适用于组织的 Windows 备份已正式发布
适用于组织的 Windows 备份已正式发布
回顾九月初 gOxiA 发布的两篇日志:“微软推出适用于组织的 Windows 备份”,“HOWTO: 为组织启用 Windows Backup”,相信你已经对 Windows 备份有了一定的了解,并掌握了如何配置和使用它们,在第二篇 HOWTO 日志中还专门制作分享了 Windows 备份的使用过程,使大家可以直观地看到实际的效果。在本月即11月17微软官方正式发布了适用于组织的 Windows 备份。
这篇日志主要回顾和确认 Windows 备份的一些关键信息点,首先已经明确的系统的要求,具体如下:
- 备份要求
在满足以下系统要求的设备上需要使用 Microsoft Entra ID 登录才可以使用 Windows 备份功能
- Windows 10 22H2(19045.6216)或更高版本
- Windows 11 22H2(22621.5768)或更高版本
- Windows 11 23H2(22631.5768)或更高版本
- Windows 11 24H2(26100.4916)或更高版本
- 必须 Microsoft Entra 联接或Microsoft Entra 混合联接
- 还原要求
使用还原功能需要满足以下要求
- Windows 11 22H2(22621.3958)或更高版本
- Windows 11 23H2(22631.3958)或更高版本
- Windows 11 24H2(26100.4770)或更高版本
- 用户至少有一个备份配置文件
- 如果使用 Autopilot,必须将配置文件配置为使用“用户驱动模式”,不支持自部署模式
- 必须 Microsoft Entra 联接
此外,适用于组织的 Windows 备份当前在 GCCH/主权云或中国/世纪互联不受支持。
要配置适用于组织的 Windows 备份,可参考之前的日志“HOWTO: 为组织启用 Windows Backup”。对于其中的“还原配置”,除了可以通过界面化操作 Microsoft Intune 管理中心 - 设备 - 注册 - Windows 备份和还原进行全局启用,也可以通过 CSP 的方式,具体的信息如下:
- OMA-URI: ./Device/Vendor/MSFT/WindowsBackupAndRestore/EnableWindowsRestore
- 数据类型:Boolean
- 值:True
该功能涉及的其他策略的详细设置可参考:Windows Backup for Organizations policy settings | Microsoft Lean
官方还提供了适用于组织的 Windows 备份常见问题解答,非常有价值。Windows Backup for Organizations Frequently Asked Questions (FAQ) | Microsoft Learn
如果组织 IT 需要对该功能进行评估,那么可参考下面的备份和还原设置支持情况:
- 系统
- 显示
- 多个显示器
- 根据监视器连接记住窗口位置 ✔️
- 在监视器断开连接时最小化窗口 ✔️
- 在显示器之间轻松移动光标 ✔️
- 夜灯
- 在显示器上显示暖色以帮助你入睡 ✔️
- 强度 ✔️
- 计划夜灯 ✔️
- 日落到日出/设置小时 (实际日出/日落时间取决于位置) ✔️
- 打开 ✔️
- 关闭 ✔️
- 声音
- 单声道音频 ✔️
- 更多声音设置 > 声音 [程序事件] (Windows 默认声音) ✔️
- 通知
- 通知✔️
- 允许通知播放声音 ✖️
- 在锁屏界面上显示通知 ✔️
- 在锁屏界面上显示提醒和传入 VoIP 呼叫 ✖️
- 显示通知钟图标 ✖️
