Nouveautés de Windows 10 Entreprise LTSC 2021

Cet article répertorie les fonctionnalités et le contenu nouveaux et mis à jour qui intéressent les professionnels de l’informatique pour Windows 10 Entreprise LTSC 2021, par rapport à Windows 10 Entreprise LTSC 2019 (LTSB). Pour obtenir une brève description du canal de maintenance LTSC et de la prise en charge associée, consultez Windows 10 Entreprise LTSC.

Remarque

Windows 10 Entreprise LTSC 2021 a été disponible pour la première fois le 16 novembre 2021. Les fonctionnalités de Windows 10 Entreprise LTSC 2021 sont équivalentes à Windows 10, version 21H2.

La version LTSC est destinée aux appareils à usage spécial. La prise en charge de LTSC par les applications et outils conçus pour la version du canal de disponibilité générale de Windows 10 peut être limitée.

Windows 10 Entreprise LTSC 2021 s’appuie sur Windows 10 Entreprise LTSC 2019, ajoutant des fonctionnalités Premium telles que la protection avancée contre les menaces de sécurité modernes et des fonctionnalités complètes de gestion des appareils, de gestion des applications et de contrôle.

La version Windows 10 Entreprise LTSC 2021 inclut les améliorations cumulatives fournies dans Windows 10 versions 1903, 1909, 2004, 21H1 et 21H2. Les détails de ces améliorations sont fournis ci-dessous.

Cycle

Important

Windows 10 Entreprise LTSC 2021 a un cycle de vie de 5 ans. (IoT Enterprise LTSC continue d’avoir un cycle de vie de 10 ans). Par conséquent, la version LTSC 2021 ne remplace pas directement LTSC 2019, qui a un cycle de vie de 10 ans.

Pour plus d’informations sur le cycle de vie de cette version, consultez La prochaine version Windows 10 canal de maintenance à long terme (LTSC).

Sécurité matérielle

System Guard

System Guard a amélioré une fonctionnalité de cette version de Windows appelée Protection du microprogramme SMM. Cette fonctionnalité s’appuie sur System Guard lancement sécurisé pour réduire la surface d’attaque du microprogramme et garantir que le microprogramme du mode de gestion du système (SMM) sur l’appareil fonctionne de manière saine. En particulier, le code SMM ne peut pas accéder à la mémoire et aux secrets du système d’exploitation.

Dans cette version, Windows Defender System Guard permet d’obtenir un niveau même plus élevé que la protection du microprogrammemode de gestion système(SMM) qui va au-delà de la vérification de la mémoire du système d’exploitation et des secrets pour les ressources supplémentaires telles que les registres et E/S.

Grâce à cette amélioration, le système d’exploitation peut détecter un niveau supérieur de conformité de SMM, ce qui permet d’améliorer la sécurité des appareils par rapport aux exploits et vulnérabilités de SMM. En fonction de la plateforme, du matériel sous-jacent et du microprogramme, il existe trois versions de la protection du microprogramme SMM (une, deux et trois), chaque version ultérieure offrant des protections plus fortes que les précédentes.

Il existe déjà des appareils sur le marché aujourd’hui qui offrent la protection du microprogramme SMM versions une et deux. SMM Firmware Protection version 3 Cette fonctionnalité est actuellement tournée vers l’avenir et nécessite un nouveau matériel qui sera bientôt disponible.

Sécurité du système d’exploitation

Sécurité du système

Les améliorations apportées à l'application Sécurité Windows incluent désormais l'historique de protection, y compris des informations détaillées et plus faciles à comprendre sur les menaces et les actions disponibles. Les blocs d'accès contrôlé aux dossiers figurent désormais dans l'historique de protection, les actions de l'outil d'analyse Windows Defender hors ligne et toutes les recommandations en attente.

