Как максимально использовать корпоративные возможности Windows 10

Сегодня Windows 10 работает на двухстах миллионах устройств, и можно сказать, что новая ОС вышла на самую крутую траекторию роста по сравнению со всеми прошлыми версиями настольной Windows. Целью данной статьи является углубленный взгляд на корпоративный вариант системы Windows 10 с охватом некоторых наиболее полезных и сильных функций. Она также поясняет, как получить доступ к этим базовым функциям и использовать их для максимально эффективной эксплуатации Windows 10 с позиций и пользователя, и системного администратора.

При постоянно существующей и растущей угрозе киберпреступлений не удивительно, что многие из наиболее значительных усовершенствований Windows 10 сфокусированы на безопасности. Давайте поговорим про некоторые из числа самых мощных функций.

Функция Microsoft Device Guard предназначена в Windows 10 для блокирования вредоносного ПО. Требуя активации на уровне сервера, Device Guard защищает ядро системы от вредоносного кода, что критически важно для предотвращения постоянной компрометации ОС.

Device Guard упрощает администрирование и введение в действие белых списков общекорпоративных приложений, разрешающих запускать на устройствах компании только доверенные приложения. Это осуществляется путем объединения аппаратных и программных функций безопасности.

Чтобы настроить Device Guard потребуется время. Однако в библиотеке Microsoft TechNet имеется полное руководство по развертыванию этой функции.

Замените пароли двухфакторной аутентификацией

Еще одна новая функция, Microsoft Passport, позволяет заменить пароли ваших пользователей сильной двухфакторной аутентификацией с использованием зарегистрированного устройства и биометрической функции Windows Hello или PIN-кода. Она также позволяет возложить на мобильное устройство с Windows 10 роль дистанционного удостоверения, подтверждающего через Bluetooth-интерфейс личность пользователя при запуске ПК с Windows 10.

Чем полезна эта функция?

• Она лучше защищает учетные записи пользователей.
• Отказ от использования паролей предотвращает примитивный фишинг и атаки с подбором паролей.
• Она препятствует проникновению в серверы и повторные атаки, так как удостоверяющие данные Microsoft Passport находятся в асимметричной паре ключей.
• Дистанционная аутентификация через удостоверяющее устройство является простым и экономичным способом реализации двухфакторной аутентификации.

Вот, как ее можно использовать.

Реализация функции Microsoft Passport под Windows 10 требует создания групповой политики (Group Policy) или политики MDM (Mobile Device Management) на серверном уровне.

После того как эта функция будет включена на вашем устройстве, вы можете задать Passport следующим образом:

• войдите обычным способом в Windows 10, используя свое имя пользователя и пароль;
• система попросит вас создать и подтвердить рабочий код идентификации ( постарайтесь, чтобы он был запоминаемым);
• ваше устройство теперь зарегистрировано и прошло аутентификацию, и вы можете входить в систему через свой Passport.

Функции, повышающие продуктивность и удобство работы

В новой ОС имеются значительные усовершенствования для повышения производительности труда и удобства работы в мобильных условиях. Вот пара полезных примеров из этой области.

Функция Windows To Go предоставляет возможность загрузить полный управляемый образ системы Windows 10 на USB-накопитель, который можно будет подключать к любому хост-компьютеру с Windows 10 для загрузки и работы в управляемой системе Windows 10. Таким образом вы получите доступ к личному рабочему столу и ресурсам своей компании из любого места, а ваши ИТ-администраторы сохранят за собой прежний уровень функций управления.

Для подготовки устройства Windows To Go вам потребуется USB-накопитель, сертифицированный для использования функции Windows To Go и инсталлированная на вашем ПК корпоративная версия ОС Windows 10 с правами администратора.

Далее вам надо сделать следующее:

• войдите в Windows 10 на вашем ПК;
• вставьте сертифицированный USB-накопитель;
• убедитесь, что вам доступен .wim-файл (на сетевом ресурсе, USB-накопителе или DVD), который должен содержать корректный образ Windows 10, подготовленный с использованием утилиты sysprep;
• обратитесь к функции поиска, введите «Windows To Go» и нажмите Enter;
• найдите Windows To Go Creator Wizard и кликните в нужном месте для запуска приложения;
• в окне выбора диска, который вы хотите использовать, выделите свой USB-накопитель и кликните на кнопке Next;
• далее вас попросят выбрать образ Windows 10, после чего кликните Add Search Location, перейдите к папке с .wim-файлом и кликните Select folder; затем выберите образ Windows 10 Enterprise и кликните Next;
• кликните Create для начала сборки рабочего пространства Windows To Go на USB-накопителе (процедура сборки может занять от 20 до 30 минут);
• на завершающей странице вы можете сконфигурировать стартовые опции Windows To Go и, в частности, сделать ваш рабочий компьютер хост-компьютером Windows To Go. Отвечая на самый последний вопрос кликните No (если только вы не хотите сразу же начать грузиться с этого USB-накопителя) и далее Save и Close.

Windows 10 поставляется с Internet Explorer (IE) 11. Однако многие старые сайты корпоративных интрасетей не отображаются или не работают в современных браузерах. IE 11 можно использовать в режиме Enterprise Mode, при котором функции, способные вызывать эти проблемы, отключаются.

IE 11, который в Windows 10 по умолчанию выключен, может быть активирован системными администраторами на корпоративном уровне с помощью редактора групповой политики (Group Policy Editor, команда gpedit.msc) или редактора реестра (Registry Editor, команда regedit.exe).

После активации IE11 вы можете задействовать функцию Enterprise Mode следующим образом:

• перейдите в панель меню (если она не видна, нажмите клавишу ALT);
• кликните на Tools;
• выберите Enterprise Mode.

Windows Store for Business

Если вы работаете системным администратором или принимаете ИТ-решения, то удобным способом находить и покупать приложения, управлять их использованием и распространять внутри предприятия будет инструмент Windows Store for Business. Эта функция также позволяет организации создать свой частный раздел в библиотеке Store и контролировать имеющиеся в нем приложения.

Для использования Windows Store for Business нужно сделать следующее:

• зарегистрируйте свою организацию на странице https://www.microsoft.com/en-us/business-store;
• определите роли своего персонала в изменении параметров аккаунта, покупке и распространении приложений;
• выберите для себя приложения Windows Store из категории стандартных либо из приложений, соответствующих профилю бизнеса;
• выберите модель лицензирования (онлайновое лицензирование требует, чтобы при загрузке приложений пользователи каждый раз подключались к Store; офлайновое лицензирование позволяет организации кэшировать приложения и лицензии для развертывания внутри сети);
• выберите свою модель распространения, задействуя для управления возможности Store for Business или сторонний инструмент (наличие средства управления обеспечивает больший контроль над распространением приложений).

После этого вам остается наладить текущее управление реестром своих приложений и их распространением среди пользователей.

Подключение к ресурсам компании

DirectAccess является разновидностью удаленного подключения, которое активируется в комбинации с Windows Server. Эта функция позволяет подключаться к ресурсам компании, не используя VPN. Кроме того, компьютеры персонала сохраняют подключение к системе организации, и это дает ряд выгод. Некоторые перечислены далее.

• У администратора нет необходимости обучать работников всей организации созданию VPN-подключений. Кроме того, чтобы вы могли управлять устройством с DirectAccess, достаточно, чтобы оно было включено и подключено к Интернету, что позволяет легко исправлять неполадки у удаленных работников или блокировать устройства в случае их кражи.
• Пользователю больше не нужно знать, как создается VPN, или помнить как ее дезактивировать. Это сильно облегчает мобильный доступ к ресурсам и файлам компании.

Активация DirectAccess — довольно длинный процесс, варьирующийся в зависимости от используемой версии Windows Server. Полное описание активации DirectAccess в Windows Server 2012 представлено в библиотеке TechNet.

Итак, мы вас снабдили руководством, как максимально использовать Windows 10 Enterprise. Но не останавливайтесь на этих советах, поскольку в новой ОС таится масса других полезных функций.

Управление корпоративными приложениями Enterprise app management

В этом разделе описывается одна из ключевых функций управления мобильными устройствами (MDM) в Windows 10 для управления жизненным циклом приложений во всех windows. This topic covers one of the key mobile device management (MDM) features in Windows10 for managing the lifecycle of apps across all of Windows. Это возможность управления как приложениями Из Магазина, так и приложениями, не из Магазина, как частью возможностей MDM. It is the ability to manage both Store and non-Store apps as part of the native MDM capabilities. Новые возможности Windows 10 — возможность провести инвентаризацию всех приложений. New in Windows10 is the ability to take inventory of all your apps.

Цели управления приложениями Application management goals

Windows 10 позволяет серверам управления выполнять: Windows10 offers the ability for management servers to:

• Установка приложений непосредственно из Microsoft Store для бизнеса Install apps directly from the Microsoft Store for Business
• Развертывание приложений и лицензий автономного Магазина Deploy offline Store apps and licenses
• Развертывание бизнес-приложений (не из Магазина) Deploy line-of-business (LOB) apps (non-Store apps)
• Инвентаризация всех приложений для пользователя (приложений Магазина и других приложений) Inventory all apps for a user (Store and non-Store apps)
• Инвентаризация всех приложений для устройства (приложений Магазина и других приложений) Inventory all apps for a device (Store and non-Store apps)
• Удалить все приложения для пользователя (приложения Из Магазина и других приложений) Uninstall all apps for a user (Store and non-Store apps)
• Подготовка приложений для установки для всех пользователей устройств под управлением Windows 10 для настольных систем (Домашняя, Pro, Корпоративная и для образовательных систем) Provision apps so they are installed for all users of a device running Windows10 for desktop editions (Home, Pro, Enterprise, and Education)
• Удаление приложения, предназначенного для настольных пк, на устройстве под управлением Windows 10 Remove the provisioned app on the device running Windows10 for desktop editions

Инвентаризация приложений Inventory your apps

Windows 10 позволяет провести инвентаризацию всех приложений, развернутых для пользователя, и всех приложений для всех пользователей устройства в Windows 10 для настольных систем. Windows10 lets you inventory all apps deployed to a user and all apps for all users of a device on Windows10 for desktop editions. Поставщик служб конфигурации (CSP) EnterpriseModernAppManagement выполняет инвентаризацию упакованных приложений и не включает традиционные приложения Win32, установленные через MSI или исполняемые приложения. The EnterpriseModernAppManagement configuration service provider (CSP) inventories packaged apps and does not include traditional Win32 apps installed via MSI or executables. При инвентаризации приложения разделяются на основе следующих классификаций приложений: When the apps are inventoried they are separated based on the following app classifications:

• Store — приложения из Microsoft Store. Store — Apps that are from the Microsoft Store. Приложения можно устанавливать напрямую из Магазина или доставлять вместе с предприятием из Магазина для бизнеса. Apps can be directly installed from the Store or delivered with the enterprise from the Store for Business
• nonStore — приложения, которые не были приобретены в Microsoft Store. nonStore — Apps that were not acquired from the Microsoft Store.
• Система — приложения, которые являются частью ОС. System — Apps that are part of the OS. Удалить эти приложения невозможно. You cannot uninstall these apps. Эта классификация является только для чтения и может быть только инвентаризация. This classification is read-only and can only be inventoried.

Эти классификации представлены в качестве узлов в CSP EnterpriseModernAppManagement. These classifications are represented as nodes in the EnterpriseModernAppManagement CSP.

На следующей схеме показан CSP EnterpriseModernAppManagement в формате дерева. The following diagram shows the EnterpriseModernAppManagement CSP in a tree format.

Каждое приложение отображает одно имя семейства пакетов и одно-n полные имена пакетов для установленных приложений. Each app displays one package family name and 1-n package full names for installed apps. Приложения классифицируются в зависимости от их источника (Store, nonStore, System). The apps are categorized based on their origin (Store, nonStore, System).

Инвентаризацию можно выполнять рекурсивно на любом уровне узла AppManagement с помощью полного имени пакета. Inventory can be performed recursively at any level from the AppManagement node through the package full name. Инвентаризацию также можно выполнить только для определенного атрибута инвентаризации. Inventory can also be performed only for a specific inventory attribute.

Инвентаризация относится к полному имени пакета и перечисляет пакеты пакетов и пакеты ресурсов в соответствии с именем семейства пакетов. Inventory is specific to the package full name and lists bundled packs and resources packs as applicable under the package family name.

Примечание В Windows 10 Mobile пакеты XAP имеют ИД продукта, а не имя семейства пакетов и полное имя пакета. NoteOn Windows10 Mobile, XAP packages have the product ID in place of both the package family name and package full name.

Вот узлы для каждого полного имени пакета: Here are the nodes for each package full name:

• Имя Name
• Версия Version
• Издатель Publisher
• Architecture (Архитектура) Architecture
• InstallLocation InstallLocation
• IsFramework IsFramework
• IsBundle IsBundle
• InstallDate InstallDate
• ResourceID ResourceID
• RequiresReinstall RequiresReinstall
• PackageStatus PackageStatus
• Пользователи Users
• IsProvisioned IsProvisioned

Подробные описания каждого узла см. в описании CSP EnterpriseModernAppManagement. For detailed descriptions of each node, see EnterpriseModernAppManagement CSP.

Инвентаризация приложений App inventory

Можно использовать CSP EnterpriseModernAppManagement для запроса всех приложений, установленных для пользователя или устройства. You can use the EnterpriseModernAppManagement CSP to query for all apps installed for a user or device. Запрос возвращает все приложения независимо от того, были ли они установлены с помощью MDM или другими методами. The query returns all apps regardless if they were installed via MDM or other methods. Инвентаризацию можно выполнить на уровне пользователя или устройства. Inventory can be performed at the user or device level. Инвентаризация на уровне устройства возвращает сведения для всех пользователей на устройстве. Inventory at the device level will return information for all users on the device.

Обратите внимание, что выполнение полного инвентаризации устройства может быть ресурсоемким на клиенте в зависимости от оборудования и количества установленных приложений. Note that performing a full inventory of a device can be resource intensive on the client based on the hardware and number of apps that are installed. Возвращаемая информация также может быть очень большой. The data returned can also be very large. Вы можете разрезать эти запросы, чтобы уменьшить влияние на клиенты и сетевой трафик. You may want to chunk these requests to reduce the impact to clients and network traffic.

Вот пример запроса для всех приложений на устройстве. Here is an example of a query for all apps on the device.

Вот пример запроса определенного приложения для пользователя. Here is an example of a query for a specific app for a user.

Инвентаризация лицензий Магазина Store license inventory

Можно использовать CSP EnterpriseModernAppManagement для запроса всех лицензий приложений, установленных для пользователя или устройства. You can use the EnterpriseModernAppManagement CSP to query for all app licenses installed for a user or device. Запрос возвращает все лицензии приложений независимо от того, были ли они установлены с помощью MDM или другими методами. The query returns all app licenses regardless if they were installed via MDM or other methods. Инвентаризацию можно выполнить на уровне пользователя или устройства. Inventory can be performed at the user or device level. Инвентаризация на уровне устройства возвращает сведения для всех пользователей на устройстве. Inventory at the device level will return information for all users on the device.

Ниже узлы для каждого ИД лицензии. Here are the nodes for each license ID:

• LicenseCategory LicenseCategory
• LicenseUsage LicenseUsage
• RequestedID RequestedID

Подробные описания каждого узла см. в описании CSP EnterpriseModernAppManagement. For detailed descriptions of each node, see EnterpriseModernAppManagement CSP.

Примечание LicenseID в CSP — это ИД содержимого лицензии. NoteThe LicenseID in the CSP is the content ID for the license.

Вот пример запроса для всех лицензий приложений на устройстве. Here is an example of a query for all app licenses on a device.

Вот пример запроса для всех лицензий приложения для пользователя. Here is an example of a query for all app licenses for a user.

Включить на устройстве установку приложений, не относяхся к Магазину Enable the device to install non-Store apps

Существует два основных типа приложений, которые можно развернуть: приложения Магазина и подписанные корпоративными приложениями. There are two basic types of apps you can deploy: Store apps and enterprise signed apps. Чтобы развернуть подписанные корпоративными приложениями, необходимо включить параметр на устройстве, разрешив доверенные приложения. To deploy enterprise signed apps, you must enable a setting on the device to allow trusted apps. Приложения могут быть подписаны утвержденным корпорацией Майкрософт корневым (например, Symantec), развернутой корпоративным корневым или самозаверяя приложениями. The apps can be signed by a Microsoft approved root (such as Symantec), an enterprise deployed root or apps that are self-signed. В этом разделе описывается настройка устройства для развертывания приложений, не хранимых в Магазине. This section covers the steps to configure the device for non-store app deployment.

Разблокировка устройства для приложений, не хранимых в Магазине Unlock the device for non-Store apps

Чтобы развернуть приложение, не из Microsoft Store, необходимо настроить политику ApplicationManagement/AllowAllTrustedApps. To deploy app that are not from the Microsoft Store, you must configure the ApplicationManagement/AllowAllTrustedApps policy. Эта политика разрешает установку приложений, не хранимых в Магазине, на устройстве при условии, что на устройстве есть цепочка сертификата. This policy allows the installation of non-Store apps on the device provided that there is a chain to a certificate on the device. Приложение может быть подписано корневым сертификатом на устройстве (например, Symantec Enterprise), корпоративным корневым сертификатом или сертификатом доверия одноранговых устройств, развернутых на устройстве. The app can be signed with a root certificate on the device (such as Symantec Enterprise), an enterprise owned root certificate, or a peer trust certificate deployed on the device. Дополнительные сведения о развертывании пользовательской лицензии см. в этой теме. For more information about deploying user license, see Deploy an offline license to a user.

Политика AllowAllTrustedApps включает установку приложений, доверенных сертификатом доверенных людей на устройстве или корневым сертификатом в доверенной корневой части устройства. The AllowAllTrustedApps policy enables the installation apps that are trusted by a certificate in the Trusted People on the device or a root certificate in the Trusted Root of the device. Политика не настроена по умолчанию, то есть можно устанавливать только приложения из Microsoft Store. The policy is not configured by default, which means only apps from the Microsoft Store can be installed. Если сервер управления неявно отключит значение, параметр будет отключен в панели параметров на устройстве. If the management server implicitly sets the value to off, the setting is disabled in the settings panel on the device.

Дополнительные сведения о политике AllowAllTrustedApps см. в CSP политики. For more information about the AllowAllTrustedApps policy, see Policy CSP.

Вот несколько примеров. Here are some examples.

1 ./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowAllTrustedApps?list=StructData 2 ./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps