Виндовс 10 регистрация


Регистрация Windows 10: инструкция и способы

 

Новая операционная система весьма агрессивно продвигает себя по всем владельцам Windows 7/8. Однако у многих сейчас, чего греха таить, установлена далеко не лицензионная сборка предыдущих версий. Поэтому может так получиться, что после установки Windows 10 она будет далеко не лицензионная. Обязательная регистрация позволит вам пользоваться операционкой на все 100%. Чего, к сожалению, добиться «из коробки» нелегко. Так что придется заниматься активацией вручную.

Обязательно ли вообще регистрировать

Если у вас с самого начала основная версия, то бишь 7 или 8, была пиратской – вам не получить сразу активированную Windows 10. Она будет постоянно упрашивать вас приобрести для неё ключ. По сути, это будет такой себе расплатой за пиратство. Но следует разобраться, что будет, если использовать неактивированную версию ОС:

  • Постоянное, но малозаметное напоминание об активации.
  • Отсутсвие функций для персонализации, вплоть до изменения обоев и цветов.

Конечно, это не такие уж и важные функции, без которых невозможно обойтись. Но пользоваться ими было бы куда приятнее. Да и постоянное напоминание тоже не слишком-то и приятно. Поэтому все же стоит активировать Windows 10, чтобы полноправно чувствовать себя её владельцем и не иметь в дальнейшем проблем.

Способы регистрации пиратской версии

Для того, чтобы активировать пиратку операционных систем, как легальных, так и не совсем, стоит рассмотреть каждый из способов, чтобы вы могли подобрать для себя самый удобный.

Покупка оригинального ключа в Магазине

Наиболее простой и самый легальный вариант – оплатить Windows в магазине. Это позволит заиметь уникальный и, что самое главное, действительно лицензионный ключ. Вы станете не только пользователем, которого невозможно обвинить в пиратстве. В дальнейшем у вас точно не возникнет проблем с внезапно слетевшей активацией.

Для этого потребуется зайти в Параметры, откуда проследовать в раздел «Обновление и безопасность». После чего можно выбрать пункт «Активация» и оттуда перейти в магазин. Затем потребуется купить и оплатить при помощи любого удобного способа свою версию. Полученный таким способом ключ вы можете ввести там же, в Параметрах. Только теперь нужно кликнуть на «Ввести ключ продукта» и вбить туда полученные комбинации.

Покупка ключа у перекупщиков

По сути, это тоже покупка лицензии. Отличается только тем, что покупать придется не у официального распространителя. Перекупщики, как правило, закупают оптовые партии Windows 10, что получается куда дешевле. А затем чуть-чуть поднимают цену и снова продают. Но в любом случае это получается дешевле, чем через официальный магазин Windows, а сам ключ ничем не отличается.

 

Поиск ключей в Интернете

Самый дешевый и трудный способ. Мало какие ключи ещё не были использованы. Однако можно попытаться. Сейчас имеется возможность бесплатно активировать Windows 10 всех вариаций – от Корпоративной до Домашней.

Можно долго лазить по различным сайтам и искать способы, чтобы правильно и быстро зарегистрировать свою ОС пиратским методом. Возможно, и попадётся какой-либо приличный ключик.

Сейчас активно гуляет по сети возможность активировать операционную систему посредством ввода строго определенных ключей и ввода ещё нескольких команд. Вот как это выглядит.

Сначала открывается Командная строка, которая и используется для ввода необходимой информации. Обязательно с правами администратора! Иначе ничего не получится. Найти её можно через поиск. Затем вводится серия следующих команд:

slmgr /ipk *тут должен располагаться ключ продукта*

slmgr /skms kms.xspace.in

slmgr /ato

После каждой строки обязательно следует нажимать на Enter. Некоторые пользователи вбивают сразу все три команды, и у них ничего не выходит. Важно помнить, что под каждую версию системы – свой ключик. Всего их возможно четыре:

  • Windows 10 Домашняя. Для нее придуман такой ключик – TX9XD-98N7V-6WMQ6-BX7FG-H8Q99.
  • Windows 10 Домашняя для одного языка. Активировать её можно с ключом 7HNRX-D7KGG-3K4RQ-4WPJ4-YTDFH.
  • Windows 10 Корпоративная. Её использование возможно, если применить ключик NPPR9-FWDCX-D2C8J-H872K-2YT43.
  • Windows 10 Профессиональная. Попытаться зарегистрировать эту версию можно, введя W269N-WFGWX-YVC9B-4J6C9-T83GX.

Если же что-то по каким-то причинам не получается, возможно, следует заменить адрес из второй команды следующим сочетанием цифр – 133.130.55.120:1688

 

windowsprofi.ru

Руководство по развертыванию и управлению Windows 10 Mobile (Windows 10)

Область применения: Windows 10 Mobile версии 1511 и Windows 10 Mobile версии 1607

Это руководство поможет специалистам по ИТ спланировать и выполнить развертывание устройств под управлением Windows 10 Mobile.

Сегодня сотрудники все более активно используют смартфоны для выполнения повседневных задач, однако с такими устройствами связано множество серьезных проблем в области управления и безопасности. Независимо от того, используют ли сотрудники для работы корпоративные или собственные устройства, для эффективного решения бизнес-задач ИТ-отделу в любом случае необходимо быстро выполнить развертывание мобильных устройств и приложений, а также организовать управление ими. При этом необходимо обеспечить надежную защиту всех приложений и данных, хранящихся на таких устройствах, от хищения и атак злоумышленников. Windows 10 Mobile позволяет организациям быстро и эффективно решить все эти задачи благодаря надежным и гибким встроенным технологиям управления мобильными устройствами и приложениями. Windows 10 поддерживает управление полным жизненным циклом устройства, обеспечивая контроль над устройствами, данными и приложениями. Комплексное решение для управления мобильными устройствами обеспечивает простую и удобную интеграцию устройств на любом этапе стандартного жизненного цикла — регистрация устройств и приложений, их настройка, управление ими, обслуживание или вывод из эксплуатации.

В этой статье:

Развертывание

Windows 10 Mobile содержит встроенный клиент для управления устройствами, который предоставляет возможности развертывания, настройки, обслуживания и поддержки смартфонов. Этот клиент используется для всех выпусков операционной системы Windows 10, включая выпуски для компьютеров, мобильных устройств и Интернета вещей (IoT), предоставляя единый интерфейс, с помощью которого решения для управления мобильными устройствами (MDM) могут управлять любыми устройствами с ОС Windows 10. Клиент MDM интегрируется с системой управления удостоверениями, что позволяет существенно сэкономить время и усилия, затрачиваемые на управление устройствами на протяжении всего жизненного цикла. Windows 10 предоставляет полный набор функций MDM, которыми можно управлять с помощью решений для управления Microsoft (например, Microsoft Intune или System Center Configuration Manager), а также многочисленных решений MDM сторонних разработчиков. Для регистрации устройств и управления ими с помощью MDM не требуется установка дополнительных настраиваемых приложений MDM. Все поставщики систем MDM имеют одинаковый доступ к программным интерфейсам (API) для управления устройствами с ОС Windows 10 Mobile. Это позволяет ИТ-компаниям выбрать любую систему в соответствии с индивидуальными требованиями к управлению, будь то Microsoft Intune или стороннее решение MDM. Дополнительные сведения об API управления устройствами Windows 10 Mobile см. в разделе Управление мобильными устройствами.

Сценарии развертывания

Область применения: корпоративные и персональные устройства

Встроенный клиент MDM входит в состав всех выпусков операционной системы Windows 10, включая выпуски для компьютеров, мобильных устройств и Интернета вещей (IoT). Этот клиент предоставляет единый интерфейс для управления любым устройством с операционной системой Windows 10. Клиент выполняет две важные функции: регистрация устройства в системе MDM и управление устройством.

Как правило, когда речь идет о развертывании устройств, в компаниях реализуется один из двух сценариев: «принеси свое устройство» (BYO) для персональных устройств и «выберите свое устройство» (CYO) для устройств, принадлежащих компании. В обоих случаях устройства необходимо зарегистрировать в системе MDM, которая настроит для них параметры в соответствии с требованиям организации и конкретного сотрудника. Функции управления устройствами Windows 10 Mobile поддерживают как личные устройства в рамках сценария BYO, так и корпоративные устройства, которые используются в сценарии CYO. Операционная система предлагает гибкий подход к регистрации устройств в службах каталогов и системах MDM. В соответствии с конкретными потребностями бизнеса ИТ-отделы могут подготовить комплексные профили конфигурации устройства, которые обеспечивают контроль и защиту мобильных бизнес-данных. Чтобы упростить подготовку приложений для работы с корпоративными или личными устройствами, можно использовать Магазин Windows для бизнеса или систему MDM, совместимую с Магазином Windows для бизнеса, для приложений из общедоступного магазина. Чтобы грамотно подобрать стратегию управления и оптимальные элементы управления, требуется знать, кто является владельцем устройства и для каких целей оно используется. Процессы развертывания персональных и корпоративных устройств или комбинированного развертывания одновременно персональных и корпоративных устройств могут существенно различаться.

Для персональных устройств требуются такие функции управления корпоративными приложениями и данными на устройстве, которые не помешают сотруднику настроить свое устройство в соответствии с индивидуальными потребностями. Устройство принадлежит сотруднику, и корпоративная политика разрешает ему использовать устройство как в личных, так и в рабочих целях, позволяя добавлять любые приложения по собственному усмотрению. Самая сложная задача, которая связана с персональными устройствами, — предотвратить компрометирование корпоративных данных, обеспечивая при этом конфиденциальность личных данных и сохраняя полный контроль сотрудника над своим устройством. Для этого необходимо, чтобы устройство поддерживало разделение приложений и данных, обеспечивая строгий контроль потока корпоративных и личных данных.

В том, что касается корпоративных устройств, компании имеют гораздо больше возможностей для контроля. ИТ-отдел может определить список поддерживаемых моделей устройств или самостоятельно приобрести и предварительно настроить устройства, которые будут использоваться сотрудниками. Поскольку устройства принадлежат компании, объем персонализации устройств сотрудниками можно при необходимости ограничить. В этом случае задачи безопасности и конфиденциальности будет значительно проще решить, поскольку устройства будут полностью соответствовать существующим политикам компании.

Регистрация устройств

Область применения: корпоративные и персональные устройства

Способ регистрации персональных устройств в системе MDM отличается от регистрации корпоративных устройств. Эксплуатационный отдел компании должен учитывать эти различия при выборе оптимального подхода для мобильных сотрудников.

Рекомендации по регистрации и инициализации устройств

Персональные устройства Корпоративные устройства
Владелец Сотрудник Организация
Инициализация устройства Во время запуска при первом использовании устройства сотрудникам будет предложено зарегистрировать на устройстве облачные учетные данные. Основное удостоверение на устройстве — личное удостоверение. При инициализации персонального устройства задействуется учетная запись Майкрософт (MSA), которая использует личный адрес электронной почты. Основное удостоверение на устройстве — корпоративное удостоверение. При инициализации корпоративных устройств используется корпоративная учетная запись ([email protected]). Инициализация устройства с использованием корпоративной учетной записи является уникальной функцией Windows 10. В настоящее время эта возможность не поддерживается на других мобильных платформах. По умолчанию используется корпоративное удостоверение Azure Active Directory. Если во время запуска при первом использовании пропустить настройку учетной записи, по умолчанию будет создана локальная учетная запись. Единственным способом впоследствии добавить облачную учетную запись будет добавление учетной записи Майкрософт и дальнейшее развертывание персонального устройства. Чтобы начать сначала, придется восстановить заводские настройки устройства.
Регистрация устройств Регистрация устройств в системе MDM обеспечивает не только контроль и защиту корпоративных данных, но и максимально эффективную работу сотрудников. Сотрудник может самостоятельно инициировать регистрацию устройства. В качестве дополнительной учетной записи он может добавить на устройство Windows 10 Mobile учетную запись Azure. Если система MDM зарегистрирована в Azure AD, устройство будет автоматически зарегистрировано в системе MDM при добавлении пользователем учетной записи Azure AD в качестве дополнительного учетной записи (MSA+AAD+MDM). Если ваша компания не использует Azure AD, то устройство сотрудника будет автоматически зарегистрировано в системе MDM вашей компании (MSA+MDM). Регистрацию в MDM также можно инициировать с использованием пакета подготовки. Благодаря этой возможности ИТ-отдел может разработать простую систему самостоятельной регистрации персональных устройств. В настоящее время подготовка поддерживается только для регистрации в системе MDM (MSA+MDM). Пользователь инициирует регистрацию в системе MDM путем подключения устройства к экземпляру Azure AD, который принадлежит компании. Устройство будет автоматически зарегистрировано в системе MDM в момент регистрации в Azure AD. Для этого требуется регистрация системы MDM в Azure AD (AAD+MDM).

Рекомендации. Корпорация Майкрософт рекомендует регистрацию в Azure AD и автоматическую регистрацию в MDM для корпоративных (AAD+MDM) и персональных устройств (MSA+AAD+MDM). Для этого требуется наличие Azure AD Premium.

Управление удостоверениями

Область применения: корпоративные и персональные устройства

Для инициализации устройства можно использовать только одну учетную запись, поэтому очень важно, чтобы организация контролировала, какая учетная запись активируется первой. Выбранная учетная запись определяет, кто контролирует устройство, и влияет на возможности управления.

Примечание. Почему во время запуска при первом использовании необходимо добавить в устройство учетную запись? Устройства Windows 10 Mobile — однопользовательские устройства. Учетные записи пользователей предоставляют доступ ко множеству стандартных облачных служб, которые обеспечивают повышенную производительность, но вместе с тем позволяют пользователю использовать смартфон для развлечений. К таким службам относятся: Магазин для загрузки приложений, Groove для музыки и развлечений, Xbox для игр и т. д. И учетная запись Майкрософт, и учетная запись Azure AD предоставляют доступ к этим службам.

В следующей таблице описано, как влияет выбор удостоверения на характеристики управления устройствами в рамках сценариев BYO и CYO.

Рекомендации по выбору удостоверений для управления устройствами

Личное удостоверение Рабочее удостоверение
Первая учетная запись на устройстве Учетная запись Майкрософт Учетная запись Azure AD
Простая и удобная регистрация Для активации устройства сотрудники используют свою учетную запись Майкрософт. Для регистрации устройства в Azure AD и корпоративном решении MDM (MSA+AAD+MDM) они используют свою учетную запись Azure AD (организационное удостоверение). Для регистрации устройства в Azure AD и автоматической регистрации в корпоративном решении MDM (AAD+MDM — требуется Azure AD Premium) сотрудники используют свою учетную запись Azure AD.
Управление учетными данными Для входа в устройство сотрудники используют учетную запись Майкрософт. Пользователи не могут выполнить вход на устройства, используя учетные данные Azure AD, даже если учетные данные добавлены после первоначальной активации с использованием учетной записи Майкрософт. Для входа в устройство сотрудники используют учетные данные Azure AD. ИТ-отдел может запретить добавление личных удостоверений, например учетной записи Майкрософт или учетной записи Google. ИТ-отдел контролирует все без исключения политики доступа к устройствам.
Возможность заблокировать использование личного удостоверения на устройстве Нет Да
Параметры пользователей и передача данных в роуминге между устройствами с Windows Параметры пользователей и приложений используются в роуминге на всех устройствах, активируемых с одним и тем же удостоверением посредством OneDrive. Если устройство активировано с использованием учетной записи Майкрософт, а затем добавляется учетная запись Azure AD, пользовательские параметры приложений могут использоваться в роуминге. Этого не происходит при добавлении учетной записи Майкрософт на устройство, подключенное к Azure AD. Корпорация Microsoft планирует в будущих выпусках добавить возможность использования параметров в роуминге.
Уровень контроля Организация может применить к устройствам большую часть доступных ограничительных политик и отключить учетную запись Майкрософт. Можно запретить пользователям полностью контролировать свое устройство, отменив их регистрацию в решении MDM, принадлежащем компании, или восстановить заводские настройки устройства. Также могут применяться ограничения правового характера. Для получения дополнительных сведений обратитесь в юридический отдел своей компании. Организации вправе применять любые ограничительные политики в целях соблюдения корпоративных стандартов и нормативных требований. Также они вправе запретить пользователям отменять регистрацию устройства в корпоративном решении.
Защита информации Можно применить определенные политики, чтобы защитить и сохранить корпоративные приложения и данные на этих устройствах (это позволит предотвратить утечку интеллектуальной собственности), однако сотрудники при этом сохраняют полный контроль над персональными операциями, такими как загрузка и установка приложений и игр. Компании могут заблокировать использование устройства в личных целях. Использование организационных удостоверений для инициализации устройств дает организациям полный контроль над последними и позволяет предотвратить персонализацию.
Приобретение приложений Сотрудники могут самостоятельно покупать и устанавливать приложения из Магазина, используя личную кредитную карту. Сотрудники могут устанавливать приложения из Магазина для бизнеса. Сотрудники не вправе устанавливать приложения из Магазина или приобретать их без добавления учетной записи Майкрософт.

Примечание. В рамках модели продаж Windows как услуга индивидуальные характеристики функций MDM в будущем будут изменены.

Варианты инфраструктуры

Область применения: корпоративные и персональные устройства

В рамках сценариев развертывания персональных и корпоративных устройств система MDM предоставляет важную инфраструктуру, необходимую для развертывания устройств Windows 10 Mobile и управления ими. Подписку Azure AD Premium рекомендуется использовать в качестве поставщика удостоверений — это необходимо для поддержки некоторых функций. Windows 10 Mobile позволяет организовать инфраструктуру на базе исключительно облачных технологий или гибридную инфраструктуру, объединяющую управление удостоверениями Azure AD и локальную систему управления устройствами. Корпорация Майкрософт теперь также поддерживает локальное решение для управления устройствами Windows 10 Mobile с Configuration Manager.

Azure Active Directory Azure AD — это облачная служба каталогов, обеспечивающая управление удостоверениями и доступом. Ее можно интегрировать с существующими локальными каталогами, создав тем самым гибридное решение для управления удостоверениями. Компании, использующие Microsoft Office 365 или Intune, уже используют программное обеспечение Azure AD, доступное в трех выпусках: Free, Basic и Premium (см. версии Azure Active Directory). Все выпуски поддерживают регистрацию устройств в службе Azure AD, однако для включения автоматической регистрации в системе MDM и условного доступа в зависимости от состояния устройства требуется выпуск Premium.

Управление мобильными устройствами Microsoft Intune представляет собой облачную систему MDM, позволяющую управлять устройствами удаленно. Intune входит в состав Enterprise Mobility + Security. Как и Office 365, Intune использует Azure AD для управления удостоверениями, поэтому сотрудники используют те же учетные данные для регистрации устройств в Intune, что и для входа в Office 365. Intune поддерживает устройства, которые работают под управлением других операционных систем, таких как iOS и Android, и поэтому представляет собой полнофункциональное решение MDM. Кроме того, можно интегрировать Intune с Configuration Manager и получить единую консоль для управления всеми устройствами — в облаке и локальной среде, мобильными устройствами и ПК. Дополнительные сведения см. в разделе Управление мобильными устройствами с помощью Configuration Manager и Microsoft Intune. Рекомендации по выбору одиночной установки Intune или установки приложения Intune, интегрированного с System Center Configuration Manager, см. в статье «Выбор варианта установки Intune: отдельно или в интеграции с System Center». Windows 10 поддерживается несколькими системами MDM, и большинство из них поддерживает сценарии развертывания как персональных, так и корпоративных устройств. Системы MDM, поддерживающие Windows 10 Mobile, в настоящее время предоставляются следующими поставщиками: AirWatch Citrix, MobileIron, SOTI, Blackberry и др. Большинство ведущих поставщиков решений MDM в отрасли уже обеспечивают поддержку интеграции с Azure AD. Список поставщиков систем MDM, поддерживающих Azure AD, см. на сайте Azure Marketplace. Если ваша компания не использует Azure AD, пользователям следует указать учетные данные Майкрософт во время запуска при первом использовании, прежде чем зарегистрировать устройство в системе MDM с использованием корпоративной учетной записи.

Примечание. Несмотря на то что в данном руководстве это не рассматривается, для управления мобильными устройствами вместо полнофункциональной системы MDM можно использовать Exchange ActiveSync (EAS). EAS доступна в Microsoft Exchange Server 2010 и выше и в Office 365. Кроме того, корпорация Майкрософт недавно расширила функциональность Office365, добавив в операционную систему функции MDM на базе Intune. MDM для Office 365 поддерживает только мобильные устройства под управлением Windows 10 Mobile, iOS и Android. MDM для Office 365 предоставляет подмножество возможностей управления, реализованных в Intune, включая возможность удаленной очистки устройства, блокирования доступа к электронной почте Exchange Server с устройства и настройки политик устройства (например, требования о вводе секретного кода). Дополнительные сведения о функциях MDM в Office 365 см. в разделе Обзор управления мобильными устройствами для Office 365.

