本文列出了 2019 年 LTSC 2019 Windows 10 企業版 IT 專業人士感興趣的新功能與內容,與 2016 (LTSB) Windows 10 企業版 相比。 關於 LTSC 服務通道及相關支援的簡要說明,請參見 Windows 10 企業版 LTSC。
注意
Windows 10 企業版 LTSC 2019 首次於 2018 年 11 月 13 日推出。 Windows 10 企業版 LTSC 2019 的功能相當於 Windows 10 版本 1809。
Windows 10 企業版 LTSC 2019 在Windows 10 專業版基礎上發展,版本 1809 新增了專為大型及中型組織 (包括大型學術機構) 需求而設計的高級功能,例如:
- 針對現代安全威脅的先進防護
- 作業系統部署的完全彈性
- 更新與支援選項
- 完整的裝置與應用程式管理與控制能力
Windows 10 企業版 LTSC 2019 版本對 LTSC 使用者來說是一項重要版本,因為它包含了 Windows 10 版本 1703、1709、1803 和 1809 所提供的累積增強功能。 以下將提供這些強化的詳細資訊。
重要
LTSC 版本專為 特殊用途裝置設計。 針對 Windows 10 正式開放頻道版本設計的應用程式與工具對 LTSC 的支援可能會受到限制。
Microsoft Intune
Microsoft Intune 支援 Windows 10 企業版 LTSC 2019,但有以下例外:
- 更新環無法用於功能更新,因為 Windows 10 LTSC 版本不會接收功能更新。 更新環可用於 Windows 10 企業版 LTSC 2019 用戶端的高品質更新。
安全性
此版本的 Windows 10 包含威脅防護、資訊保護及身份保護的安全改進。
威脅防護
適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 平台包含多個安全支柱。 在這個版本的 Windows 中,Defender for Endpoint 包含強大的分析、安全堆疊整合及集中管理,以提升偵測、預防、調查、回應與管理能力。
受攻擊面縮小
攻擊面減少包括主機端入侵防禦系統,如 受控資料夾存取。
此功能有助於防止勒索軟體及其他破壞性惡意軟體更改您的個人檔案。 在某些情況下,您通常使用的應用程式可能遭到封鎖,無法對常用的資料夾如 [文件] 和 [圖片] 進行變更。 我們讓你更容易新增最近被封鎖的應用程式,讓你能繼續使用裝置,而不必完全關閉此功能。
當應用程式遭到封鎖時,它會出現在最近封鎖的應用程式清單中,要取得此清單只需按一下 [勒索軟體防護] 標題下方的 [管理設定] 即可。 選擇 透過受控資料夾存取允許應用程式。 提示之後,選擇 + 按鈕並選擇 「最近被封鎖的應用程式」。 選取任何應用程式以將它們新增到允許清單。 您也可以從這個頁面瀏覽應用程式。
Windows Defender 防火牆
Windows Defender 防火牆現在支援Windows 子系統 Linux 版 (WSL) 程序。 你可以像加入任何 Windows 程序一樣,為 WSL 程序新增特定規則。 此外,Windows Defender 防火牆現在支援 WSL 處理程序通知。 例如,當 Linux 工具想要允許存取來自外部的連接埠 (像是 SSH 或網頁伺服器,例如 nginx),Windows Defender 防火牆會提示允許存取,就像當連接埠開始接受連線時,也會對 Windows 處理程序允許存取。 此行為最早於 Build 17627 中引入。
Windows Defender Device Guard
Device Guard 一直是一系列可以結合起來鎖定電腦的技術集合,包括:
- 程式碼完整性政策提供的軟體保護
- 硬體保護由 Hypervisor 保護的程式碼完整性提供 (HVCI)
但這些保護也可以另外設定。 而且,與 HVCI 不同,程式碼完整性政策不要求基於虛擬化的安全 (VBS) 。 為了強調這些保護的獨特價值,程式碼完整性政策已重新命名為 Windows Defender 應用程式控制。
次世代防護
端點偵測及回應
端點偵測與回應能力有所提升。 企業客戶現在可以利用整個 Windows 安全堆疊,Microsoft Defender 防毒偵測與裝置防護封鎖在 適用於端點的 Microsoft Defender 入口網站中。
Windows Defender 現在稱為 Microsoft Defender 防毒軟體,並在 Microsoft 365 服務間共享偵測狀態,並與 適用於端點的 Microsoft Defender 互通。 其他政策也已實施以強化雲端防護,並新增緊急防護管道。 如需詳細資訊,請參閱 病毒與威脅防護 和 透過雲端式防護使用 Microsoft Defender 防毒軟體中的新一代技術。
