento passo a passo, que permite a migração de software de uma edição anterior para uma edição de nível superior. Também distribui licenças e pagamentos software assurance em três somas iguais e anuais.

    Além disso, no Windows Enterprise E3 no CSP, um parceiro pode gerir as licenças de uma organização. Com o Software Assurance, a organização tem de gerir as suas próprias licenças.

Em resumo, o Windows Enterprise E3 no programa CSP é uma oferta de atualização que proporciona às pequenas e médias organizações um acesso mais fácil e flexível aos benefícios da edição Windows Enterprise. Por outro lado, os programas de Licenciamento em Volume da Microsoft e o Software Assurance são mais amplos no âmbito e proporcionam benefícios para além do acesso à edição Enterprise do Windows.

Comparar as edições Windows Pro e Enterprise

A edição Windows Enterprise tem muitas funcionalidades que não estão disponíveis no Windows Pro. A Tabela 1 lista algumas das funcionalidades do Windows Enterprise não encontradas no Windows Pro. Muitos desses recursos estão relacionados à segurança, e outros permitem um gerenciamento de dispositivo mais refinado.

Tabela 1. Funcionalidades do Windows Enterprise não encontradas no Windows Pro

Recurso	Descrição
Credential Guard	O Credential Guard utiliza segurança baseada em virtualização para ajudar a proteger segredos de segurança para que apenas o software de sistema privilegiado possa aceder aos mesmos. Exemplos de segredos de segurança que podem ser protegidos incluem hashes de palavras-passe NTLM e Permissões de Concessão de Permissões Kerberos. Esta proteção ajuda a evitar ataques Pass-the-Hash ou Pass-the-Ticket. O Credential Guard tem os seguintes recursos: Segurança ao nível do hardware – o Credential Guard utiliza funcionalidades de segurança da plataforma de hardware (como o Arranque Seguro e a virtualização) para ajudar a proteger credenciais de domínio derivadas e outros segredos. Segurança baseada na virtualização – serviços do Windows que acedem a credenciais de domínio derivadas e outros segredos executados num ambiente virtualizado e protegido isolado. Proteção melhorada contra ameaças persistentes – o Credential Guard funciona com outras tecnologias (por exemplo, Device Guard) para ajudar a fornecer mais proteção contra ataques, independentemente da sua persistência. Capacidade de gestão melhorada – o Credential Guard pode ser gerido através da Política de Grupo, do Windows Management Instrumentation (WMI) ou do Windows PowerShell. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard. O Credential Guard requer UEFI 2.3.1 ou superior com Arranque Fidedigno As Extensões de Virtualização, como Intel VT-x, AMD-V e SLAT, têm de estar ativadas versão x64 do Windows IOMMU, como Intel VT-d, AMD-Vi Bloqueio do BIOS TPM 2.0 recomendado para atestado de estado de funcionamento do dispositivo (utiliza software se o TPM 2.0 não estiver presente)
Device Guard	Este recurso é uma combinação de recursos de segurança de hardware e software que permite apenas a execução de aplicativos confiáveis em um dispositivo. Mesmo que um atacante consiga obter o controlo do kernel do Windows, é muito menos provável que execute código executável. O Device Guard pode utilizar a segurança baseada em virtualização (VBS) na edição Windows Enterprise para isolar o serviço Integridade do Código do próprio kernel do Windows. Com a VBS, mesmo que o malware obtenha acesso ao kernel, os efeitos podem ser muito limitados, porque o hipervisor pode impedir que o malware execute código. O Device Guard protege das seguintes formas: Ajuda a proteger contra malware Ajuda a proteger o núcleo do sistema Windows de explorações de vulnerabilidade e dia zero Permite que apenas aplicativos confiáveis sejam executados Para obter mais informações, consulte Introdução ao Device Guard.
Gerenciamento do AppLocker	Esta funcionalidade ajuda os profissionais de TI a determinar que aplicações e ficheiros os utilizadores podem executar num dispositivo. Entre os aplicativos e os arquivos que podem ser gerenciados estão arquivos executáveis, scripts, arquivos do Windows Installer, bibliotecas de vínculo dinâmico (DLLs), aplicativos empacotados e instaladores de aplicativos empacotados. Para obter mais informações, consulte AppLocker.
Application Virtualization (App-V)	Esta funcionalidade disponibiliza aplicações aos utilizadores finais sem instalar as aplicações diretamente nos dispositivos dos utilizadores. O App-V transforma aplicativos em serviços gerenciados de maneira centralizada que jamais são instalados e que não entram em conflito com outros aplicativos. Este recurso também ajuda a garantir que os aplicativos estejam sempre atualizados em relação às atualizações de segurança mais recentes. Para obter mais informações, veja Introdução ao cliente App-V para Windows.
User Experience Virtualization (UE-V)	Com esta funcionalidade, as definições personalizadas do Windows e da aplicação podem ser capturadas e armazenadas numa partilha de ficheiros de rede gerida centralmente. Quando os utilizadores iniciam sessão, as definições personalizadas são aplicadas à respetiva sessão de trabalho, independentemente das sessões de infraestrutura de ambiente de trabalho virtual (VDI) em que iniciam sessão. O UE-V fornece as seguintes funcionalidades: Especificar quais aplicativos e configurações do Windows são sincronizados em todos os dispositivos do usuário Oferecer as configurações a qualquer momento e em qualquer lugar onde os usuários trabalhem em toda a empresa Criar modelos personalizados para aplicações de linha de negócio Recuperar as definições após a substituição ou atualização do hardware, ou depois de reimaginar uma máquina virtual para o estado inicial Para obter mais informações, veja Descrição geral da Virtualização da Experiência do Utilizador (UE-V).
Experiência do Usuário Gerenciada	Esta funcionalidade ajuda a personalizar e bloquear a interface de utilizador de um dispositivo Windows para a restringir a uma tarefa específica. Por exemplo, um dispositivo pode ser configurado para um cenário controlado, como um quiosque ou um dispositivo de sala de aula. A experiência do usuário seria redefinida automaticamente assim que um usuário se desconectasse. O acesso a serviços como a Loja Windows também pode ser restrito. Para o Windows 10, as opções de esquema Iniciar também podem ser geridas, tais como: Remover e impedir o acesso aos comandos Desligar, Reiniciar, Suspender e Hibernar Remover Fazer Logoff (o bloco Usuário) do menu Iniciar Remover programas frequentes do menu Iniciar Remover a lista Todos os Programas do menu Iniciar Impedir que os usuários personalizem a tela inicial Forçar o menu Iniciar para ter o tamanho de tela inteira ou o tamanho do menu Impedir alterações nas configurações da barra de tarefas e do menu Iniciar

