Edice Enterprise jakékoli verze systému Windows je přímo a víceméně výhradně určena podnikům a dalším organizacím určitého rozsahu, často s tisíci nebo desetitisíci počítačů. Běžně není k dispozici pro maloobchodní prodej (i když na internetu lze najít některé prodejce, kteří jsou ochotni prodávat licence pro jednu kopii).
Co se dozvíte v článku
- Co nabízí systém Windows 11 Enterprise podnikům?
- Funkce a vlastnosti zabezpečení systému Windows 11 Enterprise
- Zabezpečení na bázi hardwaru a virtualizace
- Ochrana před ztrátou dat (DLP), šifrování a další funkce
- Funkce a vlastnosti systému Windows 11 Enterprise pro zvýšení produktivity
- Funkce a vlastnosti správy systému Windows 11 Enterprise
- Používání systému Windows 11 Enterprise
Jste spokojeni s Windows 11?
Obvykle je nutné systém Windows 11 Enterprise získat prostřednictvím nějaké licenční smlouvy s Microsoftem nebo některým z jejích partnerů, například prostřednictvím webových stránek Windows 11 Enterprise.
Co nabízí systém Windows 11 Enterprise podnikům?
Systém Windows 11 Enterprise obecně nabízí další nebo vylepšené funkce určené speciálně pro podnikové použití. Tyto položky spadají do tří širokých kategorií:
- Zabezpečení
- Produktivita
- Správa
Prozkoumejme postupně jednotlivé kategorie, abychom pochopili jejich rozdíly oproti edicím Windows Home a Pro, které jsou určeny především spotřebitelům, jednotlivým profesionálům a malým firmám.
Funkce a vlastnosti zabezpečení systému Windows 11 Enterprise
Technologie ochrany a ověřování identity Microsoftu se v systému Windows 11 výrazně změnila. Spoléhá se na systém Windows Hello pro biometrické ověřování – většinou prostřednictvím čteček otisků prstů kompatibilních se systémem Hello a webových kamer pro rozpoznávání obličeje. (Jsou vyžadována zařízení podporující funkci Hello s podpůrnými ovladači.)
Podporuje také karty SmartCard a různé další formy dvoufaktorového ověřování (obvykle zkráceně 2FA). Kromě toho společnost nabízí aplikaci Microsoft Authenticator, která slouží k přihlašování k různým službám (například k předplatnému Visual Studia, Microsoft Volume Licensing Center, Microsoft Live Login a dalším) jako prostředek ověřování pomocí chytrého telefonu.
Pro organizace, které nasazují systém Windows 11 Enterprise, by měla být zajímavá také služba Windows Hello for Business (WHFB). Ten vynucuje používání 2FA místo přihlašování pomocí účtu/hesla na pokrytých zařízeních, a pomáhá tak zvýšit celkové zabezpečení tím, že obchází hesla a úzce se integruje s přihlašováním pomocí služby Active Directory nebo Entra. WHFB totiž spolupracuje také s poskytovateli identit třetích stran nebo se spoléhajícími službami třetích stran, které podporují standard FIDO Authentication založený na kryptografii veřejného klíče. (FIDO = „Fast ID Online“; více informací najdete na webu FIDO Alliance).
Pro konfiguraci WFHB používají organizace zásady GPO (Group Policy Objects) nebo MDM (Mobile Device Management), které se plně spoléhají na ověřování založené na certifikátech. WFHB tak přidává bezpečné přihlašování bez hesla do systému Windows, Azure a dalších služeb k již tak silné biometrii a podpoře 2FA systému Windows Hello. V podstatě přináší do systému Windows 11 Enterprise moderní funkci SSO (single sign-on).
Zabezpečení na bázi hardwaru a virtualizace
Systém Windows 11 Enterprise podporuje také technologii nazvanou Windows Defender Credential Guard, která je navržena tak, aby izolovala informace o pověřeních a přístup k těmto údajům měl pouze privilegovaný systémový software. Je-li funkce Credential Guard aktivní (u verzí 22H2 a novějších je ve výchozím nastavení zapnuta), jsou pověření systému Windows uložena ve speciálním zařízení nazvaném Credential Manager, které uchovává tato data ve speciálních zabezpečených složkách nazývaných trezory pod kontrolou modulu TPM (Trusted Platform Module). Systém Windows a aplikace (včetně webových prohlížečů) mohou z trezoru bezpečně předávat pověření jiným počítačům a webovým stránkám.
Jeden z důležitých aspektů funkce Credential Guard v systému Windows 11 Enterprise se dříve nazýval Device Guard; nyní se spíše nazývá integrita kódu nebo integrita paměti. Kombinuje funkce zabezpečení hardwaru i softwaru a umožňuje uzamknout zařízení tak, aby na nich byly spouštěny pouze důvěryhodné aplikace. Pokud aplikace nebo program není důvěryhodný, nelze jej spustit.
I když dojde ke kompromitaci chráněného zařízení, útočník na něm nebude moci spustit nic jiného než autorizovaný software. Tato technologie využívá zabezpečení založené na virtualizaci v systému Windows 11 Enterprise k izolaci služby Code Integrity od jádra operačního systému, kde služba používá podpisy definované v podnikové zásadě k určení toho, co je důvěryhodné. Tato služba tedy běží vedle jádra systému Windows v kontejneru chráněném hypervizorem.
Systém Windows 11 Enterprise také podporuje speciální důvěryhodnou službu spouštění systému, která využívá funkci Secure Boot spolu s rozhraním UEFI verze 2.3.1 (nebo novějšími verzemi). V tomto typu prostředí je nastavení firmwaru uzamčeno, aby se zabránilo zavádění jiných operačních systémů, aby se zabránilo neoprávněným změnám nastavení UEFI a aby se zablokovala alternativní zaváděcí zařízení (například USB flash disky, které by jinak mohly nahradit určený zaváděcí disk). To zabraňuje rootkitům a jinému škodlivému softwaru souvisejícímu se spouštěním systému, aby se v chráněných systémech uchytily. Autorizovaní správci mohou samozřejmě tato nastavení obejít zadáním speciálního hesla při spouštění systému, aby mohli použít aktualizace UEFI, provést změny konfigurace nebo jinou běžnou údržbu (např. aktualizace nebo změny firmwaru).
Ochrana před ztrátou dat (DLP), šifrování a další funkce
Pro oddělení a omezení organizačních dat obsahuje systém Windows 11 Enterprise zařízení nazvané Windows Information Protection (WIP). Je-li funkce WIP zapnuta, zabraňuje náhodnému nebo škodlivému vyzrazení dat prostřednictvím aplikací nebo služeb (např. e-mailu, sociálních médií nebo kódu v cloudu). WIP brání úniku dat, zejména na zařízeních vlastněných zaměstnanci, jako jsou tablety nebo chytré telefony (případy použití BYOD).
Pište pro Computerworld
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computerworldu?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Ochrana WIP vychází ze zásad definovaných pro podnikové zdroje dat a aplikace zpracovávající data. Pro uživatele tak zůstává transparentní. Microsoft však oznámil, že od července 2022 bude WIP v budoucích verzích systému Windows Enterprise „ukončena“, ačkoli ve verzích až do verze 23H2 včetně zůstává přítomna.
Technologie, které nahradí WIP, se jmenují Microsoft Purview Information Protection a Microsoft Purview Data Loss Prevention. Tyto nástroje pomáhají organizacím odhalovat, klasifikovat a chránit citlivá data při přístupu k nim nebo při jejich sdílení. Nabízejí detekci citlivých dat, označování citlivosti a ochranu založenou na zásadách proti ztrátě nebo úniku dat. Tyto nástroje jsou integrovány s cloudovými službami Microsoft 365, aplikacemi a koncovými zařízeními se systémy Windows a Edge, přičemž centralizovaná kontrola DSP zahrnuje i koncové body Chrome a macOS, cloudové aplikace a další.
S uvedením verze 22H2 získal systém Windows 11 funkci Šifrování osobních údajů (PDE). Ve spolupráci s dalšími šifrovacími metodami Microsoftu, jako je BitLocker, přináší PDE do systému Windows 11 další šifrování dat. PDE totiž dokáže šifrovat jednotlivé soubory a položky obsahu, nikoli celé svazky a disky. K propojení šifrovacích klíčů s přihlašovacími údaji uživatele využívá funkci Windows Hello for Business, takže uživatelé potřebují k šifrování nebo dešifrování souborů nebo položek PDE pouze jednu sadu přihlašovacích údajů (BitLocker vyžaduje dvě sady).
Cloudová služba Windows Device Health Attestation navíc pomáhá organizacím chránit data a duševní vlastnictví tím, že vynucuje, kontroluje a hlásí stav zařízení se systémem Windows 11. Spolupracuje také se službou Microsoft Endpoint Manager a dalšími kompatibilními službami MDM a poskytuje takzvané „služby podmíněného přístupu“. Ty kontrolují stav a kondici zařízení, která se pokoušejí o přístup k sítím organizace. Na základě výsledků těchto kontrol může tato služba zabránit nedůvěryhodným nebo nerozpoznaným zařízením získat přístup k prostředkům a sítím organizace.
Čtenáři by také měli vzít na vědomí, že plán předplatného Windows Enterprise E5 zahrnuje vše, co plán E3, ale přináší také Microsoft Defender for Endpoint. Tato platforma poskytuje zabezpečení koncových bodů založené na umělé inteligenci pro zařízení se systémy Windows, macOS, Linux, Android, iOS a IoT. Je navržena tak, aby zastavila ransomware a další kybernetické útoky a umožnila bezpečnostním týmům co nejlépe využívat aplikace, aplikace a služby založené na cloudu a zařízeních. Zahrnuje tedy také globální zpravodajství o hrozbách a monitorování povrchu útoků a využívá postupy prevence hrozeb k zajištění bezpečnosti koncových bodů. Umělá inteligence také pomáhá produktu Defender poskytovat automatizovanou detekci a reakci strojovou rychlostí, aby zmařil útoky narušitelů a útočníků.
Funkce a vlastnosti systému Windows 11 Enterprise pro zvýšení produktivity
Uživatelské rozhraní systému Windows 11 poskytuje uspořádání nabídky Start s integrovaným vyhledáváním spolu s hlavním panelem a oznamovacími oblastmi. Uživatelé, kteří znají systém Windows 10 (nebo starší verze systému Windows), mohou do systému Windows 11 ihned naskočit a začít s ním pracovat. Bylo navrženo tak, aby uživatelské prostředí bylo přívětivé a známé, a obsahuje řadu funkcí zvyšujících produktivitu, jako jsou relace Focus, hlasové psaní, Snap Layouts a další.
Ve Windows 11 Enterprise a dalších verzích Microsoft posílil svůj prohlížeč Edge o funkci Copilot (dříve nazývanou Bing Chat) řízenou umělou inteligencí a o nejrůznější rozšíření a ovládací prvky, které uživatelům poskytnou vylepšené webové prostředí. Pro přístup k webovým aplikacím založeným na starším typu IE (IE 11) zůstává k dispozici starší režim Internet Exploreru. Organizace by také měly zvážit nasazení prohlížeče Microsoft Edge for Business do podnikových bitových kopií systému Windows; poskytuje přizpůsobený a bezpečný webový prohlížeč ve všech uživatelských zařízeních (spravovaných i nespravovaných) s jasně odděleným pracovním a osobním obsahem, ovládacími prvky a doménami.
Widgety Microsoftu a třetích stran poskytují snadný přístup k praktickým nástrojům a možnostem monitorování vždy zapnuté pracovní plochy. (Klepnutím na ikonu „počasí“ na hlavním panelu otevřete panel widgetů.) Na obrázku níže jsou zobrazeny widgety pracovní plochy pro paměť, CPU, GPU a síť (à la karta Výkon ve Správci úloh), které jsou k dispozici prostřednictvím aplikace Dev Home (Preview) Microsoftu.
Funkce a vlastnosti správy systému Windows 11 Enterprise
Správa je oblast, ve které systém Windows 11 Enterprise obzvláště září. Poskytuje podporu pro dynamické poskytování a upgrady na místě. První z nich umožňuje vytvářet balíčky provisioningu, které lze instalovat pomocí vyměnitelných médií, jako jsou flash disky nebo karty SD, doručovat je jako přílohy e-mailů nebo stahovat ze síťových disků či prostřednictvím služby Windows Update for Business. Druhá z nich je spolehlivou metodou pro opravu a obnovu systému Windows.
Pomocí jednoduché sady písemných pokynů mohou uživatelé sami nasadit balíčky pro zajištění a konfiguraci vlastních zařízení. Jediný balíček provisioningu lze použít ke konfiguraci více zařízení, včetně zařízení ve vlastnictví zaměstnanců, i když nemusí být přítomna infrastruktura MDM nebo není k dispozici síťové připojení. Upgrade na místě také umožňuje jednoduchý a přímočarý upgrade z Windows 10 na 11 při zachování dat a nastavení a aktualizaci všech kompatibilních aplikací a ovladačů. (Poradce pro instalaci před upgradem uživatele předem upozorní na nekompatibility.)
Systém Windows 11 Enterprise dokonce umožňuje organizacím přímo a explicitně spravovat kódovou základnu systému Windows. Většina firem a organizací si zvolí, že bude dostávat aktualizace pro některé konkrétní sestavení systému Windows Enterprise (např. verzi 23H2, vydanou v říjnu 2023, nebo verzi 22H2, vydanou v září2022). Zatímco spotřebitelské verze systému Windows 11 (Home a Pro) mají dvouletý životní cyklus, verze Enterprise mají životnost 36 měsíců (3 roky).
To dává IT oddělením čas na vyhodnocení a ověření aktualizací před jejich použitím. Umožňuje jim to také kontrolovat, jak a kdy se aktualizace šíří do produkčních sítí (obvykle podle nějakého pravidelného plánu údržby). Služba Windows Update for Business poskytuje mechanismus distribuce a sledování aktualizací, který mohou podniky a organizace využívat interně ke správě bezpečnostních aktualizací ve vlastní režii nebo ke správě celého režimu Windows Update, a to vše pod svou plnou kontrolou a časovým rozvrhem.
Používání systému Windows 11 Enterprise
Systém Windows 11 Enterprise se často používá v součinnosti s řadou dalších nástrojů a technologií. Ačkoli pro všechny z nich existují alternativy třetích stran, mezi konkrétní relevantní technologie Microsoftu určené k pomoci s zobrazováním, správou, nasazením a údržbou systému Windows 11 Enterprise patří následující:
- Microsoft Intune (v letech 2019 až 2022 pod názvem Microsoft Endpoint Manager) zahrnuje sadu produktů Microsoft pro správu pod jednotným účtem a přihlášením. Zahrnuje nástroje pro správu uživatelů, zařízení a aplikací a integruje se s nástroji Configuration Manager, Endpoint Analytics, Windows Autopilot, Windows Autopatch a dalšími službami Microsoftu. Ke všem lze přistupovat a ovládat je prostřednictvím centra správy Intune. Tuto sadu nástrojů lze použít k nasazení a správě bitových kopií, aplikací, aktualizací a upgradů systému Windows 11 Enterprise spolu s mobilními zařízeními se systémy Android a iOS a dokonce i počítači Mac.
- Sada Windows Assessment and Deployment Kit (ADK) poskytuje nástroje pro přizpůsobení a nasazení obrazů systému Windows 11.
- Windows Update for Business poskytuje způsob, jak používat objekty zásad skupiny, aby správci organizace mohli vykonávat úplnou kontrolu nad tím, jak se zařízení se systémem Windows 11 aktualizují. To zahrnuje podporu skupin pro nasazení a ověřování, prostředky pro určení aktualizačních vln a členství a doručování peer-to-peer pro řízené šíření v rámci poboček a vzdálených lokalit.
- Služby Active Directory (AD) a Entra ID (dříve Azure Active Directory) nabízejí integrované nebo cloudové adresářové služby, včetně bohatých a komplexních ovládacích prvků zásad skupin pro správu nasazení, aktualizací, přístupu a používání operačních systémů a aplikací. Všechny ovládací prvky založené na zásadách zmíněné dříve v tomto článku mohou být zpracovávány prostřednictvím jednoho nebo druhého z těchto mechanismů.
Celkově Microsoft nabízí bohatou podpůrnou infrastrukturu pro podporu nasazení, správy a používání systému Windows 11 Enterprise v řízeném a bezpečném prostředí. Další zkoumání systému Windows 11 Enterprise, zejména v oblasti zabezpečení a správy, ukazuje, že je velmi vhodný pro podnikové použití.
Computerworld si můžete objednat i jako klasický časopis. Je jediným odborným měsíčníkem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computerworldu je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
Chcete si článek přečíst celý?
Tento článek je součástí exkluzivního obsahu pouze pro odběratele našeho newsletteru.
Přihlaste se k odběru newsletteru a my vám do mailu pošleme odkaz na celý článek.