Облачные службы. На мобильных устройства под управлением Windows 10 Mobile пользователи могут без труда подключать облачные службы, которые обеспечивают отправку уведомлений пользователям и сбор телеметрии (данных об использовании). Windows 10 Mobile позволяет организациям управлять использованием этих облачных служб на устройствах.

Службы push-уведомлений Windows. Службы push-уведомлений Windows позволяют разработчикам программного обеспечения отправлять обновления всплывающих уведомлений, плиток и индикаторов событий и необработанные обновления из своих облачных служб. Таким образом, предоставляется энергоэффективный и надежный механизм поставки обновлений пользователям. Тем не менее, push-уведомления могут влиять на время работы батареи, поэтому режим экономии заряда в Windows 10 Mobile ограничивает фоновую активность на устройствах, чтобы увеличить это время. Пользователи могут настроить автоматическое включение режима экономии заряда в случае падения уровня заряда ниже установленного порогового значения. Если режим экономии заряда включен, Windows 10 Mobile отключает получение push-уведомлений в целях экономии ресурсов. Однако существуют и исключения из этого поведения. В Windows 10 Mobile настройка режима экономии заряда «Всегда разрешено» (в приложении «Параметры») позволяет приложениям получать push-уведомления даже в режиме экономии заряда. Пользователи могут вручную настроить этот список, или ИТ-отдел может воспользоваться системой MDM для настройки в Windows 10 Mobile схемы URI параметров режима экономии заряда (ms-settings:batterysaver-settings).

Дополнительные сведения об аттестации работоспособности в Windows 10 Mobile см. в разделе Руководство по безопасности Windows 10 Mobile.

Центр обновления Windows для бизнеса. Центр обновления Windows для бизнеса, разработанный корпорацией Майкрософт, дает ИТ-администраторам дополнительные возможности управления, например возможность развертывать обновления на группах устройств и задавать временные периоды для установки обновлений.

Магазин Windows для бизнеса. В Магазине Windows для бизнеса ИТ-администраторы могут находить, приобретать и распространять приложения для устройств с Windows 10, а также управлять этими приложениями. К таким приложениям относятся бизнес-приложения, а также имеющиеся в продаже сторонние приложения.

Настройка

Администраторы MDM могут определить и внедрить настройки политики на всех персональных или корпоративных устройствах, зарегистрированных в системе MDM. Выбранный сценарий развертывания определяет рекомендуемые настройки конфигурации, а корпоративные устройства обеспечивают для ИТ-отдела самый широкий выбор инструментов контроля.

Примечание. Это руководство поможет специалистам по ИТ получить представление об инструментах управления, доступных для операционной системы Windows 10 Mobile. Изучите документацию по системе MDM, чтобы понять, каким образом данные политики реализуются вашим поставщиком MDM. Не все системы MDM поддерживают все настройки, описанные в данном руководстве. Некоторые поддерживают пользовательские политики посредством XML-файлов OMA-URI. См. раздел Поддержка пользовательских политик Microsoft Intune. Различные поставщики MDM также могут использовать различные соглашения об именовании.

Профиль учетной записи

Область применения: корпоративные устройства

Во избежание утечек данных и в целях защиты конфиденциальности очень важно четко определить, какие учетные записи могут использовать сотрудники на корпоративных устройствах. Ограничение числа используемых на устройстве учетных записей до одной, которая контролируется организацией, позволит существенно снизить риск неправомерного использования данных. Тем не менее вы можете разрешить сотрудникам добавить личную учетную запись Майкрософт или другие учетные записи электронной почты покупателя.

  • Разрешить использование учетной записи Майкрософт. Указывает, разрешено ли пользователям добавлять учетную запись Майкрософт на устройство и использовать эту учетную запись для прохождения проверки подлинности в облачных службах (например, при приобретении приложений в Магазине Windows, Xbox или Groove).
  • Разрешить добавление учетных записей, отличных от учетных записей Майкрософт. Указывает, разрешено ли пользователям добавлять учетные записи электронной почты, отличные от учетных записей Майкрософт.

Учетные записи электронной почты

Область применения: корпоративные и персональные устройства

Электронная почта и связанные с ней службы календаря и контактов — основные приложения, которые пользователи используют на своих смартфонах. Их правильная настройка очень важна для успешной реализации любой программы мобильности. В сценариях развертывания как корпоративных, так и персональных устройств развертывание этих параметров электронной почты выполняется сразу после регистрации. С помощью корпоративной системы MDM можно определить профили учетной записи корпоративной электронной почты, выполнить их развертывание на устройствах и обеспечить управление политиками в отношении входящих сообщений.

  • В большинстве корпоративных систем электронной почты используется Exchange ActiveSync (EAS). Дополнительные сведения о настройке профилей электронной почты EAS см. в разделе Поставщик служб шифрования ActiveSync.
  • Протокол SMTP. В системе MDM также можно настроить учетные записи электронной почты. Дополнительные сведения о конфигурации профиля электронной почты SMTP см. в разделе Поставщик служб шифрования электронной почты. Microsoft Intune в настоящее время не поддерживает создание профилей электронной почты SMTP.

Ограничения на блокировку устройства

Область применения: корпоративные и персональные устройства

Как правило, устройство, на котором содержатся корпоративные данные, защищено паролем на то время, когда оно не используется. В целях защиты приложений и данных Майкрософт рекомендует внедрить политику блокировки устройств Windows 10 Mobile. Для блокировки устройств можно использовать сложный пароль или числовой PIN-код. Впервые реализованная в ОС Windows 10 служба Windows Hello позволяет использовать PIN-код, сопутствующее устройство (например, браслет Microsoft Band) или биометрические данные для подтверждения личности при разблокировке устройства Windows 10 Mobile.

Примечание. В состав первых выпусков Windows 10 также входили службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Майкрософт объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике. Чтобы использовать для Windows Hello биометрические данные, требуется специальное оборудование, в том числе сканер отпечатков пальцев, инфракрасный датчик с подсветкой или другие биометрические датчики. Аппаратная защита учетных данных Windows Hello требует наличия TPM 1.2 или более поздней версии. Если TPM не установлен или не настроен, используется программная защита учетных данных и ключей. Для сопутствующих устройств необходимо по протоколу Bluetooth установить сопряжение с компьютером под управлением Windows 10. Чтобы использовать сопутствующее устройство Windows Hello, с помощью которого пользователи могут работать в роуминге, используя учетные данные Windows Hello, требуется установить на компьютере, на который выполняется вход, Windows 10 версии Pro или Корпоративная.

Большинство политик ограничения на блокировку устройства, начиная с Windows Phone 7, реализуются посредством ActiveSync и MDM и по-прежнему доступны в Windows 10 Mobile. Эти параметры применяются при развертывании устройств с Windows 10 в рамках сценария развертывания персонального устройства.

  • Использовать пароль на устройстве. Указывает, должны ли пользователи использовать пароль для блокировки устройства.
  • Разрешить использование простых паролей. Указывает, могут ли пользователи использовать простой пароль (например, 1111 или 1234).
  • Требуется буквенно-числовой пароль устройства. Указывает, должны ли пользователи использовать буквенно-цифровой пароль. В процессе настройки Windows отображает для пользователя полноразмерную клавиатуру для ввода сложного пароля. Если параметр не настроен, пользователь сможет ввести числовой PIN-код на клавиатуре устройства.
  • Минимальное количество символов в сложном пароле. Количество типов элементов пароля (прописных или строчных букв, цифр или знаков пунктуации), необходимых для создания надежного пароля.
  • История паролей устройства. Число паролей, которое хранится в истории паролей Windows 10 Mobile (пользователи не могут повторно использовать хранимые в истории пароли в качестве новых).
  • Минимальная длина пароля. Минимальное количество символов, необходимое для создания нового пароля устройства.
  • Максимальный период неактивности до блокировки устройства. Период неактивности (в минутах) до блокировки устройства (после чего для разблокировки потребуется ввести пароль).
  • Разрешить выход из спящего режима без пароля. Указывает, нужно ли пользователям проходить повторную проверку подлинности, когда их устройства выходят из спящего режима до достижения максимального периода неактивности.
  • Максимальное число неудачных попыток проверки подлинности. Допустимое число неудачных попыток проверки подлинности до очистки устройства (значение 0 отключает функцию очистки устройства).
  • Время ожидания экрана во время блокировки. Продолжительность (в минутах) до истечения времени ожидания экрана блокировки (эта политика влияет на управление питанием устройства).
  • Разрешить пользовательскую настройку времени ожидания экрана во время блокировки. Указывает, могут ли пользователи вручную настроить время ожидания экрана, пока на устройстве отображается экран блокировки (если отключить этот параметр, Windows 10 Mobile игнорирует параметр Время ожидания экрана во время блокировки).

Параметры, относящиеся к Windows Hello, представляют собой важные параметры блокировки устройства, которые необходимо настроить во время развертывания устройства в рамках сценария развертывания корпоративных устройств. При подключении к Azure AD корпорация Майкрософт требует от всех пользователей обязательного создания числового секретного кода. В рамках этой политики по умолчанию требуется четырехзначный секретный код, однако с помощью зарегистрированной в AAD системы MDM можно задать секретный код любого уровня сложности. Если используется Azure AD с системой автоматической регистрации MDM, эти параметры политики будут применены автоматически во время регистрации устройства.

Обратите внимание, что некоторые параметры очень похожи, в частности те, которые относятся к длине секретного кода, истории, истечению срока действия и уровню сложности. Если политика настроена в нескольких расположениях, применяются обе политики, и сохраняется самая строгая из них. Дополнительные сведения см. в статьях Поставщик служб конфигурации PassportForWork, Поставщик служб конфигурации DeviceLock (Windows Phone 8.1) и Поставщик служб конфигурации Policy.

Запрет на изменение параметров

Область применения: корпоративные устройства

Сотрудникам, как правило, разрешено изменять на персональном устройстве определенные параметры, изменение которых на корпоративных устройствах рекомендуется запретить. Сотрудники могут интерактивно настроить на смартфоне некоторые параметры с помощью приложений для управления параметрами. С помощью MDM можно ограничить изменения, которые могут вносить пользователи.

  • Разрешить использование панели «Ваша учетная запись». Указывает, могут ли пользователи изменить конфигурацию учетной записи на панели «Ваша электронная почта и учетные записи» в разделе «Параметры».
  • Разрешить использование VPN. Разрешает пользователям изменять параметры VPN.
  • Разрешить использование Data Sense. Разрешает пользователям изменять параметры Data Sense.
  • Разрешить изменение даты и времени. Разрешает пользователям изменять настройки даты и времени.
  • Разрешить изменение имени устройства. Разрешает пользователям изменять имя устройства.
  • Разрешить изменение модели голосовой функции. Указывает, будет ли устройство получать обновления моделей распознавания речи и синтеза речи (в целях повышения точности и производительности).

Аппаратные ограничения

Область применения: корпоративные устройства

В устройствах под управлением Windows 10 Mobile используется современная технология, включающая популярные аппаратные функции, такие как камеры, датчики GPS, микрофоны, динамики, NFC-радио, слоты для карт хранения данных, интерфейсы USB и Bluetooth, устройства сотовой радиосвязи и Wi-Fi. Аппаратные ограничения также можно использовать, чтобы контролировать доступность этих функций.

Далее перечислены параметры MDM для настройки аппаратных ограничений, поддерживаемые Windows 10 Mobile.

Примечание. Некоторые из этих аппаратных ограничений обеспечивают возможность подключения к сетям и помогают защитить данные.

  • Разрешить использование NFC. Указывает, включено ли радио NFC.
  • Разрешить USB-подключение. Указывает, разрешено ли подключение по USB (этот параметр не влияет на зарядку по USB).
  • Разрешить Bluetooth. Указывает, могут ли пользователи включать и использовать на своих устройствах радиомодуль Bluetooth.
  • Разрешить рекламу по Bluetooth. Указывает, может ли устройство использоваться как источник распространяемой по Bluetooth рекламы и быть доступным для обнаружения другими устройствами.
  • Разрешить использовать обнаруживаемый режим Bluetooth. Указывает, может ли устройство обнаруживать другие устройства (например, наушники).
  • Разрешить предварительное сопряжение Bluetooth. Указывает, могут ли периферийные устройства с поддержкой Bluetooth автоматически устанавливать сопряжение с главным устройством, в комплекте с которым они поставляются.
  • Список разрешенных служб Bluetooth. Список служб Bluetooth и профилей, к которым может подключаться устройство.
  • Задать имя локального устройства Bluetooth. Имя локального устройства Bluetooth.
  • Разрешить использование камеры. Указывает, включена ли камера.
  • Разрешить использование карты хранения данных. Указывает, включен ли слот для карты хранения данных.
  • Разрешить запись голоса. Указывает, может ли пользователь использовать микрофон для создания голосовых записей.
  • Разрешить использовать службы определения местоположения. Указывает, может ли устройство использовать датчик GPS или другие методы определения расположения, чтобы информация о расположении была доступна приложениям.

Сертификаты

Область применения: корпоративные и персональные устройства

Сертификаты позволяют повысить безопасность путем предоставления инструментов проверки подлинности учетной записи, проверки подлинности по Wi-Fi, шифрования веб-содержимого VPN и SSL. Несмотря на то что пользователи могут управлять сертификатами на устройствах вручную, рекомендуется использовать для управления этими сертификатами на протяжении всего жизненного цикла (от регистрации до продления и отзыва) систему MDM. Чтобы вручную установить сертификаты, можно опубликовать их на веб-сайте Microsoft Edge или отправить непосредственно по электронной почте (этот способ идеально подходит для тестирования). Управление сертификатами с использованием протокола SCEP и систем MDM полностью прозрачно для пользователей и не требует вмешательства пользователей, что помогает повысить производительность пользователей и уменьшить число обращений в службу поддержки. Система MDM может автоматически выполнять развертывание этих сертификатов в хранилищах сертификатов устройств после регистрации устройства (если система MDM поддерживает протокол SCEP или обмен личной информацией (PFX)). Сервер MDM также может запрашивать и удалять зарегистрированные SCEP сертификаты клиента (включая установленные пользователем) и инициировать новый запрос на регистрацию до истечения срока действия текущего сертификата. Windows 10 Mobile поддерживает не только управление сертификатами SCEP, но и развертывание сертификатов PFX. В следующей таблице перечислены параметры развертывания сертификатов PFX в Windows 10 Mobile. Дополнительные сведения об управлении сертификатами MDM см. в разделе Поставщик службы шифрования для установки сертификата клиента и Установка цифровых сертификатов в Windows 10 Mobile. Используйте параметр «Разрешить установку корневого сертификата вручную» для предотвращения намеренной или случайной установки корневого и промежуточного сертификатов ЦС пользователями вручную.

Примечание. Для диагностики связанных с сертификатами проблем на устройствах Windows 10 Mobile воспользуйтесь бесплатным приложением «Сертификаты» в Магазине Windows. Приложение Windows 10 Mobile может помочь выполнить следующие действия.

  • Просмотр сводки всех личных сертификатов
  • Просмотр подробных сведений отдельных сертификатов
  • Просмотр сертификатов, используемых для проверки подлинности VPN, Wi-Fi и электронной почты
  • Выявление сертификатов, срок действия которых, возможно, истек
  • Проверка пути к сертификату, чтобы убедиться в использовании подходящих промежуточных и корневых сертификатов ЦС
  • Просмотр ключей сертификатов, сохраненных в TPM устройства

Профили Wi-Fi

Область применения: корпоративные и персональные устройства

Wi-Fi на мобильных устройствах используется не реже (а может быть, чаще), чем передача данных. Большинство корпоративных сетей Wi-Fi требует предоставления сертификатов и прочих сложных сведений, чтобы ограничить доступ пользователей и обеспечить его безопасность. Обычному пользователю достаточно сложно настроить расширенные параметры Wi-Fi, однако можно использовать систему MDM для полной настройки этих профилей Wi-Fi без вмешательства пользователя. В системе MDM можно создать несколько профилей Wi-Fi. В следующей таблице перечислены параметры профиля подключения Wi-Fi, которые администратор может настроить в Windows 10 Mobile.

  • Идентификатор беспроводной сети (SSID). Идентификатор беспроводной сети (SSID) сети Wi Fi. В идентификаторе учитывается регистр.
  • Тип безопасности. Тип системы безопасности, используемый в сети Wi-Fi. В качестве такого типа может использоваться один из следующих типов проверки подлинности:
    • Открытый протокол 802.11
    • Общий протокол 802.11
    • Протокол WPA-Enterprise 802.11
    • Протокол WPA-Personal 802.11
    • Протокол WPA2-Enterprise 802.11
    • Протокол WPA2-Personal 802.11
  • Шифрование, используемое при проверке подлинности. Тип шифрования, используемый при проверке подлинности. Может использоваться один из следующих методов шифрования:
    • Нет (шифрование не используется)
    • Протокол WEP
    • Протокол TKI
    • Алгоритм AES
  • Расширяемый протокол аутентификации EAP-TLS. Типы безопасности WPA-Enterprise 802.11 и WPA2-Enterprise 802.11 могут использовать для проверки подлинности протокол EAP-TLS с сертификатами.
  • Защищенный расширяемый протокол аутентификации PEAP-MSCHAPv2. Типы безопасности WPA-Enterprise 802.11 и WPA2-Enterprise 802.11 могут использовать для проверки подлинности протокол PEAP-MSCHAPv2 с именем пользователя и паролем.
  • Общий ключ. Типы безопасности WPA-Personal 802.11 и WPA2-Personal 802.11 могут использовать для проверки подлинности общий ключ.
  • Прокси-сервер. Конфигурация любого сетевого прокси-сервера, необходимого для подключения Wi-Fi (чтобы указать прокси-сервер, введите его полное доменное имя и адрес IPv4, IPv6 или IPvFuture).
  • Отключить проверку подключения к Интернету. Указывает, должно ли подключение Wi-Fi проверять наличие подключения к Интернету.
  • URL-адрес автоконфигурации прокси-сервера. URL-адрес, который указывает файл автоматической конфигурации прокси-сервера.
  • Включить протокол WPAD. Указывает, включен ли протокол WPAD.

Кроме того, можно задать параметры Wi-Fi одновременно на нескольких устройствах.

  • Разрешить автоматическое подключение к хот-спотам «Контроль Wi-Fi». Указывает, может ли устройство автоматически обнаруживать сети Wi-Fi и подключаться к ним.
  • Разрешить ручную настройку Wi-Fi. Указывает, может ли пользователь вручную настроить параметры Wi-Fi.
  • Разрешить использование Wi-Fi. Указывает, включено ли оборудование Wi-Fi.
  • Разрешить общий Интернет. Разрешить или запретить общий доступ к Интернету.
  • Режим сканирования беспроводных сетей. Указывает, насколько активно устройство сканирует пространство на наличие сетей Wi-Fi.

Дополнительные сведения о параметрах профиля подключения Wi-Fi см. в статьях Поставщик служб конфигурации Wi-Fi и Поставщик служб конфигурации Policy.

Профили APN

Область применения: корпоративные устройства

Имя точки доступа (APN) определяет сетевые пути для подключений, используемых для передачи данных. Как правило, определяется одно имя APN для устройства в сотрудничестве с мобильным оператором, однако если компания пользуется услугами нескольких мобильных операторов, можно определить несколько APN. APN обеспечивает закрытое подключение к корпоративной сети, которое недоступно другим компаниям в сети мобильного оператора. Можно определить и развернуть профили APN в системах MDM, настраивающих подключение для передачи данных для Windows 10 Mobile. Устройства под управлением Windows 10 Mobile могут иметь только один профиль APN. В следующей таблице перечислены параметры профилей APN в системе MDM, поддерживаемые в Windows 10 Mobile.

  • Имя точки доступа. Имя, присвоенное точке доступа.
  • Тип соединения IP. Тип соединения IP. Можно задать одно из следующих значений:
    • Только IPv4
    • Только IPv6
    • IPv4 и IPv6 параллельно друг другу
    • IPv6 и предоставляемый 46xlat протокол IPv4
  • Регистрация по стандарту LTE. Указывает, следует ли регистрировать точку доступа посредством процедуры LTE Attach.
  • Идентификатор класса точки доступа. Глобальный уникальный идентификатор, определяющий класс точки доступа для модема.
  • Тип проверки подлинности точки доступа. Тип проверки подлинности точки доступа. Можно задать одно из следующих значений:
    • Нет
    • Авто
    • PAP
    • CHAP
    • MSChapv2
  • Имя пользователя. Учетная запись пользователя, когда пользователь выбирает проверку подлинности по протоколу PAP, CHAP или MSCHAPv2 в поле «Тип проверки подлинности точки доступа».
  • Пароль. Пароль для учетной записи пользователя, указанной в поле «Имя пользователя».
  • Идентификатор интегрированной сетевой карты. Идентификатор интегрированной сетевой карты, связанный с профилем мобильного подключения.
  • Всегда активно. Указывает, будет ли диспетчер подключений автоматически пытаться подключиться к доступным точкам доступа.
  • Подключение активно. Указывает, активно ли подключение к точке доступа.
  • Разрешить пользовательский контроль. Разрешает пользователям подключаться к сторонним точкам доступа, которые не являются корпоративными.
  • Запретить просмотр. Указывает, разрешает ли интерфейс сотовой сети просмотр пользователями корпоративных точек доступа.