Chiffrement et protection des données

BitLocker et Mobile Gestion des appareils (MDM) avec Microsoft Entra ID fonctionnent ensemble pour protéger vos appareils contre la divulgation accidentelle de mot de passe. Désormais, une nouvelle fonctionnalité de roulement de clés fait pivoter de manière sécurisée les mots de passe de récupération sur les appareils gérés par mdm. La fonctionnalité est activée chaque fois que les outils Microsoft Intune/MDM ou qu'un mot de passe de récupération est utilisé pour déverrouiller un lecteur protégé par BitLocker. Par conséquent, le mot de passe de récupération est mieux protégé lorsque les utilisateurs déverrouillent manuellement un lecteur BitLocker.

Sécurité du réseau

Pare-feu Windows Defender

Windows Defender Firewall offre désormais les avantages suivants :

Réduire les risques : Windows Defender Pare-feu réduit la surface d’attaque d’un appareil avec des règles permettant de restreindre ou d’autoriser le trafic par de nombreuses propriétés, telles que des adresses IP, des ports ou des chemins de programme. La réduction de la surface d’attaque d’un appareil augmente la facilité de gestion et réduit la probabilité d’une attaque réussie.

Protéger les données : avec IPsec (Internet Protocol Security) intégré, Windows Defender Pare-feu offre un moyen simple d’appliquer des communications réseau de bout en bout authentifiées. Il fournit un accès évolutif et étagé aux ressources réseau approuvées, ce qui permet d’appliquer l’intégrité des données et éventuellement de protéger la confidentialité des données.

Étendre la valeur : Windows Defender Pare-feu est un pare-feu basé sur l’hôte inclus avec le système d’exploitation. Aucun autre matériel ou logiciel n’est donc requis. Windows Defender Pare-feu est également conçu pour compléter les solutions de sécurité réseau non-Microsoft existantes par le biais d’une interface de programmation d’applications (API) documentée.

Le pare-feu Windows Defender est désormais plus facile à analyser et à déboguer. Le comportement IPsec a été intégré à Packet Monitor (pktmon), un outil de diagnostic réseau intégré à composants croisés pour Windows.

En outre, les journaux des événements Windows Defender pare-feu ont été améliorés pour garantir qu’un audit peut identifier le filtre spécifique responsable d’un événement donné. Cette amélioration permet l’analyse du comportement du pare-feu et de la capture de paquets enrichie sans recourir à d’autres outils.

Windows Defender Firewall prend également en charge Sous-système Windows pour Linux (WSL) ; Vous pouvez ajouter des règles pour le processus WSL, comme pour les processus Windows. Pour plus d’informations, consultez Windows Defender Pare-feu prend désormais en charge Sous-système Windows pour Linux (WSL).

Protection contre les virus et menaces

Réduction de la surface d’attaque : les administrateurs informatiques peuvent configurer des appareils avec une protection web avancée qui leur permet de définir des listes d’autorisation et des listes de blocage pour des URL et des adresses IP spécifiques. Protection nouvelle génération : les contrôles ont été étendus à la protection contre les rançongiciels, l’utilisation incorrecte des informations d’identification et les attaques transmises par le biais d’un stockage amovible.

  • Fonctionnalités d’application de l’intégrité : activez l’attestation d’exécution à distance de Windows 10 plateforme.
  • Fonctionnalités de protection contre les falsifications : utilise la sécurité basée sur la virtualisation pour isoler les fonctionnalités de sécurité critiques Microsoft Defender pour point de terminaison loin du système d’exploitation et des attaquants. Prise en charge de la plateforme : en plus de Windows 10, les fonctionnalités de Microsoft Defender pour point de terminaison ont été étendues pour prendre en charge les clients Windows 7 et Windows 8.1, ainsi que macOS, Linux et Windows Server avec ses fonctionnalités de détection de point de terminaison (EDR) et de plateforme Endpoint Protection (EPP).

Apprentissage automatique avancé : l'apprentissage automatique avancé et les modèles d'IA renforcent la protection contre les attaques d'apex utilisant des techniques d'exploits, des outils et des programmes malveillants innovants.