Implementação de licenças do Windows Enterprise E3

Veja Implementar licenças do Windows Enterprise.

Implementar funcionalidades do Windows Enterprise

Agora que a edição Windows Enterprise está em execução em dispositivos, de que forma são aproveitadas as funcionalidades e capacidades da edição Enterprise? Quais são as próximas etapas que precisam ser concluídas para cada um dos recursos abordados na Tabela 1?

As secções seguintes fornecem as tarefas de alto nível que têm de ser executadas num ambiente para ajudar os utilizadores a tirar partido das funcionalidades da edição Windows Enterprise.

Credential Guard

Observação

Requer UEFI 2.3.1 ou superior com Arranque Fidedigno; As Extensões de Virtualização, como Intel VT-x, AMD-V e SLAT, têm de estar ativadas; versão x64 do Windows; IOMMU, como Intel VT-d, AMD-Vi; Bloqueio do BIOS; TPM 2.0 recomendado para atestado de estado de funcionamento do dispositivo (utilizará software se o TPM 2.0 não estiver presente).

O Credential Guard pode ser implementado em dispositivos Windows Enterprise ao ativar o Credential Guard nestes dispositivos. O Credential Guard utiliza funcionalidades de segurança baseadas em virtualização do Windows (Hyper-V) que têm de ser ativadas em cada dispositivo antes de o Credential Guard poder ser ativado. O Credential Guard pode ser ativado através de um dos seguintes métodos:

• Automatizado. O Credential Guard pode ser ativado para um ou mais dispositivos através da Política de Grupo. As configurações da Política de Grupo adicionam automaticamente os recursos de segurança baseada em virtualização e definem as configurações do Registro do Credential Guard em dispositivos gerenciados.

