Windows Enterprise E3 em CSP

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

O Windows Enterprise E3 no CSP fornece, por assinatura, recursos exclusivos reservados para edições do Windows Enterprise. Essa oferta é disponibilizada pelo canal Provedor de Soluções na Nuvem (CSP) por meio do Partner Center como um serviço online. O Windows Enterprise E3 no CSP fornece uma assinatura flexível por usuário para organizações de pequeno e médio porte (de um para centenas de usuários). Para aproveitar essa oferta, os seguintes pré-requisitos devem ser atendidos:

• Uma versão atualmente com suporte do Windows, instalada e ativada, nos dispositivos a serem atualizados.
• Microsoft Entra disponível para gerenciamento de identidade.

Passar do Windows Pro para o Windows Enterprise é mais fácil do que nunca, sem chaves e sem reinicializações. Depois que um usuário insere as credenciais Microsoft Entra associadas a uma licença do Windows Enterprise E3, o sistema operacional passa do Windows Pro para o Windows Enterprise e todos os recursos enterprise apropriados são desbloqueados. Quando uma licença de assinatura expira ou é transferida para outro usuário, o dispositivo Enterprise recua perfeitamente para o Windows Pro.

Anteriormente, apenas organizações com um Contrato de Licenciamento de Volume da Microsoft poderiam implantar o Windows Enterprise em seus usuários. Agora, com o Windows Enterprise E3 no CSP, as organizações de pequeno e médio porte podem aproveitar mais facilmente os recursos da edição Enterprise.

Quando o Windows Enterprise E3 é comprado por meio de um parceiro, os seguintes benefícios são incluídos:

• Windows Enterprise Edition. Atualmente, os dispositivos que executam o Windows Pro podem obter o CB (Windows Enterprise Current Branch) ou o CBB (Branch Atual para Empresas). Esse benefício não inclui o LTSB (Branch de Serviço de Longo Prazo).
• Suporte de um a centenas de usuários. Embora o programa Windows Enterprise E3 no CSP não tenha uma limitação no número de licenças que uma organização pode ter, o programa foi projetado para organizações de pequeno e médio porte.
• Implante em até cinco dispositivos. Para cada usuário coberto pela licença, a edição do Windows Enterprise pode ser implantada em até cinco dispositivos.
• Volte para o Windows Pro a qualquer momento. Quando a assinatura de um usuário expira ou é transferida para outro usuário, o dispositivo Windows Enterprise é revertido perfeitamente para a edição do Windows Pro (após um período de carência de até 90 dias).
• Mensalmente, modelo de preço por usuário. Esse modelo torna o Windows Enterprise E3 acessível para organizações.
• Alterne licenças entre usuários. As licenças podem ser rapidamente e facilmente realocadas de um usuário para outro usuário, permitindo a otimização do investimento de licenciamento contra a alteração das necessidades.

Como o programa Windows Enterprise E3 no CSP se compara aos Contratos de Licenciamento de Volume da Microsoft e ao Software Assurance?

• Os programas Licenciamento por Volume da Microsoft têm escopo mais abrangente, dando para as organizações acesso a todos os produtos Microsoft.

• O Software Assurance oferece às organizações as seguintes categorias de benefícios:

  • Implantação e gerenciamento. Esses benefícios incluem serviços de planejamento:

    • MDOP (Otimização da Área de Trabalho da Microsoft).
    • Direitos de Acesso da Área de Trabalho Virtual do Windows.
    • Direitos de uso do Windows Roaming.
    • Outros benefícios.

  • Treinamento. Entre esses benefícios estão cupons de treinamento, e-learning online e um programa de uso doméstico.

  • Suporte. Esses benefícios incluem:

    • Suporte à resolução de problemas 24x7.
    • Recursos de backup para recuperação de desastre.
    • System Center Global Service Monitor.
    • Uma instância secundária passiva de SQL Server.

  • Especializado. Esses benefícios incluem a disponibilidade de licenciamento por etapas, o que permite a migração de software de uma edição anterior para uma edição de nível superior. Ele também espalha pagamentos de licença e Software Assurance em três somas iguais e anuais.