Protection d’urgence contre les attaques : permet de mettre automatiquement à jour les appareils avec de nouvelles informations lorsqu’une nouvelle attaque est détectée.

Conformité ISO 27001 certifiée : permet de garantir que le service cloud a analysé les menaces, les vulnérabilités et les impacts, et que la gestion des risques ainsi que les contrôles de sécurité sont en place.

Prise en charge de la géolocalisation : prend en charge la géolocalisation et la souveraineté des exemples de données, ainsi que les stratégies de rétention configurables.

Amélioration de la prise en charge des chemins de fichiers non ASCII pour Microsoft Defender Advanced Threat Protection (ATP) Auto Incident Response (IR).

Remarque

Le paramètre DisableAntiSpyware est déconseillé dans cette version.

Sécurité des applications

Isolation des applications

Bac à sable Windows : environnement de bureau isolé sur lequel vous pouvez exécuter des logiciels non approuvés sans craindre d'impact durable sur votre appareil.

Microsoft Defender Application Guard

Protection d'application Microsoft Defender améliorations sont les suivantes :

  • Les utilisateurs autonomes peuvent installer et configurer leurs paramètres de Windows Defender Protection d'application sans avoir à modifier les paramètres de clé de Registre. Les utilisateurs d'entreprise peuvent vérifier leurs paramètres pour savoir ce que leurs administrateurs ont configuré pour leurs ordinateurs afin de mieux comprendre leur comportement.

  • Protection d'application est maintenant une extension dans Google Chrome et Mozilla Firefox. De nombreux utilisateurs se trouvent dans un environnement de navigateur hybride et souhaitent étendre la technologie d’isolation du navigateur de Protection d'application au-delà de Microsoft Edge. Dans la dernière version, les utilisateurs peuvent installer l’extension Protection d'application dans leur navigateur Chrome ou Firefox. Cette extension redirige la navigation non approuvée vers le navigateur Protection d'application Edge. Il existe également une application compagne pour activer cette fonctionnalité dans le Microsoft Store. Les utilisateurs peuvent rapidement lancer Protection d'application à partir de leur bureau à l’aide de cette application. Cette fonctionnalité est également disponible dans Windows 10, version 1803 ou ultérieure avec les mises à jour les plus récentes.

    Pour essayer cette extension :

    1. Configurez Protection d'application stratégies sur votre appareil.
    2. Accédez au Chrome Web Store ou aux modules complémentaires Firefox, et recherchez Application Guard. Installez l'extension.
    3. Suivez si besoin les étapes de configuration supplémentaires dans la page d’installation de l’extension.
    4. Redémarrez l'appareil.
    5. Accédez à un site non approuvé dans Chrome et Firefox.

Navigation dynamique : Protection d'application permet désormais aux utilisateurs de revenir à leur navigateur hôte par défaut à partir du Protection d'application Microsoft Edge. Auparavant, les utilisateurs naviguant dans Protection d'application Edge voyaient une page d’erreur lorsqu’ils essayaient d’accéder à un site approuvé dans le navigateur de conteneur. Avec cette nouvelle fonctionnalité, les utilisateurs sont automatiquement redirigés vers leur navigateur hôte par défaut lorsqu’ils entrent ou cliquent sur un site approuvé dans Protection d'application Edge. Cette fonctionnalité est également disponible dans Windows 10, version 1803 ou ultérieure avec les mises à jour les plus récentes.

Protection d'application performances sont améliorées avec des temps d’ouverture de document optimisés :

  • Résolution d’un problème qui pouvait entraîner un délai d’une minute ou plus lorsque vous ouvrez un document Office Protection d'application Microsoft Defender (Protection d'application). Ce problème peut se produire lorsque vous essayez d’ouvrir un fichier à l’aide d’un chemin d’accès UNC (Universal Naming Convention) ou d’un lien de partage SMB (Server Message Block).
  • Résolution d’un problème de mémoire susceptible d’entraîner l’utilisation d’un conteneur Protection d'application de près de 1 Go de mémoire de jeu de travail lorsque le conteneur est inactif.
  • Les performances de Robocopy sont améliorées lors de la copie de fichiers dont la taille est de plus de 400 Mo.