Дополнительные сведения о параметрах APN см. в разделе Поставщик службы шифрования APN.

Прокси-сервер

Область применения: корпоративные устройства

Ниже перечислены параметры Windows 10 Mobile для управления настройками прокси-сервера APN для подключения устройств Windows 10 Mobile.

  • Имя подключения. Указывает имя подключения, с которым связан прокси-сервер (имя точки доступа для настроенного подключения).
  • Не использовать локально. Указывает, следует ли обходить прокси-сервера при доступе устройства к локальным узлам.
  • Включить. Указывает, включен ли прокси-сервер.
  • Исключение. Разделенный точкой с запятой список внешних узлов, при доступе к которым следует обходить прокси-сервера.
  • Имя пользователя. Указывает имя пользователя, которое используется при подключении к прокси-серверу.
  • Пароль. Указывает пароль, используемый при подключении к прокси-серверу.
  • Сервер. Указывает имя прокси-сервера.
  • Тип подключения к прокси-серверу. Тип подключения к прокси-серверу. Поддерживаются следующие типы: Null Proxy, HTTP, WAP, SOCKS4.
  • Порт. Номер порта для подключения к прокси-серверу.

Дополнительные сведения о параметрах прокси-сервера см. в разделе Поставщик служб шифрования CM_ProxyEntries.

VPN

Область применения: корпоративные и персональные устройства

Организации часто используют VPN для управления доступом к приложениям и ресурсам в интрасети компании. Помимо собственного туннельного протокола точка — точка (PPTP) Microsoft и VPN-соединений по протоколу L2TP и IKEv2, Windows 10 Mobile также поддерживает VPN-соединения по протоколу SSL. Для этого требуется подключаемый модуль, который можно загрузить в Магазине Windows (в соответствии с конкретным поставщиком VPN). Эти подключаемые модули выполняют функцию приложений, и их можно установить непосредственно из Магазина Windows с помощью системы MDM (см. раздел «Управление приложениями»).

Можно создать и подготовить профили нескольких подключений VPN, а затем развернуть их на управляемых устройствах под управлением Windows 10 Mobile. Чтобы создать профиль VPN, который использует собственные протоколы VPN Windows 10 Mobile (IKEv2, PPTP или L2TP), можно использовать следующие параметры.

  • Серверы VPN. Сервер VPN для профиля VPN.
  • Тип политики маршрутизации. Тип политики маршрутизации, используемый профилем VPN. Можно задать одно из следующих значений:
    • Разделение туннеля Только сетевой трафик, предназначенный для интрасети, проходит через VPN-подключение.
    • Принудительное использование туннеля Весь трафик проходит через VPN-подключение
  • Тип протокола туннелирования. Протокол туннелирования, используемый для профилей VPN, основанных на собственных VPN-протоколах Windows 10 Mobile. Может иметь одно из следующих значений: PPTP, L2TP, IKEv2, «Автоматически».
  • Метод проверки подлинности пользователей. Метод проверки подлинности пользователей для VPN-подключения может принимать значение «EAP» или «MSChapv2» (Windows 10 Mobile не поддерживает выбор MSChapv2 для VPN-подключений по протоколу IKEv2).
  • Сертификат компьютера. Сертификат компьютера, используемый для VPN-подключений по протоколу IKEv2.
  • Конфигурация EAP. Чтобы создать единый интерфейс входа в систему для пользователей VPN, использующих проверку подлинности на основе сертификатов, необходимо создать XML-файл конфигурации протокола EAP и добавить его в профиль VPN.
  • L2tpPsk. Общий ключ, используемый для подключения по L2TP.
  • Пакет средств криптографической защиты. Позволяет выбрать атрибуты пакета средств криптографической защиты, используемых для туннелирования IPsec.

Примечание. Самый простой способ создать профиль для единого входа в систему с использованием XML-файла конфигурации EAP— с помощью средства Rasphone на компьютере с Windows 10. После запуска rasphone.exe откроется мастер конфигурации, где доступны соответствующие пошаговые инструкции. Пошаговые инструкции по созданию большого двоичного объекта XML для конфигурации EAP см. в разделе «Конфигурация EAP». Такой большой двоичный объект XML можно использовать в системе MDM для создания профиля VPN на смартфоне Windows 10 Mobile. Если на устройствах установлено несколько сертификатов, возможно, потребуется настроить условия фильтрации для автоматического выбора сертификата. Таким образом, сотрудникам не придется каждый раз выбирать сертификат проверки подлинности при включении VPN. Дополнительные сведения см. в этой статье. Windows 10 для компьютеров и Windows 10 Mobile используют один и тот же клиент VPN.

Подключаемые модули VPN, доступные в Магазине Windows, позволяют создать профиль подключаемого модуля VPN со следующими атрибутами.

  • Сервер VPN. Разделенный запятыми список серверов VPN. Указывать серверы можно в виде URL-адреса, полного доменного имени или IP-адреса.
  • Пользовательская конфигурация. Большой двоичный XML-объект в формате HTML для сведений о конфигурации подключаемого модуля VPN с протоколом SSL (например, сведения для проверки подлинности), требуемый поставщиком подключаемого модуля.
  • Имя семейства подключаемых модулей VPN из Магазина Windows. Задает имя семейства пакетов Магазина Windows для подключаемого модуля VPN из Магазина Windows.

Кроме того, для каждого VPN-профиля можно задать следующие атрибуты.

  • Список приложений запуска. Для каждого профиля VPN можно задать список приложений запуска. Приложения, указанные в списке, автоматически запускают профиль VPN для подключения к интрасети. Если для обслуживания нескольких приложений требуется несколько профилей, то операционная система автоматически создает VPN-подключение при переключении пользователя между приложениями. Одновременно может быть активным только одно VPN-подключение. Если устройство разрывает VPN-подключение, Windows 10 Mobile автоматически повторно подключается к VPN без участия пользователя.
  • Список маршрутов. Список маршрутов, добавляемых в таблицу маршрутизации для интерфейса VPN. Это необходимо для разделения вариантов тунеллирования в тех случаях, когда узел сервера VPN содержит несколько подсетей, которые назначены интерфейсу подсетью по умолчанию на основе IP-адресов.
  • Список сведений о доменных именах. Правила таблицы политики разрешения имен для профиля VPN.
  • Список фильтров трафика. Задает список правил. Через интерфейс VPN можно отправить только трафик, который соответствует этим правилам.
  • DNS-суффиксы. Разделенный запятыми список суффиксов DNS для VPN-подключения. Любые DNS-суффиксы из этого списка автоматически добавляются в список поиска суффиксов.
  • Прокси-сервер. Прокси-сервер, необходимый для поддержания VPN-подключения после его установки (если он требуется), включая имя прокси-сервера и URL-адрес автоматической конфигурации прокси-сервера. Указывает URL-адрес для автоматического извлечения параметров прокси-сервера.
  • Всегда подключено. Компоненты Windows 10 Mobile всегда подключены по VPN, что позволяет автоматически запускать VPN-подключение при входе пользователя в систему. VPN-подключение сохраняется до тех пор, пока не будет вручную отключено пользователем.
  • Запомнить учетные данные. Указывает, кэширует ли VPN-подключение учетные данные.
  • Обнаружение доверенной сети. Разделенный запятыми список доверенных сетей, который запрещает устанавливать VPN-подключение, если интрасеть доступна напрямую (по Wi-Fi).
  • Идентификатор режима защиты корпоративных данных. Корпоративный идентификатор (необязательное поле), позволяющий автоматически запускать VPN в зависимости от приложения, которое определено политикой Windows Information Protection.
  • Соответствие устройства политике. В случае если устройство соответствует политике, для VPN настраивается условный доступ через Azure AD и разрешается единый вход с использованием сертификата, отличного от сертификата проверки подлинности VPN для аутентификации Kerberos.
  • VPN-профиль блокировки. VPN-профиль блокировки имеет следующие характеристики:
    • Это постоянно подключенный VPN-профиль.
    • Отключить его невозможно.
    • Если VPN-профиль не подключен, у пользователя отсутствует подключение к сети.
    • Никакие другие VPN-профили невозможно подключить или изменить.
  • ProfileXML. Если используемая система MDM не поддерживает все параметры VPN, которые вы хотите настроить, можно создать XML-файл для определения профиля VPN и применить его ко всем требуемым полям.

Дополнительные сведения о профилях VPN см. в разделе Поставщик служб шифрования VPNv2

Некоторые параметры устройств для управления подключениями VPN позволяют управлять VPN-соединениями посредством подключений для передачи данных. Это, в свою очередь, помогает снизить затраты на роуминг и расходы по тарифному плану.

  • Разрешить VPN. Указывает, могут ли пользователи изменять параметры VPN.
  • Разрешить передачу данных VPN по сотовой сети. Указывает, могут ли пользователи устанавливать VPN-подключения по мобильным сетям.
  • Разрешить передачу данных VPN по сотовой сети в роуминге. Указывает, могут ли пользователи устанавливать VPN-подключения по мобильным сетям, находясь в роуминге.

Управление хранением

Область применения: корпоративные и персональные устройства

Защита приложений и данных, сохраненных на устройстве, имеет критическое значение для безопасности устройства. Одним из методов защиты приложений и данных является шифрование внутреннего хранилища устройства. В Windows 10 Mobile такой подход позволяет защитить корпоративные данные от несанкционированного доступа, даже если несанкционированный пользователь получает физический доступ к устройству.

В Windows 10 Mobile также реализована возможность установки приложений на защищенную цифровую SD-карту. Операционная система сохраняет приложения в разделе, который специально для этого предназначен. Эта функция активна всегда, поэтому для ее включения не нужно явно задавать никакую политику.

Между SD-картой и устройством создается уникальная парная связь. Никакие другие устройства не видят приложения и данные, сохраненные в этом зашифрованном разделе, однако они имеют доступ к данным, сохраненным в незащищенном разделе SD-карты, например музыке или фото. Таким образом, пользователи могут использовать SD-карты и при этом обеспечить защиту конфиденциальных приложений и данных.

Можно отключить параметр Разрешить использование карт памяти, чтобы запретить пользователям использовать SD-карты в полном объеме. Если шифрование хранилища не выполняется, защитить корпоративные приложения и данные можно с помощью параметров «Ограничить распространение данных приложения системным томом» и «Ограничить распространение приложений системным томом». Это позволяет предотвратить копирование пользователями приложений и данных на SD-карты.

Далее перечислены параметры управления хранилищем в MDM, которые поддерживаются в Windows 10 Mobile.

  • Разрешить использование карт памяти. Указывает, разрешено ли использование карт памяти для хранения данных.
  • Требуется шифрование данных. Указывает, шифруется ли внутреннее хранилище (если устройство шифруется, отключить шифрование с помощью политики невозможно).
  • Метод шифрования. Задает метод шифрования диска с помощью BitLocker и строгость шифра. Может иметь одно из следующих значений:
    • AES-CBC (128-битное)
    • AES-CBC (256-битное)
    • XTS-AES (128-битное) — это значение по умолчанию
    • XTS-AES (256-битное)
  • Разрешить применение политики алгоритма на основе FIPS. Указывает, разрешает ли устройство использование политики алгоритма на федерального стандарта обработки информации (FIPS).
  • Пакеты средств криптографической защиты SSL. Задает список разрешенных криптографических алгоритмов шифрования для SSL-подключений.
  • Ограничить распространение данных приложения системным томом. Указывает, будет ли распространение данных приложения ограничено только системным томом.
  • Ограничить распространение приложений системным томом. Указывает, будет ли распространение приложений ограничено только системным томом.

Приложения

Область применения: корпоративные и персональные устройства

Эффективность работы пользователей на мобильных устройствах зачастую зависит от приложений.

Windows 10 позволяет разрабатывать такие приложения, которые поддерживают работу на нескольких устройствах, используя универсальную платформу Windows (UWP) для приложений Windows. UWP предоставляет единую платформу приложений для всех устройств под управлением ОС Windows 10, обеспечивая, таким образом, возможность работы приложений без доработки во всех выпусках Windows 10. Это экономит время и ресурсы разработчиков, позволяя быстрее и эффективнее создавать приложения для пользователей мобильных устройств. Такая модель, позволяющая запускать приложение из любого места после однократной записи также позволяет повысить эффективность работы пользователей благодаря доступности удобного привычного интерфейса на устройствах любого типа.

Чтобы обеспечить совместимость с существующими приложениями, на устройствах Windows 10 Mobile по-прежнему поддерживается работа приложений Windows Phone 8.1, что значительно упрощает переход на новую платформу. Корпорация Майкрософт рекомендует перенести приложения на платформу UWP, чтобы в полной мере оценить все преимущества Windows 10 Mobile. Кроме того, в целях простого и удобного обновления существующих приложений Windows Phone 8.1 (Silverlight) и iOS на платформе UWP, разработаны специальные мосты.

Корпорация Майкрософт также упростила для организаций лицензирование и приобретение приложений UWP в Магазине Windows для бизнеса, а также их развертывание на устройствах сотрудников с помощью Магазина Windows или системы MDM., которую можно интегрировать в Магазин Windows для бизнеса. Беспрепятственный доступ мобильных сотрудников к приложениям имеет критически важное значение. Однако при этом необходимо обеспечить соответствие приложений корпоративным политикам в отношении безопасности данных.

Дополнительные сведения об универсальных приложениях для Windows см. в разделе Руководство по работе с универсальной платформой Windows (UWP) или в разделе Запрос быстрого запуска: универсальные приложения для Windows в Visual Studio. См. также раздел Перенос приложений в Windows 10.

Магазин Windows для бизнеса: поиск подходящего приложения

Область применения: корпоративные и персональные устройства

Первый шаг в управлении приложениями — получение приложений, которые нужны пользователям. Можно разрабатывать собственные приложения или найти нужные приложения в Магазине Windows. В Windows Phone 8.1 для получения и установки приложений из Магазина Windows требовалась учетная запись Майкрософт. В Магазине Windows для бизнеса пользователи могут приобрести приложения для сотрудников в частном хранилище Магазина Windows. Для этого установка учетной записи Майкрософт на устройствах Windows 10 не требуется.

Магазин Windows для бизнеса — это веб-портал, используемый ИТ-администраторами для поиска, приобретения, распространения приложений на устройствах Windows 10 и управления такими приложениями.

Диспетчеры Azure AD, прошедшие проверку подлинности, получают доступ к параметрам и функциям Магазина Windows для бизнеса. Менеджеры магазина могут создавать частные категории приложений специально для конкретных компаний. Дополнительные сведения о конкретных учетных записях Azure AD, которые имеют доступ к Магазину Windows для бизнеса, можно получить здесь. Магазин Windows для бизнеса позволяет организациям приобретать лицензии на приложения и предоставлять своим сотрудникам доступ к таким приложениям. Разработчики, помимо коммерческих приложений, также могут публиковать в Магазине Windows для бизнеса бизнес-приложения по запросу. Кроме того, подписки Магазина Windows для бизнеса можно интегрировать с системами MDM. В этом случае система MDM распространяет приложения из Магазина Windows для бизнеса и осуществляет управление ими.

Магазин Windows для бизнеса поддерживает распространение приложений в рамках двух моделей лицензирования: интерактивной и автономной.

Интерактивная модель (управляется приложением «Магазин») — это рекомендуемый метод, который поддерживает сценарии развертывания как персональных, так и корпоративных устройств. Чтобы использовать интерактивную модель установки приложения, устройство на время установки должно иметь доступ к Интернету. Чтобы установить веб-приложения на корпоративные устройства, сотрудник может пройти проверку подлинности с помощью учетной записи Azure AD. Свое персональное устройство сотрудник должен зарегистрировать с использованием Azure AD, чтобы иметь возможность устанавливать интерактивные приложения с корпоративной лицензией. Пользователи корпоративных устройств могут загрузить лицензированные корпоративные приложения с помощью приложения «Магазин» в частном каталоге на своем смартфоне. Если система MDM связана с Магазином для бизнеса, ИТ-администраторы могут предоставлять приложения из Магазина непосредственно в системном каталоге приложений MDM, откуда пользователи могут самостоятельно загрузить и установить их. ИТ-администраторы могут также передавать необходимые приложения непосредственно на устройства сотрудников без вмешательства владельцев.

Сотрудники, которые используют персональные устройства, могут устанавливать приложения с корпоративной лицензией, используя приложение «Магазин» непосредственно на своем устройстве. Чтобы приобрести персональные приложения, можно использовать учетную запись Майкрософт или учетную запись Azure AD. Если пользователям, использующим корпоративные устройства, разрешено добавить вспомогательную учетную запись Майкрософт, то приложение «Магазин» предоставляет на устройстве единый способ для установки личных и корпоративных приложений.

Для распространения приложений с сетевыми лицензиями и управления ими не требуется переносить их или загружать из Магазина Windows в систему MDM. Если сотрудник выбирает приложение, принадлежащее компании, оно будет автоматически установлено из облака. Кроме того, приложения автоматически обновляются по мере появления новый версий. При необходимости их также можно удалить. Когда приложение удаляется с устройства пользователем или системой MDM, лицензия возвращается в Магазин Windows для бизнеса для повторного использования другим пользователем или на другом устройстве.

Для распространения приложения в автономном режиме (управление осуществляется компанией) его следует загрузить из Магазина Windows для бизнеса. Это может сделать авторизованный администратор в Магазине Windows для бизнеса. Для автономного лицензирования разработчику приложений необходимо подтвердить выбранную модель лицензирования, так как Магазин Windows больше не отслеживает лицензии для разработчиков. Если разработчик приложения не разрешит загрузку приложения Магазина Windows, необходимо будет получить файлы непосредственно у разработчика или воспользоваться сетевой лицензией.

Чтобы в автономном режиме установить на устройство Windows 10 Mobile приложения, приобретенные в Магазине Windows, или бизнес-приложения, ИТ-администратор может использовать систему MDM. Система MDM распространяет пакеты приложения, загруженные из Магазина Windows (т. н. «загрузка неопубликованного приложения»), на устройства Windows 10 Mobile. Возможность распространения автономных приложений поддерживается не всеми системами MDM. Дополнительные сведения см. в документации, предоставленной поставщиком MDM. Можно полностью автоматизировать процедуру развертывания приложений и полностью исключить вмешательство пользователей.

Приложения Магазина Windows или бизнес-приложения, загруженные в Магазин Windows для бизнеса, автоматически считаются доверенными приложениями для устройств с Windows, поскольку они криптографически подписаны сертификатами Магазина Windows. Бизнес-приложения, загруженные в Магазин Windows для бизнеса, являются частными приложениями организации и никогда не отображаются для сторонних пользователей и компаний. Если вы не хотите загружать бизнес-приложения в Магазин Windows для бизнеса, необходимо установить доверие для приложений на устройствах. Чтобы установить доверие, необходимо создать сертификат для подписи, используя инфраструктуру открытого ключа, и добавить цепь доверия к доверенным сертификатам на устройстве (см. раздел «Сертификаты»). На одно устройство с Windows 10 Mobile можно установить до 20 самоподписанных бизнес-приложений. Чтобы установить более 20 приложений на устройство, можно приобрести сертификат для подписи у доверенного открытого Центра сертификации или обновить операционную систему устройства до выпуска Windows 10 Mobile Корпоративная.

Дополнительные сведения о Магазине Windows для бизнеса.

Управление приложениями

Область применения: корпоративные устройства

ИТ-администраторы могут определять, какие приложения разрешено устанавливать на устройства с Windows 10 Mobile, а также контролировать способ их обновления.

В Windows 10 Mobile доступна функция AppLocker, которая позволяет администраторам создавать списки приложений, запрещенных и разрешенных для загрузки из Магазина Windows (т.н. «черные» и «белые» списки). Эта функция распространяется и на встроенные приложения (например, Xbox, Groove, текстовые сообщения, электронная почта и календарь и т. д.). Возможность разрешить или запретить установку того или иного приложения гарантирует, что пользователи будут использовать свои мобильные устройства строго по назначению. Тем не менее, далеко не всегда удается найти баланс между требованиями безопасности и запросами и потребностями сотрудников. Для создания списков разрешенных и запрещенных приложений необходимо всегда быть в курсе новых приложений в Магазине Windows.

Дополнительные сведения см. в разделе Поставщик служб шифрования AppLocker.

Помимо управления разрешенными приложениями, ИТ-специалисты также могут применять в Windows 10 Mobile дополнительные параметры для управления приложениями, используя для этого систему MDM.

  • Разрешить все доверенные приложения. Указывает, могут ли пользователи загружать на устройство неопубликованные приложения.
  • Разрешить автоматическое обновление приложений из Магазина. Указывает, разрешены ли автоматические обновления приложений из Магазина Windows.
  • Разрешить разблокировку разработчиком. Указывает, может ли разработчик разблокировать приложение.
  • Разрешить общий доступ к данным приложений. Указывает, могут ли несколько пользователей одного и того приложения совместно обращаться к его данным.
  • Разрешить использование Магазина. Указывает, разрешен ли запуск приложения Магазина Windows. Таким образом, пользователю будет полностью запрещена установка приложений из Магазина, но при этом распространение приложений через систему MDM будет разрешено.
  • Ограничения приложений. Большой двоичный XML-объект, который определяет ограничения приложений для устройства. Большой двоичный объект XML может содержать два списка приложений: список разрешений и список блокировок. Можно разрешать или блокировать приложения по идентификатору или издателю). См. описание AppLocker выше.
  • Запретить приложения, полученные из Магазина. Запрещает запуск всех приложений из Магазина Windows, которые были предварительно установлены или загружены до применения политики.
  • Использовать только частный магазин. Указывает, ограничен ли доступ пользователей в приложении «Магазин» на устройстве исключительно частным магазином. Если параметр включен, доступен только частный магазин. Если параметр отключен, пользователям доступен и розничный каталог, и частный магазин.
  • Ограничить распространение данных приложения системным томом. Указывает, будет ли распространение данных приложения ограничено только системным томом, или их хранение разрешено также на SD-карте.
  • Ограничить распространение приложения системным томом. Указывает, будет ли установка приложения разрешена только на системном томе или также на SD-карте.
  • Макет начального экрана. Большой двоичный XML-объект, используемый для настройки начального экрана. Подробнее об этом см. в статье Start layout for Windows 10 Mobile (Макет начального экрана для Windows 10 Mobile).

Дополнительные сведения см. в разделе параметров управления приложениями в статье Поставщик служб конфигурации Policy.

Защита от утечки данных

Область применения: корпоративные и персональные устройства

Одна из важнейших задач по защите корпоративных данных на мобильных устройствах — хранение таких данных отдельно от персональных данных. Большинство решений, доступных для разделения данных, требуют, чтобы пользователи, используя отдельные имена пользователя и пароли, выполняли вход в контейнер, в котором хранятся все корпоративные приложения и данные. Это существенно снижает производительность их работы.

Windows 10 Mobile включает Windows Information Protection для прозрачного обеспечения безопасности корпоративных данных и конфиденциальности личной информации. Система также автоматически помечает персональные и корпоративные данные и применяет политики для тех приложений, у которых есть доступ к данным, классифицируемым как «корпоративные». Это относится и к данным, которые хранятся в локальных хранилищах или на съемных накопителях. Поскольку корпоративные данные всегда защищены, пользователи не смогут копировать их в общедоступные расположения, например, в социальные сети или личную электронную почту.

Windows Information Protection поддерживается всеми приложениями, которые делятся на две категории: использующие эту функцию и не использующие ее. Приложения, которые используют эту функцию, способны различать корпоративные и персональные данные, правильно определяя, какие из них нуждаются в защите на основе политик. Корпоративные данные постоянно шифруются. Копирование и вставка этих данных невозможна, как и их публикация для приложений и пользователей, не являющихся частью корпоративной сети. Приложения, которые не используют указанную функцию, считают все данные корпоративными и по умолчанию применяют шифрование к любым данным.

Все приложения, разработанные на базе платформы UWA, поддерживают использование этой функции. Корпорация Майкрософт добавила эту функцию для нескольких самых популярных приложений, включая:

  • Microsoft Edge
  • Люди (Майкрософт)
  • Приложения Mobile Office (Word, Excel, PowerPoint и OneNote)
  • Почта и Календарь Outlook
  • Фотографии (Майкрософт)
  • Microsoft OneDrive
  • Музыка Groove
  • Кино и ТВ (Майкрософт)
  • Сообщения (Майкрософт)

В следующей таблице перечислены параметры, которые можно настроить для Windows Information Protection:

  • Уровень принудительного применения.* Указывает принудительного применения механизмов защиты информации:
    • Выкл (без защиты)
    • В автоматическом режиме (только шифрование и аудит)
    • Режим переопределения (шифрование, командная строка и аудит)
    • Режим блокировки (шифрование, блокировка и аудит)
  • Корпоративные защищенные доменные имена.* Список доменных имен, которые предприятие использует для удостоверений своих пользователей. Удостоверения пользователей с одного из этих доменов считается учетной записью, управляемой предприятием, а данные, связанные с такой учетной записью, должны быть защищены.
  • Разрешить пользователям расшифровку. Разрешает пользователям дешифровать файлы. Если этот параметр не включен, пользователи не смогут удалять защиту из корпоративного содержимого с помощью инструментов ОС или через интерфейс пользователя в приложениях.
  • Требуется настройка защиты при блокировке. Указывает, требуется ли настраивать защиту при блокировке (также известную как шифрование под PIN-кодом).
  • Сертификат восстановления данных.* Указывает сертификат восстановления, который можно использовать для восстановления данных в зашифрованных файлах. Этот сертификат аналогичен сертификату агента восстановления данных (DRA), который используется для шифрования файловой системы и предоставляется только в системе MDM вместо групповой политики.
  • Отзывать при отмене регистрации. Указывает, следует ли отзывать ключи защиты данных при отмене регистрации устройства в службе управления.
  • Идентификатор шаблона RMS для защиты информации. Разрешает ИТ-администратору указывать, кто из пользователей будет иметь доступ к файлам с защитой RMS и в течение какого периода.
  • Разрешить использование Azure RMS для защиты информации. Указывает, разрешено ли использовать шифрование Azure RMS для защиты данных.
  • Показывать значки защиты информации. Указывает, будут ли добавляться наложения для значков защищенных файлов в веб-браузере и плиток корпоративных приложений в меню «Пуск».
  • Статус. Битовая маска со свойством «только для чтения», которая указывает текущее состояние защиты данных на устройстве. Служба MDM может использовать это значение, чтобы определить текущее общее состояние защиты данных.
  • Корпоративный диапазон IP-адресов.* Диапазоны IP-адресов предприятия, которые определяют компьютеры в корпоративной сети. Данные, поступающие с этих компьютеров, считаются корпоративными, и для них обеспечивается соответствующая защита.
  • Доменные имена корпоративной сети.* Список доменов, определяющих границы корпоративной сети. Данные, отправляемые с такого домена на устройство, считаются корпоративными, и для них обеспечивается соответствующая защита.
  • Корпоративные облачные ресурсы. Список доменов корпоративных ресурсов, размещенных в облаке, для которых требуется обеспечить защиту.

Примечание. Звездочкой (*) помечены обязательные политики Windows Information Protection. Чтобы обеспечить эффективную работу Windows Information Protection, необходимо настроить AppLocker и параметры изолирования сети (в частности, «Диапазон IP-адресов предприятия» и «Доменные имена корпоративной сети»). Таким образом, определяется источник всех корпоративных данных, для которых требуется защита, а также гарантируется, что данные, запись которых выполняется в эти расположения, не будут зашифрованы с использованием ключа шифрования пользователя (чтобы остальные пользователи в компании имели к ним доступ.

Дополнительные сведения о Windows Information Protection см. в разделе Поставщик служб шифрования EnterpriseDataProtection и в серии специализированных статей защита корпоративных данных с помощью Windows Information Protection.

Управление действиями пользователя

Область применения: корпоративные устройства

Некоторые действия пользователей на корпоративных устройствах подвергают корпоративные данные нежелательному риску. Например, пользователь может во внутреннем бизнес-приложении создать снимок экрана, содержащий корпоративные данные. Чтобы свести эти риски к минимуму, можно ограничить возможности пользователей Windows 10 Mobile, защитить корпоративные данные и предотвратить утечку данных. Далее продемонстрирована работа этих функций, которые можно использовать для предотвращения утечки данных.

  • Разрешить копирование и вставку. Указывает, разрешено ли пользователям выполнять копирование и вставку содержимого.
  • Разрешить использовать Кортану. Указывает, может ли пользователь использовать на устройстве Кортану (если она доступна).
  • Разрешить обнаружение устройств. Указывает, доступна ли функция обнаружения устройства на экране блокировки (например, с помощью этого параметра можно контролировать, может ли устройство обнаружить проектор или другие устройства, когда отображается экран блокировки).
  • Разрешить персонализацию ввода. Указывает, можно ли отправлять за пределы устройства или сохранять локально информацию, позволяющую установить личность пользователя (обучение Кортаны, рукописный ввод, диктовку).
  • Разрешить вручную отменять регистрацию в MDM. Указывает, разрешено ли пользователям удалять рабочую учетную запись (т.е. отменять регистрацию устройства в системе MDM).
  • Разрешить снимки экрана. Указывает, разрешено ли пользователям делать снимки экрана на устройстве.
  • Разрешить отображение приглашения в диалоговом окне «Ошибка SIM-карты». Указывает, разрешено ли отображение приглашения в диалоговом окне, если SIM-карта не установлена в устройство.
  • Разрешить синхронизацию моих параметров. Указывает, выполняется ли синхронизация параметров пользовательского интерфейса между устройства (работает только с учетными записями Майкрософт).
  • Разрешить отображать всплывающие уведомления поверх экрана блокировки. Указывает, могут ли пользователи просматривать всплывающие уведомления на экране блокировки устройства.
  • Разрешить запись речи. Указывает, разрешено ли пользователям выполнять запись речи.
  • Не показывать уведомления обратной связи. Запрещает устройствам отображать вопросы от Майкрософт в рамках обратной связи.
  • Разрешить диспетчер задач. Разрешает или запрещает использовать переключение задач на устройстве во избежание отображения экранов закрытых приложений в диспетчере задач.
  • Включить автоматическое обновление автономных карт. Отключает автоматическое скачивание и обновление данных карт.
  • Разрешить загрузку автономных карт посредством лимитного подключения. Разрешает скачивать и обновлять данные карт посредством лимитных подключений.

Дополнительные сведения см. в настройках интерфейса в статье «Поставщик службы шифрования Policy».

Microsoft Edge

Область применения: корпоративные и персональные устройства

Системы MDM также позволяют управлять приложением Microsoft Edge на мобильных устройствах. Microsoft Edge — единственный браузер, доступный на устройствах с Windows 10 Mobile. Этот браузер несколько отличается от версий для настольного компьютера. В нем не поддерживается Flash и расширения. Edge также представляет собой удобное средство просмотра PDF. Управление этим браузером и его интеграция осуществляется с помощью Windows Information Protection.

Можно управлять следующими параметрами Microsoft Edge в Windows 10 Mobile.

  • Разрешить использование браузера. Указывает, могут ли пользователи запускать Microsoft Edge на устройстве.
  • Разрешить заголовки «Не отслеживать». Указывает, разрешены ли заголовки «Не отслеживать».
  • Разрешить режим InPrivate. Указывает, могут ли пользователи работать в Интернете в режиме InPrivate.
  • Разрешить использовать диспетчер паролей. Указывает, могут ли пользователи использовать диспетчер паролей для локального сохранения паролей и управления ими.
  • Разрешить варианты поиска в адресной строке. Указывает, отображаются ли варианты поиска в адресной строке
  • Разрешить фильтр SmartScreen. Указывает, включен ли фильтр SmartScreen.
  • Файлы cookie. Указывает, разрешены ли файлы cookie.
  • Избранное. Настройка избранных URL-адресов.
  • URL-адрес при первом запуске. URL-адрес, который должен открываться при первом запуске пользователем Microsoft Edge.
  • Запретить переопределение предупреждения SmartScreen. Указывает, могут ли пользователи переопределять предупреждения SmartScreen для URL-адресов.
  • Запретить переопределение предупреждений SmartScreen для файлов. Указывает, могут ли пользователи переопределять предупреждения SmartScreen для файлов.

Управление

Желание обеспечить пользователей актуальными технологиями, характерное для ИТ-отделов организаций, должно быть согласовано с возможностью обеспечения безопасности и необходимостью контроля расходов. Поскольку кибератаки становятся обычным явлением, очень важно поддерживать надлежащее состояние устройств с Windows 10 Mobile. ИТ-отделу требуются инструменты управления параметрами конфигурации, чтобы обеспечивать постоянное соответствие политикам, а также принудительно задать список устройств, у которых есть доступ к внутренним приложениям. Windows 10 Mobile предоставляет функции управления мобильными операциями, которые позволяют обеспечить полное соответствие устройств корпоративным политикам.

Параметры обслуживания

Оптимизированный процесс обновления

Область применения: корпоративные и персональные устройства

Корпорация Майкрософт оптимизировала цикл разработки и выпуска продуктов таким образом, чтобы еще быстрее выпускать новые компоненты, интерфейсы и функции Windows, востребованные рынком. Корпорация Майкрософт планирует выпускать по два обновления компонентов в год (12 месяцев). При обновлении компонентов устанавливается Current Branch и используется связанная версия.

Branch Версия Дата выпуска
Current Branch 1511Ноябрь 2015 г.
Current Branch for Business 1511Март 2016 г.
Current Branch 1607Июль, 2016 г.

Корпорация Майкрософт также планирует выпускать и устанавливать ежемесячные обновления безопасности и стабильности непосредственно на устройствах с Windows 10 Mobile. Эти обновления качества, выпускаемые под контролем Майкрософт посредством Центра обновления Windows, доступны для всех устройств с Windows 10 Mobile. Обновления компонентов и обновления качества устанавливаются на устройства с Windows 10 Mobile в рамках одного стандартного процесса обновления.

Обновления качества, как правило, имеют меньший размер, чем обновления компонентов, однако процесс и интерфейс их установки во многом похож, хотя для установки обновлений большего размера требуется больше времени. Для управления интерфейсом и процессом обновления на устройствах с Windows 10 Mobile после обновления ОС до выпуска Корпоративная корпоративные клиенты могут использовать систему MDM. В большинстве случаев для управления процессом обновлениям как компонентов, так и качества применяются политики.

Майкрософт стремится обеспечить автоматическое обновление устройств с Windows 10 Mobile, которое не будет нарушать работу пользователей. Устройства с Windows 10 Mobile изначально поддерживают функцию автоматической проверки наличия доступных обновлений. Тем не менее, в зависимости от сети, к которой принадлежит устройство, и статуса питания, методы и сроки обновления могут различаться.

Сетевое подключение Описание Автоматическая проверка Автоматическая загрузка Автоматическая установка Автоматическая перезагрузка
Wi-Fi Устройство подключено к персональной или корпоративной Wi-Fi (без платы за передачу данных) ДаДа/td> ДаДа — в нерабочее время (принудительная перезагрузка через 7 дней, если пользователь выбрал отложенную перезагрузку)
Мобильная связь Устройство подключено только к мобильной сети (применяются стандартные тарифы за передачу данных) Ежедневная проверка пропускается, если проверка успешно выполнена в течение последних 5 днейВыполняется только в том случае, если пакет обновления имеет небольшой размер и не превышает лимит трафика. ДаТак же
Мобильная сеть — роуминг Устройство подключено только к мобильной сети; применяются тарифы, действующие в роуминге НетНет НетТак же

Отслеживание выпусков обновлений

Область применения: корпоративные и персональные устройства

Корпорация Майкрософт регулярно публикует обновления компонентов для Windows 10 и Windows 10 Mobile. Страница сведений о выпуске Windows поможет вам определить, установлены ли на вашем устройстве все актуальные обновления компонентов и качества для Windows 10. Сведения о выпуске, приведенные на этой странице, относятся к Windows 10 для компьютеров и к Windows 10 Mobile. Кроме того на странице журнала Центра обновления Windows вы сможете ознакомиться с подробным описанием этих обновлений.

Примечание. Мы приглашаем специалистов по ИТ принять участие в программе предварительной оценки Windows и протестировать обновления до их официального выпуска, чтобы сделать Windows 10 Mobile еще лучше. Если у вас возникли проблемы, отправьте свой отзыв через Центр отзывов.

Windows как услуга

Область применения: корпоративные и персональные устройства

Корпорация Майкрософт разработала новый способ доставки и установки обновлений для Windows 10 Mobile непосредственно на устройства без подтверждения мобильным оператором. Эта функция позволяет упростить развертывание обновлений и управление ими, а также расширить базу сотрудников, которые вправе получать актуальные обновлений компонентов и интерфейсов Windows. Данная функция также помогает снизить стоимость владения для организаций, которым больше не требуется управление обновлениями для обеспечения безопасности устройств.

Доступность обновлений зависит от типов обслуживания, выбранных для конкретного устройства. В таблице ниже приведены следующие типы обслуживания:

Тип обслуживания Доступность новых компонентов для установки Минимальный срок обслуживания Главные преимущества Поддерживаемые выпуски
Сборки участников программы предварительной оценки Windows Если это необходимо на этапе разработки, предоставляется только участникам программы предварительной оценки Windows Может варьироваться (до выпуска следующей сборки, предназначенной для участников программы предварительной оценки Windows)Позволяет участникам программы предварительной оценки Windows протестировать совместимость новых компонентов и приложений до выпуска обновления компонента/td> Mobile
Current Branch (CB) Непосредственно после публикации корпорацией Майкрософт обновления компонента в Центре обновления Windows Как правило, корпорация Майкрософт выпускает два обновления компонентов в год (12 месяцев) — то есть, примерно раз в четыре месяца, хотя интервал между выпусками может быть более продолжительнымДелает новые возможности доступными для пользователей как можно скорее Mobile и Mobile Корпоративная
Current Branch for Business (CBB) Не менее 4 месяцев после первой публикации корпорацией Майкрософт соответствующего обновления компонента в Центре обновления Windows Не менее 4 месяцев, хотя интервал между обновлениями может быть более продолжительнымОбеспечивает более продолжительное время тестирования нового компонента до его развертывания Только Mobile Корпоративная

выпуск Корпоративная

Область применения: корпоративные устройства

Хотя Windows 10 Mobile позволяет развертывать обновления из Центра обновления Windows непосредственно на пользовательских устройства, многие организации хотят иметь возможность отслеживать, тестировать и настраивать расписание обновлений для корпоративных устройств. Чтобы обеспечить такую возможность, мы разработали выпуск Windows 10 Mobile Корпоративная.

После обновления до выпуска Windows 10 Mobile Корпоративная следующие функции управления устройствами и приложениями будут доступны для организаций, которым требуется:

  • Откладывать развертывание обновлений компонентов и исправлений с целью их предварительного тестирования: устройства с Windows 10 Mobile получают обновления непосредственно из Центра обновления Windows. Чтобы проверить обновления до их развертывания, требуется обновление до выпуска Windows 10 Mobile Корпоративная. После активации выпуска Корпоративная для смартфона можно настроить тип обслуживания «Current Branch for Business», что дает ИТ-отделу дополнительное время для тестирования обновлений перед выпуском.
  • Развертывать неограниченное количество самоподписанных бизнес-приложений на одном устройстве: чтобы использовать систему MDM для развертывания бизнес-приложений непосредственно на устройствах, необходимо криптографически подписывать пакеты программного обеспечения с помощью сертификата подписи кода, созданного центром сертификации вашей организации. На устройстве Windows 10 Mobile можно развернуть не более 20 самоподписанных бизнес-приложений. Чтобы развернуть более 20 самоподписанных бизнес-приложений, требуется Windows 10 Mobile Корпоративная.
  • Задавать уровень телеметрии: корпорация Майкрософт собирает данные телеметрии для обеспечения безопасности устройств с Windows, а также для повышения качества работы служб Windows и Майкрософт. Для задания уровня телеметрии таким образом, чтобы выполнялся сбор только тех данных телеметрии, которые требуются для обеспечения безопасности устройства, требуется обновление до выпуска Windows 10 Mobile Корпоративная.

Дополнительные сведения о телеметрии см. в разделе Настройка телеметрии Windows для организации.

Чтобы активировать выпуск Windows 10 Mobile Корпоративная, можно воспользоваться системой MDM или подготовить пакет для установки лицензии Windows 10 Корпоративная на устройстве с Windows 10 Mobile. Лицензии можно получить на портале Volume Licensing. Файл лицензирования для целей тестирования можно получить в Центре загрузки MSDN. Требуется действующая подписка MSDN.

Сведения об обновлении устройства до выпуска Корпоративная с помощью Поставщика служб шифрования WindowsLicensing

Рекомендации. Корпорация Майкрософт рекомендует устанавливать выпуск Корпоративная только на корпоративных устройствах. После повышения версии понизить ее будет невозможно. Даже при уничтожении данных на устройстве или после возврата к заводским настройкам лицензия на выпуск Корпоративная не будет удалена с персональных устройств.

Отложенные обновления и подтверждение обновлений с помощью MDM

Область применения: корпоративные устройства с установленным выпуском Корпоративная

После обновления устройства до выпуска Windows 10 Mobile Корпоративная можно управлять устройствами, которые получают обновления из Центра обновления Windows (или Центра обновления Windows для бизнеса) с помощью набора политик обновления.

Чтобы управлять обновлениями компонентов, необходимо настроить для своих устройств тип обслуживания «Current Branch for Business (CBB)». Устройство, которое подписывается на CBB, будет ожидать следующей публикации CBB в Центре обновления Майкрософт. Хотя устройство будет ожидать обновлений компонентов вплоть до следующей публикации CBB, обновления качества по-прежнему доступны для устройства.