• Manual. O Credential Guard pode ser ativado manualmente ao efetuar uma das seguintes ações:

  • Adicione os recursos de segurança baseada em virtualização usando Programas e Recursos ou Gerenciamento e Manutenção de Imagens de Implantação (DISM).

  • Defina configurações do Registro do Credential Guard usando o Editor do Registro ou a Ferramenta de preparação de hardware do Device Guard e do Credential Guard.

    Estes passos manuais podem ser automatizados através de uma ferramenta de gestão, como o Microsoft Configuration Manager.

Para obter mais informações sobre como implementar o Credential Guard, consulte os seguintes recursos:

• Visão geral do Credential Guard
• Considerações de segurança para Fabricantes de Equipamento Original
• Ferramenta de preparação de hardware do Device Guard e do Credential Guard

Device Guard

Agora que os dispositivos têm o Windows Enterprise, o Device Guard pode ser implementado nos dispositivos Windows Enterprise ao executar os seguintes passos:

1. Como opção, crie um certificado de assinatura para políticas de integridade do código. À medida que as políticas de integridade do código são implementadas, os ficheiros de catálogo ou as políticas de integridade do código podem ter de ser assinados internamente. Para assinar ficheiros de catálogo ou políticas de integridade de código internamente, é necessário um certificado de assinatura de código emitido publicamente (normalmente comprado) ou uma autoridade de certificação interna (AC). Se for escolhida uma AC interna, é necessário criar um certificado de assinatura de código.

2. Crie políticas de integridade de código a partir de computadores "dourados". Por vezes, os departamentos ou funções utilizam conjuntos distintos ou parcialmente distintos de hardware e software. Nestes casos, podem ser configurados computadores "dourados" que contenham software e hardware para estes departamentos ou funções. Nesse sentido, a criação e o gerenciamento das políticas de integridade do código de acordo com as necessidades de funções ou departamentos podem ser semelhantes ao gerenciamento de imagens corporativas. A partir de cada computador "dourado", pode ser criada uma política de integridade de código e, em seguida, decidir como gerir essa política. As políticas de integridade do código podem ser intercaladas para criar uma política mais ampla ou uma política primária, ou cada política pode ser gerida e implementada individualmente.

3. Audite a política de integridade do código e capture as informações sobre aplicativos que estejam fora da política. A Microsoft recomenda a utilização do "modo de auditoria" para testar cuidadosamente cada política de integridade de código antes de a impor. Com o modo de auditoria, nenhuma aplicação é bloqueada. A política apenas regista um evento sempre que uma aplicação fora da política é iniciada. Mais tarde, a política pode ser expandida para permitir estas aplicações, conforme necessário.

4. Crie um "ficheiro de catálogo" para aplicações de linha de negócio (LOB) não assinadas. Utilize a ferramenta Inspetor de Pacotes para criar e assinar um ficheiro de catálogo para as aplicações LOB não assinadas. Nos passos posteriores, a assinatura do ficheiro de catálogo pode ser intercalada na política de integridade do código para que a política permita aplicações no catálogo.

5. Capture informações necessárias sobre a política no log de eventos e mescle informações à política existente conforme necessário. Depois que uma política de integridade do código estiver em execução por algum tempo em modo de auditoria, o log de eventos conterá informações sobre aplicativos que estejam fora da política. Para expandir a política de modo a permitir estas aplicações, utilize os comandos do Windows PowerShell para capturar as informações de política necessárias do registo de eventos. Assim que as informações forem capturadas, intercale essas informações na política existente. As políticas de integridade do código também podem ser intercaladas a partir de outras origens, o que permite flexibilidade na criação das políticas finais de integridade do código.

6. Implante políticas de integridade do código e arquivos de catálogo. Depois de confirmar que todos os passos anteriores foram concluídos, os ficheiros de catálogo podem ser implementados e as políticas de integridade do código podem ser retiradas do modo de auditoria. A Microsoft recomenda vivamente o início deste processo com um grupo de utilizadores de teste. Os testes fornecem uma validação final de controlo de qualidade antes de implementar os ficheiros de catálogo e as políticas de integridade de código de forma mais ampla.

