本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
微软发布基于 Chromium 的正式版 Microsoft Edge 浏览器
微软发布基于 Chromium 的正式版 Microsoft Edge 浏览器
本月15日微软向公众发布了基于 Chromium 的正式版 Microsoft Edge 浏览器,版本号为:79.0.309.65,现在可以访问新网站进行下载,https://www.microsoftedge.com。
除了支持 Windows 平台,该浏览器还支持跨平台,目前已经能够安装在 MacOS、iOS 和 Android 平台上,访问官方网站或从下面的二维码扫描即可访问安装。
如果您是企业用户,并希望在组织中部署这款浏览器,则可以访问 https://www.microsoft.com/en-us/edge/business/download 获取 MSI 格式的安装包,微软还提供了策略模板,供组织进行统一的管理。目前 Intune 也已经原生支持部署 Microsoft Edge,当然也可以继续使用 MSI 以 LOB 方式部署。
此外对于企业用户还需要了解以下信息:
- Microsoft Edge 稳定渠道的功能更新将按照6周周期进行发布。
- 为了确保 Microsoft Edge 可以无缝融入到 Windows 中,在安装后会对操作系统进行更改。
- Windows 当前版本的 Microsoft Edge 所涉及到的开始菜单Pin、磁贴、任务栏Pin和快捷方式都将迁移到安装的基于 Chromium 的 Microsoft Edge。
- 默认的大多数协议也将迁移到新版 Microsoft Edge。
- Windows 当前版本的 Microsoft Edge将会被隐藏,所有尝试启动都将被重定向到新版 Microsoft Edge。
备注:用户级别安装不会触发这些行为。
文末,gOxiA 建议企业用户使用该浏览器,除了广泛支持不同的 Windows 版本外,还支持跨平台,能够为用户带来一致的使用使用体验,并且支持微软账户或Office 365账户同步。至于兼容性问题,Chromium 内核深受用户喜爱和青睐,标准被广泛采用,这对于前端开发者也是福音。
Windows Autopilot 网络要求
Windows Autopilot 网络要求
在一些网络访问限制性更强的企业环境下,要确保 Windows Autopilot 能够正常的部署,需要为其创建网络访问白名单。由于 Windows Autopilot 依赖相关的 Internet 服务有很多,必须逐个对这些服务进行评估和配置,才能确保 Autopilot 正常工作。以下是 gOxiA 整理的主要服务相关信息:
- Windows Autopilot 部署服务,即 Windows Autopilot Deployment Service,当 Windows 10 设备网络连接就绪后将会连接到该服务。https://ztd.dds.microsoft.com https://cs.dds.microsoft.com
- Windows 激活:
https://go.microsoft.com/
http://go.microsoft.com/
https://login.live.com
https://activation.sls.microsoft.com/
http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
https://validation.sls.microsoft.com/
https://activation-v2.sls.microsoft.com/
https://validation-v2.sls.microsoft.com/
https://displaycatalog.mp.microsoft.com/
https://licensing.mp.microsoft.com/
https://purchase.mp.microsoft.com/
https://displaycatalog.md.mp.microsoft.com/
https://licensing.md.mp.microsoft.com/
https://purchase.md.mp.microsoft.com/
- Azure Active Directory,由于涉及到身份验证所以必不可少的包含 AAD,具体可参考 https://docs.microsoft.com/zh-cn/office365/enterprise/office-365-ip-web-service
- Intune,在通过身份验证后,AAD 将在 Intune MDM 服务中出发设备注册,所以还要解决 Intune 的网络需求,具体可参考 https://docs.microsoft.com/zh-cn/intune/fundamentals/intune-endpoints
- 在 Autopilot 配置过程中,Windows 可以获取最新的更新补丁,为此建议确保 Windows Update 访问可用,但它不是必须的,因为在 Windows 更新无法访问时,Autopilot 仍将继续。
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
- 在 Autopilot 部署过程中,会触发 Windows 更新, Store 应用和更新,Office更新和 Intune Win32 应用数据的下载,此过程将联系传递优化服务以启用对等共享内容,以便只有少数设备需要从 Internet 下载数据。如果传递优化服务不可访问,Autopilot 将继续从云中进行优化传递下载。除HTTP/HTTPS端口外,建议允许 TCP/IP 的 7680 和 3544 端口入站流量。
*.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
- 时间同步也是 Autopilot 成功部署的关键因素之一,当 Windows 设备启动时,将会与网络时间服务器同步,以确保设备时间准确。为此,我们需要确保 time.windows.com 的 UDP 端口 123 能够访问。
- 域名服务(DNS)就不必过多介绍了,省略……
- 如果您在通过 Windows Analytics 收集部署信息,需确保 诊断数据 有效。具体可参考 https://docs.microsoft.com/zh-cn/windows/privacy/configure-windows-diagnostic-data-in-your-organization#manage-enterprise-diagnostic-data-level
- Windows 必须能够判断出设备可以访问 Internet,请确保能够通过 HTTP 访问 www.msftconnecttest.com,即 网络连接状态指示器(NCSI)
- Windows 推送通知服务(WNS),如果无法访问该服务,将不能接收来自应用和服务的通知,该服务不会阻止 Autopilot 部署,若要允许访问请配置通过 HTTPS 访问 *.wns.windows.com。
- 如果要部署 Store 应用,需确保能够访问如下 URL
login.live.com
login.windows.net
account.live.com
clientconfig.passport.net
windowsphone.com
* .wns.windows.com
* .microsoft.com
* .s-microsoft.com
www.msftncsi.com(Windows 10版本1607之前)
www.msftconnecttest.com/connecttest.txt( 从Windows 10版本1607开始替换www.msftncsi.com)
- 如果您需要部署 Office 365 ,请参考 Office 365 URL 和 IP 地址范围
- 由于一些服务还需要检查证书吊销列表来确定服务中使用的证书,所以还需要参考 Office 365 URL 和 IP 地址范围,以及Office 365 证书链 继续访问配置。
- 如果在应用 Autopilot Self-Deploying Mode 或 Autopilot White Glove,还需确保能够访问如下 URL,这是因为带有 TPM 的设备在首次使用时需要从制造商哪里检索证书。
Intel- https://ekop.intel.com/ekcertservice
Qualcomm- https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
AMD- https://ftpm.amd.com/pki/aia
Infineon- https://pki.infineon.com
参考文档:
HOWTO: 为现有设备添加 Windows Autopilot 配置支持
HOWTO: 为现有设备添加 Windows Autopilot 配置支持
回顾:
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"
"HOWTO: 使用 Intune 部署 Microsoft Edge"
Windows Autopilot 为组织提供了一种将原始的未接触过的 Windows 10 设备直接交付给最终用户的方法。在 Windows 10 1809或更高版本上提供了适用于现有设备的 Windows Autopilot。使用这个功能我们可以为那些从 Windows 7 升级而来的 Windows 10 设备提供 用户驱动模式(User Driven Mode)的 Windows Autopilot 支持。
其流程就是从 Intune 中获取 Windows Autopilot 的配置文件,并预先将该配置文件部署到这些设备上,在进入 Windows 10 OOBE 阶段会自动加载 Windows Autopilot 配置文件从而启动对应的部署过程。
首先,我们要在一台 Windows 设备上安装相应的 PowerShell 模块,它们是 AzureAD 以及 WindowsAutopilotIntune 模块,请以管理员权限打开 PowerShell,并执行以下命令:
以上模块安装完毕后,导入 WindowsAutoPilotIntune 模块,即:
然后执行“connect-msgraph”连接并进行身份验证。
如果登录成功,则会看到当前的账户和对应的 TenantID。
使用“get-autopilotprofile”可以获取到已经创建过的 Windows Autopilot 配置文件。
要使用这些配置文件,需要将其转换为 JSON 格式,为此执行命令:
之后会看到转换后的格式呢容,将 {} 段落间的内容全部复制,然后打开记事本程序,将内容粘贴进去,在保存时务必使用“ANSI”编码,且文件名必须是“autopilotconfigurationfile.json”。
如果想简便也可以执行使用 PowerShell 实现转换并保存为 JSON 文件,参考如下:
当获取到要使用的 Windows Autopilot 的配置文件(AutoPilotConfigurationFile.json)后,将其部署到目标设备的指定目录下,当进入 OOBE 阶段时便会应用该目录下的 Windows Autopilot 配置文件。
注意:如果现有设备已经注册到 Windows Autopilot,则分配的配置文件优先,仅当在线配置文件超时时,“适用于现有设备的 Windows Autopilot”配置文件才适用。
参考文档:
https://docs.microsoft.com/en-us/configmgr/osd/deploy-use/windows-autopilot-for-existing-devices
https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/existing-devices
HOWTO: 使用 ADMX 组策略模板管理 Windows 10
HOWTO: 使用组策略模板管理 Windows 10
微软在 2015年8月首次发布了 Windows 10 的管理模板(ADMX),并且针对每个版本都有提供对应的 ADMX,如果企业正打算通过域组策略来管理 Windows 10 设备,那么这些管理模板不可或缺。根据微软提供的 ADMX 模板参考指南(Group Policy Settings Reference for Windows and Windows Server)中的数据,仅为 Windows 10 提供的新的管理选项就多达600多个(多个版本累计,可能含有重复项)。
以下是 Windows 10 各版本的 ADMX 下载地址:
Administrative Templates (.admx) for Windows 10 1511
https://www.microsoft.com/en-US/download/details.aspx?id=48257Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016
https://www.microsoft.com/en-US/download/details.aspx?id=53430Administrative Templates (.admx) for Windows 10 1703
https://www.microsoft.com/en-us/download/details.aspx?id=55080Administrative Templates (.admx) for Windows 10 1709
https://www.microsoft.com/en-us/download/details.aspx?id=56121Administrative Templates (.admx) for Windows 10 1809
https://www.microsoft.com/en-us/download/details.aspx?id=57576Administrative Templates (.admx) for Windows 10 1903
https://www.microsoft.com/en-us/download/details.aspx?id=58495Administrative Templates (.admx) for Windows 10 1909
https://www.microsoft.com/en-us/download/100591
此外,微软还为 IT 人员提供了基于云的组策略搜索工具,允许管理员查看、过滤、复制所有的 GPO 设置。
http://gpsearch.azurewebsites.net/
当 IT 人员下载并展开 ADMX 模板后,该如何应用到当前企业的域环境中呢?!方法很简单,我们可以基于中央存储的方式来创建和管理组策略管理模板,当然这一中央存储的特性一直存在。
首先,我们需要在域共享中创建如下文件夹:
\contoso.comSYSVOLcontoso.compoliciesPolicyDefinitions
然后,将下载的 ADMX 模板复制到上面的文件夹中,注意除了 ADMX 文件外,对应的语言目录也需要一并考入。
建议在执行操作前,先阅读微软的知识文档,获取最佳的实践。https://support.microsoft.com/zh-cn/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra
HOWTO: 通过 WSUS 推送 Surface 驱动程序
HOWTO: 通过 WSUS 推送 Surface 驱动程序
我们知道 Microsoft 为 Surface 设备提供了灵活的驱动部署支持,可以下载和安装标准的 MSI 驱动程序安装包,也可以将 MSI 展开导入到 WDS 或 MDT 做标准化部署使用。此外,还可以通过 Windows Update 来更新和安装驱动,默认情况下当在 Surface 上安装完系统后无线网卡是会被自动识别和驱动的,这样后续便可以通过 Windows Update 来更新和安装驱动。
如果企业 IT 人员需要对 Surface 设备进行统一的驱动程序管理,如审计推送 Surface 驱动程序,那么可以利用基于 Windows Server 2016 的 WSUS 来实现这一需求。只需要确保在“产品”和“分类”勾选相关的选项即可,如下图所示:
在产品列表中确认勾选:
- Windows 10 and later drivers
- Windows 10 and later upgrade & servicing drivers
其中后者表示用于动态更新的驱动,这在执行 Windows 10 升级时是十分必要的。
在分类列表中勾选:Drivers,这样才能使 WSUS 获取到驱动同步。之后我们便可以在 WSUS 中对 Surface 的驱动程序进行审批和推送管理。
如果希望查询或手动下载补丁,可通过 Microsoft Update Catalog: https://www.catalog.update.microsoft.com/Home.aspx
如果您所在的企业正在使用 SCCM,可以参考这篇知识文章:https://support.microsoft.com/en-us/help/4098906/manage-surface-driver-updates-in-configuration-manager
HOWTO: 使用 Intune 部署 Microsoft Edge
HOWTO: 使用 Intune 部署 Microsoft Edge
Microsoft Edge Beta 已经发布一段事件,除了微软以外,很多企业也都开始对这个全新的微软浏览器进行评估,如果您的企业正好在使用 Intune,并打算部署基于 Chromium 的 Microsoft Edge,那就不要错过 gOxiA 今天的分享。
Microsoft Edge 默认是基于云安装的,如果要在企业内部部署,则需要先获取到脱机安装包,为此我们可以访问如下网址下载适用于 Windows 的 64 位 MSI 安装包,此外还提供了 32 位 以及 macOS 的脱机安装包。
https://www.microsoftedgeinsider.com/zh-cn/enterprise
拿到 MSI 安装包后,便可以通过 Intune 进行部署,在“客户端应用 - 应用”下“添加”新应用。
在“应用类型”中选择“业务线应用”。
然后通过“应用包文件”选取刚才下载的 Microsoft Edge 的 MSI 安装包。
在“应用信息”配置中,输入必填的信息然后“确定”,待 MSI 安装包上传完毕后才能进行后续的配置,例如:分配应用。
分配应用则是指定该应用适用于哪些组,这里 gOxiA 将分配类型改为“必需”安装,并分配给了所有用户和设备。
接下来就等待同步生效了,当设备获取到 Intune 下发的应用时便会自动静默安装,如果用户安装有 Intune 的公司门户,也可以由此处选择安装。
参考资料:https://docs.microsoft.com/en-us/intune/apps/apps-win32-app-management
Microsoft Intune 公开预览 DFCI
Microsoft Intune 公开预览 DFCI
微软最近在 Microsoft Intune 上公开发布了 DFCI 预览,即提供了对 Device Firmware Configuration Interface(DFCI - 设备固件配置接口)的支持,也就是说企业 IT 人员可以通过 Intune 来管理设备的 UEFI(BIOS) 配置,既然能配置 UEFI 也就意味着可以设置设备端口的开启或关闭,例如 USB 端口,摄像头等等。
在过去如果我们要为用户设备配置 UEFI 必须接触到设备,或者使用厂商提供的脚本或工具,在为一些驻外的用户进行配置时多半还是要购买当地的上门服务进行设置,成本较高。
而现在通过 Intune 的价值则体现为零接触自动化为用户设备配置 UEFI,由于脱离了系统层,即使用户重装系统也仍会保留配置,使 DFCI 管理不会被覆盖。
DFCI 目前支持管理 Windows 10 RS5(1809)及以上版本的系统,设备制造商还必须在固件上提供 DHCI 的支持,目前已知微软最新发布的 Surface 均支持 DFCI,这些型号包含了:Surface Pro X,Surface Pro 7 以及 Surface Latop 3。
此外还有一些限制,设备必须由 CSP或 OEM 注册到 Windows Autopilot,如果您参考 gOxiA 之前发布的“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”来注册设备可能不受支持,因为 gOxiA 尚未拿到新款 Surface 暂无法进行验证。
DFCI 目前还处于预览版阶段,如果您在 Intune 的配置文件没有找到“设备固件配置接口”,那么还需要等待一段时间,DFCI 功能可能还没有在当前 Intune 所在区域生效。此外,DFCI 目前提供的可用配置也是有限的,具体如下:
- 允许本地用户更改UEFI设置
- CPU 和 IO 虚拟化
- 相机
- 麦克风和扬声器
- 无线电(蓝牙、Wi-Fi 和 NFC)
- 通过外部媒体(USB 和 SD)启动
- 通过网络适配器启动
长期从事企业 IT 桌面标准化管理的 ITer 会留意到,在上述的配置中缺少对端口的颗粒化配置管理,例如带有前后置摄像头的设备无法单独进行配置,也没有对多 USB 端口的单一配置支持,而无线电方面也仅仅是统一关闭或开启 Wi-Fi,蓝牙 和 NFC,也不支持单一配置,但这些需求却都是在企业实际环境中切切实实存在的,相信微软在微软会不断改进和完善 DFCI。
有关更加详细的资讯可参考 Microsoft Docs:https://docs.microsoft.com/zh-cn/intune/configuration/device-firmware-configuration-interface-windows/?WT.mc_id=M365-MVP-4000544
[Edge] 微软公布 Microsoft Edge 新消息
微软公布 Microsoft Edge 新消息
美当地时间11月5日,Microsoft Edge Insider 向用户公布了两则新的信息,受到了广泛关注。第一个则是 Microsoft Edge 发布了新的 Logo,新 Logo 增加了颜色过度,显得更加立体,给 gOxiA 的感觉像是一个新的生命。
第二个消息则是正式公布将在2020年的1月15日发布基于 Chromium 的 Microsoft Edge 正式版。目前已经发布了正式预览版,基于 version 79 的 Beta 版本。
从2019年4月公布 Edge Insider 以来,三个更新通道已经全部就绪,不论是你喜欢跟新的极客,或是开发人员,还是希望更稳定的测试用户都有不同的更新渠道,它们对应了 Can、Dev 和 Beta 。
而且 Edge 已经全面支持跨平台运行,从 PC 到 服务器除了 Windows 10 以外还提供了 Windows 8.1/7/Server 2008R2/Server 2021 R2/Server 2016及以上版本的支持;而且还提供了 macOS 版本;即使你是移动用户也可想用这份美味,它支持 iOS 和 Android。
此外,Microsoft Edge 还支持企业环境,提供了统一管理的特性,利用组策略可以为客户端设备提供统一定制化的配置。
如果您正在评估浏览器,不要错过 Microsoft Edge,即刻访问 http://www.microsoftedgeinsider.com,gOxiA 从发布以来一直在用的是 Can 渠道更新,即每日更新,还是相当稳定的。
Windows 处理器配置需求 - 201910更新含19H2
Windows 处理器配置需求 - 201910更新含19H2
微软近期更新了 Windows 处理器的最新需求列表,其中包含了 Windows 10 19H2(1909)的最新处理器需求,参考如下:
原文地址:Windows Processor Requirements
从支持列表看与1903并无差别,毕竟1909更新与前一版本并未太大区别。Windows 10 1909 将支持当前市面上最新的主流处理器,包括 ARM 架构的 Qualcomm Snapdragon 850 and 8cx 处理器。
此外,作为 IT 支持人员应当定期审阅该公告了解 Windows 各版本支持的 CPU,避免在交付的标准化映像版本与设备不兼容。举例来讲,当前企业在交付的 Windows 10 版本为 1607,那么该版本最高支持的 Intel 处理器仅为 Intel 7th,如果企业采购了基于 Intel 8th 的设备,那么就需要重新编制标准化映像,例如使用 Windows 10 1709,但由于 1709 的标准生命周期仅到 2019年4月9日,那么 IT 人员就需要考虑后续的迭代版本了,例如 1809 或 1903,但此时就需要额外验证企业内的业务应用或安全应用是否兼容最新版本的 Windows 。
欢迎大家与 gOxiA 探讨现代桌面管理经验,尤其是如果您对交付 Surface 设备有任何问题,请与 gOxiA 联系。
微软公布 Windows 7 Extended Security Updates
End of Life
微软公布 Windows 7 Extended Security Updates
Windows 7 的生命周期将于 2020年1月14日结束,Office 2010紧跟其后。在 Windows 7 生命周期结束后,系统仍能继续使用,但无法再从微软获得技术支持,安全更新以及软件更新。但在近日微软公布了一项付费服务 - Windows 7 Extended Security Updates,即 Windows 7 扩展安全更新,简称:ESU。
它面向各种规模的企业用户,不论是 Windows 7 专业版还是 Windows 7 企业版都可以通过云解决方案提供商(CSP)购买 ESU。Windows 7 ESU 将按设备销售,且每年价格都会有所上浮,可用时间直至 2023年1月。
以下是来自网文的 ESU 的价格参考:
Windows 7 企业版
- 第一年,25美金/台
- 第二年,50美金/台
- 第三年,100美金/台
Windows 7 专业版
- 第一年,50美金/台
- 第二年,100美金/台
- 第三年,200美金/台
另外需要注意的是如果你计划从第三年开始购买 ESU,那么还需要支付前两年的费用,也就是说你要支付175美金/台/企业版。
gOxiA 建议相关从业者应尽快推动 Windows 10 的升级工作。