Для управления дополнительными политиками в отношении отложенных ежемесячных обновлений качества, необходимо задать желаемый период отсрочки. Если для устройств с Windows 10 Mobile доступны обновления качества из Центра обновления Windows, то такие обновления не будут установлены до истечения установленного периода отсрочки. Это дает специалистам по ИТ дополнительное время, чтобы оценить влияние обновлений на устройства и приложения.

Вы сможете протестировать обновления до распространения и установки, чтобы оценить совместимость с приложениями и потенциальные проблемы. Специалисты по ИТ могут также затребовать подтверждение обновлений. Таким образом, администраторы MDM смогут выбрать отдельные обновления и подтвердить их установку на устройстве, а также принять от имени пользователя условия лицензионного соглашения с пользователем (EULA), связанного с обновлением. Следует помнить, что в Windows 10 Mobile все обновления поставляются как пакет «обновления ОС», а не как отдельные исправления.

Вы можете настроить одинаковую обработку обновлений качества и обновлений компонентов, не дожидаясь выпуска следующей версии CBB для своих устройств. Это позволяет оптимизировать выпуск обновлений с использованием того же самого процесса утверждения и выпуска. Можно настроить различные периоды отсрочки для разных типов обновлений. В версии 1607 корпорация Майкрософт добавила дополнительные параметры политики, которые обеспечивают более точный контроль обновлений.

В процессе установки обновлений на устройствах можно приостановить развертывание обновлений на корпоративных устройствах. Например, развертывание обновления качества может отрицательно повлиять на работу некоторых моделей смартфонов или пользователи сообщают о том, что отдельные бизнес-приложения не могут подключиться к базе данных и обновить ее. Могут возникать проблемы, о которых не было известно во время начального тестирования. ИТ-специалисты могут приостановить обновление, чтобы изучить непредвиденные проблемы и найти решение.

В следующей таблице приведены сводные данные о применимых параметрах политики обновления для версии Windows 10 Mobile. Все параметры политики поддерживают обратную совместимость и учитываются в последующих выпусках обновлений компонентов. Сведения о поддержке таких параметров в конкретных системах MDM см. в документации по соответствующей системе MDM.

Действие (политика) Параметры версии 1511 Параметры версии 1607
Подпишите устройство на CBB, чтобы отложить обновления компонентов RequireDeferUpgrade Настройка отсрочки для обновления компонента до следующего выпуска CBB. Устройство будет получать обновления качества из Current Branch for Business (CBB). Настройка отсрочки для обновления компонента как минимум на 4 месяца после выпуска Current Branch. BranchReadinessLevel Настройка отсрочки для обновления компонента до следующего выпуска CBB. Устройство будет получать обновления качества из Current Branch for Business (CBB). Настройка отсрочки для обновления компонента как минимум на 4 месяца после выпуска Current Branch.
Отложить обновления DeferUpdatePeriod Отсрочка обновления качества на 4 недели или на 28 дней DeferQualityUpdatePeriodInDays Отсрочка обновлений компонентов и качества на период до 30 дней.
Подтверждение обновлений RequireUpdateApproval RequireUpdateApproval
Приостановка развертывания обновлений при установке подтвержденного обновления, приостановка развертывания обновления. PauseDeferrals Приостановка обновлений компонентов на период до 35 днейPauseQualityUpdates Приостановка обновлений компонентов на период до 35 дней

Управление интерфейсом обновлением

Область применения: корпоративные устройства с установленным выпуском Корпоративная

Настройте для своих сотрудников клиентский интерфейс обновлений с использованием политики Allowautomaticupdate. Это позволяет ИТ-специалистам определять поведение клиента обновления на устройствах при проверке, загрузке и установке обновлений.

Это может включать:

  • Уведомление пользователей перед загрузкой обновлений.
  • Автоматическая загрузка обновлений и последующее уведомление пользователей о расписании перезагрузки (это поведение используется по умолчанию, если политика не настроена).
  • Автоматическая загрузка обновлений и перезагрузка устройств с уведомлением пользователю.
  • Автоматическая загрузка обновлений и перезагрузка устройств в установленное время.
  • Автоматическая загрузка обновлений и перезагрузка устройств без вмешательства пользователя.
  • Отключение автоматических обновлений. Этот параметр следует использовать только для систем, соответствующих нормативным требованиям. Устройство не будет получать обновления.

Кроме того, в версии 1607 можно настроить время установки обновления на устройство сотрудника, что позволяет предотвратить перебои в работе компании и отдельных пользователей из-за установки обновления или перезагрузки. Можно настроить расписание установки обновлений и перезагрузки системы в нерабочее время (поддерживаются значения от 0 до 23, где 0 — 12:00, 1 — 1:00 и т. д.) или в конкретный день недели (поддерживаются значения от 0 до 7, где 0 — каждый день, 1 — воскресенье, 2 — понедельник и т. д.).

Управление источником обновления с помощью MDM

Область применения: корпоративные устройства с установленным выпуском Корпоративная

Хотя Windows 10 Корпоративная позволяет ИТ-администраторам отложить установку обновлений из Центра обновлений Windows, компаниям также могут потребоваться дополнительные средства контроля над процессами обновления. Учитывая эти требования, корпорация Майкрософт разработала Центр обновлений Windows для бизнеса. Центр обновления Windows для бизнеса, разработанный корпорацией Майкрософт, дает ИТ-администраторам дополнительные возможности управления, например возможность развертывать обновления на группах устройств и задавать временные периоды установки обновлений. Если используется система MDM, то использование Центра обновления Windows для бизнеса не является обязательным, так как управление этими компонентами доступно в системе MDM.

Подробнее о Центре обновления Windows для бизнеса.

С помощью параметра AllowUpdateService ИТ-администраторы могут настроить, откуда устройство будет получать обновления. Это может быть Центр обновления Майкрософт, Центр обновления Windows для бизнеса, или службы Windows Server Update Services (WSUS.

Управление обновления с помощью сервера Центра обновления Windows

Область применения: корпоративные устройства с установленным выпуском Корпоративная

При использовании WSUS следует задать параметр UpdateServiceUrl, чтобы разрешить устройствам проверять наличие обновлений с сервера WSUS, а не с Центра обновления Windows. Это особенно удобно для локальных систем MDM, если им требуется обновление устройств, которые не могут подключиться к сети Интернет (как правило, это наладонные устройства, используемые для выполнения задач, или другие устройства с Windows IoT).

Дополнительные сведения об управлении обновлениями с использованием служб Windows Server Update Services (WSUS)

Запрос статуса обновления устройства

Область применения: корпоративные и персональные устройства

Помимо настройки способа получения обновлений для выпуска Windows 10 Mobile Корпоративная, администратор MDM может также запрашивать сведения об обновлении от устройств с Windows 10 Mobile, чтобы сопоставить статус обновления со списком подтвержденных обновлений.

Запрос статуса обновления устройства предоставляет следующие сведения:

  • Установленные обновления: список обновлений, установленных на устройстве.
  • Обновления, готовые к установке: список доступных для установки обновлений.
  • Обновления, которые не удалось установить: список обновлений, которые не удалось установить, включая причину сбоя установки.
  • Ожидающие перезагрузки: список обновлений, для завершения установки которых требуется перезагрузка.
  • Время последнего успешного сканирования: время последнего успешного сканирования на наличие обновлений.
  • Отложенное обновление: указывает, отложено ли обновление до следующего цикла обновлений.

Работоспособность устройства

Область применения: корпоративные и персональные устройства

Служба подтверждения работоспособности устройства (DHA) — дополнительный способ защиты, впервые представленный в Windows 10 Mobile. Его можно использовать для удаленного обнаружения устройств, конфигурация которых недостаточно безопасна или они содержат уязвимости, которые могут легко эксплуатироваться во время атак злоумышленников.

Windows 10 Mobile обеспечивает легкую интеграцию с Microsoft Intune или сторонними решениями MDM, что позволяет оценить общую картину работоспособности устройства и его соответствия нормативным требованиям. Совместно используя такие решения, можно обнаружить устройства со взломанной ОС, отслеживать соответствие устройств нормативным требованиям, создавать отчеты о соблюдении нормативных требований, оповещать пользователей или администраторов о возникающих проблемах, инициировать действия по устранению неполадок и управлять условным доступом к ресурсам (например, Office 365 или VPN).

Первая версия службы подтверждения работоспособности устройства (DHA) выпущена в июне 2015 г. для устройств с Windows 10, которые поддерживали TPM 2.0 и работали в пределах корпоративной облачной сети. В юбилейном выпуске Windows 10 службы подтверждения работоспособности устройства (DHA) расширены с учетом устаревших устройств, которые поддерживают TPM 1.2, гибридные и локальные среды, имеющие доступ к сети Интернет или работающие в физически разделенной сети.

Функция аттестации работоспособности разработана на основе стандартов Open Mobile Alliance (OMA). ИТ-специалисты могут использовать DHA для проверки тех устройств, которые:

  • Запуск операционной системы Windows 10 (Мобильный телефон или компьютер)
  • Поддержка доверенных платформенных модулей (TPM 1.2 или 2.0) в дискретном формате или в формате микропрограммного обеспечения.
  • Управляются решением для управления устройствами с поддержкой DHA (Intune или стороннее решение MDM)
  • Работа в рамках облачных, гибридных, локальных или BYOD-сценариев

Решения для управления устройствами с поддержкой DHA позволяет ИТ-специалистам создать унифицированную систему безопасности для всех управляемых устройств с Windows 10 Mobile. Это дает ИТ-специалистам следующие возможности:

  • Выполнять удаленный сбор данных (высоконадежных) о проверенном оборудовании
  • Отслеживать соответствие устройства нормам работоспособности и обнаруживать устройства, содержащие уязвимости, которые могут эксплуатироваться в ходе атак злоумышленников
  • Принимать меры в отношении устройств, возможно, подвергшихся взлому — например:
  • Удаленно инициировать действия по устранению неполадок, чтобы заблокировать доступ к устройству, являющемуся причиной сбоя (блокировка, уничтожение данных или сброс устройства)
  • Запретить доступ устройства к критически важным ресурсам (условный доступ)
  • Активировать дальнейшее исследование и отслеживание (маршрутизация устройства к незащищенной сети для изучения приемов злоумышленников в целях дальнейшего отслеживания)
  • Оповещать пользователя или администратора для решения проблема

Примечание. Службу Windows Device Health Attestation Service можно использовать для реализации сценариев условного доступа, которые поддерживаются решениями для управления мобильными устройствами (например, Microsoft Intune) и другими системами управления (например, SCCM), приобретаемыми отдельно.

Дополнительные сведения об аттестации работоспособности в Windows 10 Mobile см. в разделе Руководство по безопасности Windows 10 Mobile.

Список атрибутов, которые поддерживаются службой DHA и могут инициировать действия по устранению неполадок, указанные выше.

  • Ключ удостоверения подлинности (AIK) присутствует. Указывает, присутствует ли ключ удостоверения подлинности (устройство с AIK является более доверенным, чем устройство без такого ключа).
  • Политика предотвращения выполнения данных (DEP) включена. Указывает, включена ли на устройстве политика DEP (устройство с включенной DEP является более доверенным, чем устройство без нее).
  • Статус BitLocker. BitLocker помогает защитить хранилище на устройстве. Устройство с технологией BitLocker может быть более доверенным, чем устройство без этой технологии.
  • Безопасная загрузка включена. Указывает, включена ли на устройстве безопасная загрузка. Устройство с включенной безопасной загрузкой может быть более доверенным, чем устройство без этой технологии. Безопасная загрузка всегда включена на устройствах Windows 10 Mobile.
  • Проверка целостности кода включена. Указывает, проверяется ли целостность кода дискового или системного файла всякий раз, когда он загружается в память. Устройство с включенной проверкой целостности кода может быть более доверенным, чем устройство без этой технологии.
  • Безопасный режим. Указывает, работает ли Windows в безопасном режиме. Устройство под управлением Windows в безопасном режиме не всегда столь надежно, как устройство в стандартном режиме.
  • Отладка загрузки включена. Указывает, включена ли на устройстве отладка загрузки. Устройство с включенной отладкой загрузки менее безопасно (доверено), чем устройстве без этой функции.
  • Отладка ядра ОС включена. Указывает, включена ли на устройстве отладка ядра ОС. Устройство с включенной отладкой ядра операционной системы менее безопасно (доверено), чем устройство с выключенной функцией.
  • Тестовая подпись включена. Указывает, включена ли тестовая подпись. Устройство с выключенной тестовой подписью более надежно, чем устройство с включенной тестовой подписью.
  • Версия диспетчера загрузки. Версия запущенного на устройстве диспетчера загрузки. Служба HAS может проверить эту версию, чтобы определить, выполняется ли наиболее актуальная версия диспетчера загрузки, что является более безопасным (доверенным) сценарием.
  • Версия целостности кода. Указывает версию кода, выполняющего проверки целостности во время последовательности загрузки. Служба HAS может проверить эту версию, чтобы убедиться, что выполняется наиболее актуальная версия кода, что является более безопасным (доверенным) сценарием.
  • Политика конфигурации безопасной загрузки (SBCP). Указывает, присутствует ли хэш пользовательской службы SBCP. Устройство, на котором присутствует хэш SBCP, является более доверенным, чем устройство без хэша.
  • Белый список цикла загрузки. Представление платформы узла между циклами загрузки, определенное изготовителем, в сравнении с опубликованным белым списком. Устройство, которое соответствует этому белому списку, является более доверенным (безопасным), чем несоответствующее устройство.

Пример сценария

Windows 10 Mobile предоставляет комплекс средств защиты, которые интегрируются с Microsoft Intune или сторонними решениями для управления мобильными устройствами (MDM). ИТ-администраторы могут отследить и проверить соответствие нормативным требованиям, чтобы обеспечить комплексную защиту корпоративных ресурсов с помощью инструментов безопасности и доверия, содержащихся в корневом каталоге физической аппаратной части устройства.

Вот что происходит при включении смартфона:

  1. Безопасная загрузка Windows 10 обеспечивает защиту последовательности загрузки, позволяя загрузить устройство с использованием предварительно определенной доверенной конфигурации, и загружает заводской доверенный загрузчик.
  2. Служба надежной загрузки Windows 10 осуществляет контроль и подтверждение цифровой подписи ядра Windows, а также загружает компоненты, выполняемые в процессе запуска Windows.
  3. Параллельно с шагами 1 и 2 Windows 10 Mobile независимо выполняется TPM (Trusted Platform Module, доверенный платформенный модуль — измеряемая загрузка) в области с аппаратной защитой (изолированной от процессов мониторинга пути загрузки), что позволяет создать журнал аудита с защитой целостности и функцией выявления незаконных изменений (подписан секретным ключом, доступным только для TPM).
  4. Устройства, управляемые решением MDM с поддержкой DHA, отправляют копию этого журнала аудита в службу Microsoft Health Attestation Service (HAS) посредством безопасного канала связи, защищенного от незаконных изменений и имеющего функцию выявления незаконных изменений.
  5. Служба Microsoft HAS проверяет журналы аудита, создает зашифрованный и подписанный отчет и отправляет его устройству.
  6. ИТ-специалисты могут использовать решение MDM с поддержкой DHA для просмотра отчетов посредством безопасного канала связи, защищенного от незаконных изменений и имеющего функцию выявления незаконных изменений. Можно также проверить состояние устройства (работает ли устройство в совместимом (работоспособном) состоянии; разрешить доступ или инициировать действия по устранению неполадок в соответствии с требованиями безопасности и корпоративными политиками предприятия.

Отчеты о ресурсах

Область применения: корпоративные устройства с установленным выпуском Корпоративная

Инвентаризация устройств помогает организациям лучше управлять устройствами, поскольку предоставляет подробные сведения о них. Системы MDM собирают сведения об инвентаризации удаленно, предоставляя функции отчетности системы для анализа ресурсов и данных. Эти данные сообщают ИТ-отделам о текущих программных и аппаратных ресурсах устройства (например, об установленных обновлениях).

В следующем списке приведены примеры сведений о программной и аппаратной части Windows 10 Mobile, предоставленные службой инвентаризации устройств. В дополнение к этим сведениям система MDM может считывать любые параметры конфигурации, описанные в этом руководстве.

  • Установленные корпоративные приложения. Список установленных на устройстве корпоративных приложений.
  • Имя устройства. Имя, настроенное для устройства.
  • Версия микропрограммного обеспечения. Версия микропрограммного обеспечения, установленная на устройстве.
  • Версия операционной системы. Версия операционной системы, установленная на устройстве.
  • Местное время устройства. Местное время, установленное на устройстве.
  • Тип процессора. Тип процессора этого устройства.
  • Модель устройства. Модель устройства по определению изготовителя.
  • Изготовитель устройства. Изготовитель этого устройства.
  • Архитектура процессора устройства. Архитектура процессора этого устройства.
  • Язык устройства. Язык, используемый на устройстве.
  • Номер телефона. Номер телефона, назначенный устройству.
  • Статус роуминга. Указывает, имеется ли на устройстве мобильное подключение с роумингом.
  • **Международный идентификатор оборудования мобильной связи (IMEI) и международный идентификатор мобильного абонента (IMSI) Уникальные идентификаторы подключения смартфона к мобильной сети. Сети GSM определяют допустимые устройства посредством идентификатора IMEI, и все сотовые сети используют идентификатор IMSI для идентификации устройства и пользователя
  • IP-адрес в сети Wi-Fi. Адреса IPv4 и IPv6, которые в настоящее время назначены адаптеру Wi-Fi устройства.
  • MAC-адрес в сети Wi-Fi. MAC-адрес, назначенный адаптеру Wi-Fi устройства.
  • Суффикс DNS и маска подсети в сети Wi-Fi. Суффикс DNS и маска IP-подсети, назначенные адаптеру Wi-Fi устройства.
  • Состояние безопасной загрузки. Указывает, включена ли безопасная загрузка.
  • Соответствие корпоративной политике шифрования. Указывает, применяется ли шифрование для устройства.

Управление телеметрией

Область применения: корпоративные устройства с Windows 10 Mobile Корпоративная

Майкрософт использует данные телеметрии (диагностические данные, данные о производительности и использовании), поступающие от устройств с Windows, чтобы принимать взвешенные решения и сосредоточиться на предоставлении максимально надежной и эффективной платформы для бизнеса, которая позволит пользователям, выбравшим ОС Windows, работать максимально продуктивно. Телеметрия позволяет поддерживать работоспособность устройств с Windows, усовершенствовать операционную систему и персонализировать компоненты и службы.

Можно контролировать уровень собираемых системами MDM данных телеметрии. Чтобы настроить устройства, укажите один из этих уровней в параметре «Разрешить телеметрию» в системе MDM.

Дополнительные сведения см. в разделе Настройка телеметрии Windows в организации.

Примечание. Управление телеметрией доступно только при обновлении ОС на устройстве до Windows 10 Mobile Корпоративная.

Удаленная помощь

Область применения: корпоративные и персональные устройства

Функции удаленной помощи в Windows 10 Mobile помогают решать возникающие у пользователей проблемы даже при отсутствии физического доступа сотрудников службы поддержки к устройству. К таким функциям относятся:

  • Удаленная блокировка. Специалист службы поддержки может удаленно заблокировать устройство. Эта функция полезна, если пользователь теряет свое мобильное устройство, однако в будущем оно может быть найдено (например, специалист забывает устройство на объекте клиента).
  • Удаленный сброс PIN-кода. Специалист службы поддержки может удаленно сбросить PIN-код, что полезно, если пользователь забыл свой PIN-код и не может получить доступ к устройству. Пользователь быстро получает доступ к устройству, все корпоративные данные и данные пользователя сохраняются.
  • Удаленный звонок. Специалист службы поддержки может удаленно отправить вызов на устройство. Это может помочь найти оставленное где-либо устройство, а в сочетании с функцией удаленной блокировки — предотвратить несанкционированный доступ пользователей к устройству.
  • Удаленный поиск. Специалист службы поддержки может удаленно найти устройство на карте, чтобы установить его географическое местонахождение. Можно настроить параметры удаленного поиска через настройки телефона (см. таблицу ниже). Функция удаленного поиска позволяет получить актуальные сведения о местонахождении устройства (ширина, долгота и высота).

Политики удаленного помощника

  • Желаемая точность местоположения. Желаемая точность выражается значением радиуса в метрах (допустимый диапазон: от 1 до 1 000 метров).
  • Максимальная продолжительность удаленного поиска. Максимальная продолжительность периода (в минутах), когда сервер примет успешный удаленный поиск; значение от 0 до 1 000 минут
  • Время ожидания удаленного поиска. Требуемое время (в секундах) ожидания завершения удаленного поиска устройством; значение от 0 до 1 800 секунд

Вышеописанные функции удаленного управления значительно упрощают управление устройствами для ИТ-специалистов организации. Кроме того, благодаря этим функциям пользователи смогут быстро возобновить работу с устройством, если они оставили его где-либо или забыли пароль.