7. Habilitar recursos de segurança de hardware desejados. Recursos de segurança baseada em hardware, também chamados de recursos de segurança baseada em virtualização (VBS), fortalecem as proteções oferecidas por políticas de integridade de código.

Para obter mais informações sobre como implementar o Device Guard, consulte:

• Controle de Aplicativos do Windows Defender e proteção baseada em virtualização da integridade do código
• Guia de implantação do Device Guard

Gerenciamento do AppLocker

O AppLocker no Windows Enterprise pode ser gerido através da Política de Grupo. A Política de Grupo requer ter o AD DS e que os dispositivos Windows Enterprise estejam associados a um domínio do AD DS. As regras do AppLocker podem ser criadas com a Política de Grupo. Em seguida, as regras do AppLocker podem ser direcionadas para os dispositivos adequados.

Para obter mais informações sobre o gerenciamento do AppLocker usando a Política de Grupo, consulte Guia de Implantação do AppLocker.

App-V

O App-V exige uma infraestrutura de servidor do App-V para dar suporte a clientes do App-V. Os componentes principais do App-V necessários são:

• Servidor do App-V. O servidor do App-V oferece gerenciamento, publicação de aplicativos virtualizados, streaming de aplicativo e serviços de relatório do App-V. Cada um desses serviços pode ser executado em um servidor ou pode ser executado individualmente em vários servidores. Por exemplo, podem existir vários servidores de transmissão em fluxo. Os clientes do App-V entram em contato com servidores do App-V para determinar quais aplicativos são publicados para o usuário ou o dispositivo e, em seguida, executam o aplicativo virtualizado no servidor.

• Sequenciador do App-V. O sequenciador do App-V é um dispositivo cliente típico usado para sequenciar (capturar) aplicativos e prepará-los para hospedagem no servidor do App-V. As aplicações são instaladas no sequenciador App-V e o software do sequenciador App-V determina os ficheiros e as definições de registo que são alterados durante a instalação da aplicação. Em seguida, o sequencer captura essas configurações para criar um aplicativo virtualizado.

• Cliente do App-V. O cliente App-V tem de estar ativado em qualquer dispositivo cliente Windows Enterprise E3 que precise de executar aplicações a partir do servidor App-V.

Para obter mais informações sobre como implementar o servidor do App-V, o sequenciador do App-V e o cliente do App-V, consulte os seguintes recursos:

• Introdução ao App-V para cliente Windows
• Implementar o servidor App-V
• Implantação do sequenciador do App-V e configuração do cliente

UE-V

O UE-V requer componentes do lado do servidor e do cliente que precisam de ser transferidos, ativados e instalados. Entre esses componentes estão:

• Serviço do UE-V. O serviço do UE-V (quando habilitado em dispositivos) monitora aplicativos registrados e o Windows em busca de alterações nas configurações, além de sincronizar essas configurações entre dispositivos.

• Pacotes de configurações. Os pacotes de configurações criados pelo serviço do UE-V armazenam configurações do aplicativo e do Windows. Os pacotes de configurações são criados, armazenados localmente e copiados para o local de armazenamento das configurações.

• Local de armazenamento das configurações. Esta localização é uma partilha de rede padrão à qual os utilizadores podem aceder. O serviço do UE-V verifica o local e cria uma pasta de sistema oculta na qual as configurações do usuário são armazenadas e recuperadas.

• Modelos de local das configurações. Os modelos de local das configurações são arquivos XML que o UE-V usa para monitorar e sincronizar configurações do aplicativo da área de trabalho e configurações da área de trabalho do Windows entre computadores dos usuários. Por padrão, alguns modelos de local das configurações estão incluídos no UE-V. Os modelos de localização de definições personalizadas também podem ser criados, editados ou validados com o gerador de modelos UE-V. Os modelos de localização de definições não são necessários para aplicações do Windows.

• Lista de aplicativos Universal do Windows. O UE-V determina quais aplicativos do Windows permanecem habilitados para sincronização de configurações usando-se uma lista de aplicativos gerenciada. Por padrão, essa lista inclui a maioria dos aplicativos do Windows.