我們也 擴大了企業安全管理員的文件庫範圍。 新的文件庫包含下列資訊:
新函式庫的亮點包括 Microsoft Defender 防毒軟體的評估指南,以及虛擬桌面基礎架構環境中的 Microsoft Defender 防毒軟體部署指南。
Windows 10 企業版 LTSC 2019 中 Microsoft Defender 防毒軟體的新功能包括:
我們投入 大量資源協助防範勒索軟體,並持續更新行為 監控與全天候即時防護。
端點偵測與回應也被強化。 新的 偵測 功能包括:
自訂偵測。 有了自訂偵測,您可以建立自訂查詢來監視任何類型的行為,例如可疑或新興威脅的事件。 你可以透過自訂偵測規則來使用進階狩獵。
作業系統記憶體與核心感測器的改進,使使用者能偵測使用記憶體內及核心層級攻擊的攻擊者。
升級了對勒索軟體及其他先進攻擊的偵測。
歷史偵測能力確保新的偵測規則適用於長達六個月的儲存資料,以偵測先前可能未被察覺的攻擊。
當偵測到攻擊時,威脅回應會更為完善,使資安團隊能立即採取行動遏止入侵:
- 在電腦上採取回應動作 - 透過找出電腦或收集調查套件,快速回應偵測到的攻擊。
- 在檔案上採取回應動作 - 透過停止和隔離檔案或封鎖檔案,快速回應偵測到的攻擊。
還新增了其他功能,幫助您獲得調查的整體視 角,包括 :
威脅分析 - 威脅分析是一套互動式報告,由 適用於端點的 Microsoft Defender 研究團隊在識別出新興威脅與爆發時立即發布。 這些報告協助資安營運團隊評估對環境的影響。 同時也提供建議措施,以遏制、提升組織韌性,並預防特定威脅。
調查使用者帳戶 - 識別作用中警示數目最多的使用者帳戶,並調查可能危害認證的案例。
警示處理程序樹狀目錄 - 彙總多個偵測及相關事件至單一檢視,減少案例解決時間。
使用 REST API 提取警示 - 使用 REST API 從適用於端點的 Microsoft Defender 提取警示。
其他增強的安全功能包括:
檢查感應器健康情況狀態 - 檢查端點提供感應器資料和與適用於端點的 Microsoft Defender ATP 服務通訊之能力,並修正已知的問題。
託管安全服務供應商 (MSSP) 支援——適用於端點的 Microsoft Defender 透過提供 MSSP 整合來支援此情境。 整合可讓 MSSP 採取下列動作:取得 MSSP 客戶的 Windows Defender 資訊安全中心入口網站的存取權、擷取電子郵件通知,及透過安全性資訊和事件管理 (SIEM) 工具擷取警示。
與 Azure Defender 整合 - 適用於端點的 Microsoft Defender 與 Azure Defender 整合,提供完整的伺服器保護解決方案。 透過此整合,Azure Defender 可利用 Defender for Endpoint 為 Windows Server 提供更佳的威脅偵測。
與 Microsoft Cloud App Security 整合——Microsoft Cloud App Security 利用適用於端點的 Microsoft Defender訊號,讓使用者能直接檢視雲端應用的使用情況,包括所有 Defender for Endpoint 監控機器中不支援的雲端服務 (影子 IT) 。
Windows Server 2019 內建 - 適用於端點的 Microsoft Defender 現在新增對 Windows Server 2019 的支援。 您將無法以適用於 Windows 10 用戶端電腦的相同方法將 Windows Server 2019 上線。
搭載先前版本的 Windows - 支援的 Windows 機載版本,以便能將感測器資料傳送至 適用於端點的 Microsoft Defender 感測器。
我們也新增了 Windows 時間服務的新評估功能,位於 裝置效能 & 健康 區塊。 如果我們偵測到您的裝置時間未與我們的時間伺服器正確同步,且時間同步服務被停用,我們會提供您重新啟用的選項。
我們持續改進你安裝的其他安全應用程式在 Windows 安全性 app 中的顯示方式。 在應用程式的設定區塊裡,有一個新頁面叫做「安全提供者」。 選擇 「管理供應商 」可查看所有其他安全服務 (清單,包括防毒軟體、防火牆及網路防護) ,這些運行在您的裝置上。 在這裡,您可以輕鬆開啟服務提供者的應用程式,或獲得更多關於如何透過 Windows 安全性回報問題的資訊。
這項改進也意味著你會在 Windows 安全性中看到更多連結到其他安全應用程式。 舉例來說,如果你打開防 火牆 & 網路保護 區塊,你會看到在你裝置上運行的防火牆應用程式,涵蓋各種防火牆類型,包括網域、私人和公共網路。
另請參閱 適用於端點的 Microsoft Defender 新功能,進一步提升端點安全的效能與韌性
快速且深入地介紹 適用於端點的 Microsoft Defender for Windows 10:Defender for Endpoint。
資訊保護
Windows 資訊保護與 BitLocker 也進行了改進。
Windows 資訊保護
Windows 資訊保護目前的設計是搭配 Microsoft Office 和 Azure 資訊保護。
Microsoft Intune 可以協助您建立和部署 Windows 資訊保護 (WIP) 原則,包括讓您選擇允許的應用程式、WIP 保護層級,以及如何在網路上尋找企業資料。 如需詳細資訊,請參閱 使用 Microsoft Intune 建立 Windows 資訊保護 (WIP) 原則 和 使用 Microsoft Intune 將您的 Windows 資訊保護 (WIP) 和 VPN 原則產生關聯並進行部署。
現在您也可以使用報告設定服務提供者 (CSP) 或 Windows 事件轉送 (適用於加入網域的 Windows 桌面裝置) 收集稽核事件記錄檔。 欲了解更多資訊,請參閱如何收集 Windows 資訊保護 (進行中) 稽核事件日誌。
此版本透過檔案隨選啟用 WIP 的支援、允許當檔案在另一個應用程式中開啟時加密檔案,並改善效能。 欲了解更多資訊,請參閱 企業版 OneDrive 隨選檔案。
BitLocker
最小的 PIN 碼長度已由 6 變更為 4,預設值為 6。 如需詳細資訊,請參閱 BitLocker 群組原則設定 (英文)。
固定式磁碟機上的無訊息強制執行
透過現代裝置管理 (MDM) 政策,BitLocker 可靜默啟用,供標準Microsoft Entra ID加入使用者使用。 Windows 10年,標準 Entra ID 用戶啟用了 1803 版自動 BitLocker 加密,但仍需通過 HSTI) 硬體安全測試介面 (現代硬體。 這項新功能甚至能透過政策啟用 BitLocker,即使是在未通過 HSTI 的裝置上。
此變更是對 BitLocker CSP 的更新,並被 Intune 及其他平台使用。
身分識別保護
新增的改進包括 Windows Hello 企業版和 Credential Guard。
Windows Hello 企業版
Windows Hello 的新功能透過多重解鎖搭配新的位置與使用者接近訊號,提升了更佳的裝置鎖定體驗。 使用藍牙訊號時,您可以設定 Windows 10 裝置在您離開時自動鎖定,或防止其他人在您離開時存取裝置。
Windows Hello 企業版的新功能包括:
您現在可以重設忘記的 PIN 碼,而不刪除 Microsoft Intune 所管理之裝置上的公司受管理資料或應用程式。
對於 Windows 桌面,使用者可以透過 設定 > 帳號 > 登入選項重設忘記的 PIN 碼。 更多資訊請參閱「 如果我忘記密碼怎麼辦?」。
Windows Hello 企業版現在支援 FIDO 2.0 認證,支援 Entra ID 加入的 Windows 10 裝置,並加強對共享裝置的支援,詳見 Kiosk 設定。
Windows Hello 現在於 S 模式無密碼 (英文)。
透過非 Microsoft 識別生命週期管理解決方案的 Windows Hello 企業版與 API 支援 S/MIME。
Windows Hello 在 Windows Defender 資訊安全中心的帳戶保護方面扮演著支柱的角色。 帳號保護會鼓勵密碼使用者設定 Windows Hello Face、Fingerprint 或 PIN 以加快登入速度,若動態鎖定因裝置藍牙關閉而停止運作,也會通知動態鎖定使用者。
您可以從 Microsoft 帳戶的鎖定畫面設定 Windows Hello。 我們讓 Microsoft 帳號使用者更容易在裝置上設定 Windows Hello,以實現更快且更安全的登入。 在過去,您必須深入瀏覽至 \[設定\],才能找到 Windows Hello。 現在,您可以按一下 \[登入\] 選項下方的 Windows Hello 磚,直接從鎖定畫面設定 Windows Hello 臉部、指紋或 PIN。
新的公用 API (英文),適用於特定身分識別提供者的次要帳戶 SSO。
設定動態鎖定更簡單,且當動態鎖定停止運作時,新增了 WD SC 可操作的警示,例如裝置藍牙關閉) (。
如需詳細資訊,請參閱 Windows Hello 與 FIDO2 安全性金鑰允許安全且簡易地驗證共用裝置 (英文)
Credential Guard
憑證守護是Windows 10一項安全服務,旨在保護Active Directory (AD) 網域憑證,防止使用者機器上的惡意軟體竊取或濫用。 其設計目的是要保護已知的威脅,例如傳遞雜湊和認證收集。
憑證守護一直是可選功能,但 Windows 10 在 S 模式下,當機器已透過 Entra ID 加入時,預設會啟用此功能。 此功能在連接通常在執行 Windows 10 S 模式的裝置上不存在的網域資源時,提供額外的安全等級。
注意
憑證守護僅適用於 S 模式裝置或企業版和教育版。
更多資訊請參閱 證件衛隊概述。
其他安全改進
Windows 安全性基準
Microsoft 已發行 Windows Server 與 Windows 10 的新 Windows 安全性基準 (英文)。 安全基線是一組 Microsoft 推薦的設定,並附有其安全影響的說明。 如需詳細資訊並下載原則分析程式工具,請參閱 Microsoft Security Compliance Toolkit 1.0 (英文)。
SMBLoris 弱點
已解決可能導致阻斷服務所謂 SMBLoris 的問題。
Windows 資訊安全中心
Windows Defender 資訊安全中心現在稱為 Windows 資訊安全中心。
你仍然可以用所有常見的方式進入這個應用程式。 WSC 可讓您管理所有的安全需求,包括 Microsoft Defender 防毒軟體 與 Windows Defender 防火牆。
WSC 服務現在需要防毒軟體產品,當成要註冊的受保護處理程序來執行。 尚未實作此功能的產品將不會出現在 Windows 安全性中心的使用者介面中,而 Microsoft Defender 防毒軟體則會與這些產品並行啟用。
WSC 現在包含您知道且喜愛的 Fluent Design 系統元素。 你也會注意到我們調整了應用程式的間距和填充。 如果額外的資訊需要更多的空間,它會立即動態調整主頁面上的類別大小。 我們也更新了標題列,並將使用您的輔色,如果您已在 [色彩設定] 中啟用該選項。
群組政策安全選項
安全設定「互動登入:當會話鎖定時顯示使用者資訊」已更新為與設定>帳號>登入選項中的隱私設定相容。
Windows 10 企業版 LTSC 2019 新增了一項安全政策設定「互動式登入:登入時不要顯示使用者名稱」。 此安全性原則設定會決定登入期間是否顯示使用者名稱。 它可透過設定>帳號>登入選項中的隱私設定運作。 該設定只會影響 \[其他使用者\] 磚。
Windows 10 的 S 模式
我們持續在 Virus & 威脅防護中針對目前威脅區域進行工作,現在會顯示所有需要行動的威脅。 您可以從這個畫面針對威脅快速採取行動:
部署
MBR2GPT.EXE
MBR2GPT.EXE 是一款新的命令列工具,隨 Windows 10 1703 版本引入,並可在 LTSC 2019 (及之後的) Windows 10 企業版 版本中提供。 MBR2GPT 可將主開機記錄 (MBR) 磁碟轉換為 GUID 磁碟分割表格 (GPT) 磁碟分割樣式,而無須修改或刪除磁碟上的資料。 此工具可從 Windows 預安裝環境 (Windows PE) 命令提示字元執行,也能從完整的 Windows 10 作業系統執行。
GPT 磁碟分割格式較新,可使用更大更多的磁碟分割。 它也提供額外的資料可靠性、支援其他磁碟分割類型,以及加快開機和關機速度。 如果您將電腦上的系統磁碟從 MBR 轉換為 GPT,您還必須將電腦設定為以 UEFI 模式開機,所以請確定您的裝置支援 UEFI,再嘗試轉換系統磁碟。
當您在 UEFI 模式中開機時啟用的其他 Windows 10 安全性功能包括:安全開機、開機初期啟動的反惡意程式碼 (ELAM) 驅動程式、Windows 信任式開機、測量開機、Device Guard、Credential Guard 和 BitLocker 網路解除鎖定。
如需詳細資訊,請參閱 MBR2GPT.EXE。
DISM
已新增下列新 DISM 命令以管理功能更新:
DISM /Online /Initiate-OSUninstall: 啟動作業系統卸載,將電腦回復到先前安裝的 Windows。DISM /Online /Remove-OSUninstall: 移除電腦上的作業系統卸載功能。DISM /Online /Get-OSUninstallWindow顯示升級後可執行卸載的天數。DISM /Online /Set-OSUninstallWindow: 設定升級後可執行卸載的天數。
如需詳細資訊,請參閱 DISM 作業系統解除安裝命令列選項 (英文)。
Windows 安裝程式