Программное обеспечение для удаленного управления. Корпорация Майкрософт не предоставляет собственное встроенное ПО для удаленного управления, однако активно сотрудничает с партнерами для предоставления таких функций и служб. Удаленный помощник и приложения для управления для версии 1607 можно загрузить в Магазине Windows.

Вывод из эксплуатации

Область применения: корпоративные и персональные устройства

Вывод устройства из эксплуатации — это последний этап жизненного цикла устройства, который сегодня в бизнес-средах составляет в среднем 18 месяцев. По истечении этого периода сотрудникам уже требуются усовершенствования производительности и эффективности, которые обеспечиваются только новейшим оборудованием. Важно понимать, что при замене устройств более новыми моделями необходимо грамотно и безопасно выводить устройства из эксплуатации, чтобы данные, оставшиеся на утилизируемом устройстве, и не скомпрометировали конфиденциальные данные компании. Как правило, в отношении корпоративных устройств это не представляет проблемы, однако для персональных устройств может оказаться сложной задачей. Необходимо иметь возможность выборочно уничтожить все корпоративные данные, не затрагивая личные приложения и данные на устройстве. ИТ-специалистам также требуется возможность обеспечить надлежащую поддержку тем пользователям, которые хотят уничтожить данные на устройстве в случае его утери или хищения.

Windows 10 Mobile поддерживает вывод из эксплуатации как персональных, так и корпоративных устройств, что дает ИТ-отделам уверенность в конфиденциальности корпоративных данных и защите персональных данных пользователя.

Примечание. Все эти возможности MDM доступны в дополнение к функциям сброса программного и аппаратного обеспечения устройства до заводских настроек, которое сотрудники могут использовать для восстановления на устройстве заводской конфигурации.

Персональные устройства. Windows 10 Mobile соответствует нормативным требованиям, действующим в США в отношении приведения телефона в неработоспособное состояние в случае его утери или кражи. Защита от сброса — это бесплатная служба, доступна на account.microsoft.com, которая гарантирует, что на смартфоне нельзя будет легко восстановить заводские настройки и продолжить использовать его. Чтобы включить параметр Защита от сброса, нужно просто выполнить вход в систему, используя учетную запись Майкрософт, и подтвердить выбор рекомендованных параметров. Чтобы включить параметр вручную, найдите его в разделе «Параметры» > «Обновления и безопасность» > «Поиск телефона». На данном этапе параметр «Защита от сброса» доступен только для учетных записей Майкрософт, но недоступен для учетных записей Azure AD. Параметр также доступен только для США.

В случае необходимости уничтожения всех данных на устройстве при его потере или при увольнении сотрудника из компании следует получить согласие пользователя и соблюдать все нормы действующего законодательства в отношении защиты персональных данных пользователей.

Вместо уничтожения всех данных на устройстве рекомендуется использовать Windows Information Protection, чтобы уничтожить только корпоративные данные на персональном устройстве. Как описано в главе «Приложения», все корпоративные данные будут помечены надлежащим образом, и при отмене регистрации устройства в выбранной системе MDM все корпоративные зашифрованные данные, приложения, параметры и профили будут незамедлительно удалены с устройства, не затрагивая существующих персональных данных сотрудника. Пользователь может самостоятельно инициировать отмену регистрации, воспользовавшись экраном параметров, или же отмену регистрации может произвести ИТ-специалист с консоли управления MDM. Отмена регистрации относится к событиям управления и отражается в системе MDM.

Корпоративное устройство. Можно удаленно отменить действие ключа шифрования пользователя в случае кражи устройства, однако следует помнить, что при этом зашифрованные данные на других устройствах с Windows также станут недоступными для пользователя. Вместо этого для вывода утилизируемого или утерянного устройства из эксплуатации рекомендуется полностью уничтожить данные на нем. Такое уничтожение данных может выполняться службой поддержки или самостоятельно пользователем устройства. После уничтожения данных на устройстве Windows 10 Mobile восстанавливает исходное состояние устройства и перезапускает процесс запуска при первом использовании.

Параметры, используемые для вывода персональных и корпоративных устройств из эксплуатации

  • Разрешить вручную отменять регистрацию в MDM. Указывает, разрешено ли пользователям удалять рабочую учетную запись (т.е. отменять регистрацию устройства в системе MDM).
  • Разрешить сброс телефона пользователем Указывает, разрешено ли пользователям использовать параметры или сочетания аппаратных клавиш для возврата устройства к заводским настройкам.

Еще по теме

История редакций

  • Ноябрь 2015 г. Обновлено для Windows 10 Mobile (версия 1511)
  • Август 2016 г. Обновлено для юбилейного обновления Windows 10 Mobile (версия 1607)

docs.microsoft.com

Что нового в Windows 10 (версия 1703)

Ниже приведен список некоторых новых и обновленных статей для ИТ-специалистов с описанием возможностей Windows 10 версии 1703 (Creators Update).

Более общие сведения о возможностях Windows 10 см. в разделе Возможности, доступные только в Windows 10. Сведения о предыдущих версиях Windows 10 см. в статье Новые возможности Windows 10. См. также публикацию блога: Новые возможности для ИТ-специалистов в Windows 10 Creators Update.

Настройка

Конструктор конфигураций Windows

Средство создания пакетов подготовки, ранее известное как Конструктор образов и конфигураций Windows (ICD), переименовано в Конструктор конфигураций Windows. Новый конструктор конфигурации Windows доступен в магазине Windows как приложение. Чтобы запустить конструктор конфигураций Windows в более ранних версиях Windows, можно установить конструктор конфигураций Windows из комплекта средств для развертывания и оценки Windows (ADK).

Конструктор конфигураций Windows в Windows 10 версии 1703 включает в себя несколько новых мастеров, которые упрощают создание пакетов подготовки.

В мастерах рабочего стола и киоска предусмотрена возможность удаления предварительно установленного программного обеспечения на основе нового поставщика служб конфигурации CleanPC (CSP).

Дополнительные сведения о конструкторе конфигураций Windows

Пакетное присоединение к Azure Active Directory

Используя новые мастера в конструкторе конфигураций Windows, вы можете создать пакеты подготовки для регистрации устройств в Azure Active Directory. Пакетное присоединение к Azure AD доступно в мастерах рабочего стола, мобильных устройств, киосков и Surface Hub.

Windows: интересное

Расширены возможности экрана "Windows: интересное" — добавлены новые параметры групповой политики и параметры управления мобильными устройствами (MDM):

  • Отключение функции "Windows: интересное" в центре уведомлений
  • Запрет использования данных диагностики для специализированных интерфейсов
  • Отключение приветствия Windows

Подробнее о функции "Windows: интересное".

Расположение элементов на начальном экране и на панели задач

Предприятия теперь могут применять настраиваемые макеты начального экрана и панели задач на устройствах под управлением Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Настраиваемый макет начального экрана и панели задач в Windows 10 версии 1703 также можно применять в Windows 10 Pro.

Ранее настраиваемую панель задач можно было развернуть только с помощью групповой политики или пакетов подготовки. В Windows 10 версии 1703 добавлена поддержка настраиваемых панелей задач в MDM.

Появились дополнительные параметры политики MDM для макета начального экрана и панели задач. Новые параметры политики MDM:

  • Параметры для плитки пользователя: Start/HideUserTile, Start/HideSwitchAccount, Start/HideSignOut, Start/HideLock, и Start/HideChangeAccountSettings
  • Параметры питания: Start/HidePowerButton, Start/HideHibernate, Start/HideRestart, Start/HideShutDown, и Start/HideSleep
  • Дополнительные новые параметры: Start/HideFrequentlyUsedApps, Start/HideRecentlyAddedApps, AllowPinnedFolder, ImportEdgeAssets, Start/HideRecentJumplists, Start/NoPinningToTaskbar, Settings/PageVisibilityList и Start/HideAppsList.

Кортана в работе

Кортана — это личный цифровой помощник, созданный корпорацией Майкрософт, который помогает занятым людям делать дела, даже находясь на работе. Кортана имеет широкие возможности конфигурации, оптимизированные, в частности, для вашего бизнеса. Выполняя вход со своей учетной записью Azure Active Directory (Azure AD), сотрудники могут предоставить Кортане доступ к своему корпоративному/рабочему удостоверению и использовать все те же функции Кортаны, что и за пределами работы.

Использование Azure AD также означает, что вы можете удалить профиль сотрудника (например, когда сотрудник покидает вашу организацию), следуя политикам Windows Information Protection (WIP) и игнорируя корпоративное содержимое, включая письма, записи в календаре и списки людей (все то, что помечено как корпоративные данные).

Дополнительные сведения о работе Кортаны см. в статье Интеграция Кортаны в компании или организации

Развертывание

MBR2GPT.EXE

MBR2GPT.EXE — новое средство командной строки, доступное в Windows 10 версии 1703 и более поздних версиях. MBR2GPT преобразовывает диск из стиля раздела "Основная загрузочная запись" (MBR) в стиль раздела "Таблица разделов GPT" (GPT) без изменения или удаления данных на диске. Данное средство запускается в командной строке среды предустановки Windows (Windows PE), но также может быть запущено в полной операционной системе Windows 10.

Формат раздела GPT более новый и позволяет использовать более объемные и дополнительные разделы диска. Кроме того, он повышает надежность хранения данных, поддерживает дополнительные типы разделов, ускоряет загрузку и завершение работы. Если вы хотите преобразовать системный диск на компьютере из MBR в GPT, необходимо также настроить компьютер на загрузку в режиме UEFI. Перед преобразованием системного диска убедитесь, что устройство поддерживает UEFI.

При загрузке в режиме UEFI включаются дополнительные функции безопасности Windows 10: безопасная загрузка, драйвер для раннего запуска антивредоносной программы (ELAM), надежная загрузка Windows, измеряемая загрузка, Device Guard, Credential Guard и сетевая разблокировка BitLocker.

Дополнительные сведения см. в разделе MBR2GPT.EXE.

Безопасность

Advanced Threat Protection в Защитнике Windows

Новые возможности Advanced Threat Protection (ATP) в Защитнике Windows для Windows 10 версии 1703:

  • ОбнаружениеУсовершенствованы следующие возможности обнаружения:

    • Использование API аналитики угроз для создания настраиваемых оповещений - Ознакомьтесь с понятиями аналитики угроз, включите приложение intel для защиты от угроз и создайте настраиваемые оповещения аналитики угроз для вашей организации.
    • Улучшения датчиков памяти и ядра ОС, позволяющие обнаруживать злоумышленников, использующих атаки на уровне памяти и ядра
    • Обновленные методы обнаружения программ-шантажистов и других расширенных атак
    • Функция хронологического обнаружения обеспечивает применение новых правил обнаружения к хранящимся данным на протяжении максимум шести месяцев, что позволяет выявлять ранее не замеченные атаки
  • ИсследованиеКорпоративные клиенты теперь могут воспользоваться преимуществами всего стека безопасности Windows. Технологии обнаружения в антивирусной программе "Защитник Windows" и блокировки Device Guard доступны на портале ATP в Защитнике Windows. Также были добавлены другие возможности для комплексных исследований.

    Другие усовершенствования исследований:

  • ОтветПри обнаружении атаки группы реагирования могут принять оперативные меры по локализации бреши:

  • Другие возможности

Дополнительные сведения об устранении программ-шантажистов и возможностях обнаружения в Advanced Threat Protection в Защитнике Windows см. в блоге: Предотвращение распространения программ-шантажистов в корпоративной сети с помощью ATP в Защитнике Windows.

Короткое, но подробное видео об ATP в Защитнике Windows для Windows 10 и о новых возможностях в Windows 10 версии 1703 см. в статье "ATP в Защитнике Windows для Windows 10 Creators Update" (https://technet.microsoft.com/ru-ru/windows/mt782787).

Антивирусная программа "Защитник Windows"

Защитник Windows переименован в антивирусную программу "Защитник Windows", и мы расширили библиотеку документации для администраторов безопасности предприятия.

В новой библиотеке доступна следующая информация:

Вот некоторые из основных особенностей новой библиотеки:

Новые возможности антивирусной программы "Защитник Windows" в Windows 10 версии 1703:

В Windows 10 версии 1607 мы реализовали максимум функций для защиты от программ-шантажистов, а в версии 1703 было обновлено поведение мониторинга и постоянной защиты в реальном времени.

Дополнительные сведения об устранении программ-шантажистов и возможностях обнаружения в антивирусной программе "Защитник Windows" см. в техническом документе (PDF) Защита от программ-шантажистов в юбилейном обновлении Windows 10 и блоге Центра Майкрософт по защите от вредоносных программ.

Device Guard и Credential Guard

Дополнительные функции безопасности в Device Guard и Credential Guard предотвращают использование уязвимостей в среде выполнения UEFI. Дополнительные сведения см. в разделе Требования Device Guard и Вопросы безопасности Credential Guard.

Параметры безопасности для групповой политики

Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, когда сеанс заблокирован теперь работает совместно с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.

В Windows 10 версии 1703 добавлен новый параметр политики безопасности Интерактивный вход в систему: не отображать имя пользователя при входе в систему. Этот параметр политики безопасности определяет, отображается ли имя пользователя при входе в систему. Он работает в сочетании с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Другой пользователь.

Windows Hello для бизнеса

Теперь можно выполнить сброс забытого ПИН-кода без удаления данных организации или приложений на устройствах под управлением Microsoft Intune.

Для устройств под управлением Windows Phone администратор может инициировать удаленный сброс ПИН-кода через портал Intune.

Пользователи настольных компьютеров с Windows могут сбросить забытый ПИН-код в меню "Параметры" > "Учетные записи" > "Параметры входа".

Дополнительные сведения см. в разделе Что делать, если я не помню свой ПИН-код?.

Windows Information Protection (WIP) и Azure Active Directory (Azure AD)

С помощью Microsoft Intune вы можете создать и развернуть политику Windows Information Protection (WIP), а также выбрать разрешенные приложения, уровень защиты с помощью WIP и способ поиска корпоративных данных в сети. Дополнительные сведения см. в статьях Создание политики Windows Information Protection (WIP) с помощью Microsoft Intune и Сопоставление и развертывание политик Windows Information Protection (WIP) и VPN с помощью Microsoft Intune.

Кроме того, теперь можно собирать журналы событий аудита с помощью поставщика службы конфигурации отчетов (CSP) или службы пересылки событий Windows (для компьютеров с Windows, подключенных к домену). Дополнительные сведения см. в новой статье Как собирать журналы событий аудита Windows Information Protection (WIP).

Обновление

Центр обновления Windows для бизнеса

Изменена функция приостановки обновлений: теперь нужно указывать начальную дату. Теперь пользователи могут приостановить обновления в разделе Параметры > Обновление и безопасность > Центр обновления Windows > Дополнительные параметры (если не настроена соответствующая политика). Кроме того, максимальная продолжительность приостановки исправлений увеличена до 35 дней. Дополнительные сведения о приостановке см. в статьях Приостановка обновлений компонентов и Приостановка исправлений.

На устройствах под управлением Центра обновления Windows для бизнеса теперь можно откладывать установку обновлений компонентов на срок до 365 дней (ранее этот срок составлял 180 дней). В разделе параметров пользователи могут выбирать уровень готовности ветви и обновлять периоды отсрочки. См. статьи Настройка устройств для Current Branch (CB) или Current Branch for Business (CBB), Настройка получения обновлений компонентов и Настройка получения исправлений.

Программа предварительной оценки Windows для бизнеса

Появилась возможность скачивать сборки Windows 10 Insider Preview с использованием корпоративных учетных данных в Azure Active Directory (AAD). Регистрация устройств в AAD повышает вероятность просмотра отзывов, отправленных пользователями вашей организации, особенно если эти отзывы касаются определенных потребностей вашего бизнеса. Подробные сведения см. в разделе Программа предварительной оценки Windows для бизнеса.

Оптимизация доставки обновлений

Внесены изменения в Windows 10 версии 1703: обновления Express теперь полностью поддерживаются в System Center Configuration Manager, начиная с Configuration Manager версии 1702. Они также совместимы с другими сторонними средствами обновления и управления, где реализована эта функциональность. Это дополнение к текущей поддержке Express в Центре обновления Windows, Центре обновления Windows для бизнеса и WSUS.

Примечание

Перечисленные изменения можно применить к Windows 10 версии 1607, установив накопительный пакет обновления за апрель 2017 г.

Политики оптимизации доставки теперь позволяют настраивать дополнительные ограничения и повышают эффективность работы в различных сценариях.

Добавлены следующие политики:

Подробные сведения см. в статье Настройка оптимизации доставки обновлений для Windows 10

Удаленные встроенные приложения больше не будут переустанавливаться автоматически

Начиная с Windows 10 версии 1703, удаленные пользователем встроенные приложения не устанавливаются автоматически в процессе обновления компонентов.

Кроме того, приложения, отозванные администраторами на компьютерах с Windows 10 версии 1703, останутся в отозванном состоянии и после установки будущих обновлений компонентов. Это не относится к обновлениям для Windows 10 версий от 1607 (или более ранних) до 1703.

Управление

Новые возможности MDM

В Windows 10 версии 1703 появилось множество новых поставщиков служб конфигурации (CSP), которые предоставляют новые возможности управления устройствами Windows 10 с помощью MDM или пакетов подготовки. Помимо прочего, эти CSP позволяют настраивать несколько сотен оптимальных параметров групповой политики через MDM. См. Политики CSP — политики с поддержкой ADMX.

Ниже перечислены еще некоторые новые CSP:

  • DynamicManagement CSP позволяет управлять устройствами в зависимости от местоположения, сети или времени. Например, можно отключать камеры на устройствах в рабочей среде, услуги операторов сотовой связи при выезде за границу (во избежание затрат на роуминг) или доступ к беспроводной сети, когда устройство находится за пределами организации или территории учебного заведения. После настройки этих параметров они применяются даже тогда, когда устройству не удается связаться с сервером управления по причине изменения местоположения или параметров сети. DynamicManagement CSP позволяет настраивать политики, которые меняют тип управления устройством и определяют условия, когда происходят эти изменения.

  • CleanPC CSP позволяет удалять предустановленные и установленные пользователем приложения с возможностью сохранения данных пользователя.

  • BitLocker CSP используется для управления шифрованием компьютеров и устройств. Например, можно включить обязательное шифрование карт памяти в мобильных устройствах или дисков операционной системы.

  • NetworkProxy CSP позволяет настраивать прокси-сервер для соединений Wi-Fi и Ethernet.

  • Office CSP позволяет устанавливать на устройствах клиент Microsoft Office с помощью средства развертывания Office. Дополнительные сведения см. в разделе Параметры конфигурации для средства развертывания Office.

  • EnterpriseAppVManagement CSP используется для управления виртуальными приложениями на компьютерах с Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Он обеспечивает потоковую передачу приложений, виртуализированных с помощью App-V, на компьютеры, даже если они находятся под управлением MDM.

ИТ-специалисты могут использовать новое средство анализа миграции MDM (MMAT) для определения параметров групповой политики, настроенных для пользователя или компьютера, и проверять эти параметры на соответствие встроенному списку поддерживаемых политик MDM. MMAT позволяет создавать отчеты в формате XML и HTML, отражающие уровень поддержки для каждого параметра групповой политики и эквивалентных параметров MDM.

Подробнее о новых возможностях MDM

Поддержка управления мобильными приложениями для Windows 10

Версия управления мобильными приложениями (MAM) для Windows — это облегченное решение для управления доступом к данным организации и безопасностью на личных устройствах. Поддержка MAM встроена в Windows поверх Windows Information Protection (WIP), начиная с Windows 10 версии 1703.

Дополнительные сведения см. в статье Реализации поддержки управления мобильными приложениями в Windows на стороне сервера.

Диагностика MDM

В Windows 10 версии 1703 дополнительно улучшены функции диагностики для управления современными мобильными устройствами. Благодаря автоматическому ведению журнала для мобильных устройств Windows автоматически собирает журналы при обнаружении ошибок в MDM, и вам больше не потребуется постоянно вести журналы на устройствах с ограниченными ресурсами памяти. Кроме того, добавлено средство Microsoft Message Analyzer, которое позволяет специалистам службы поддержки быстро выявлять причины проблем, не затрачивая дополнительных средств и времени.

Виртуализация приложений (App-V) для Windows

В предыдущих версиях Microsoft Application Virtualization Sequencer (App-V Sequencer) приходилось вручную создавать среды виртуализации. В Windows 10 версии 1703 представлены два новых командлета PowerShell, New-AppVSequencerVM и Connect-AppvSequencerVM, которые позволяют автоматически создать среду виртуализации, включая подготовку виртуальной машины. Кроме того, с помощью нового приложения App-V Sequencer можно виртуализировать и обновлять сразу несколько приложений, автоматически сохраняя параметры в шаблоне проекта App-V (APPVT). Можно также автоматически удалять неопубликованные пакеты с помощью сценариев PowerShell или параметров групповой политики, вступающих в силу после перезапуска устройства.

См. также следующие разделы:

Данные диагностики Windows

Узнайте подробнее о диагностических данных, собираемых на базовом уровне, и некоторых примерах типов данных, собираемых на полном уровне.

Электронная таблица групповой политики

Узнайте о новых групповых политиках, добавленных в Windows 10 версии 1703.

Улучшения Windows 10 Mobile

Конструктор блокировки

Конструктор блокировки помогает настроить и создать XML-файл блокировки, который можно применить к устройствам под управлением Windows 10 Mobile, и включает в себя функции удаленного моделирования для определения макета для плиток на начальном экране. Создать XML-файл блокировки с помощью конструктора блокировки намного проще, чем вручную.

Дополнительные сведения о приложении "Конструктор блокировки".

Другие усовершенствования

Windows 10 Mobile версии 1703 также включает следующие возможности:

  • Шифрование SD-карт
  • Удаленный сброс ПИН-кода для учетных записей Azure Active Directory
  • Архивирование текстовых сообщений (SMS)
  • Управление функцией WiFi Direct
  • Средство обновления OTC
  • Управление отображением в Continuum
    • Изолированное отключение экрана монитора или телефона, когда устройство не используется
    • Индивидуальная настройка времени ожидания экранной заставки
  • Стыковочные решения для Continuum
    • Настройка свойств порта Ethernet
    • Настройка свойств прокси-сервера для порта Ethernet

Использование Miracast в существующей беспроводной или локальной сети

В Windows 10 версии 1703 корпорация Майкрософт добавила возможность отправки потока Miracast по локальной сети вместо прямого беспроводного соединения. Эта функция основана на протоколе установления соединения Miracast по инфраструктуре (MS-MICE).

Miracast по инфраструктуре обеспечивает ряд преимуществ:

  • Windows автоматически обнаруживает возможность отправки видеопотока по этому пути.
  • Windows выбирает этот маршрут только в том случае, если подключение установлено через Ethernet или защищенную сеть Wi-Fi.
  • Пользователям не нужно менять способ подключения к приемнику Miracast. Используется то же взаимодействие с пользователем, что и при стандартном подключении Miracast.
  • Не требуется вносить изменения в текущее оборудование компьютера или драйверы адаптеров беспроводной сети.
  • Решение хорошо подходит для более старого беспроводного оборудования, не оптимизированного для Miracast через Wi-Fi Direct.
  • Используется существующее подключение, что сокращает необходимое для подключения время, и обеспечивает стабильность потока.

Принцип работы

Пользователь выполняет попытку подключения к приемнику Miracast, как и ранее. После заполнения списка приемников Miracast Windows 10 определяет, что приемник поддерживает подключение по инфраструктуре. Когда пользователь выбирает приемник Miracast, Windows 10 пытается сопоставить имя узла устройства через стандартный DNS, а также через DNS мультивещания (mDNS). Если имя не разрешается через один из методов DNS, Windows 10 возвращается к установке сеанса Miracast с помощью стандартного подключения Wi-Fi Direct.

Включение Miracast по инфраструктуре

Если у вас есть устройство, обновленное до Windows 10 версии 1703, вам уже доступна эта функция. Чтобы использовать ее преимущества в вашей среде, необходимо убедиться, что в вашем развертывании верно следующее:

  • Устройство (компьютер, телефон или Surface Hub) работает под управлением Windows 10 версии 1703.
  • Компьютер с Windows или Surface Hub может выступать в качестве приемника Miracast по инфраструктуре. Компьютер с Windows или телефон может выступать в качестве источника Miracast по инфраструктуре.
    • В качестве приемника Miracast компьютер или Surface Hub должен быть подключен к корпоративной сети через Ethernet или защищенную сеть Wi-Fi (например, с использованием WPA2-Enterprise или WPA2-PSK). Если Surface Hub подключен к открытой сети Wi-Fi, Miracast по инфраструктуре автоматически отключается.
    • В качестве источника Miracast компьютер или телефон должен быть подключен к той же сети предприятия через Ethernet или защищенную сеть Wi-Fi.
  • DNS-имя узла (имя устройства) устройства должно быть разрешаемым вашими DNS-серверами. Этого можно добиться, либо разрешив вашему устройству автоматически регистрироваться через динамический DNS, либо путем создания записи A или AAAA для имени узла устройства вручную.
  • Компьютеры с Windows 10 должны быть подключены к той же сети предприятия через Ethernet или защищенную сеть Wi-Fi.

Обратите внимание, что Miracast по инфраструктуре не является заменой стандартного Miracast. Это дополнительная функциональность, предоставляющее преимущество пользователям, подключенным к корпоративной сети. Пользователи, являющиеся гостями в определенном расположении и не имеющие доступа к корпоративной сети, по-прежнему будут подключаться, используя метод соединения Wi-Fi Direct.

Новые возможности связанных продуктов

Ниже перечислены возможности, которые не входят в Windows 10, но делают работу с Windows более эффективной.

Upgrade Readiness

Upgrade Readiness позволяет убедиться, что приложения и драйверы готовы к обновлению до Windows 10. Решение предоставляет актуальные данные о драйверах и приложениях, сведения об известных проблемах, рекомендации по устранению неполадок и сведения об отслеживании и готовности устройства. Средство Upgrade Readiness стало общедоступным 2марта 2017г.

На разработку Upgrade Readiness сильно повлияли входные данные сообщества, а разработка новых функций продолжается. Чтобы начать работу с Upgrade Readiness, добавьте его в существующую рабочую область Operation Management Suite (OMS) или зарегистрируйтесь для получения новой рабочей области OMS с включенным решением Upgrade Readiness.

Дополнительные сведения об Upgrade Readiness см. в следующих статьях:

Соответствие обновлений

Соответствие обновлений обеспечивает защиту и актуальность устройств Windows 10 в вашей организации.

Поддержка обновлений — это решение, созданное на основе журналов и аналитики OMS и предоставляющее информацию о состоянии установки ежемесячных исправлений и обновлений компонентов. Здесь представлены сведения о ходе развертывания существующих обновлений и состоянии будущих обновлений. Также предоставляется информация об устройствах, которые могут требовать внимания для устранения проблем.

Дополнительные сведения о соответствии обновлений см. в статье Мониторинг обновлений Windows с соответствием обновлений.

docs.microsoft.com

Устранение проблем при регистрации устройств c Windows 10

Если вы выполнили инструкции из статьи Регистрация устройства с ОС Windows 10 Mobile или Windows 10 Desktop в Intune, но по-прежнему не можете получить доступ к своей рабочей или учебной электронной почте и файлам, попробуйте выполнить следующие действия по устранению неполадок.If you followed the steps in Enroll your Windows 10 Mobile or Windows 10 desktop device in Intune, but you still can’t access your work or school email and files, try these troubleshooting steps.

  1. Посмотрите на следующие два снимка экрана и выберите тот, который похож на экран вашего устройства.Look at the next two screens, and find the one that looks like what you see on your device. Выполните действия, показанные на выбранном экране.Follow the steps that go with the screen you see on your device.

    Если вы видите этот экран, следуйте инструкциям из раздела Устранение неполадок при появлении элемента "Доступ к учетной записи места работы или учебного заведения".If you see this screen, follow the steps in Troubleshooting steps to follow if you see Access work or school.

    Если вы видите этот экран, следуйте инструкциям из раздела Устранение неполадок при появлении элемента "Ваша учетная запись".If you see this screen, follow the steps in Troubleshooting steps to follow if you see Your account.

Устранение неполадок при появлении элемента "Доступ к учетной записи места работы или учебного заведения"Troubleshooting steps to follow if you see "Access work or school"

  1. Если вы выполнили описанные выше действия, но по-прежнему не можете получить доступ к рабочей или учебной электронной почте и файлам, вернитесь в раздел Доступ к учетной записи места работы или учебного заведения.If you followed the steps above, but you still can’t access your work or school email and files, go back to Access work or school.

  2. Выполните одно из следующих действий.Do one of the following:

    • При появлении подключения, которое выглядит примерно как на рисунке ниже, выберите его и убедитесь, что отображаются кнопки "Управление", "Информация" и "Отключить".If you see a connection that looks similar to the image below, tap it, and then check that you see the Manage, Info and Disconnect options. Если эти команды отображаются, вы выполнили регистрацию и подключение.If you see these option, you’re now enrolled and connected.

    • Если сведения о подключении, описанные выше, не отображаются или отображаются не все команды, выберите Подключить и войдите со своими рабочими или учебными учетными данными.If you don’t see the connection information shown above, or you do see it, but it’s missing some of the options, tap Connect, and then sign in with your work or school credentials. После этого подключение должно быть установлено.You should now be connected.

Устранение неполадок при появлении элемента "Ваша учетная запись"Troubleshooting steps to follow if you see "Your account"

Если вы выполнили описанные выше действия, но по-прежнему не можете получить доступ к рабочей или учебной электронной почте, файлам и другим данным, вернитесь в раздел Учетные записи и выберите Рабочий доступ.If you followed the steps above, but still can't access your work or school email, files, and other data, go back to Accounts, and tap Work access.

  • Если вы видите рабочую или учебную учетную запись, поздравляем,If you see your work or school account, congratulations. вы подключены.You’re connected.

  • Если вы не видите рабочую или учебную учетную запись, нажмите Подключиться, а затем войдите с помощью рабочей или учебной учетной записи.If you don’t see your work or school account, tap Connect, and then sign in with your work or school credentials.

Устранение неполадок при появлении элемента "Настройка рабочей или учебной учетной записи"Troubleshooting steps to follow if you see "Set up a work or school account"

Если выводится сообщение Не удалось автоматически обнаружить конечную точку управления, соответствующую введенному имени пользователя. Проверьте имя пользователя и повторите попытку. Если вы знаете URL-адрес конечной точки управления, введите его. , а затем попробуйте повторно ввести имя пользователя и пароль.If you see a message that says We couldn't auto-discover a management endpoint matching the username entered. Please check your username and try again. If you know the URL to your management endpoint, please enter it., then you should try to re-enter your username and password. Если проблема сохраняется, обратитесь в службу поддержки вашей компании и узнайте, какой веб-сайт необходимо указать в поле Конечная точка управления.If it still doesn't work, you should check with your company support for the website that you need to provide in the Management endpoint text box. Возможно, этот веб-сайт имеет следующий адрес: www.название_вашей_организации.onmicrosoft.com.This is a website that probably looks like www.yourcompany.onmicrosoft.com.

По-прежнему нужна помощь?Still need help? Обратитесь в службу поддержки вашей компании.Contact your company support. Его контактные данные доступны на веб-сайте корпоративного портала.For contact information, check the Company Portal website.

docs.microsoft.com

Новые возможности Windows 10 версии 1607 (Windows 10)

Ниже приведен список некоторых новых и обновленных функций в Windows 10 версии 1607 (также известной как «Юбилейное обновление»).

Развертывание

Конструктор образов и конфигураций Windows (ICD)

В предыдущих версиях комплекта средств для развертывания и оценки (ADK) Windows 10 необходимо было установить дополнительные компоненты для запуска Windows ICD. Начиная с версии 1607 можно установить только компонент конструктора конфигураций, который не зависит от остальных компонентов создания образов. Установите ADK.

Windows ICD теперь включает упрощенные рабочие процессы для создания пакетов подготовки:

Дополнительные сведения об использовании пакетов подготовки в Windows 10.

Управление обновлениями Windows с помощью Upgrade Readiness

Корпорация Microsoft разработала аналитику обновления в ответ на требования корпоративных клиентов, пытавшихся найти дополнительные сведения об обновлении до Windows 10. Аналитика обновления была сформирована с учетом нескольких каналов отзывов клиентов, тестирования и практического опыта Microsoft по обновлению миллионов устройств до Windows 10.

При включенной телеметрии Upgrade Readiness собирает данные системы, приложения и драйверов для анализа. Затем мы определяем проблемы совместимости, которые могут помешать обновлению, и предлагаем известные нам решения.

Готовность к обновлению — это:

  • наглядное руководство по обновлению от пилотного до рабочего проекта;
  • Подробные данные о компьютере и приложениях
  • эффективные поиск и детализация на уровне компьютера;
  • информация о проблемах совместимости приложений и драйверов и рекомендуемые решения;
  • средства рационализации приложений на основе данных;
  • сведения об использовании приложений для целевой проверки; последовательность действий для отслеживания хода проверки и решения;
  • экспорт данных в распространенные средства развертывания программных продуктов.

Аналитика обновления поможет вам с поиском и рационализацией — в результате вы получите список компьютеров, готовых к обновлению.

Дополнительные сведения о планировании и управлении обновлениями Windows с помощью аналитики обновления Windows.

Обновления Windows

Windows 10 версии 1607 предоставляет администраторам повышенный контроль за обновлениями путем изменения шага отсрочки обновления с недель на дни. Прочие изменения:

  • Качественные обновления могут быть отложены вплоть до 30 дней и приостановлены до 35 дней
  • Обновления компонентов могут быть отложены до 180 дней и приостановлены на 60 дней
  • Отсрочки обновлений могут применяться и к текущей ветви, и к текущей ветви для бизнеса
  • Драйверы могут быть исключены из обновлений

Безопасность

Credential Guard и Device Guard

Режим изолированного пользователя теперь включен в Hyper-V, поэтому нет необходимости устанавливать его отдельно.

Windows Hello для бизнеса

В первых выпусках Windows 10 также предоставлялись службы Microsoft Passport и Windows Hello, совокупность которых обеспечивала многофакторную проверку подлинности. Чтобы упростить развертывание и улучшить степень оказания поддержки Microsoft объединила эти технологии в одно решение под именем Windows Hello в Windows 10 версии 1607. Пользователи, которые уже развернули Microsoft Passport for Work, не заметят никаких изменений в функционировании этих служб. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Дополнительные изменения для работы Windows Hello в Windows 10 версии 1607:

  • Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей.
  • Параметры групповой политики для управления Windows Hello для бизнеса теперь доступны для Конфигурация пользователя и для Конфигурация компьютера.
  • Начиная с версии 1607, использование Windows Hello как более удобного PIN-кода отключено по умолчанию на всех компьютерах, входящих в состав домена. Чтобы включить удобный PIN-код для Windows 10 версии 1607, включите параметр групповой политики Включение входа в систему с помощью удобного PIN-кода.

Подробнее о Windows Hello для бизнеса.

VPN

  • VPN-клиент можно интегрировать в интегрировать с помощью условного доступа к платформе Conditional Access Framework, облачном модуле политик, встроенном в Azure Active Directory, для предоставления удаленным клиентам возможности обеспечения соответствия устройства нормативным требованиям.
  • VPN-клиент может быть интегрирован в политику WIP для обеспечения дополнительной безопасности. Дополнительные сведения о Windows Information Protection, которая ранее называлась защитой корпоративных данных.
  • Новый поставщик службы конфигурации VPNv2 добавляет параметры конфигурации. Подробные сведения см. в разделе Новые возможности регистрации в системе MDM и управления ею
  • Microsoft Intune: шаблон политики VPN-профиль (Windows 10 Desktop и Mobile и более поздних версий)включает поддержку собственных подключаемых модулей VPN.

Windows Information Protection (WIP), ранее известная как защита корпоративных данных (EDP)

По мере того как сотрудники все чаще используют на работе собственные устройства, растет и риск случайной потери данных через приложения и службы, не контролируемые организациями, например приложения для работы с электронной почтой и социальными сетями, а также общедоступные облака. Сюда относятся случаи, когда сотрудник отправляет изображения с техническими данными со своей личной электронной почты, копирует и вставляет информацию о продукции в твит или сохраняет рабочий отчет по продажам в своем хранилище в общедоступном облаке.

Windows Information Protection (WIP) обеспечивает защиту от этой возможной утечки данных, при этом не влияя на работу сотрудников. WIP также помогает защитить корпоративные приложения и данные от случайной потери на принадлежащих компании и личных устройствах, которые сотрудники приносят с собой на работу, и при этом не требует вносить изменения в среду или другие приложения.

Дополнительные сведения о Windows Information Protection (WIP)

Защитник Windows

Несколько новых функциональных возможностей и вариантов управления были добавлены в Защитник Windows в Windows 10 версии 1607.

Advanced Threat Protection в Защитнике Windows (ATP)

Вследствие роста угроз со стороны все более изощренных целевых атак новое решение безопасности обязано обеспечивать безопасность все более сложной экосистемы сети. Advanced Threat Protection в Защитнике Windows – это служба безопасности, встроенная в Windows 10, которая позволяет корпоративным клиентам определять, исследовать и реагировать на расширенные угрозы их сетям.

Подробные сведения об Advanced Threat Protection в Защитнике Windows (ATP).

Управление

Используйте подключение к удаленному рабочему столу для компьютеров, подсоединенных к домену Azure Active Directory

С момента выпуска Windows 10 поддерживала удаленные подключения к компьютерам, присоединенным к Active Directory. Начиная с версии 1607 Windows 10, можно также подключаться к удаленному компьютеру, присоединенному к Azure Active Directory (Azure AD). Узнайте о требованиях и поддерживаемых конфигурациях.

Конфигурация панели задач

Администраторы организации могут добавлять на панель задач приложения и удалять закрепленные приложения с панели задач. Пользователи могут закреплять приложения, откреплять их и менять порядок закрепленных приложений на панели задач после применения корпоративной конфигурации. Узнайте, как настроить панель задач.

Управление мобильными устройствами и поставщиками услуг конфигурации

Различные параметры были добавлены в поставщики услуг конфигурации Windows 10 для расширения возможностей MDM по управлению устройствами. Дополнительные сведения об определенных изменениях в политиках MDM в Windows 10 версии 1607 см. в разделе Новые возможности регистрации в системе MDM и управления ею.

Режим общего ПК

В Windows 10 версии 1607 представлен режим общего ПК, в котором Windows 10 оптимизирована для сценариев совместного использования, например на временных рабочих местах на предприятии или для предоставления во временное пользование клиенту организации розничной торговли. Режим общего ПК может быть применен к Windows 10 Pro, Windows 10 для образовательных учреждений и Windows 10 Корпоративная. Узнайте как настроить режим общего или гостевого ПК.

Виртуализация приложений (App-V) для Windows 10

Виртуализация приложений (App-V) позволяет организациям предоставлять приложения Win32 пользователям в виде виртуальных приложений. Виртуальные приложения установлены на централизованно управляемых серверах и доставляются пользователям в виде службы — в режиме реального времени и по принципу необходимости. Пользователи запускают виртуальные приложения из известных точек доступа, включая Магазин Windows, и взаимодействуют с ними, как будто они установлены локально.

С выпуском Windows 10 версии 1607 App-V включается в версию Windows 10 Корпоративная. Если вы не знакомы с Windows 10 и App-V или если вы обновляетесь с предыдущей версии App-V, вам необходимо загрузить, активировать и установить серверные и клиентские компоненты, чтобы начать доставку виртуальных приложений пользователям.

Узнайте, как предоставлять виртуальные приложения с помощью App-V.

Использование виртуализации взаимодействия с пользователем (UE-V) в Windows 10

Многие пользователи настраивают параметры Windows и определенных приложений. Настраиваемые параметры Windows включают внешний вид Магазина Windows, язык, фоновый рисунок, размер шрифта и цвета элементов. Настраиваемые параметры приложений включают язык, внешний вид, поведение и возможности пользовательского интерфейса.

С помощью виртуализации взаимодействия с пользователем (UE-V) можно записать параметры Windows и приложений, настроенные пользователем, и сохранять их в централизованно управляемой общей сетевой папке. При входе пользователя в систему эти персонализированные параметры применяются к его рабочему сеансу независимо от того, к какому сеансу инфраструктуры виртуальных рабочих столов (VDI) он подключился.

С выпуском Windows 10 версии 1607 UE-V включается в версию Windows 10 Корпоративная. Если вы не знакомы с Windows 10 и EU-V или планируете переход с предыдущей версии EU-V, вам необходимо скачать, активировать и установить серверные и клиентские компоненты, чтобы начать синхронизацию настраиваемых параметров между различными устройствами.

Узнайте, как синхронизировать настроенные пользователем параметры в UE-V.

Подробнее

docs.microsoft.com

Новые возможности Windows 10, версии 1507 и 1511 (Windows 10)

Ниже приведен список некоторых новых и обновленных функций, включенных в начальный выпуск Windows 10 (версия 1507) и обновление Windows 10 до версии 1511.

Развертывание

Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD)

В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. Подготовка Windows помогает ИТ-администраторам настраивать устройства конечных пользователей без создания образов. Используя подготовку Windows, ИТ-администратор может легко указать желаемую конфигурацию и параметры, необходимые для регистрации устройства в системе управления (через пользовательский интерфейс при помощи мастера), а затем применить эту конфигурацию для целевых устройств за считанные минуты. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров.

Подробнее о подготовке в Windows 10.

Безопасность

AppLocker

Новые возможности AppLocker в Windows 10 (версия 1507)
  • В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. Для включения этой функции задайте для параметра ServiceEnforcement значение Enabled.
  • Добавлен новый поставщик служб конфигурации AppLocker , что позволяет включать правила AppLocker, используя сервер MDM.
  • Для управления устройствами с Windows 10 Mobile можно использовать новый AppLocker CSP.

Узнайте, как управлять AppLocker в вашей организации.

Bitlocker

Новые возможности BitLocker в Windows 10 (версия 1511)
  • Алгоритм шифрования XTS-AES. BitLocker теперь поддерживает алгоритм шифрования XTS-AES. XTS-AES обеспечивает дополнительный уровень защиты от атак на систему шифрования, которые заключаются в манипулировании текстом шифра так, что это вызывает предсказуемые изменения в обычном тексте. BitLocker поддерживает и 128-разрядные, и 256-разрядные ключи XTS-AES. Это обеспечивает следующие преимущества:
    • Соответствие требованиям FIPS.
    • Простота администрирования. Возможность использования мастера BitLocker, команды manage-bde, групповой политики, политики MDM, Windows PowerShell или WMI для управления алгоритмом на устройствах организации. >Примечание. Зашифрованные с помощью алгоритма XTS-AES диски будут недоступны в предыдущих версиях Windows. Этот алгоритм рекомендуется использовать только для фиксированных дисков и дисков с ОС. Со съемными носителями требуется и впредь использовать 128-разрядные или 256-разрядные алгоритмы AES-CBC.
Новые возможности BitLocker в Windows 10 (версия 1507)
  • Шифрование и восстановление устройства с помощью Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. Это упрощает восстановление ключа BitLocker в Интернете.
  • Защита портов прямого доступа к памяти (DMA). Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. После разблокировки устройства все порты DMA снова включаются.
  • Новая групповая политика по настройке предзагрузочного восстановления. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker».

Узнайте, как развернуть BitLocker и управлять им в вашей организации.

Credential Guard

Новые возможности Credential Guard в Windows 10 (версия 1511)
  • Поддержка диспетчера учетных данных. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях:
    • Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных.
    • Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные.
    • Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. В противном случае восстановить эти учетные данные будет невозможно.
  • Включение Credential Guard без блокировки UEFI. Включить Credential Guard можно с помощью реестра. Это позволяет отключать Credential Guard удаленно. Однако рекомендуется включать Credential Guard с блокировкой UEFI. Это можно настроить с помощью групповой политики.
  • Делегирование учетных данных CredSSP/TsPkg. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию.

Узнайте, как развернуть Credential Guard и управлять им в вашей организации.

Более простое управление сертификатами

Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в т. ч. сертификаты по включению Windows Hello для бизнеса в вашей организации. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов. Как и в Windows Phone 8.1, вы можете использовать приложение Сертификаты для просмотра сведений о сертификатах на своем устройстве. Узнайте, как установить цифровые сертификаты в Windows 10 Mobile.

Microsoft Passport

В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код.

Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам.

Аудит безопасности

Новые функции аудита безопасности в Windows 10 (версия 1511)
  • Поставщики служб конфигурации WindowsSecurityAuditing и Reporting позволяют добавлять политики аудита безопасности на мобильные устройства.
Новые возможности в Windows 10 версии 1507

В Windows 10 реализован ряд улучшений аудита безопасности:

новые подкатегории аудита;

В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита.

  • Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий.
  • Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Для этой категории записываются только успешные операции аудита. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. Список идентификаторов поставщиков оборудования включается в событие.
дополнительные сведения для имеющихся событий аудита.

В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. Дополнены следующие события аудита:

изменена политика аудита ядра по умолчанию;

В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA.

процесс SACL по умолчанию добавлен в LSASS.exe;

В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. Этот SACL — L"S:(AU;SAFA;0x0010;;;WD)". Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра. Это помогает определить атаки, которые крадут учетные данные из памяти процесса.

Новые поля в событии входа

Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. В событие 4624 добавлены следующие поля.

  1. Строка MachineLogon: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». В противном случае — «нет».
  2. Строка ElevatedToken: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». В противном случае — «нет». Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION).
  3. Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика.
  4. Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». В противном случае — «нет».
  5. Строка GroupMembership. Список всех групп в маркере пользователя.
  6. Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола.
Новые поля в событии создания процесса

Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. В событие 4688 добавлены следующие поля.

  1. Строка TargetUserSid. Идентификатор безопасности целевого субъекта.
  2. Строка TargetUserName. Имя учетной записи целевого пользователя.
  3. Строка TargetDomainName. Домен целевого пользователя.
  4. Строка TargetLogonId. Идентификатор входа целевого пользователя.
  5. Строка ParentProcessName. Имя процесса-автора.
  6. Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора.
Новые события диспетчера учетных записей безопасности

В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. В предыдущих версиях Windows отслеживались только операции записи. Новые события — 4798 и 4799. Теперь отслеживаются следующие интерфейсы API:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation
Новые события BCD

Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD):

  • Параметры DEP/NEX
  • Тестовая подпись
  • Эмуляция PCAT SB
  • Отладка
  • Отладка загрузки
  • Integrity Services
  • Отключение меню отладки Winload
Новые события PNP

Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена.

Узнайте, как управлять политиками аудита безопасности в вашей организации.

Доверенный платформенный модуль

Новые возможности TPM в Windows 10 (версия 1511)
  • Поставщики хранилища ключей (KSP) и srvcrypt поддерживают шифрование на основе эллиптических кривых (ECC).
Новые возможности TPM в Windows 10 (версия 1507)

В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10.

Аттестация работоспособности устройства

Подтверждение работоспособности устройства позволяет предприятиям устанавливать доверие на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. На устройстве можно проверить следующее.

  • Предотвращение выполнения данных поддерживается и включено?
  • Шифрование диска BitLocker поддерживается и включено?
  • Безопасная загрузка поддерживается и включена?

Примечание. Устройство должно работать под управлением Windows 10 и должно поддерживать хотя бы TPM 2.0.

Узнайте, как развернуть TPM и управлять им в вашей организации.

Контроль учетных записей

Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду.

Не следует выключать контроль учетных записей, так как такой сценарий не поддерживается для устройств под управлением Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. Реестр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA всегда должен иметь значение 1. Если необходимо обеспечить автоматическое повышение прав для программного доступа или установки, вы можете установить для реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin значение 0, что равнозначно установке ползунка контроля учетных записей в положение «Никогда не уведомлять». Подобное действие не рекомендуется выполнять для устройств под управлением Windows 10.

Дополнительные сведения о том, как управлять контролем учетных записей, см. в разделе Параметры групповой политики контроля учетных записей и параметры раздела реестра.

В Windows 10 в контроль учетных записей внесены некоторые улучшения.

Новые возможности контроля учетных записей в Windows 10 (версия 1507)
  • Интеграция с интерфейсом Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. Если обнаружена вредоносная программа, привилегии администратора блокируются.

Узнайте, как управлять контролем учетных записей в вашей организации.

Параметры профиля VPN

Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе:

  • автоматическое подключение для обеспечения режима "Постоянное подключение";
  • VPN-подключение, инициируемое приложением;
  • фильтры трафика VPN;
  • блокировка VPN;
  • интеграция с Microsoft Passport for Work.

Дополнительные сведения о параметрах VPN в Windows 10.

Управление

Windows 10 располагает функциями управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, обеспечивающих управление личными и корпоративными устройствами на уровне предприятия.

Поддержка MDM

Политики MDM для Windows 10 соответствуют политикам, поддерживаемым Windows 8.1. Они расширены для большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Магазином Windows, конфигурация VPN и многие другие.

Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA).

Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Справочник по управлению мобильными устройствами для Windows 10

Отмена регистрации

Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства.

Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются.

Инфраструктура

Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением.

Область Варианты
Удостоверение Active Directory; Azure AD
Группирование Присоединение к домену, рабочей группе, Azure AD
Управление устройствами Групповая политика; System Center Configuration Manager; Microsoft Intune; другие решения MDM; Exchange ActiveSync; Windows PowerShell; инструментарий управления Windows (WMI)

Примечание.С момента выпуска Windows Server 2012 R2 защита доступа к сети (NAP) является устаревшей технологией и была удалена из Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft.

Блокировка устройств

Вам нужен компьютер, который предназначен только для решения одной задачи? Пример.

  • Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов.

  • Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте.

  • Устройство, которое используется стажером для ввода данных.

Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение.

Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений.

Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана.

Пользовательский макет начального экрана

Стандартный пользовательский начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Узнайте, как настраивать и экспортировать макет начального экрана.

Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки.

Магазин Windows для бизнеса

Новые возможности в Windows 10 (версия 1511)

Магазин Windows для бизнеса позволяет организациям приобретать приложения для Windows с корпоративной лицензией. В Магазине для бизнеса можно приобрести приложения с учетом специфики организации. Предлагаются гибкие варианты распространения и возможность использования освободившихся лицензий и многократного использования лицензий. Организации могут использовать Магазин для бизнеса для создания собственного магазина для своих сотрудников, где будут размещены приложения из Магазина и внутренние бизнес-приложения.

Дополнительные сведения см. в разделе Обзор Магазина Windows для бизнеса.

Обновления

Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем непосредственного подключения этих систем к службе Центра обновления Windows корпорации Microsoft.

Благодаря объектам групповой политикиЦентр обновления Windows для бизнеса представляет собой простую в установке и внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10.

  • Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие— после (чтобы обеспечить соблюдение требований по качеству).

  • Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты (с ограниченной пропускной способностью).

  • Использование с существующими системами, такими как System Center Configuration Manager и Enterprise Mobility Suite.

Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить более быструю доступность обновлений для системы безопасности и новейших инноваций Майкрософт на постоянной основе. Центр обновления Windows для бизнеса — это бесплатная служба для всех выпусков Windows 10 Pro, Корпоративная и Windows 10 для образовательных учреждений. Эту службу можно использовать отдельно или совместно с существующими решениями для управления устройствами, такими как Windows Server Update Services (WSUS) и System Center Configuration Manager.

Подробнее о Центре обновления Windows для бизнеса.

Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10.

Microsoft Edge

Microsoft Edge позволяет не просто просматривать веб-страницы, но и активно взаимодействовать с сетью с помощью таких функций, как веб-заметки, режим чтения и Кортана.

  • Веб-заметки. Microsoft Edge позволяет добавлять примечания и выделять элементы прямо на веб-страницах.
  • Режим чтения. В Microsoft Edge можно читать и распечатывать интернет-статьи в представлении, не содержащем отвлекающих элементов и оптимизированном для размера экрана. В режиме чтения можно также сохранять веб-страницы или PDF-файлы в списке для чтения, чтобы вернуться к ним позднее.
  • Кортана. Кортана автоматически включается в Microsoft Edge. Microsoft Edge позволяет выделять слова для получения дополнительной информации, а также, например, одним нажатием кнопки забронировать столик в ресторане и прочитать отзывы, оставаясь на текущей веб-странице.
  • Совместимость и безопасность. Microsoft Edge по-прежнему позволяет использовать IE11 для сайтов в корпоративной интрасети или сайтов, входящих в список сайтов режима предприятия. IE11 требуется для запуска устаревших, менее безопасных технологий, таких как элементы ActiveX.

Руководство для предприятий

Microsoft Edge — браузер по умолчанию для Windows 10 и Windows 10 Mobile. Однако для веб-приложений, которым требуются элементы ActiveX, рекомендуется по-прежнему использовать Internet Explorer 11. Если вы удалили браузер IE11, то можете загрузить его из Магазина Windows или со страницы загрузки Internet Explorer 11.

Также рекомендуется выполнить обновление до IE11, если вы используете более ранние версии Internet Explorer. IE11 поддерживается в Windows 7, Windows 8.1 и Windows 10. Поэтому все прежние приложения, работающие с IE11, будут работать и после перехода на Windows 10.

Дополнительные сведения об использовании Microsoft Edge на предприятии

Подробнее

docs.microsoft.com

Как бесплатно и легально получить лицензионную версию Windows 10 после июля 2016

Если вас заинтересовал вопрос о том, как бесплатно и легально получить активированную не пиратским методом версию Windows 10, то вы почти наверняка знаете, что свободное обновление до этой операционной системы с «семёрки» и «восьмёрки» закончилось 29 июля 2016 года. Целый год владельцы 7 и 8 версии могли получить Windows 10 абсолютно бесплатно и, разумеется, у многих возникает мысль, что этот «бесплатный сыр» не мог закончиться бесповоротно. Это действительно так. Сама корпорация Microsoft оставила для особо нуждающихся возможность обновиться до «десятки», ничего не при этом не платя.

Итак, после июля 2016 года обновиться до Windows 10 с «семёрки» или «восьмёрки» прежним способом уже не удастся. Но есть другие, обходные пути, позволяющие использовать самую последнюю версию операционной системы от «Майкрософт» совершенно бесплатно. Начнём по порядку с самого простого.

Бесплатная Windows 10 для компьютера, на который она уже была установлена

Самый очевидный вариант - это бесплатное обновление до Windows 10 компьютеров, владельцы которых уже пытались установить эту операционную систему в период бесплатного обновления (с 29 июля 2015 по 29 июля 2016), но затем по каким-то причинам решившие перейти обратно на Windows 7, 8 или 8.1.

Хорошая новость состоит в том, что бесплатная активация (лицензия) в момент той предыдущей установки уже привязалась к компьютеру. Всё, что нужно теперь, это установить Windows 10, выбрав параметр «У меня нет ключа активации», и система после завершения процесса установки будет активирована автоматически через интернет.

Скачать инструмент, с помощью которого можно обновить компьютер до «десятки» или создать носитель с чистым образом Windows 10, можно абсолютно бесплатно и легально с официального сайта компании Microsoft. Если вы хотите обновиться до «десятки» с 7 или 8 версии операционной системы, выбирайте «Обновить сейчас». Но лучше поставить ОС начисто, выбрав «Скачать средство сейчас». После этого на компьютер будет скачана программа, которая запишет установочные файлы Windows 10 на флешку или DVD диск.

Легальная версия Windows 10 бесплатно для людей с ограниченными возможностями

Не спешите сразу сбрасывать со счетов этот вариант, пока не прочитаете этот раздел статьи.

Ещё одним вариантом получить официально активированную версию операционной системы Windows 10 бесплатно является фактически признание себя человеком с ограниченными возможностями (а может мы имеем ввиду свои материальные возможности?). Для таких людей Microsoft предусмотрел предложение по бесплатному переходу на «десятку» с 7 или 8 версии Windows без ограничения срока действия. Ознакомиться с подробной информацией по этому поводу можно на специальной странице корпорации. Сам я этим способом не пользовался, так как получил лицензию на Windows 10 бесплатно ещё в момент её первого официального выхода как участник Программы предварительной оценки. Но мои знакомые писали, что он работает.

Данное предложение по бесплатному обновлению для «десятки» предназначено для людей с ограниченными возможностями, но это не значит, что сама операционная система будет какой-то особенной и урезанной в функционале. Эта будет самая обычная версия Windows 10. Просто само обновление предусмотрено для людей с инвалидностью и нуждающихся в установке дополнительных вспомогательных программ.

Как я понимаю, Microsoft не собирается отслеживать, используются ли в легально активированной таким способом версии ОС какие-то сторонние сервисы для людей с ограниченными возможностями. Это можно понять хотя бы по такой фразе на странице вопросов и ответов по данному предложению: «Мы не ограничиваем предложение для пользователей каких-либо конкретных вспомогательных технологий. Если Вы используете подобные технологии в Windows, то имеете полное право на бесплатное обновление». Если подумать хорошенько, то под понятиями «люди с ограниченными возможностями» и «вспомогательные технологии» можно понимать очень много вещей. Возможно, у вас ограниченные финансовые возможности и вы нуждаетесь в использовании «вспомогательных технологий» по набору текста при помощи голоса (кстати, найти и установить такую программу для собственного спокойствия не составит особого труда). В общем, этот способ я бы однозначно попробовал сам, если бы не предпочёл участие в Программе предварительной оценки и не получил уже там свою лицензионную версию Windows 10.

Добавлю, что я никоим образом не хочу призвать вас к обману корпорации Microsoft. Просто описываю возможность легального и бесплатного обновления до активированной Windows 10, указывая при этом на расплывчатость формулировок «Майкрософта». Как говорится, имеющий уши да услышит. Вообще, в интернете поговаривают о том, что международная корпорация специально оставила такую лазейку для бесплатного обновления. С одной стороны, забота об инвалидах повышает репутацию любой компании, с другой - многие считают, что Microsoft выгодно хоть как-то легализовать тех пользователей, которые традиционно пользовались пиратскими методами активации и всё равно никогда не купят лицензионный продукт. Зарабатывать на таких ведь можно другими способами, например, показывая рекламу в меню «Пуск» (кстати, она есть и во всех купленных версиях Windows 10, но её можно отключить). Как всё обстоит на самом деле, мы можем только догадываться.

Бесплатная активированная версия Windows 10 для инсайдеров

Данный способ уже не работает! Единственное преимущество его перед неактивированной обычной Windows 10 - это то, что на экране появляется водяной знак технической версии. Его в отличие от обычной можно убрать. Альтернативный ему способ получить легальную активация Windows 10 описан на нашем новом сайте. На начало сентября 2017 года он работал.

Совершенно бесплатную активированную версию Windows 10 могут получить участники Программы предварительной оценки от «Майкрософт». Этот сервис создан для испытания пользователями новейших версий операционной системы. Принимая участие в данной программе, вы соглашаетесь испытывать те версии Windows 10, которые только готовятся к выпуску. Массовому пользователю они ещё не представлены. Конечно, иногда они могут быть не до конца доработанными, но лично я не считаю это серьёзным препятствием. Тем более, что имеется возможность выбрать один из трёх уровней готовности ОС для конечного пользователя. Участвовать в Программе предварительной оценки Windows 10 я советую тем, кто:

  • Не имеет лицензионной версии Windows 7 или 8, 8.1, которую можно было бы обновить до «десятки» другим способом.
  • Желает легально использовать не Home, а Professional (Pro) версию Windows 10.
  • Хочет быть пионером и пользоваться самой свежей версией операционной системой.
  • Согласен на периодическое полное обновление своей Windows 10 до новейшей версии её построения (раз в 2-4 месяца ОС будет предлагать крупное обновление, занимающее 1-2 часа).
  • Хочет помочь Microsoft усовершенствовать свой продукт (это не обязательно, но всей участники программы могут оставлять отзывы о своих впечатлениях и возникающих проблемах).

Разумеется, если бы во всём этом предложении не было своих неудобств и минусов, то этим способом легально и бесплатно получить Windows 10 пользовались бы все. Но плюсы, на мой взгляд, в этом случае перевешивают минусы. Однозначно лучше пользоваться инсайдеровской версией «десятки», чем активированной пиратским способом. К тому же, как говорится, попытка не пытка. Тем более, что спустя несколько месяцев участия в Программе предварительной оценки, Microsoft, вероятнее всего, привяжет к компьютеру абсолютно легальную активацию на самую обычную (не испытательскую) версию Windows 10. По крайне мере, так было до этого у всех участников Insider Preview, получивших лицензию на Windows 10 несмотря на отсутствие легальной «семёрки» или «восьмёрки» (я сам в их числе).

Присоединиться к Программе предварительной оценки Windows можно на странице этого проекта официального сайта Microsoft. После регистрации необходимо будет скачать (выбираем «Скачать средство сейчас» на этой странице) и установить чистый образ Windows 10. В процессе установки обязательно надо войти в систему при помощи своего аккаунта Microsoft, который был создан (или использован) при вашем согласии участвовать в Программе предварительной оценки. После установки «десятка», возможно, ещё не будет активированной. Нужно выбрав в настройках операционной системы «Все параметры» → «Обновление» → «Программа предварительной оценки» →«Начать», перезагрузить компьютер и ждать в ближайшие дни обновления до активированной инсайдеровской версии «десятки».

Добавлю, что даже при участии в Программе предварительной оценки Windows можно выбрать, какой степени готовности версия системы будет у вас устанавливаться. Это может быть так называемый «ранний доступ» (наиболее свежее построение, но у него может быть много недоработок), «поздний доступ» (здесь багов уже меньше) или почти готовая к массовому выпуску версия «Release Preview» (наиболее безопасный предварительный релиз, почти готовые к выпуску обновления, которые обычно предлагается инсайдерам за несколько дней до отправления ко всем пользователям). Чтобы выбрать свой уровень участия после перезагрузки компьютера нужно вернуться по пути «Все параметры» → «Обновление» → «Программа предварительной оценки».

Легальные способы бесплатного получения актированной версии Windows 10

Итак, подведём итоги. Для тех, кто имеет лицензионную Windows 7 или Windows 8, 8.1 и хочет обновить свою систему до последней версии есть два способа получить официально активированную «десятку» даже после 29 июля 2016 года:

  • Просто снова обновиться до неё или установить начисто, если вы пробовали устанавливать Windows 10 в промежуток между 29 июля 2015 и 29 июля 2016 годов.
  • Воспользоваться предложением по бесплатному обновлению для людей с ограниченными возможностями, нуждающимися в использовании вспомогательных технологий.

Для тех, кто хочет получить активированную версию Windows 10 бесплатно, при этом не обладая лицензионной «семёркой» или «восьмёркой», легальный способ только один:

  • Участвовать в Программе предварительной оценки Windows.

w10.jeanzzz.ru


Смотрите также