Para obter mais informações sobre como implantar o UE-V, consulte os seguintes recursos:

• Descrição geral da Virtualização da Experiência do Utilizador (UE-V)
• Introdução ao UE-V
• Preparar uma implantação do UE-V

Experiência do Usuário Gerenciada

A funcionalidade Experiência de Utilizador Gerida é um conjunto de funcionalidades de edição do Windows Enterprise e definições correspondentes que podem ser utilizadas para gerir a experiência do utilizador. A Tabela 2 descreve as definições da Experiência de Utilizador Gerida (por categoria), que só estão disponíveis na edição Windows Enterprise. Os métodos de gerenciamento usados para configurar cada recurso dependem do recurso. Alguns recursos são configurados usando-se a Política de Grupo, e outros são configurados com o Windows PowerShell, a Gerenciamento e Manutenção de Imagens de Implantação ou outras ferramentas de linha de comando. Para as definições da Política de Grupo, o AD DS é necessário com os dispositivos Windows Enterprise associados a um domínio do AD DS.

Tabela 2. Recursos da Experiência do Usuário Gerenciada

Recurso	Descrição
Personalização do layout de Iniciar	Um esquema Iniciar personalizado pode ser implementado para os utilizadores num domínio. Nenhuma recriação de imagens é necessária, e o layout da tela inicial pode ser atualizado simplesmente substituindo o arquivo .xml que contém o layout. O ficheiro XML permite a personalização de esquemas Iniciar para diferentes departamentos ou organizações, com um overhead de gestão mínimo. Para obter mais informações sobre essas configurações, consulte Personalizar a tela inicial e a barra de tarefas do Windows 10 com a Política de Grupo.
Inicialização sem marca	Os elementos do Windows que aparecem quando o Windows inicia ou retoma podem ser suprimidos. O ecrã de falha quando o Windows encontra um erro a partir do qual não consegue recuperar também pode ser suprimido. Para obter mais informações sobre essas configurações, consulte Inicialização Sem Marca.
Início de Sessão Personalizado	A funcionalidade Início de Sessão Personalizado pode ser utilizada para suprimir elementos da IU do Windows relacionados com o ecrã de Boas-vindas e o ecrã de encerramento. Por exemplo, todos os elementos da IU do ecrã de Boas-vindas podem ser suprimidos e pode ser fornecida uma IU de início de sessão personalizada. O ecrã Resolução de Encerramento Bloqueado (BSDR) também pode ser suprimido e as aplicações podem ser terminadas automaticamente enquanto o SO aguarda que as aplicações fechem antes do encerramento. Para obter mais informações sobre essas configurações, consulte Logon Personalizado.
Iniciador de Shell	Permite que o acesso atribuído execute apenas um aplicativo do Windows clássico por meio do Iniciador de Shell para substituir o shell. Para obter mais informações sobre essas configurações, consulte Iniciador de Shell.
Filtro de teclado	O Filtro de Teclado pode ser utilizado para suprimir teclas indesejáveis premidas ou combinações de teclas. Normalmente, os usuários podem usar determinadas combinações de teclas do Windows como Ctrl+Alt+Delete ou Ctrl+Shift+Tab para controlar um dispositivo bloqueando a tela ou usando o Gerenciador de Tarefas para fechar um aplicativo em execução. Estas ações de teclado não são desejáveis em dispositivos destinados a uma finalidade dedicada. Para obter mais informações sobre essas configurações, consulte Filtro de Teclado.
Filtro de gravação unificado	O Filtro de Escrita Unificado (UWF) pode ser utilizado num dispositivo para ajudar a proteger o suporte de dados de armazenamento físico, incluindo a maioria dos tipos de armazenamento graváveis padrão suportados pelo Windows, tais como: Discos rígidos físicos Unidades de estado sólido Dispositivos USB internos Dispositivos SATA externos . A UWF também pode ser utilizada para fazer com que os suportes de dados só de leitura apareçam no SO como um volume gravável. Para obter mais informações sobre essas configurações, consulte Filtro de Gravação Unificado.

Artigos relacionados

• Ativação da Subscrição Do Windows Enterprise.
• Planeie a sua implementação de associação híbrida do Microsoft Entra.
• Compare as edições do Windows.
• Windows para empresas.