- 请勿打扰 ✔️
- 打开“请勿自动打扰”
- 在此期间 ✔️
- 复制显示 (优先级通知横幅也会隐藏) ✔️
- 玩游戏时 ✔️
- 在全屏模式下使用应用时, (优先级通知横幅也会隐藏) ✔️
- 在 Windows 功能更新后的第一小时 ✔️
- 设置优先级通知
- 呼叫和提醒
- 显示传入呼叫,包括 VoIP ✔️
- 显示提醒,而不考虑使用的应用 ✔️
- 应用 ✔️
- 多任务
- 贴靠 Windows ✖️
- 贴靠窗口时,建议可以贴靠窗口旁边的内容 ✖️
- 将鼠标悬停在窗口的最大化按钮上时显示对齐布局 ✖️
- 将窗口拖动到屏幕顶部时显示对齐布局 ✖️
- 在任务视图中将鼠标悬停在任务栏应用上以及按 Alt+Tab 时显示我的贴靠窗口 ✖️
- 拖动窗口时,无需一直拖动到屏幕边缘即可贴靠窗口 ✖️
- 桌面
- 在任务上,显示所有打开的窗口 ✔️
- 按 Alt+Tab 时显示所有打开的窗口 ✔️
- 标题栏窗口摇动 ✔️
- 面向开发人员
- 文件资源管理器
- 显示文件扩展名 ✔️
- 显示隐藏文件和系统文件 ✔️
- 在标题栏中显示完整路径 ✔️
- 显示空驱动器 ✔️
- 关于
- 重命名此电脑 ✔️
- 蓝牙&设备
- 自动播放
- 对所有媒体和设备使用自动播放 ✔️
- 可移动驱动器 ✔️
- 内存卡 ✔️
- 打印机 & 扫描仪
- “让 Windows 管理我的默认打印机”, ✔️
- 鼠标
- 鼠标指针速度 ✔️
- 滚动鼠标滚轮滚动 ✔️
- 一次滚动的线条 ✔️
- 将鼠标悬停在非活动窗口上时滚动它们 ✔️
- 笔和 Windows Ink
- 使用触控笔时忽略触摸输入 ✔️
- 让我在可用时将触控笔用作鼠标 ✔️
- 使用笔按钮作为右键单击等效项(如果可用) ✖️
- 某些设备上仅支持触觉信号 () ✔️
- 虽然某些设备上仅支持墨迹书写 () ✔️
- 与设备交互时, (某些设备上仅支持) ✔️
- 某些设备上仅支持强度 () ✔️
- 选择快捷方式按钮的作用
- 单击 ✔️
- 双击 ✔️
- 长按 (只支持某些笔) ✔️
- 允许应用替代快捷方式按钮行为 ✔️
- 如果可用,请在从存储中删除笔后显示笔菜单 ✔️
- 触摸板
- 更改光标速度 ✔️
- 触摸板敏感度 ✔️
- 用一根手指点击可单击 ✔️
- 用两根手指点击以右键单击 ✔️
- 点击两次并拖动以多选 ✔️
- 按触摸板的右下角右键单击 ✔️
- 拖动两根手指滚动 ✔️
- 捏合缩放 ✔️
- 某些设备上仅支持触摸板反馈 () ✔️
- 某些设备上仅支持强度 () ✔️
- USB
- 连接通知 ✔️
- 如果此电脑通过 USB 充电缓慢,则显示通知 ✔️
- 触摸
- 三指和四指触摸手势 ✔️
- 触摸屏幕唤醒 (仅在某些设备上支持) ✔️
- 网络和 Internet
- Wlan
- 随机硬件地址) ✔️
- VPN
- 允许 VPN 通过按流量计费的网络 ✔️
- 在漫游时允许 VPN ✔️
- 手机网络
- 让 Windows 使我保持连接 ✔️
- 按流量计费的连接 ✔️
- 下拉列表) (数据漫游选项 ✔️
- 每当 Wi-Fi 较差时使用手机网络 ✔️
- 个性化
- 背景
- 个性化背景 ✔️
- 选择照片 ✔️
- 选择适合桌面映像的 ✔️
- 颜色
- 选择模式 ✔️
- 透明度效果 ✔️
- 主题色 ✔️
Windows 颜色 ✔️ - 自定义颜色 ✔️
- 在开始和任务栏上显示主题色 ✔️
- 在标题栏和窗口边框上显示主题色 ✔️
- 主题 ✔️
- 锁屏界面
- 个性化锁屏界面 ✔️
- 在锁屏界面上获取有趣的事实、提示、技巧等 ✔️
- 在登录屏幕上显示锁屏界面背景图片 ✔️
- 开始
- “开始”屏幕布局
- 布局 ✔️
- 显示最近添加的应用 ✔️
