Compartilhar via


Windows Enterprise E3 em CSP

O Windows Enterprise E3 no CSP oferece, por subscrição, funcionalidades exclusivas reservadas para edições Windows Enterprise. Essa oferta é disponibilizada pelo canal Provedor de Soluções na Nuvem (CSP) por meio do Partner Center como um serviço online. O Windows Enterprise E3 no CSP fornece uma subscrição flexível por utilizador para pequenas e médias organizações (de uma a centenas de utilizadores). Para tirar partido desta oferta, têm de ser cumpridos os seguintes pré-requisitos:

  • Uma versão atualmente suportada do Windows, instalada e ativada, nos dispositivos a atualizar.
  • Microsoft Entra disponíveis para gestão de identidades.

Mudar do Windows Pro para o Windows Enterprise é mais fácil do que nunca, sem chaves e sem reinícios. Depois de um utilizador introduzir as credenciais de Microsoft Entra associadas a uma licença do Windows Enterprise E3, o sistema operativo passa do Windows Pro para o Windows Enterprise e todas as funcionalidades empresariais adequadas são desbloqueadas. Quando uma licença de subscrição expira ou é transferida para outro utilizador, o dispositivo Enterprise regressa sem problemas ao Windows Pro.

Anteriormente, apenas as organizações com um Contrato de Licenciamento em Volume da Microsoft podiam implementar o Windows Enterprise nos respetivos utilizadores. Agora, com o Windows Enterprise E3 no CSP, as pequenas e médias organizações podem tirar partido mais facilmente das funcionalidades da edição Enterprise.

Quando o Windows Enterprise E3 é comprado através de um parceiro, são incluídos os seguintes benefícios:

  • Edição Windows Enterprise. Os dispositivos atualmente com o Windows Pro podem obter o Windows Enterprise Current Branch (CB) ou o Current Branch for Business (CBB). Este benefício não inclui o Long Term Service Branch (LTSB).
  • Suporte de um a centenas de usuários. Embora o Windows Enterprise E3 no programa CSP não tenha uma limitação no número de licenças que uma organização pode ter, o programa foi concebido para pequenas e médias organizações.
  • Implante em até cinco dispositivos. Para cada utilizador abrangido pela licença, a edição Windows Enterprise pode ser implementada em até cinco dispositivos.
  • Reverter para o Windows Pro em qualquer altura. Quando a subscrição de um utilizador expira ou é transferida para outro utilizador, o dispositivo Windows Enterprise é revertido de forma totalmente integrada para a edição Windows Pro (após um período de tolerância de até 90 dias).
  • Mensalmente, modelo de preço por usuário. Este modelo torna o Windows Enterprise E3 acessível para organizações.
  • Alterne licenças entre usuários. As licenças podem ser reatribuídas rápida e facilmente de um utilizador para outro utilizador, permitindo a otimização do investimento de licenciamento face às necessidades em mudança.

Como é que o Windows Enterprise E3 no programa CSP se compara com os Contratos de Licenciamento em Volume da Microsoft e o Software Assurance?

  • Os programas Licenciamento por Volume da Microsoft têm escopo mais abrangente, dando para as organizações acesso a todos os produtos Microsoft.

  • O Software Assurance oferece às organizações as seguintes categorias de benefícios:

    • Implantação e gerenciamento. Estes benefícios incluem serviços de planeamento:

      • Otimização do Ambiente de Trabalho da Microsoft (MDOP).
      • Direitos de Acesso do Windows Virtual Desktop.
      • Direitos de Utilização de Roaming do Windows.
      • Outros benefícios.
    • Treinamento. Entre esses benefícios estão cupons de treinamento, e-learning online e um programa de uso doméstico.

    • Suporte. Estes benefícios incluem:

      • Suporte de resolução de problemas 24 x 7.
      • Capacidades de cópia de segurança para recuperação após desastre.
      • System Center Global Service Monitor.
      • Uma instância secundária passiva de SQL Server.
    • Especializado. Estes benefícios incluem a disponibilidade de licenciamento passo a passo, que permite a migração de software de uma edição anterior para uma edição de nível superior. Também distribui licenças e pagamentos software assurance em três somas iguais e anuais.