現在您可以與 Windows 安裝程式平行執行自己的自訂動作或指令碼。 安裝程式也會將您的指令碼移轉至下個功能版本,讓您只需新增指令碼一次。
必要條件:
- Windows 10 版本 1803 或 Windows 10 企業版 LTSC 2019 或更新版本。
- Windows 10 企業版或專業版
如需詳細資訊,請參閱功能更新期間執行自訂動作 (英文)。
現在如果使用者使用 PostRollback 選項回滾他們的 Windows 版本,也能執行腳本。
/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]
欲了解更多資訊,請參閱 Windows 設定指令列選項。
新的命令列參數也可用於控制 BitLocker:
Setup.exe /BitLocker AlwaysSuspend升級時務必暫停 BitLocker。Setup.exe /BitLocker TryKeepActive:啟用升級而不暫停 BitLocker,但如果升級無效,則暫停 BitLocker 並完成升級。Setup.exe /BitLocker ForceKeepActive:啟用升級而不暫停 BitLocker,但若升級無效,則升級失敗。
更多資訊請參閱 Windows 設定 Command-Line 選項。
功能更新改進
部分的工作會在 Windows Update 的離線階段已移至線上階段期間進行。 此變更大幅縮短安裝更新時的離線時間。
SetupDiag
SetupDiag (英文) 是新的命令列工具,可協助診斷 Windows 10 更新失敗的原因。
SetupDiag 透過搜尋 Windows 安裝程式記錄檔運作。 當它搜尋日誌檔案時,SetupDiag 會使用一套規則來匹配已知問題。 在目前版本的 SetupDiag 中,有 53 個規則包含在 rules.xml 檔案中 (此檔案會在 SetupDiag 執行時解壓縮)。 rules.xml 檔案將在有新版 SetupDiag 可供使用時更新。
登入
更快速登入 Windows 10 共用電腦
如果你在工作場所部署了共用裝置,快速登入功能讓使用者能快速登入共用的 Windows 10 電腦。
啟用快速登入
在 Windows 10 版本 1809 或 Windows 10 企業版 LTSC 2019 中設置共用或訪客裝置。
設定 CSP 政策,以及 Authentication 和 EnableFastFirstSignIn 政策以啟用快速登入。
從您的帳戶登入到共用電腦。
Web 登入 Windows 10
到目前為止,Windows 登入僅支援使用與 ADFS 或支援 WS-Fed 通訊協定的其他提供者同盟的身分識別。 我們推出了「網頁登入」,一種全新的登入方式,讓你能登入你的 Windows 電腦。 網頁登入支援非 ADFS 聯邦服務提供者,例如 SAML) (
試試網路登入
Entra ID 加入你的 Windows 10 電腦。 (網頁登入僅支援 Entra ID 加入的電腦) 。
設定原則 CSP (雲端解決方案提供者),以及驗證和 EnableWebSignIn 原則以啟用網路登入。
在鎖定畫面上,在登入選項下方選取 [網路登入]。
選擇「登入」繼續。
更新合規性
更新合規性可協助您將組織中的 Windows 10 裝置保持安全且最新狀態。
更新合規性是使用 OMS Log Analytics 建立的解決方案,提供每月品質和功能更新安裝狀態的相關資訊。 提供有關現有更新部署進度與未來更新狀態的詳細資訊。 也提供有關可能需要解決問題之裝置的相關資訊。
更新合規性的新功能可讓您監視 Windows Defender 保護狀態、比較同業的合規性,以及最佳化頻寬以部署更新。
無障礙與隱私
協助工具
「全新體驗」協助工具已增強,現在具有自動產生的圖片描述。 如需協助工具的詳細資訊,請參閱適用於 IT 專業人員協助工具資訊。 另請參閱 Windows 10 2018 年 4 月更新更新中無障礙部分。
隱私權
在 [隱私權設定] 下方的 [意見反應與設定] 頁面中,您可以刪除您的裝置已傳送給 Microsoft 的診斷資料。 您也可以使用診斷資料檢視器應用程式來檢視此診斷資料。
設定
自助服務終端配置
新的 Chromium 基底 Microsoft Edge 針對自助服務終端有許多改進。 不過,它並未包含在 Windows 10 的 LTSC 版本中。 你可以另外下載並安裝 Microsoft Edge。 欲了解更多資訊,請參閱 「下載並部署 Microsoft Edge for business」。
Internet Explorer 包含在 Windows 10 LTSC 版本中,因為其功能集未曾改變,且在 Windows 10 LTSC 版本期間,它將持續獲得安全修正。
如果你想利用 Microsoft Edge 的自助服務機功能,可以考慮使用自助 服務機模式 ,並設有半年一次的發佈頻道。
共同管理
Intune 與 Microsoft Configuration Manager 政策已加入,以啟用混合式 Entra ID 加入認證。 「行動裝置管理」(MDM) 已在此版本中新增超過 150 個新原則與設定,包括 MDMWinsOverGP (英文) 原則,以便更容易轉換至以雲端為基礎的管理。
欲了解更多資訊,請參閱 《MDM 註冊與管理的新消息》。
作業系統解除安裝期間
作業系統解除安裝期間是當使用者可以選擇性地回復 Windows 10 更新時給予使用者的時間長度。 在此版本中,管理員可以使用 Intune 或 DISM 來自訂作業系統解除安裝期間的長度。
Microsoft Entra ID join in bulk
利用 Windows Configuration Designer 中的新精靈,你可以建立配置套件,將裝置註冊到 Entra ID。 Entra ID 批量加入可在桌面、行動裝置、自助服務機及 Surface Hub 精靈中取得。
Windows 焦點
新增了群組政策與行動裝置管理 (MDM) 設定,以協助您配置 Windows Spotlight 使用者體驗:
- 關閉控制中心上的 Windows 焦點
- 不使用獨特體驗的診斷資料
- 關閉 Windows 歡迎畫面體驗
欲了解更多資訊,請參閱 鎖定畫面的 Windows Spotlight 配置。
\[開始\] 和工作列配置
在過去,自訂的工作列只能透過使用群組原則或佈建套件部署。 Windows 10 企業版 LTSC 2019 新增了對自訂工作列的 MDM 支援。
[開始] 和工作列配置提供更多 MDM 原則設定。 新的 MDM 原則設定包括:
使用者磁磚設定: 開始/隱藏使用者磁貼、 開始/隱藏切換帳號、 開始/隱藏簽出、 開始/隱藏鎖定,以及 開始/隱藏變更帳號設定
其他新設定: Start/HideFrequentlyUsedApps、 Start/HideRecentlyAddedApps、 AllowPinnedFolder、 ImportEdgeAssets、 Start/HideRecentJumplists、 Start/NoPinningToTaskbar、 設定/頁面可見清單,以及 Start/HideAppsList。
Windows Update
商務用 Windows 測試人員計畫
我們最近新增了使用 Microsoft Entra ID 中企業憑證下載 Windows 10 Insider Preview 建置版本的選項。 透過將裝置登錄到 Entra ID,您可以提升組織內用戶提交回饋的能見度,尤其是針對支援您特定業務需求的功能。 如需詳細資訊,請參閱商務用 Windows 測試人員計畫。
你現在可以將你的 Entra ID 網域註冊到 Windows Insider 計畫。 如需詳細資訊,請參閱商務用 Windows 測試人員計畫。
將更新傳遞最佳化
隨著 Windows 10 企業版 LTSC 2019 的變更,Express 更新現已完全支援 Configuration Manager。 它也與其他 實作此新功能的第三方更新與管理產品一同支援。 此支援是對目前 Windows Update、Windows Update 用戶端政策及 WSUS 快速支援的補充。
注意
安裝 2017 年 4 月累積更新,即可將上述變更套用至 Windows 10 版本 1607。
交付優化政策現在讓你能設定其他限制,在各種情境下擁有更多控制權。
新增的原則包括:
欲了解更多資訊,請參閱 「配置 Windows 更新的交付優化」。
解除安裝的附隨應用程式不再自動重新安裝
從 Windows 10 企業版 LTSC 2019 開始,使用者已卸載的內建應用程式不會在功能更新安裝過程中自動重新安裝。
此外,管理員在 Windows 10 企業版 LTSC 2019 機器上移除的應用程式,在未來的功能更新安裝後仍會保持停用狀態。 此行為不適用於 LTSC 2016 (Windows 10 企業版或更早的更新) 至 Windows 10 企業版 LTSC 2019。
管理
新增 MDM 功能
Windows 10 企業版 LTSC 2019 新增了許多新的組態服務提供者 (CSP) ,提供使用 MDM 或配置套件管理Windows 10裝置的新能力。 這些 CSP 讓你能透過 MDM 配置數百個最實用的群組政策設定。 欲了解更多資訊,請參閱 政策CSP - ADMX支持政策。
其他一些新的 CSP:
DynamicManagement CSP 可讓您根據網路、位置或時間,以不同方式管理裝置。 例如,管理裝置在工作地點時可以關閉攝影機,在國外或地區時可以關閉行動網路以避免漫遊費用,或在裝置不在企業大樓或校園內時關閉無線網路。 設定完成後,即使裝置無法在位置或網路變更時連上管理伺服器,這些設定也會被強制執行。 動態管理 CSP 除了設定變更條件外,還能設定變更發生條件的政策,改變裝置的管理方式。
CleanPC CSP 可讓您使用保存使用者資料的選項來移除使用者安裝和預先安裝的應用程式。
BitLocker CSP 用來管理電腦與裝置加密。 例如,您可以在行動裝置上要求儲存卡加密,或要求作業系統磁碟機加密。
NetworkProxy CSP 用來設定乙太網路和 Wi-Fi 連線的 proxy 伺服器。
Office CSP 讓您透過 Office 部署工具在裝置上安裝 Microsoft Office 用戶端。 如需詳細資訊,請參閱Office 部署工具的設定選項。
EnterpriseAppVManagement CSP 用來管理 Windows 10 電腦(企業版與教育版)的虛擬應用程式,即使受到 MDM 管理,也允許 App-V 循序應用程式串流處理到電腦。
欲了解更多資訊,請參閱 行動裝置註冊與管理的最新資訊。
MDM 已擴展至包含擁有 Microsoft Entra ID 註冊的網域加入裝置。 群組政策可用於 Active Directory 加入裝置,觸發自動註冊至 MDM。 如需詳細資訊,請參閱使用群組原則自動註冊 Windows 10 裝置 (英文)。
也會新增多個新的設定項目。 如需詳細資訊,請參閱 MDM 註冊及管理中的新功能 (英文)。
Windows 10 的行動裝置應用程式管理支援
行動裝置應用程式管理 (MAM) 的 Windows 版本是管理個人裝置上公司資料存取和安全性的輕量型解決方案。 MAM 支援內建於 Windows 資訊保護 (WIP) 之上,自 2019 年 Windows 10 企業版 LTSC 起。
如需詳細資訊,請參閱為 Windows 行動裝置應用程式管理實作伺服器端支援。
MDM 診斷
在 Windows 10 企業版 LTSC 2019 中,我們持續致力於改善現代管理的診斷體驗。 藉由引入行動裝置的自動記錄功能,Windows 會在發生 MDM 錯誤時自動收集記錄檔,而不必有記憶體限制裝置的永遠開啟記錄。 此外,我們也推出了 Microsoft Message Analyzer ,作為另一項工具,幫助支援人員快速將問題歸根於根本,同時節省時間與成本。
適用於 Windows 的應用程式虛擬化 (App-V)
舊版 Microsoft Application Virtualization Sequencer (App-V Sequencer) 需要您手動建立排序環境。 Windows 10 企業版 LTSC 2019 引入了兩個新的 PowerShell 指令集,分別是 New-AppVSequencerVM 與 Connect-AppvSequencerVM。 這些指令小子會自動為你建立序列環境,包括虛擬機器的配置。 此外,App-V Sequencer 已更新,允許你同時排序或更新多個應用程式,並自動擷取並儲存自訂內容,作為 App-V 專案範本 (.appvt) 檔案,並允許你使用 PowerShell 或群組政策設定在裝置重啟後自動清理未發佈的套件。
如需詳細資訊,請參閱下列文章:
- 使用 Microsoft Application Virtualization Sequencer (App-V Sequencer) 自動佈建排序環境
- 使用 Microsoft Application Virtualization Sequencer (App-V Sequencer) 時自動排序多個應用程式
- 使用 Microsoft Application Virtualization Sequencer (App-V Sequencer) 時自動更新多個應用程式
- 自動清除 App-V 用戶端上未發佈的套件
Windows 診斷資料
深入了解在基本層級所收集的診斷資料,以及在完整層級所收集資料類型的一些範例。
群組政策試算表
了解 Windows 10 企業版 LTSC 2019 新增的群組政策。
混合實境應用程式
本版的 Windows 10 引入了 Windows Mixed Reality (英文)。 使用 WSUS 的組織必須採取行動才能啟用 Windows Mixed Reality。 您也可以封鎖安裝混合實境入口,以禁用 Windows Mixed Reality。 如需詳細資訊,請參閱啟用或封鎖企業的 Windows Mixed Reality 應用程式 (英文)。
網路
網路堆疊
本版提供數項網路堆疊強化。 其中某些功能也曾出現在 Windows 10 版本 1703 中。 欲了解更多資訊,請參閱 Windows 10 創作者更新中的核心網路堆疊功能。
Miracast 超越基礎設施
在這個版本的 Windows 10 中,Microsoft 擴展了透過本地網路傳送 Miracast 串流的能力,而非直接無線連線。 這項功能是根據 Miracast 基礎結構連接建立通訊協定 (毫秒滑鼠) 。
運作方式
使用者和之前一樣,嘗試連線至 Miracast 接收器。 當填入 Miracast 接收器清單時,Windows 10 會辨識有能力透過基礎結構支援連接的接受器。 當使用者選擇 Miracast 接收器時,Windows 10會嘗試透過標準 DNS 及多播 DNS (mDNS) 來解析該裝置的主機名稱。 如果無法透過任一 DNS 方法解析名稱,Windows 10 會回復為使用標準 Wi-Fi 直接連線來建立 Miracast 工作模式。
Miracast over Infrastructure 有許多好處
- Windows 會自動偵測是否可使用此路徑傳送視訊串流。
- Windows 只會在透過乙太網路或安全的 Wi-Fi 網路連線時才選擇者個路徑。
- 使用者不需要變更與 Miracast 接收器的連線方式。 它們與標準 Miracast 連線使用相同的 UX。
- 不需要對目前的無線驅動程式或 PC 硬體進行任何變更。
- 它與未針對 Miracast 透過 Wi-FI Direct 最佳化的舊版無線硬體搭配良好。
- 它會使用現有的連線來縮短連線時間,並提供穩定的資料串流。
啟用 Miracast 透過基礎結構
如果你的裝置已經更新到 Windows 10 企業版 LTSC 2019,那麼你就自動擁有這個新功能。 要在您的環境中善用它,您需要確保部署中包含以下需求:
(PC 或 Surface Hub) 裝置必須運行 Windows 10,版本 1703,Windows 10 企業版 LTSC 2019,或更新的作業系統。
Windows 電腦或 Surface Hub 可以做為 Miracast 透過基礎結構的接收器。 Windows 裝置可以作為 Miracast 基礎結構來源。
- 作為 Miracast 接收器,PC 或 Surface Hub 必須透過乙太網路或安全的 Wi-Fi 連線連接到您的企業網路。 例如,使用 WPA2-PSK 或 WPA2-Enterprise 安全。 如果 Hub 連線至開放式 Wi-FI 連接,Miracast 透過基礎結構會自動停用。
- 作為 Miracast 來源,裝置必須透過乙太網路或安全的 Wi-Fi 連線連接至相同的大型組織網路。
裝置的 DNS 主機名稱(裝置名稱) 必須可以透過您的 DNS 伺服器解析。 你可以透過讓裝置透過動態 DNS 自動註冊,或手動建立裝置主機名稱的 A 或 AAAA 紀錄來實現此設定。
Windows 10 電腦上必須透過乙太網路或安全的 Wi-Fi 連接連線至相同的企業網路。
重要
Miracast over Infrastructure 並不取代標準 Miracast。 其反而是功能的補充,並提供優勢給屬於企業網路的一部分的使用者。 作為訪客到特定地點且無法存取企業網路的使用者,仍可繼續使用 Wi-Fi Direct 連線方式連線。
登錄編輯程式改進功能
我們新增了一個下拉選單,讓你在輸入時會顯示,幫助完成下一部分的路徑。 您也可以按 Ctrl+Backspace 刪除最後一個字,以及按 Ctrl+Delete 刪除下一個字。
使用生物識別技術的遠端桌面
使用 Windows Hello 企業版的 Microsoft Entra ID 與 Active Directory 使用者,可以使用生物辨識來驗證遠端桌面會話。
若要快速入門,請登入使用 Windows Hello 企業版的裝置。 打開遠端 桌面連線 (mstsc.exe) ,輸入你想連接的電腦名稱,然後選擇 連接。
Windows 會記住您使用 Windows Hello 企業版登入,並且會自動選取 Windows Hello 企業版來驗證您到 RDP 工作階段。 您也可以選擇 「更多」 選項來選擇替代憑證。
Windows 會使用臉部辨識功能來驗證 Windows Server 2016 Hyper-V 伺服器的 RDP 工作階段。 在遠端工作階段,您可以繼續使用 Windows Hello 企業版,但必須使用您的 PIN 碼。
請參閱下列範例:
版 
請參閱
Windows 10 企業版 LTSC:LTSC 服務管道的簡短說明,並附有各版本的相關連結。