- 显示最常用的应用 ✖️
- 在“开始”屏幕中显示推荐的文件、文件资源管理器中的最近文件和跳转Lists中的项 ✔️
- 显示提示、快捷方式、新应用等的建议 ✔️
- 显示与帐户相关的通知 ✔️
- 文件夹
- “设置” ✔️
- 文件资源管理器 ✔️
- 文档 ✔️
- 下载 ✔️
- 音乐 ✔️
- 图片 ✔️
- 视频 ✔️
- 网络 ✔️
- 个人文件夹 ✔️
- 任务栏
- 任务栏固定布局 ✔️ 直到 23H2 ❌ 24H2 及更高版本
- 任务栏项
- “任务视图” ✔️
- 小组件 ✔️
- 任务栏行为
- 任务栏对齐方式 ✔️
- 自动隐藏任务栏 ✔️
- 在任务栏应用上显示锁屏提醒 ✔️
- 在任务栏应用上显示闪烁 ✔️
- 在所有显示器上显示任务栏 ✔️
- 使用多个显示器时,在上显示任务栏应用 ✔️
- 从任务栏共享任何窗口 ✔️
- 选择任务栏的远角以显示桌面 ✔️
- 合并任务栏按钮并隐藏标签 ✔️
- 合并任务栏按钮并隐藏其他任务栏上的标签 ✔️
- 文本输入
- 触摸键盘的主题 ✔️
- 触摸键盘
- 触摸键盘大小 ✔️
- 显示关键背景 ✔️
- 键文本大小 ✔️
- 应用
- 不支持备份或还原引用
- 账户
- Windows 备份
- 记住我的应用 ✖️
- 记住我的首选项 (切换) ✔️
- 辅助功能 ✔️
- 帐户、WiFi 网络和密码 ✔️
- 个性化 ✔️
- 语言首选项和字典 ✔️
- “其他 Windows 设置”, ✔️
- Email和帐户
- 其他应用使用的帐户 (MSA 帐户仅) ✔️
- 时间和语言
- 日期 & 时间
- 自动设置时区 ✔️
- 时区 ✔️
- 在任务栏中显示其他日历 ✔️
- 键入
- 触摸键盘
- 键入时播放关键声音 ✔️
- 将每个句子的第一个字母大写 ✔️
- 在双击空格键后添加句点 ✔️
- 双击 Shift 时使用所有大写字母 ✔️
- 在物理键盘上键入时显示文本建议 ✔️
- 多语言文本建议 ✔️
- 自动更正拼写错误的字词 ✔️
- 突出显示拼写错误的单词 ✔️
- 游戏
- 游戏栏 ✔️
- 游戏模式 ✔️
- 游戏栏快捷方式 (应用内设置) ✔️
- Game Bar (Win + G) ✔️
- (Win + Alt + PrtScrn) 获取屏幕截图 ✔️
- 记录最后 30 秒 (Win + Alt + G) ✔️
- 开始/停止录制 (Win + Alt + R) ✔️
- 麦克风打开/关闭 (Win + Alt + M) ✔️
- HDR 开/关 (Win + Alt + B) ✔️
- 辅助功能
- 视觉
- 文本大小
- 文本大小 ✔️
- 视觉效果
- 始终显示滚动条 ✔️
- 透明度效果 ✔️
- 动画效果 ✔️
- 在首选时间量后关闭通知 ✔️
- 鼠标指针和触摸
- 鼠标指针样式 ✔️
- 大小 ✔️
- 触摸指示器 ✔️
- 使触摸指示器圆圈变暗并变大 ✔️
- 文本光标
- 文本光标指示器 ✔️
- 文本光标指示器大小 ✔️
- 文本光标指示器颜色 ✔️
- 文本光标粗细 ✔️
- 放大镜
- 放大镜 (切换) ✖️
- 登录前启动放大镜 ✖️
- 登录后启动放大镜 ✔️
- 缩放级别 ✔️
- 缩放增量 ✔️
- 视图
- 视图首选项 ✔️
- 选择“停靠”和“全屏视图”时,让放大镜跟随我的……
- 鼠标指针 ✔️
- 键盘焦点 ✔️
- 文本光标 ✔️
- 讲述人光标 ✔️
- 在所选镜头视图) 时更改镜头大小
- 高度/宽度滑块 ✔️
- 选择“全屏视图”时,将鼠标指针位置 () ✔️
- 选择“全屏视图”时,将文本光标位置保留 () ✔️
- 反转颜色 ✔️
- 图像和文本的平滑边缘 ✔️
- 阅读快捷方式 ✔️
- 颜色筛选器