    Além disso, no Windows Enterprise E3 no CSP, um parceiro pode gerenciar as licenças de uma organização. Com o Software Assurance, a organização precisa gerenciador suas próprias licenças.

Em resumo, o programa Windows Enterprise E3 no CSP é uma oferta de atualização que fornece às organizações de pequeno e médio porte acesso mais fácil e flexível aos benefícios da edição do Windows Enterprise. Os programas de Licenciamento de Volume da Microsoft e o Software Assurance, por outro lado, são mais amplos no escopo e fornecem benefícios além do acesso à edição Enterprise do Windows.

Comparar edições do Windows Pro e enterprise

O Windows Enterprise Edition tem muitos recursos que não estão disponíveis no Windows Pro. A Tabela 1 lista alguns dos recursos do Windows Enterprise não encontrados no Windows Pro. Muitos desses recursos estão relacionados à segurança, e outros permitem um gerenciamento de dispositivo mais refinado.

Tabela 1. Recursos do Windows Enterprise não encontrados no Windows Pro

Recurso	Descrição
Credential Guard	O Credential Guard usa a segurança baseada em virtualização para ajudar a proteger segredos de segurança para que apenas o software de sistema privilegiado possa acessá-los. Exemplos de segredos de segurança que podem ser protegidos incluem hashes de senha NTLM e tíquetes de concessão de tíquetes Kerberos. Essa proteção ajuda a evitar ataques Pass-the-Hash ou Pass-the-Ticket. O Credential Guard tem os seguintes recursos: Segurança no nível do hardware – o Credential Guard usa recursos de segurança da plataforma de hardware (como Inicialização Segura e virtualização) para ajudar a proteger credenciais de domínio derivadas e outros segredos. Segurança baseada em virtualização – os serviços do Windows que acessam credenciais de domínio derivadas e outros segredos são executados em um ambiente virtualizado e protegido isolado. Proteção aprimorada contra ameaças persistentes – o Credential Guard trabalha com outras tecnologias (por exemplo, Device Guard) para ajudar a fornecer mais proteção contra ataques, não importa o quão persistente. Capacidade de gerenciamento aprimorada – o Credential Guard pode ser gerenciado por meio de Política de Grupo, WMI (Instrumentação de Gerenciamento do Windows) ou Windows PowerShell. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard. O Credential Guard requer UEFI 2.3.1 ou superior com Inicialização Confiável Extensões de virtualização como Intel VT-x, AMD-V e SLAT devem ser habilitadas versão x64 do Windows IOMMU, como Intel VT-d, AMD-Vi Bloqueio do BIOS TPM 2.0 recomendado para atestado de integridade do dispositivo (usa software se o TPM 2.0 não estiver presente)
Device Guard	Este recurso é uma combinação de recursos de segurança de hardware e software que permite apenas a execução de aplicativos confiáveis em um dispositivo. Mesmo que um invasor consiga obter o controle do kernel do Windows, é muito menos provável que ele execute o código executável. O Device Guard pode usar a VBS (segurança baseada em virtualização) na edição do Windows Enterprise para isolar o serviço de Integridade de Código do próprio kernel do Windows. Com a VBS, mesmo que o malware obtenha acesso ao kernel, os efeitos podem ser muito limitados, porque o hipervisor pode impedir que o malware execute código. O Device Guard protege das seguintes maneiras: Ajuda a proteger contra malware Ajuda a proteger o núcleo do sistema Windows de explorações de vulnerabilidade e dia zero Permite que apenas aplicativos confiáveis sejam executados Para obter mais informações, consulte Introdução ao Device Guard.
Gerenciamento do AppLocker	Esse recurso ajuda os profissionais de TI a determinar quais aplicativos e arquivos os usuários podem executar em um dispositivo. Entre os aplicativos e os arquivos que podem ser gerenciados estão arquivos executáveis, scripts, arquivos do Windows Installer, bibliotecas de vínculo dinâmico (DLLs), aplicativos empacotados e instaladores de aplicativos empacotados. Para obter mais informações, consulte AppLocker.
Application Virtualization (App-V)	Esse recurso disponibiliza aplicativos para usuários finais sem instalar os aplicativos diretamente nos dispositivos dos usuários. O App-V transforma aplicativos em serviços gerenciados de maneira centralizada que jamais são instalados e que não entram em conflito com outros aplicativos. Este recurso também ajuda a garantir que os aplicativos estejam sempre atualizados em relação às atualizações de segurança mais recentes. Para obter mais informações, consulte Introdução ao app-V para cliente Windows.
User Experience Virtualization (UE-V)	Com esse recurso, as configurações personalizadas do Windows e do aplicativo podem ser capturadas e armazenadas em um compartilhamento de arquivo de rede gerenciado centralmente. Quando os usuários entram, suas configurações personalizadas são aplicadas à sessão de trabalho, independentemente de quais sessões de VDI (infraestrutura de área de trabalho virtual ou dispositivo) eles entram. O UE-V fornece os seguintes recursos: Especificar quais aplicativos e configurações do Windows são sincronizados em todos os dispositivos do usuário Oferecer as configurações a qualquer momento e em qualquer lugar onde os usuários trabalhem em toda a empresa Criar modelos personalizados para aplicativos de linha de negócios Recuperar configurações após a substituição ou atualização de hardware, ou depois de reimaginar uma máquina virtual para seu estado inicial Para obter mais informações, consulte Visão geral da UE-V (User Experience Virtualization).
Experiência do Usuário Gerenciada	Esse recurso ajuda a personalizar e bloquear a interface do usuário de um dispositivo Windows para restringi-la a uma tarefa específica. Por exemplo, um dispositivo pode ser configurado para um cenário controlado, como um quiosque ou um dispositivo de sala de aula. A experiência do usuário seria redefinida automaticamente assim que um usuário se desconectasse. O acesso a serviços como a Windows Store também pode ser restrito. Para Windows 10, as opções iniciar layout também podem ser gerenciadas, como: Remover e impedir o acesso aos comandos Desligar, Reiniciar, Suspender e Hibernar Remover Fazer Logoff (o bloco Usuário) do menu Iniciar Remover programas frequentes do menu Iniciar Remover a lista Todos os Programas do menu Iniciar Impedir que os usuários personalizem a tela inicial Forçar o menu Iniciar para ter o tamanho de tela inteira ou o tamanho do menu Impedir alterações nas configurações da barra de tarefas e do menu Iniciar

Implantação de licenças do Windows Enterprise E3

Consulte Implantar licenças do Windows Enterprise.

Implantar recursos do Windows Enterprise

Agora que a edição do Windows Enterprise está em execução em dispositivos, como os recursos e recursos da edição enterprise são aproveitados? Quais são as próximas etapas que precisam ser concluídas para cada um dos recursos abordados na Tabela 1?

As seções a seguir fornecem as tarefas de alto nível que precisam ser executadas em um ambiente para ajudar os usuários a aproveitar os recursos da edição do Windows Enterprise.

Credential Guard

Observação

Requer UEFI 2.3.1 ou superior com Inicialização Confiável; Extensões de virtualização como Intel VT-x, AMD-V e SLAT devem estar habilitadas; versão x64 do Windows; IOMMU, como Intel VT-d, AMD-Vi; Bloqueio de BIOS; TPM 2.0 recomendado para atestado de integridade do dispositivo (usará software se o TPM 2.0 não estiver presente).

O Credential Guard pode ser implementado em dispositivos Windows Enterprise ativando o Credential Guard nesses dispositivos. O Credential Guard usa recursos de segurança baseados em virtualização do Windows (Hyper-V) que devem ser habilitados em cada dispositivo antes que o Credential Guard possa ser ativado. O Credential Guard pode ser ativado usando um dos seguintes métodos:

• Automatizado. O Credential Guard pode ser ativado para um ou mais dispositivos usando Política de Grupo. As configurações da Política de Grupo adicionam automaticamente os recursos de segurança baseada em virtualização e definem as configurações do Registro do Credential Guard em dispositivos gerenciados.

• Manual. O Credential Guard pode ser ativado manualmente tomando uma das seguintes ações:

  • Adicione os recursos de segurança baseada em virtualização usando Programas e Recursos ou Gerenciamento e Manutenção de Imagens de Implantação (DISM).

  • Defina configurações do Registro do Credential Guard usando o Editor do Registro ou a Ferramenta de preparação de hardware do Device Guard e do Credential Guard.

    Essas etapas manuais podem ser automatizadas usando uma ferramenta de gerenciamento, como Microsoft Configuration Manager.

Para obter mais informações sobre como implementar o Credential Guard, consulte os seguintes recursos:

• Visão geral do Credential Guard
• Considerações de segurança para fabricantes de equipamentos originais
• Ferramenta de preparação de hardware do Device Guard e do Credential Guard

Device Guard

Agora que os dispositivos têm o Windows Enterprise, o Device Guard pode ser implementado nos dispositivos Windows Enterprise executando as seguintes etapas:

1. Como opção, crie um certificado de assinatura para políticas de integridade do código. À medida que políticas de integridade de código são implantadas, arquivos de catálogo ou políticas de integridade de código podem precisar ser assinados internamente. Para assinar arquivos de catálogo ou políticas de integridade de código internamente, é necessário um certificado de assinatura de código emitido publicamente (normalmente compra) ou uma autoridade de certificado interna (AC). Se uma AC interna for escolhida, um certificado de assinatura de código precisará ser criado.

2. Crie políticas de integridade de código a partir de computadores "dourados". Departamentos ou funções às vezes usam conjuntos distintos ou parcialmente distintos de hardware e software. Nessas instâncias, computadores "dourados" que contêm o software e o hardware para esses departamentos ou funções podem ser configurados. Nesse sentido, a criação e o gerenciamento das políticas de integridade do código de acordo com as necessidades de funções ou departamentos podem ser semelhantes ao gerenciamento de imagens corporativas. A partir de cada computador "dourado", uma política de integridade de código pode ser criada e, em seguida, decidiu como gerenciar essa política. Políticas de integridade de código podem ser mescladas para criar uma política mais ampla ou uma política primária, ou cada política pode ser gerenciada e implantada individualmente.

3. Audite a política de integridade do código e capture as informações sobre aplicativos que estejam fora da política. A Microsoft recomenda usar o "modo de auditoria" para testar cuidadosamente cada política de integridade de código antes de aplicá-la. Com o modo de auditoria, nenhum aplicativo é bloqueado. A política apenas registra um evento sempre que um aplicativo fora da política é iniciado. Posteriormente, a política pode ser expandida para permitir esses aplicativos, conforme necessário.

4. Crie um "arquivo de catálogo" para aplicativos LOB (linha de negócios) não assinados. Use a ferramenta Inspetor de Pacotes para criar e assinar um arquivo de catálogo para os aplicativos LOB não assinados. Em etapas posteriores, a assinatura do arquivo de catálogo pode ser mesclada à política de integridade de código para que a política permita aplicativos no catálogo.

5. Capture informações necessárias sobre a política no log de eventos e mescle informações à política existente conforme necessário. Depois que uma política de integridade do código estiver em execução por algum tempo em modo de auditoria, o log de eventos conterá informações sobre aplicativos que estejam fora da política. Para expandir a política para que ela permita esses aplicativos, use comandos Windows PowerShell para capturar as informações de política necessárias do log de eventos. Depois que as informações forem capturadas, mescle essas informações na política existente. As políticas de integridade de código também podem ser mescladas de outras fontes, que permitem flexibilidade na criação das políticas finais de integridade de código.

6. Implante políticas de integridade do código e arquivos de catálogo. Depois de confirmar que todas as etapas anteriores são concluídas, os arquivos de catálogo podem ser implantados e as políticas de integridade do código podem ser retiradas do modo de auditoria. A Microsoft recomenda iniciar esse processo com um grupo de testes de usuários. O teste fornece uma validação final de controle de qualidade antes de implantar os arquivos de catálogo e as políticas de integridade de código de forma mais ampla.

7. Habilitar recursos de segurança de hardware desejados. Recursos de segurança baseada em hardware, também chamados de recursos de segurança baseada em virtualização (VBS), fortalecem as proteções oferecidas por políticas de integridade de código.

Para obter mais informações sobre como implementar o Device Guard, consulte:

• Controle de Aplicativos do Windows Defender e proteção baseada em virtualização da integridade do código
• Guia de implantação do Device Guard

Gerenciamento do AppLocker

O AppLocker no Windows Enterprise pode ser gerenciado usando Política de Grupo. Política de Grupo requer ter o AD DS e que os dispositivos Windows Enterprise sejam unidos a um domínio do AD DS. As regras do AppLocker podem ser criadas usando Política de Grupo. Em seguida, as regras do AppLocker podem ser direcionadas para os dispositivos apropriados.

Para obter mais informações sobre o gerenciamento do AppLocker usando a Política de Grupo, consulte Guia de Implantação do AppLocker.

App-V

O App-V exige uma infraestrutura de servidor do App-V para dar suporte a clientes do App-V. Os principais componentes do App-V necessários são:

• Servidor do App-V. O servidor do App-V oferece gerenciamento, publicação de aplicativos virtualizados, streaming de aplicativo e serviços de relatório do App-V. Cada um desses serviços pode ser executado em um servidor ou pode ser executado individualmente em vários servidores. Por exemplo, vários servidores de streaming podem existir. Os clientes do App-V entram em contato com servidores do App-V para determinar quais aplicativos são publicados para o usuário ou o dispositivo e, em seguida, executam o aplicativo virtualizado no servidor.

• Sequenciador do App-V. O sequenciador do App-V é um dispositivo cliente típico usado para sequenciar (capturar) aplicativos e prepará-los para hospedagem no servidor do App-V. Os aplicativos são instalados no sequenciador App-V e o software do sequenciador App-V determina os arquivos e as configurações de registro que são alterados durante a instalação do aplicativo. Em seguida, o sequencer captura essas configurações para criar um aplicativo virtualizado.

• Cliente do App-V. O cliente App-V deve estar habilitado em qualquer dispositivo cliente Do Windows Enterprise E3 que precise executar aplicativos do servidor App-V.

Para obter mais informações sobre como implementar o servidor do App-V, o sequenciador do App-V e o cliente do App-V, consulte os seguintes recursos:

• Introdução ao App-V para cliente Windows
• Implantando o servidor App-V
• Implantação do sequenciador do App-V e configuração do cliente

UE-V

O UE-V requer componentes do servidor e do lado do cliente que precisam ser baixados, ativados e instalados. Entre esses componentes estão:

• Serviço do UE-V. O serviço do UE-V (quando habilitado em dispositivos) monitora aplicativos registrados e o Windows em busca de alterações nas configurações, além de sincronizar essas configurações entre dispositivos.

• Pacotes de configurações. Os pacotes de configurações criados pelo serviço do UE-V armazenam configurações do aplicativo e do Windows. Os pacotes de configurações são criados, armazenados localmente e copiados para o local de armazenamento das configurações.

• Local de armazenamento das configurações. Esse local é um compartilhamento de rede padrão que os usuários podem acessar. O serviço do UE-V verifica o local e cria uma pasta de sistema oculta na qual as configurações do usuário são armazenadas e recuperadas.

• Modelos de local das configurações. Os modelos de local das configurações são arquivos XML que o UE-V usa para monitorar e sincronizar configurações do aplicativo da área de trabalho e configurações da área de trabalho do Windows entre computadores dos usuários. Por padrão, alguns modelos de local das configurações estão incluídos no UE-V. Modelos de local de configurações personalizadas também podem ser criados, editados ou validados usando o gerador de modelo UE-V. Os modelos de localização de configurações não são necessários para aplicativos Windows.

• Lista de aplicativos Universal do Windows. O UE-V determina quais aplicativos do Windows permanecem habilitados para sincronização de configurações usando-se uma lista de aplicativos gerenciada. Por padrão, essa lista inclui a maioria dos aplicativos do Windows.

Para obter mais informações sobre como implantar o UE-V, consulte os seguintes recursos:

• Visão geral da UE-V (Virtualização de Experiência do Usuário)
• Introdução ao UE-V
• Preparar uma implantação do UE-V

Experiência do Usuário Gerenciada

O recurso Experiência do Usuário Gerenciado é um conjunto de recursos de edição do Windows Enterprise e configurações correspondentes que podem ser usadas para gerenciar a experiência do usuário. A Tabela 2 descreve as configurações de Experiência do Usuário Gerenciado (por categoria), que só estão disponíveis na edição do Windows Enterprise. Os métodos de gerenciamento usados para configurar cada recurso dependem do recurso. Alguns recursos são configurados usando-se a Política de Grupo, e outros são configurados com o Windows PowerShell, a Gerenciamento e Manutenção de Imagens de Implantação ou outras ferramentas de linha de comando. Para as configurações de Política de Grupo, o AD DS é necessário com os dispositivos Windows Enterprise ingressados em um domínio do AD DS.

Tabela 2. Recursos da Experiência do Usuário Gerenciada

Recurso	Descrição
Personalização do layout de Iniciar	Um layout inicial personalizado pode ser implantado para usuários em um domínio. Nenhuma recriação de imagens é necessária, e o layout da tela inicial pode ser atualizado simplesmente substituindo o arquivo .xml que contém o layout. O arquivo XML permite a personalização de layouts iniciar para diferentes departamentos ou organizações, com uma sobrecarga de gerenciamento mínima. Para obter mais informações sobre essas configurações, consulte Personalizar a tela inicial e a barra de tarefas do Windows 10 com a Política de Grupo.
Inicialização sem marca	Elementos do Windows que aparecem quando o Windows inicia ou retoma podem ser suprimidos. A tela de falha quando o Windows encontra um erro do qual ele não pode se recuperar também pode ser suprimida. Para obter mais informações sobre essas configurações, consulte Inicialização Sem Marca.
Logon personalizado	O recurso Logon Personalizado pode ser usado para suprimir elementos da interface do usuário do Windows que se relacionam com a tela de boas-vindas e a tela de desligamento. Por exemplo, todos os elementos da interface do usuário de tela de boas-vindas podem ser suprimidos e uma interface do usuário de logon personalizado pode ser fornecida. A tela BSDR (Resolvedor de Desligamento Bloqueado) também pode ser suprimida e os aplicativos podem ser encerrados automaticamente enquanto o sistema operacional aguarda o fechamento de aplicativos antes de um desligamento. Para obter mais informações sobre essas configurações, consulte Logon Personalizado.
Iniciador de Shell	Permite que o acesso atribuído execute apenas um aplicativo do Windows clássico por meio do Iniciador de Shell para substituir o shell. Para obter mais informações sobre essas configurações, consulte Iniciador de Shell.
Filtro de teclado	O Filtro de Teclado pode ser usado para suprimir pressões de teclas indesejáveis ou combinações de teclas. Normalmente, os usuários podem usar determinadas combinações de teclas do Windows como Ctrl+Alt+Delete ou Ctrl+Shift+Tab para controlar um dispositivo bloqueando a tela ou usando o Gerenciador de Tarefas para fechar um aplicativo em execução. Essas ações de teclado não são desejáveis em dispositivos destinados a uma finalidade dedicada. Para obter mais informações sobre essas configurações, consulte Filtro de Teclado.
Filtro de gravação unificado	O UWF (Filtro de Gravação Unificada) pode ser usado em um dispositivo para ajudar a proteger a mídia de armazenamento físico, incluindo a maioria dos tipos de armazenamento graváveis padrão com suporte pelo Windows, como: Discos rígidos físicos Unidades de estado sólido Dispositivos USB internos Dispositivos SATA externos . A UWF também pode ser usada para fazer a mídia somente leitura aparecer no sistema operacional como um volume gravável. Para obter mais informações sobre essas configurações, consulte Filtro de Gravação Unificado.

Artigos relacionados

• Ativação da assinatura do Windows Enterprise.
• Planeje sua Microsoft Entra implementação de junção híbrida.
• Compare as edições do Windows.
• Windows para empresas.