概述
Microsoft的扩展安全更新 (ESU) 计划在 2025 年 10 月 14 日终止支持后,为符合条件的 Windows 10 企业版和教育版设备提供关键和重要的安全更新。 本文档介绍了 ESU 权利、激活和管理如何使用 Azure 虚拟桌面 (AVD) 进行部署,重点介绍与 IT 管理员和计划Windows 10生命周期管理的客户相关的支持的模型、权利检查、策略和技术实施步骤。
参考:为 Windows 启用扩展安全更新Windows 10 ESU for Windows 365Windows 10 ESU for AVD
1. ESU 权利模型
ESU 的工作方式因部署方案而异:
- Azure 虚拟桌面 (AVD):在 Azure 虚拟桌面中的 Windows 10 多会话和单会话虚拟机(涵盖商业、政府和教育租户)自动有资格使用 ESU。 无需额外的许可证购买或激活。
- Windows 365云电脑:对于运行 Azure Windows 10 版本 22H2 的现有云电脑,ESU 无需额外付费即可使用。
- 物理/其他终结点:通过 Windows 365 许可证,连接到被许可的云电脑的基础设备可以实现 ESU 覆盖。
2. ESU 许可和激活逻辑
2.1 Azure 虚拟桌面 (AVD)
自动涵盖:运行受支持的 Windows 10 版本 22H2 映像的个人会话主机和共用会话主机将自动获得 ESU 授权。 无需 ESU 密钥或手动激活 - 主机在扫描时被识别为合格,并相应地接收 ESU 修补程序。
Azure 市场中有两个 Windows 10 版本 22H2 的客户端多会话映像:一个具有 Microsoft 365 应用,一个没有。 带有Microsoft 365 应用版的映像将于 2026 年 4 月 14 日停用并从Azure市场中删除,而没有Microsoft 365 应用版的映像将保留到 2028 年。
具有 Microsoft 365 应用版 的映像需要在 2025 年 10 月至 2026 年 4 月期间手动安装 ESU,而没有Microsoft 365 应用版的映像需要从 2025 年 10 月到 2028 年手动安装 ESU 才能保持最新状态。
无每会话/用户限制: 如果池处于活动状态且位于受支持的区域中,则 AVD 中的所有会话主机(无论有多少 VM 或用户)都符合条件。 更多详细信息:Azure虚拟桌面Windows 10扩展安全更新 - Azure虚拟桌面博客
3. 管理、策略和选择性加入控制
- 显式策略启用:设备需要通过 Microsoft Intune 策略或注册表配置显式启用 ESU 策略,才能开始接收 ESU 更新。 有关策略详情,请参阅为访问云和虚拟机的客户端启用 Windows 10 扩展安全更新 (ESU) | Microsoft Learn。
- 分配与执行:IT 管理员负责确保 ESU 策略正确配置并适用于符合条件的设备。配置不当可能会导致设备丢失符合条件的 ESU。
- 用户/设备限制: ESU 权利按用户计算,根据当前策略,每个用户最多允许 10 个符合条件的设备。
- 报告: 2025 年 10 月 15 日之后,用户到设备的 ESU 映射和报告不再通过Microsoft管理工具提供。
4. 技术实现步骤
对于基于 AVD/Azure 的 VM
- 确认服务资格:确保 VM 在符合条件的服务 ((如 AVD 或 Azure) 中的Windows 365)中运行。
- 无需密钥或购买: 权利是自动的,无需购买密钥或插入许可证。
- 更新管理:继续使用 Windows 更新 for Business、Autopatch、WSUS 或 Intune/SCCM 进行修补。
- VM 映像卫生: 在部署之前,请定期更新黄金映像以获取最新的 ESU 版本。
5. 最佳做法
- 确定迁移Windows 11优先级:仅当硬件限制或工作负荷依赖项阻止升级到Windows 11时,才将 ESU 用于Windows 10。
- 严格的设备跟踪: 请维护您自己符合 ESU 条件的终端记录,因为在 2025 年 10 月后,将不再提供中央管理员的清单功能。
- 尽可能自动执行: 尽可能自动执行 ESU 资格检查、策略分配和修补程序部署,尤其是在动态或共享设备环境中。
- 定期查看策略范围:定期查看组策略和 MDM 范围,以确保 ESU 仅应用于符合条件的终结点。 应显式排除已退役、已重新使用或已拆除的设备。