      Além disso, no Windows Enterprise E3 no CSP, um parceiro pode gerir as licenças de uma organização. Com o Software Assurance, a organização tem de gerir as suas próprias licenças.

Em resumo, o Windows Enterprise E3 no programa CSP é uma oferta de atualização que proporciona às pequenas e médias organizações um acesso mais fácil e flexível aos benefícios da edição Windows Enterprise. Por outro lado, os programas de Licenciamento em Volume da Microsoft e o Software Assurance são mais amplos no âmbito e proporcionam benefícios para além do acesso à edição Enterprise do Windows.

Comparar as edições Windows Pro e Enterprise

A edição Windows Enterprise tem muitas funcionalidades que não estão disponíveis no Windows Pro. A Tabela 1 lista algumas das funcionalidades do Windows Enterprise não encontradas no Windows Pro. Muitos desses recursos estão relacionados à segurança, e outros permitem um gerenciamento de dispositivo mais refinado.

Tabela 1. Funcionalidades do Windows Enterprise não encontradas no Windows Pro

Recurso Descrição
Credential Guard O Credential Guard utiliza segurança baseada em virtualização para ajudar a proteger segredos de segurança para que apenas o software de sistema privilegiado possa aceder aos mesmos. Exemplos de segredos de segurança que podem ser protegidos incluem hashes de palavras-passe NTLM e Permissões de Concessão de Permissões Kerberos. Esta proteção ajuda a evitar ataques Pass-the-Hash ou Pass-the-Ticket.

O Credential Guard tem os seguintes recursos:
  • Segurança ao nível do hardware – o Credential Guard utiliza funcionalidades de segurança da plataforma de hardware (como o Arranque Seguro e a virtualização) para ajudar a proteger credenciais de domínio derivadas e outros segredos.
  • Segurança baseada na virtualização – serviços do Windows que acedem a credenciais de domínio derivadas e outros segredos executados num ambiente virtualizado e protegido isolado.
  • Proteção melhorada contra ameaças persistentes – o Credential Guard funciona com outras tecnologias (por exemplo, Device Guard) para ajudar a fornecer mais proteção contra ataques, independentemente da sua persistência.
  • Capacidade de gestão melhorada – o Credential Guard pode ser gerido através de Política de Grupo, Windows Management Instrumentation (WMI) ou Windows PowerShell.

    Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard.

    O Credential Guard requer
    • UEFI 2.3.1 ou superior com Arranque Fidedigno
    • As Extensões de Virtualização, como Intel VT-x, AMD-V e SLAT, têm de estar ativadas
    • versão x64 do Windows
    • IOMMU, como Intel VT-d, AMD-Vi
    • Bloqueio do BIOS
    • TPM 2.0 recomendado para atestado de estado de funcionamento do dispositivo (utiliza software se o TPM 2.0 não estiver presente)
  • Gerenciamento do AppLocker Esta funcionalidade ajuda os profissionais de TI a determinar que aplicações e ficheiros os utilizadores podem executar num dispositivo. Entre os aplicativos e os arquivos que podem ser gerenciados estão arquivos executáveis, scripts, arquivos do Windows Installer, bibliotecas de vínculo dinâmico (DLLs), aplicativos empacotados e instaladores de aplicativos empacotados.

    Para obter mais informações, consulte AppLocker.
    Application Virtualization (App-V) Esta funcionalidade disponibiliza aplicações aos utilizadores finais sem instalar as aplicações diretamente nos dispositivos dos utilizadores. O App-V transforma aplicativos em serviços gerenciados de maneira centralizada que jamais são instalados e que não entram em conflito com outros aplicativos. Este recurso também ajuda a garantir que os aplicativos estejam sempre atualizados em relação às atualizações de segurança mais recentes.