- 颜色筛选器 ✔️
- 首选颜色筛选器选择 ✔️
- 颜色筛选器的键盘快捷方式 ✔️
- 对比度主题
- 对比度主题 ✔️
- “选择主题” ✔️
- 文本 ✔️
- 超链接 ✔️
- 失效文本 ✔️
- 所选文本 ✔️
- 按钮文本 ✔️
- 背景 ✔️
- 讲述人
- 讲述人 (切换) ✖️
- 登录前启动“讲述人” ✖️
- 登录后启动“讲述人” ✔️
- “讲述人”键盘快捷方式 ✖️
- 讲述人主页
- 当“讲述人”启动时显示“讲述人主页” ✔️
- 选择语音 ✔️
- 速度 ✔️
- 俯仰 ✔️
- 音量 ✔️
- 在讲述人说话时降低其他应用的音量 ✔️
- 详细级别 ✔️
- 强调带格式的文本 ✔️
- 按字符朗读时按拼音朗读 ✔️
- 阅读标点符号时稍稍暂停 ✔️
- 阅读高级详细信息,例如按钮和其他控件上的帮助文本 ✔️
- 更改大写文本的读取方式 ✔️
- 按钮和控件的上下文级别 ✔️
- 阅读有关如何与按钮和其他控件交互的提示 ✔️
- 告诉我为什么无法执行作 ✔️
- 播放声音而不是常见作的公告 ✔️
- 告诉我有关按钮和其他控件的详细信息 ✔️
- 键入时让讲述人朗读
- 字母、数字和标点符号 ✔️
- 字词 ✔️
- 功能键 ✔️
- 箭头、Tab 和其他导航键 ✔️
- 切换键,如 Caps lock 和 Num lock ✔️
- Shift、Alt 和其他修饰键 ✔️
- 讲述人密钥 ✔️
- 在触摸键盘上,当我抬起手指时激活键 ✔️
- 使用鼠标读取屏幕并与之交互 ✔️
- 让“讲述人”光标跟在鼠标后面 ✔️
- 显示“讲述人”光标 ✔️
- 在讲述人阅读文本时,使用“讲述人”光标移动文本光标 ✔️
- 同步“讲述人”光标和系统焦点 ✔️
- 启用讲述人扩展 ✔️
- 听觉
- 音频
- 单声道音频 ✔️
- 在音频通知期间刷屏 ✔️
- 字幕
- 实时字幕
- 筛选不雅内容 ✔️
- 位置 ✔️
- 标题样式 ✔️
- 交互
- 语音
- 语音访问 ✖️
- 登录电脑后启动语音访问 ✔️
- 在登录电脑之前启动语音访问 ✔️
- 键盘
- 粘滞键 ✔️
- 粘滞键的键盘快捷方式 ✔️
- 在任务栏上显示粘滞键图标 ✔️
- 在一行中按下两次时锁定快捷键 ✔️
- 同时按下两个键时关闭粘滞键 ✔️
- 按下并释放快捷键时播放声音 ✔️
- 筛选键 ✔️
- 筛选器键的键盘快捷方式 ✔️
- 在任务栏上显示“筛选器键”图标 ✔️
- 按下键时发出哔哔声 ✔️
- 忽略快速击键 ✔️
- 在接受击键之前等待 ✔️
- 忽略意外的击键 ✔️
- 在接受重复的击键之前等待 ✔️
- 忽略重复击键 ✔️
- 在接受第一次重复击键之前等待 ✔️
- 在接受后续重复击键之前等待 ✔️
- 切换键 ✔️
- 通知首选项
- 从键盘打开粘滞键、筛选键或切换键时通知我 ✔️
- 当我从键盘打开或关闭粘滞键、筛选键或切换键时播放声音 ✔️
- 访问键添加下划线 ✔️
- 使用打印屏幕打开屏幕捕获 ✔️
- 鼠标
- 鼠标键切换 ✔️
- 仅在数字锁定键处于打开状态时使用鼠标键 ✔️
- 在任务栏上显示鼠标键图标 ✔️
- 按住 Ctrl 键以加快速度,按住 Shift 以放慢速度 ✔️
- 鼠标键速度 ✔️
- 鼠标键加速 ✔️
- 目视控制
- 目视控制切换 ✔️
- 目视控制应用内设置
- 选择“单击”方式 ✔️
- 显示目视光标 ✔️
- 使用形状书写 ✔️
- 使用高级鼠标功能 ✔️
- 键入停留时间 ✔️
- 一般停留时间 ✔️
- 平滑 ✔️
- 滞后 ✔️
- 底部停靠 ✔️
- 键盘停靠按钮 ✔️
- 隐私&安全性
- 活动历史记录
- 在此设备上存储我的活动历史记录 ✔️直到23H2,✖️ 24H2及更更高版本
- Windows 更新