Contrôle d’application

Contrôle d’application pour Windows : dans Windows 10 version 1903, Windows Defender Contrôle d’application (WDAC) a ajouté de nombreuses nouvelles fonctionnalités qui éclairent les scénarios clés et fournissent la parité des fonctionnalités avec AppLocker.

  • Plusieurs stratégies : Windows Defender Contrôle d’application prend désormais en charge plusieurs stratégies d’intégrité du code simultanées pour un appareil afin d’activer les scénarios suivants : 1) appliquer et auditer côte à côte, 2) un ciblage plus simple pour les stratégies avec une étendue/intention différente, 3) développer une stratégie à l’aide d’une nouvelle stratégie « supplémentaire ».
  • Règles basées sur les chemins d'accès : la condition de chemin d'accès identifie une application par son emplacement dans le système de fichiers de l'ordinateur ou du réseau au lieu d'un signataire ou d'un identificateur de hachage. En outre, WDAC dispose d’une option qui permet aux administrateurs d’appliquer au moment de l’exécution que seul le code des chemins d’accès qui ne sont pas accessibles en écriture par l’utilisateur est exécuté. Lorsque le code tente de s’exécuter au moment de l’exécution, le répertoire est analysé et les fichiers sont vérifiés pour les autorisations d’écriture pour les administrateurs inconnus. Si un fichier est identifié comme étant modifiable en écriture par l’utilisateur, l’exécutable ne peut pas s’exécuter, sauf s’il est autorisé par autre chose qu’une règle de chemin d’accès comme un signataire ou une règle de hachage.
    WDAC est ainsi en parité de fonctionnalités avec AppLocker en termes de prise en charge des règles de chemin d’accès aux fichiers. WDAC améliore la sécurité des stratégies basées sur les règles de chemin d’accès aux fichiers avec la disponibilité de vérifications des autorisations d’écriture utilisateur au moment de l’exécution, une fonctionnalité qui n’est pas disponible avec AppLocker.
  • Autoriser l’inscription d’objets COM : auparavant, Windows Defender Contrôle d’application (WDAC) appliquait une liste d’autorisation intégrée pour l’inscription d’objets COM. Même si ce mécanisme fonctionne pour la plupart des scénarios courants d’utilisation des applications, les clients ont signalé certains cas où des objets COM supplémentaires doivent être autorisés. La mise à jour 1903 vers Windows 10 introduit la possibilité de spécifier des objets COM autorisés par le biais de leur GUID dans la stratégie WDAC.

Identité et confidentialité

Identité sécurisée

Windows Hello améliorations sont les suivantes :

  • Windows Hello est désormais pris en charge en tant qu’authentificateur Fast Identity Online 2 (FIDO2) dans les principaux navigateurs, notamment Chrome et Firefox.
  • Vous pouvez maintenant activer la connexion sans mot de passe pour les comptes Microsoft sur votre appareil Windows 10 en accédant à Paramètres > Options de connexion des comptes>, puis en sélectionnant Activé sous Rendre votre appareil sans mot de passe. L’activation de la connexion sans mot de passe basculera tous les comptes Microsoft sur votre appareil Windows 10 vers l’authentification moderne avec la reconnaissance des visages Windows Hello, Empreinte digitale ou code confidentiel (NIP).
  • La prise en charge de la connexion par code confidentiel Windows Hello est ajoutée au Mode sans échec.
  • Windows Hello Entreprise a maintenant Microsoft Entra support hybride et la connexion par numéro de téléphone (compte Microsoft). La prise en charge des clés de sécurité FIDO2 est étendue à Microsoft Entra environnements hybrides, ce qui permet aux entreprises avec des environnements hybrides de tirer parti de l’authentification sans mot de passe. Pour plus d’informations, voir Extension de la prise en charge d’Azure Active Directory pour la préversion FIDO2 pour les environnements hybrides.
  • Avec les composants matériels et logiciels spécialisés disponibles sur les appareils livrés avec Windows 10, la version 20H2 est configurée en usine, Windows Hello inclut désormais une prise en charge supplémentaire de la sécurité basée sur la virtualisation avec des capteurs d’empreinte digitale et des capteurs faciaux. Cette fonctionnalité isole et sécurise les données d’authentification biométrique d’un utilisateur.
  • La prise en charge de la fonction multi-caméra de Windows Hello a été ajoutée, permettant aux utilisateurs de choisir la priorité de la caméra externe lorsque des caméras externes et internes compatibles avec Windows Hello sont présentes.
  • Windows Hello certification FIDO2 : Windows Hello est désormais un authentificateur certifié FIDO2 et active la connexion sans mot de passe pour les sites web prenant en charge l’authentification FIDO2, tels que le compte Microsoft et l’ID Entra.
  • Expérience de réinitialisation du PIN Windows Hello simplifiée : les utilisateurs de compte Microsoft bénéficient d'une expérience de réinitialisation du PIN Windows Hello repensée avec la même apparence que la connexion sur le Web.
  • Bureau à distance avec biométrie : les utilisateurs Microsoft Entra ID et Active Directory utilisant Windows Hello Entreprise peuvent utiliser la biométrie pour s’authentifier auprès d’une session Bureau à distance.

Protection des informations d’identification

Credential Guard

Credential Guard est désormais disponible pour les appareils ARM64, pour une protection supplémentaire contre le vol d’informations d’identification pour les entreprises qui déploient des appareils ARM64 dans leur organisation, comme Surface Pro X.

Contrôles de confidentialité

Paramètres de confidentialité du microphone : une icône en forme de microphone s'affiche dans la zone de notification pour vous permettre d'identifier les applications qui utilisent votre microphone.

Services cloud

Microsoft Intune

Microsoft Intune prend en charge Windows 10 Entreprise LTSC 2021 avec l’exception suivante :

  • Les anneaux de mise à jour ne peuvent pas être utilisés pour les mises à jour des fonctionnalités, car Windows 10 versions LTSC ne reçoivent pas les mises à jour des fonctionnalités. Les anneaux de mise à jour peuvent être utilisés pour les mises à jour qualité pour Windows 10 Entreprise clients LTSC 2021.

Une nouvelle action à distance Intune : collecter des diagnosticsvous permet de collecter les journaux à partir d’appareils d’entreprise sans interrompre ou attendre l’utilisateur final. Pour plus d’informations, voir Collecter les diagnostics à distance.

Intune a également ajouté des fonctionnalités au contrôle d’accès basé sur un rôle (RBAC) qui peuvent être utilisées pour définir davantage les paramètres de profil pour la page d’état d’inscription (ESP). Pour plus d’informations, consultez Créer un profil de page de statut d'inscription et l'attribuer à un groupe.

Pour obtenir la liste complète des nouveautés de Microsoft Intune, voir Nouveautés de Microsoft Intune.

Gestion des périphériques mobiles

La stratégie de Gestion des appareils mobiles (GPM) est étendue avec de nouveaux paramètres Utilisateurs et groupes locaux qui correspondent aux options disponibles pour les appareils gérés via stratégie de groupe.

Pour plus d’informations sur les nouveautés de la gestion des appareils mobiles, consultez Nouveautés de l’inscription et de la gestion des appareils mobiles

Le service de stratégie de groupe (GPSVC) de Windows Management Instrumentation (WMI) bénéficie d'une amélioration des performances pour prendre en charge les scénarios de travail à distance :

  • Un problème est résolu et les modifications apportées par un administrateur Active Directory (AD) aux appartenances à un utilisateur ou à un groupe d’ordinateurs se propagent lentement. Bien que le jeton d'accès soit éventuellement mis à jour, ces modifications peuvent ne pas apparaître lorsque l'administrateur utilise gpresult /r ou gpresult /h pour créer un rapport.

Regénération et rotation de clés

Cette version inclut également deux nouvelles fonctionnalités appelées « roulement de clés » et « rotation des clés » qui permettent de déployer de manière sécurisée les mots de passe de récupération sur les appareils de Microsoft Entra ID gérés par mdm à la demande à partir d’outils Microsoft Intune/GPM ou lorsqu’un mot de passe de récupération est utilisé pour déverrouiller le lecteur protégé BitLocker. Cette fonctionnalité permet d’éviter la divulgation accidentelle du mot de passe dans le cadre du déverrouillage manuel du lecteur verrouillé via BitLocker par les utilisateurs.

Déploiement

SetupDiag

SetupDiag est un outil de ligne de commande qui peut vous aider à diagnostiquer l'échec d'une mise à jour Windows 10. SetupDiag fonctionne en recherchant les fichiers journaux d’installation de Windows. Lorsque des fichiers journaux font l’objet d’une recherche, SetupDiag utilise un ensemble de règles pour faire correspondre les problèmes connus. Dans la version actuelle de SetupDiag, il y a 53 règles contenues dans le fichier rules.xml qui est extrait lorsque SetupDiag est exécuté. Le fichier rules.xml sera mis à jour lorsque de nouvelles versions de SetupDiag seront disponibles.

Stockage réservé

Stockage réservé : le stockage réservé met de côté l’espace disque à utiliser par les mises à jour, les applications, les fichiers temporaires et les caches système. Il améliore le fonctionnement quotidien de votre PC en garantissant que les fonctions de système d'exploitation critiques ont toujours accès à l'espace disque. Le stockage réservé sera automatiquement activé sur les nouveaux PC sur lesquels Windows 10, version 1903 est préinstallé, ainsi que pour les nouvelles installations. Il ne sera pas activé lors des mises à jour à partir d'une version antérieure de Windows 10.

Kit de ressources pour le déploiement et l’évaluation Windows (ADK)

Un nouveau Windows ADK est disponible pour Windows 11 qui prend également en charge Windows 10, version 21H2.

Microsoft Deployment Toolkit (MDT)

Pour obtenir les informations les plus récentes sur MDT, consultez les notes de publication de MDT.

Installation de Windows

Les fichiers de réponses du programme d’installation de Windows (unattend.xml) ont amélioré la gestion de la langue.

Les améliorations apportées au programme d’installation de Windows avec cette version incluent également :

  • Réduction du temps hors connexion lors des mises à jour de fonctionnalités
  • Contrôles améliorés pour l’espace de stockage réservé
  • Contrôles et diagnostics améliorés
  • Nouvelles options de récupération

Si vous souhaitez obtenir plus d’informations, voir les améliorations apportées au programme d’installation de Windows sur le Blogue Windows IT Pro.

Microsoft Edge

La prise en charge du navigateur Microsoft Edge est désormais incluse dans la boîte.

Microsoft Edge en mode plein écran

Le mode kiosque de Microsoft Edge est disponible pour les versions LTSC à partir de Windows 10 Entreprise LTSC 2021 et Windows 10 IoT Entreprise LTSC 2021.

Microsoft Edge en mode plein écran offre deux expériences de verrouillage du navigateur afin de permettre aux organisations de créer, gérer et offrir une expérience optimale pour leurs clients. Les expériences de verrouillage suivantes sont disponibles :

  • Expérience de connexion numérique/interactive : affiche un site spécifique en mode plein écran.
  • Expérience de navigation publique : exécute une version multi-onglet limitée de Microsoft Edge.
  • Les deux expériences exécutent une session Microsoft Edge InPrivate qui protège les données de l’utilisateur.

Sous-système Windows pour Linux

Sous-système Windows pour Linux (WSL) est disponible dans la boîte.

Mise en réseau

Les normes WPA3 H2E sont prises en charge pour améliorer la sécurité Wi-Fi.

Articles associés

Windows 10 Entreprise LTSC : brève description du canal de maintenance LTSC avec des liens vers des informations sur chaque version.