    Para obter mais informações, veja Introdução ao cliente App-V para Windows.
    User Experience Virtualization (UE-V) Com esta funcionalidade, as definições personalizadas do Windows e da aplicação podem ser capturadas e armazenadas numa partilha de ficheiros de rede gerida centralmente.

    Quando os utilizadores iniciam sessão, as definições personalizadas são aplicadas à respetiva sessão de trabalho, independentemente das sessões de infraestrutura de ambiente de trabalho virtual (VDI) em que iniciam sessão.

    O UE-V fornece as seguintes funcionalidades:
  • Especificar quais aplicativos e configurações do Windows são sincronizados em todos os dispositivos do usuário
  • Oferecer as configurações a qualquer momento e em qualquer lugar onde os usuários trabalhem em toda a empresa
  • Criar modelos personalizados para aplicações de linha de negócio
  • Recuperar as definições após a substituição ou atualização do hardware, ou depois de reimaginar uma máquina virtual para o estado inicial

    Para obter mais informações, veja Descrição geral da Virtualização da Experiência do Utilizador (UE-V).
  • Experiência do Usuário Gerenciada Esta funcionalidade ajuda a personalizar e bloquear a interface de utilizador de um dispositivo Windows para a restringir a uma tarefa específica. Por exemplo, um dispositivo pode ser configurado para um cenário controlado, como um quiosque ou um dispositivo de sala de aula. A experiência do usuário seria redefinida automaticamente assim que um usuário se desconectasse. O acesso a serviços como a Loja Windows também pode ser restrito. Para Windows 10, as opções de esquema Iniciar também podem ser geridas, tais como:
  • Remover e impedir o acesso aos comandos Desligar, Reiniciar, Suspender e Hibernar
  • Remover Fazer Logoff (o bloco Usuário) do menu Iniciar
  • Remover programas frequentes do menu Iniciar
  • Remover a lista Todos os Programas do menu Iniciar
  • Impedir que os usuários personalizem a tela inicial
  • Forçar o menu Iniciar para ter o tamanho de tela inteira ou o tamanho do menu
  • Impedir alterações nas configurações da barra de tarefas e do menu Iniciar
  • Implementação de licenças do Windows Enterprise E3

    Veja Implementar licenças do Windows Enterprise.

    Implementar funcionalidades do Windows Enterprise

    Agora que a edição Windows Enterprise está em execução em dispositivos, de que forma são aproveitadas as funcionalidades e capacidades da edição Enterprise? Quais são as próximas etapas que precisam ser concluídas para cada um dos recursos abordados na Tabela 1?

    As secções seguintes fornecem as tarefas de alto nível que têm de ser executadas num ambiente para ajudar os utilizadores a tirar partido das funcionalidades da edição Windows Enterprise.

    Credential Guard

    Observação

    Requer UEFI 2.3.1 ou superior com Arranque Fidedigno; As Extensões de Virtualização, como Intel VT-x, AMD-V e SLAT, têm de estar ativadas; versão x64 do Windows; IOMMU, como Intel VT-d, AMD-Vi; Bloqueio do BIOS; TPM 2.0 recomendado para atestado de estado de funcionamento do dispositivo (utilizará software se o TPM 2.0 não estiver presente).

    O Credential Guard pode ser implementado em dispositivos Windows Enterprise ao ativar o Credential Guard nestes dispositivos. O Credential Guard utiliza funcionalidades de segurança baseadas em virtualização do Windows (Hyper-V) que têm de ser ativadas em cada dispositivo antes de o Credential Guard poder ser ativado. O Credential Guard pode ser ativado através de um dos seguintes métodos:

    • Automatizado. O Credential Guard pode ser ativado para um ou mais dispositivos com Política de Grupo. As configurações da Política de Grupo adicionam automaticamente os recursos de segurança baseada em virtualização e definem as configurações do Registro do Credential Guard em dispositivos gerenciados.

    • Manual. O Credential Guard pode ser ativado manualmente ao efetuar uma das seguintes ações:

      • Adicione os recursos de segurança baseada em virtualização usando Programas e Recursos ou Gerenciamento e Manutenção de Imagens de Implantação (DISM).