- 不会备份或还原 Windows 更新设置
- 文件资源管理器设置
- 单击打开项目(指向选择) ✔️
- 缩小(精简视图)项之间的空间 ✔️
- 在标题栏中显示完整路径 ✔️
- 隐藏的文件和文件夹:不显示隐藏的文件、文件夹或驱动器/显示隐藏的文件、文件夹和驱动器 ✔️
- 隐藏空驱动器 ✔️
- 隐藏已知文件类型的扩展名 ✔️
- 使用检查框选择项目 ✔️
- 回收站
- 显示删除确认对话框 ✔️
- 桌面
- 查看 (图标大小、自动排列图标、将图标与网格对齐、显示桌面图标) ✔️
- 按 (名称、大小、项目类型、修改日期) 排序 ✔️
HOWTO: 升级 Secure Boot 证书解决2026年到期问题
HOWTO: 升级 Secure Boot 证书解决2026年到期问题
在开始我们今天的话题前应该先了解一下 Secure Boot(安全启动),它是基于 UEFI 提供的一项安全功能,确保设备加电启动后仅能够从受信任的程序执行启动。这是保护操作系统的第一步,它的工作原理十分容易理解,在设备 UEFI 中预置了受信证书,当我们的设备要执行启动的程序包含匹配的受信证书,则设备会继续执行启动,否则失败!
安全启动在 Windows 上通过其内核的受信任启动序列从 UEFI 创建安全可信的启动路径,其示意如下,这一过程首先验证固件是否已进行数字签名,从而降低固件 rootkit 的风险。然后,安全启动会检查操作系统之前运行的代码,并检查启动加载程序的数字签名。
Secure Boot 最初是在 Windows 8 总引入的,直至今日的 Windows 11。早前微软已公布相关的启动证书将于2026年过期,参考如下:
Microsoft Corporation KEK CA 2011,2026年6月到期,KEK,对 DB 和 DBX 进行签名更新,更新后:Microsoft Corporation KEK 2K CA 2023。
Microsoft Windows Production PCA 2011,2026年10月到期,DB,用于对 Windows 引导加载程序进行签名,更新后:Windows UEFI CA 2023。
Microsoft UEFI CA 2011,2026年6月到期,DB,对第三方引导加载程序和 EFI 应用程序进行签名,更新后:Microsoft UEFI CA 2023。
Microsoft UEFI CA 2011,2026年6月到期,DB,签署第三方选项 ROM,更新后:Microsoft Option ROM UEFI CA 2023。
如果你或你所管理的组织设备已启用 Secure Boot,则需要重点进行设备信息的调查汇总并指定响应的更新计划并着手开始实施。因为当这些 CA 过期后,系统将停止接收 Windows 启动管理器和安全启动组件的安全修补程序,并影响 Windows 设备的整体安全性。
首先,我们需要确认设备是否启用了 Secure Boot,可以通过 msinfo32 查看,或使用 PowerShell 命令:Confirm-SecureBootUEFI。
然后,联系或检查设备 OEM 供应商是否提供了对应的 UEFI 更新固件,根据说明进行操作。
更新固件后,可以通过检查以下注册表键值来进行确认是否应用了 Windows UEFI CA 2023 签名启动管理器。
“HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing”,UEFICA2023Status 值为 Updated 时表示已完成并应用更新。否则我们需要借助 OEM 的 UEFI 更新程序或微软提供的方案执行。
我们也可以在 PowerShell 中执行以下命令,进行 Windows UEFI CA 2023 的检查。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
