Включение Windows 10 Обновления расширенной безопасности (ESU) для клиентов, обращаюющихся к облаку и виртуальным машинам

Важно.

Ищете информацию для потребителей? Для частных лиц или клиентов Windows 10 Домашняя дополнительные сведения о Обновления расширенной безопасности для Windows 10 доступны в следующих ресурсах:

Программа Windows 10 расширенной безопасности Обновления (ESU) позволяет организациям получать критически важные обновления для системы безопасности для компьютеров, зарегистрированных в службе платной подписки. ESU расширяет использование Windows 10 устройств после окончания поддержки 14 октября 2025 г. В этой статье содержатся инструкции по включению ключей ESU в коммерческих средах.

Предварительные условия

Чтобы включить ESU для Windows 10, необходимо выполнить следующие предварительные требования:

Требования к устройству:

  • Windows 10 версии 22H2 с KB5066791 или более поздним обновлением
  • После KB5066791 необходимо установить пакет подготовки лицензирования Обновления расширенной безопасности (ESU) для Windows 10 KB5072653
  • Права администратора на устройстве

Windows 10 выпуски долгосрочного обслуживания (LTSB/LTSC) имеют собственный жизненный цикл и не охватываются программой ESU Windows 10. Дополнительные сведения см. в разделе Жизненный цикл Майкрософт.

Конечные точки, необходимые для Windows 10 устройств, обращаюющихся к Windows 365 облачным компьютерам:

  • https://dls.microsoft.com
  • https://login.windows.net

Рекомендации по сценариям для облака и виртуализации

В некоторых сценариях облака и виртуализации есть конкретные рекомендации по включению ESU. В некоторых случаях ESU уже включен для вас, а в других может потребоваться выполнить дополнительные действия. В следующем списке перечислены эти сценарии.

  • Расширенные Обновления безопасности (ESU) доступны без дополнительных затрат для Windows 10 виртуальных машин в следующих средах, размещенных майкрософт или Azure интегрированных. В следующих средах не требуется дополнительная конфигурация или ключи:

  • Для других платформ виртуализации, работающих на Azure (например, Nutanix, Citrix или Omnissa Horizon на Решение Azure VMware), может потребоваться активация ключа ESU вручную.

    Чтобы получить ключ 5x5, обратитесь в службу поддержки учетных записей Майкрософт. Активацией можно управлять с помощью средство управления активацией корпоративных лицензий или скрипта.

Настройка неперсистентного VDI

При настройке Windows 10 ESU в конфигурации неперсистентной конфигурации VDI важно выполнить следующие действия, в противном случае вы будете использовать активации для ключа ESU Windows 10:

  1. Установите Windows 10 версии 22H2.

  2. Установите и активируйте ключ ESU Windows 10 с помощью инструкций по установке и активации ключа ESU.

  3. Установите последнее обновление и перезапустите.

  4. Удалите ключ продукта Windows 10 ESU с помощью следующей команды, где <Activation ID> — это идентификаторы активации из таблицы:

    Программа ESU Идентификатор активации
    Win10 ESU Year1 f520e45e-7413-4a34-a497-d2765967d094
    Win10 ESU Year2 1043add5-23b1-4afb-9a0f-64343c8f3f8d
    Win10 ESU Year3 83d49986-add3-41d7-ba33-87c7bfb5c0fb 
    cscript.exe %windir%\system32\slmgr.vbs /upk <Activation ID>

  5. Запустите sysprep, чтобы подготовить образ VDI к дублированию.

  6. Создайте золотой образ.

Выполните те же действия, чтобы обновить золотой образ, используемый для развертывания на устройствах VDI при выпуске новых обновлений.

Расширенное обновление системы безопасности для локальных устройств, обращаюющихся к Windows 365

Windows 10 устройства, обращаюющиеся к Windows 365 корпоративным облачным компьютерам и Windows 365 облачным компьютерам Frontline в выделенном режиме, автоматически имеют право на ESU на время действия предложения ESU, если пользователю назначена активная лицензия Windows 365 Корпоративная или Windows 365 Frontline Cloud PC в выделенном режиме подготовлен при условии выполнения следующих условий:

  • Локальное устройство Windows 10 присоединено Microsoft Entra или Microsoft Entra гибридное присоединение.
    • Устройства, которые только Microsoft Entra зарегистрированы или присоединены к локальная служба Active Directory, не имеют права на коммерческий доступ ESU с помощью Windows 365. Автоматическая регистрация Windows не является обязательным требованием.
    • Личные устройства или устройства BYOD, которые не управляются организацией и являются только Microsoft Entra зарегистрированы, не будут иметь права на это право. Эти устройства должны быть зарегистрированы с помощью программы ESU для потребителей. Соответствующий пользователь может активировать до 10 устройств.
  • Пользователи должны войти на свое физическое Windows 10 устройство, используя ту же учетную запись Microsoft Entra ID, которую они используют для Windows 365 облачных компьютеров, по крайней мере один раз в 22 дня, чтобы сохранить право на получение обновлений ESU на этом устройстве.
  • ИТ-администраторы должны использовать Microsoft Intune или другой поставщик MDM для развертывания настраиваемой политики, которая включает флаг EnableESUSubscriptionCheck. Эта политика помогает проверить, зарегистрировано ли устройство в программе подписки Windows 10 ESU.

Настройка флага EnableESUSubscriptionCheck с помощью Intune

Если вы предпочитаете настроить этот параметр без использования поставщика MDM, для вашего удобства предоставляются примеры скриптов .

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Перейдите в раздел Устройства>Управление устройствами>Конфигурация.
  3. Выберите Создать , а затем — Создать политику.
  4. Выберите следующие свойства для профиля политики:
    1. Платформа: Windows 10 и более поздних версий
    2. Тип профиля: Пользовательский или Шаблоны > Настраиваемый
  5. Щелкните Создать.
  6. В разделе Основные сведения укажите следующие свойства, а затем нажмите кнопку Далее по завершении.
    1. Имя: EnableESUSubscriptionCheck
    2. Описание: включение проверка подписки Windows 10 ESU
  7. В разделе Параметры конфигурации выберите Добавить , чтобы добавить новый параметр OMA-URI со следующими свойствами, а затем нажмите кнопку Далее по завершении:
    1. Имя: EnableESUSubscriptionCheck
    2. Описание: включение проверка подписки Windows 10 ESU
    3. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Licensing/EnableESUSubscriptionCheck
    4. Тип данных: Целое число
    5. Значение: 1 (значение 0 отключает проверка.)
  8. В разделе Назначения выберите группы, которым требуется назначить политику, а затем нажмите кнопку Далее.
  9. Нажмите кнопку Далее в разделе Правила применимости.
  10. В разделе Просмотр и создание проверьте параметры.
  11. Нажмите кнопку Создать , чтобы завершить создание политики.

Примечание.

Лицензии ESU будут автоматически заполнены в подписке Windows 365 и появятся в Центр администрирования Microsoft 365.

Проверка регистрации ESU для пользователей и устройств Windows 365

Windows 365 Корпоративная

Чтобы подтвердить регистрацию ESU для пользователей Windows 365 Корпоративная, выполните приведенные далее действия.

  1. Войдите в центр администрирования Microsoft 365.
  2. Выберите Выставление счетов>Лицензии.
  3. Выберите подписку Windows 365 Корпоративная.
  4. Выберите пользователя, который вы хотите проверить, а затем выберите Управление приложениями & службами.
  5. Во всплывающем меню убедитесь, что пользователь имеет Windows 10 ESU Commercial в списке и включен для пользователя.

Windows 365 frontline (выделенный)

Чтобы подтвердить регистрацию ESU для пользователей Windows 365 frontline, выполните приведенные далее действия.

  1. В Центр администрирования Microsoft 365 перейдите в раздел Выставление счетов>за продукты>Windows 365 Frontline.

  2. В центре администрирования Microsoft Intune перейдите в раздел Устройства>Windows 365>Все облачные компьютеры. Отфильтруйте облачные компьютеры по типу = выделенной линии передней линии.

Проверка регистрации ESU на устройствах

Чтобы убедиться, что устройство зарегистрировано в программе ESU, проверка для следующей записи реестра в физической конечной точке Windows 10, которая будет подключаться к Облачный компьютер Windows 365:

  • Ключ: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  • Имя: EnableESUSubscriptionCheck
  • Тип: REG_DWORD
  • Значение: 1

Проверка соответствия требованиям ESU и готовности к обновлению

Чтобы убедиться, что устройство завершило регистрацию и имеет право на получение обновлений ESU, проверка в физической конечной точке Windows 10, которая будет подключаться к Облачный компьютер Windows 365:

  • Запись реестра:

    • Ключ: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
    • Имя: Win10CommercialW365ESUEligible
    • Тип: REG_DWORD
    • Значение: 1

  • В Просмотр событий>Приложения и службы Журналы>Microsoft>Windows>ClipESU проверка для события с идентификатором 113. Это событие указывает, что лицензия Windows 365 ESU успешно установлена.

    Примечание.

    Этот журнал событий предназначен для решения ESU Windows 365 пользователей и устройств. Это не для решения ESU MAK 5x5 с ключом продукта ESU.

Примеры скриптов

Ниже приведены примеры того, как включить или отключитьEnableESUSubscriptionCheck флаг на Windows 10 устройствах с помощью PowerShell.

Включение ESUSubscriptionCheck с помощью PowerShell

Следующий пример скрипта PowerShell включает EnableESUSubscriptionCheck флаг на Windows 10 устройствах:

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 1

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Отключение ESUSubscriptionCheck с помощью PowerShell

В следующем примере скрипта PowerShell флаг отключается EnableESUSubscriptionCheck на Windows 10 устройствах:

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 0

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Связанное содержимое

  • Last updated on