      • Defina configurações do Registro do Credential Guard usando o Editor do Registro ou a Ferramenta de preparação de hardware do Device Guard e do Credential Guard.

        Estes passos manuais podem ser automatizados através de uma ferramenta de gestão, como Microsoft Configuration Manager.

    Para obter mais informações sobre como implementar o Credential Guard, consulte os seguintes recursos:

    Gerenciamento do AppLocker

    O AppLocker no Windows Enterprise pode ser gerido com Política de Grupo. Política de Grupo requer ter o AD DS e que os dispositivos Windows Enterprise estejam associados a um domínio do AD DS. As regras do AppLocker podem ser criadas com Política de Grupo. Em seguida, as regras do AppLocker podem ser direcionadas para os dispositivos adequados.

    Para obter mais informações sobre o gerenciamento do AppLocker usando a Política de Grupo, consulte Guia de Implantação do AppLocker.

    App-V

    O App-V exige uma infraestrutura de servidor do App-V para dar suporte a clientes do App-V. Os componentes principais do App-V necessários são:

    • Servidor do App-V. O servidor do App-V oferece gerenciamento, publicação de aplicativos virtualizados, streaming de aplicativo e serviços de relatório do App-V. Cada um desses serviços pode ser executado em um servidor ou pode ser executado individualmente em vários servidores. Por exemplo, podem existir vários servidores de transmissão em fluxo. Os clientes do App-V entram em contato com servidores do App-V para determinar quais aplicativos são publicados para o usuário ou o dispositivo e, em seguida, executam o aplicativo virtualizado no servidor.

    • Sequenciador do App-V. O sequenciador do App-V é um dispositivo cliente típico usado para sequenciar (capturar) aplicativos e prepará-los para hospedagem no servidor do App-V. As aplicações são instaladas no sequenciador App-V e o software do sequenciador App-V determina os ficheiros e as definições de registo que são alterados durante a instalação da aplicação. Em seguida, o sequencer captura essas configurações para criar um aplicativo virtualizado.

    • Cliente do App-V. O cliente App-V tem de estar ativado em qualquer dispositivo cliente Windows Enterprise E3 que precise de executar aplicações a partir do servidor App-V.

    Para obter mais informações sobre como implementar o servidor do App-V, o sequenciador do App-V e o cliente do App-V, consulte os seguintes recursos:

    UE-V

    O UE-V requer componentes do lado do servidor e do cliente que precisam de ser transferidos, ativados e instalados. Entre esses componentes estão:

    • Serviço do UE-V. O serviço do UE-V (quando habilitado em dispositivos) monitora aplicativos registrados e o Windows em busca de alterações nas configurações, além de sincronizar essas configurações entre dispositivos.

    • Pacotes de configurações. Os pacotes de configurações criados pelo serviço do UE-V armazenam configurações do aplicativo e do Windows. Os pacotes de configurações são criados, armazenados localmente e copiados para o local de armazenamento das configurações.

    • Local de armazenamento das configurações. Esta localização é uma partilha de rede padrão à qual os utilizadores podem aceder. O serviço do UE-V verifica o local e cria uma pasta de sistema oculta na qual as configurações do usuário são armazenadas e recuperadas.

    • Modelos de local das configurações. Os modelos de local das configurações são arquivos XML que o UE-V usa para monitorar e sincronizar configurações do aplicativo da área de trabalho e configurações da área de trabalho do Windows entre computadores dos usuários. Por padrão, alguns modelos de local das configurações estão incluídos no UE-V. Os modelos de localização de definições personalizadas também podem ser criados, editados ou validados com o gerador de modelos UE-V. Os modelos de localização de definições não são necessários para aplicações do Windows.

    • Lista de aplicativos Universal do Windows. O UE-V determina quais aplicativos do Windows permanecem habilitados para sincronização de configurações usando-se uma lista de aplicativos gerenciada. Por padrão, essa lista inclui a maioria dos aplicativos do Windows.

    Para obter mais informações sobre como implantar o UE-V, consulte os seguintes recursos:

    Experiência do Usuário Gerenciada

    A funcionalidade Experiência de Utilizador Gerida é um conjunto de funcionalidades de edição do Windows Enterprise e definições correspondentes que podem ser utilizadas para gerir a experiência do utilizador. A Tabela 2 descreve as definições da Experiência de Utilizador Gerida (por categoria), que só estão disponíveis na edição Windows Enterprise. Os métodos de gerenciamento usados para configurar cada recurso dependem do recurso. Alguns recursos são configurados usando-se a Política de Grupo, e outros são configurados com o Windows PowerShell, a Gerenciamento e Manutenção de Imagens de Implantação ou outras ferramentas de linha de comando. Para as definições de Política de Grupo, o AD DS é necessário com os dispositivos Windows Enterprise associados a um domínio do AD DS.

    Tabela 2. Recursos da Experiência do Usuário Gerenciada

    Recurso Descrição
    Personalização do layout de Iniciar Um esquema Iniciar personalizado pode ser implementado para os utilizadores num domínio. Nenhuma recriação de imagens é necessária, e o layout da tela inicial pode ser atualizado simplesmente substituindo o arquivo .xml que contém o layout. O ficheiro XML permite a personalização de esquemas Iniciar para diferentes departamentos ou organizações, com um overhead de gestão mínimo.
    Para obter mais informações sobre essas configurações, consulte Personalizar a tela inicial e a barra de tarefas do Windows 10 com a Política de Grupo.
    Inicialização sem marca Os elementos do Windows que aparecem quando o Windows inicia ou retoma podem ser suprimidos. O ecrã de falha quando o Windows encontra um erro a partir do qual não consegue recuperar também pode ser suprimido.
    Para obter mais informações sobre essas configurações, consulte Inicialização Sem Marca.
    Início de Sessão Personalizado A funcionalidade Início de Sessão Personalizado pode ser utilizada para suprimir elementos da IU do Windows relacionados com o ecrã de Boas-vindas e o ecrã de encerramento. Por exemplo, todos os elementos da IU do ecrã de Boas-vindas podem ser suprimidos e pode ser fornecida uma IU de início de sessão personalizada. O ecrã Resolução de Encerramento Bloqueado (BSDR) também pode ser suprimido e as aplicações podem ser terminadas automaticamente enquanto o SO aguarda que as aplicações fechem antes do encerramento.
    Para obter mais informações sobre essas configurações, consulte Logon Personalizado.
    Iniciador de Shell Permite que o acesso atribuído execute apenas um aplicativo do Windows clássico por meio do Iniciador de Shell para substituir o shell.
    Para obter mais informações sobre essas configurações, consulte Iniciador de Shell.
    Filtro de teclado O Filtro de Teclado pode ser utilizado para suprimir teclas indesejáveis premidas ou combinações de teclas. Normalmente, os usuários podem usar determinadas combinações de teclas do Windows como Ctrl+Alt+Delete ou Ctrl+Shift+Tab para controlar um dispositivo bloqueando a tela ou usando o Gerenciador de Tarefas para fechar um aplicativo em execução. Estas ações de teclado não são desejáveis em dispositivos destinados a uma finalidade dedicada.
    Para obter mais informações sobre essas configurações, consulte Filtro de Teclado.
    Filtro de gravação unificado O Filtro de Escrita Unificado (UWF) pode ser utilizado num dispositivo para ajudar a proteger o suporte de dados de armazenamento físico, incluindo a maioria dos tipos de armazenamento graváveis padrão suportados pelo Windows, tais como:
    • Discos rígidos físicos
    • Unidades de estado sólido
    • Dispositivos USB internos
    • Dispositivos SATA externos
    • . A UWF também pode ser utilizada para fazer com que os suportes de dados só de leitura apareçam no SO como um volume gravável.
      Para obter mais informações sobre essas configurações, consulte Filtro de Gravação Unificado.