当然,启动设备进入 UEFI 界面也是一个非常直接的方法。
是的,你没有看错前面的描述,微软也提供了更新 UEFI 固件证书的方法,但如果不适用当前设备,则需要由 OEM 提供支持。我们可以参考以下几种方案:
1. 安装 Windows Update,这是最简单有效的办法!注意:根据微软 KB5036210 的说明,从 2024年 2月 13日及之后发布的 Windows 更新包含了 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库(DB)。
2. 对于组织用户,同理在满足基本系统版本需求的前提下,可以通过注册表、GPO 和 WinCS 的方式立刻开始更新。对于注册表,运行以下命令行。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
第一条命令将启动证书和启动管理器部署,第二条会立刻运行 AvailableUpdates 所对应的计划任务,否则需等待每 12小时运行一次。当重启设备后其键值变为 0x4100 后,可在执行上面的任务计划,触发启动管理器更新。整个过程 IT 人员都可以通过检查 UEFICA2023Status 和 UEFICA2023Error 注册表键值或 DB 和 DBX 事件(ID 1801,1808)进行跟踪。
3. 如果计划使用 GPO,可配置 计算机配置 - 管理模板 - Windows 组件 - Secure Boot,如下图所示。
4. 我们也可以使用 WinCS API 进行更新操作,执行下面的命令行可先进行查询。
WinCsFlags.exe /query --key F33E0C8E002,如下图所示如当前配置为 F33E0C8E001,则未应用新的证书。
执行下面的命令行以应用新证书。
WinCsFlags.exe /apply –-key “F33E0C8E002
注意:通过运行 WinCS 响应的命令并不意味着安全启动证书安装过程已启动或已完成,它仅指示对应的计划任务准备运行,我们也可以手动触发该计划任务,之后重启设备两次以确认正在使用更新的证书。
目前主要的设备 OEM 厂商(Lenovo、HP、Dell 等)都已经提供了更新支持。如果你所在的组织正面临该问题,可与 gOxiA 联系。
Microsoft Configuration Manager 将转换为年度发布节奏
Microsoft Configuration Manager 将转换为年度发布节奏
近期微软官方发布了一则通告,宣布 Microsoft Configuration Manager 改为年度发布节奏,从 2609 版本开始一改过去的半年发布计划,采用年度发布的方式。这个发布周期的调整将会更好地支持 CM 用户的长期规划和运营稳定性。使我们能够清晰知道何时会发布新版本,有规划的做好升级准备工作;每个新版本都将可靠性置于新功能之上,让我们能够专注于稳定性和安全性;并按照自己的节奏向云原生管理 - Microsoft Intune 转变。
Microsoft Intune 是设备管理的未来,微软会持续将所有新的创新体现在 Intune 中。而 CM 将继续为本地设备提供服务,并关注在安全性、稳定性和长期支持方面。CM 年度版本将会和 Windows 客户端安全性和稳定性节奏保持一致,确保用户享有可靠和安全的 CM 体验。
虽然 CM 将改为年度发布,但其支持生命周期保持不变,每个版本自发布之日起将会获得 18 个月的支持。具体可参考:Microsoft Configuration Manager Lifecycle | Microsoft Learn
原文引用:
