Habilitar Windows 10 Novedades de seguridad extendida (ESU) para los clientes que acceden a máquinas virtuales y en la nube

El programa Windows 10 extended Security Novedades (ESU) permite a las organizaciones recibir actualizaciones de seguridad críticas e importantes para los equipos inscritos en el servicio de suscripción de pago. ESU amplía el uso de Windows 10 dispositivos más allá de la fecha de finalización del soporte técnico el 14 de octubre de 2025. En este artículo se proporcionan instrucciones sobre cómo habilitar las claves ESU en entornos comerciales.

Requisitos previos

Para habilitar ESU para Windows 10, debe cumplir los siguientes requisitos previos:

Requisitos del dispositivo:

• Windows 10, versión 22H2 con KB5066791 o una actualización posterior instalada
• El paquete de preparación de licencias de Novedades de seguridad extendida (ESU) para Windows 10 KB5072653 debe instalarse después de KB5066791
• Privilegios administrativos en el dispositivo

Windows 10 versiones de mantenimiento a largo plazo (LTSB/LTSC) tienen sus propios ciclos de vida y NO se cubren a través del programa Windows 10 ESU. Para obtener más información, consulte Ciclo de vida de Microsoft.

Puntos de conexión necesarios para Windows 10 dispositivos que acceden a Windows 365 equipos en la nube:

• https://dls.microsoft.com
• https://login.windows.net

Consideraciones sobre el escenario de virtualización y la nube

Algunos escenarios de nube y virtualización tienen consideraciones específicas para habilitar ESU. En algunos casos, ESU ya está habilitado para usted y, en otros, es posible que tenga que realizar pasos adicionales. En la lista siguiente se resumen estos escenarios:

• Las Novedades de seguridad extendida (ESU) están disponibles sin costo adicional para Windows 10 máquinas virtuales en los siguientes entornos hospedados por Microsoft o integrados Azure. No se necesita ninguna configuración o claves adicionales en los siguientes entornos:

  • Azure Virtual Desktop
  • Azure máquinas virtuales
  • Azure host dedicado
  • Azure Local (Azure Local es el nuevo nombre de Azure Stack HCI)
  • Azure Stack Hub
  • Azure Stack Edge
  • equipos en la nube de Windows 365
    • Se requiere una configuración adicional para habilitar ESU para los dispositivos de Windows 10 locales que acceden a Windows 365 equipos en la nube. Para obtener más información, consulte Actualización de seguridad extendida para dispositivos locales que acceden a Windows 365.

• Otras plataformas de virtualización que se ejecutan en Azure (como Nutanix, Citrix o Omnissa Horizon en Azure VMware Solution) pueden requerir la activación manual de la clave ESU.
  
  Póngase en contacto con el equipo de su cuenta de Microsoft para obtener una clave 5x5. La activación se puede administrar con el Herramienta de administración de activación por volumen o con un script.

Configuración de VDI no persistente

Al configurar Windows 10 ESU en la configuración de VDI no persistente, es importante seguir los pasos siguientes; de lo contrario, consumirá activaciones en la clave Windows 10 ESU:

1. Instale Windows 10, versión 22H2.

2. Instale y active la clave Windows 10 ESU mediante la instalación y activación de las instrucciones de la clave ESU.

3. Instale la actualización y el reinicio más recientes.

4. Quite la clave de producto Windows 10 ESU con el siguiente comando, donde <Activation ID> es los identificadores de activación de la tabla:

   Programa ESU	Identificador de activación
   Win10 ESU Year1	f520e45e-7413-4a34-a497-d2765967d094
   Win10 ESU Year2	1043add5-23b1-4afb-9a0f-64343c8f3f8d
   Win10 ESU Year3	83d49986-add3-41d7-ba33-87c7bfb5c0fb

   cscript.exe %windir%\system32\slmgr.vbs /upk <Activation ID>
   

5. Ejecute sysprep para preparar la imagen VDI para la duplicación.

6. Cree la imagen dorada.

Siga los mismos pasos para actualizar la imagen dorada que se usa para la implementación con dispositivos VDI cuando se publiquen nuevas actualizaciones.

Actualización de seguridad extendida para dispositivos locales que acceden a Windows 365

Windows 10 los dispositivos que acceden a Windows 365 equipos de Enterprise Cloud y Windows 365 equipos en la nube de primera línea en modo dedicado tienen derecho automáticamente a ESU mientras dure la oferta de ESU si el usuario tiene una licencia de Windows 365 Enterprise activa asignada o Windows 365 Frontline Cloud PC en modo dedicado aprovisionado, siempre que se cumplan las condiciones siguientes:

• El dispositivo de Windows 10 local está Microsoft Entra unido o Microsoft Entra híbrido unido.
  • Los dispositivos que solo están Microsoft Entra registrados o Active Directory local unidos no son aptos para el acceso a la ESU comercial con Windows 365. La inscripción de Windows Autopatch no es un requisito.
  • Los dispositivos personales o BYOD que no están administrados por la organización y que solo están Microsoft Entra registrados no calificarán para este derecho. Estos dispositivos deben inscribirse a través del programa Consumer ESU. Un usuario apto puede activar hasta 10 dispositivos.
• Los usuarios deben iniciar sesión en su dispositivo de Windows 10 físico con la misma cuenta de Microsoft Entra ID que usan para Windows 365 pc en la nube al menos una vez cada 22 días para mantener la elegibilidad para las actualizaciones de ESU en ese dispositivo.
• Los administradores de TI deben usar Microsoft Intune u otro proveedor de MDM para implementar una directiva personalizada que habilite la marca EnableESUSubscriptionCheck. Esta directiva ayuda a comprobar si un dispositivo está inscrito en el programa de suscripción Windows 10 ESU.

Para configurar la marca EnableESUSubscriptionCheck con Intune

Si prefiere configurar esta configuración sin usar un proveedor de MDM, se proporcionan scripts de ejemplo para su comodidad.

1. Inicie sesión en el centro de administración de Microsoft Intune.
2. Vaya a Dispositivos>Administrar dispositivos>Configuración.
3. Seleccione Crear y, a continuación , Nueva directiva.
4. Seleccione las siguientes propiedades para el perfil de directiva:
   1. Plataforma: Windows 10 y versiones posteriores
   2. Tipo de perfil: Personalizado o Plantillas > personalizadas
5. Selecciona Crear.
6. En Aspectos básicos, proporcione las siguientes propiedades y, después, seleccione Siguiente cuando haya terminado.
   1. Nombre: EnableESUSubscriptionCheck
   2. Descripción: Habilitar Windows 10 comprobación de suscripción de ESU
7. En Configuración, seleccione Agregar para agregar una nueva configuración de OMA-URI con las siguientes propiedades y, después, seleccione Siguiente cuando haya terminado:
   1. Nombre: EnableESUSubscriptionCheck
   2. Descripción: Habilitar Windows 10 comprobación de suscripción de ESU
   3. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Licensing/EnableESUSubscriptionCheck
   4. Tipo de datos: Entero
   5. Valor: 1 (Un valor de 0 deshabilita la comprobación).
8. En Asignaciones, seleccione los grupos a los que desea asignar la directiva y, a continuación, seleccione Siguiente.
9. Seleccione Siguiente en Reglas de aplicabilidad.
10. En Revisar y crear, revise la configuración.
11. Seleccione Crear para terminar de crear la directiva.

Comprobación de la inscripción de ESU para usuarios y dispositivos Windows 365

Windows 365 Enterprise

Para confirmar la inscripción de ESU para los usuarios Windows 365 Enterprise:

1. Inicie sesión en el Centro de administración de Microsoft 365.
2. SeleccioneLicencias defacturación>.
3. Seleccione la suscripción Windows 365 Enterprise.
4. Seleccione un usuario que quiera comprobar y, a continuación, seleccione Administrar aplicaciones & servicios.
5. En el control flotante, confirme que el usuario tiene el Windows 10 COMERCIAL DE ESU en la lista y habilitado para el usuario.

primera línea de Windows 365 (dedicado)

Para confirmar la inscripción de ESU para Windows 365 usuarios de primera línea:

1. En el Centro de administración de Microsoft 365, vaya a Facturación>de sus productos>Windows 365 primera línea.

2. En el centro de administración de Microsoft Intune, vaya a Dispositivos>Windows 365>Todos los equipos en la nube. Filtre los equipos en la nube por tipo = de primera líneadedicado.

Comprobación de la inscripción de ESU en dispositivos

Para comprobar que un dispositivo está inscrito en el programa ESU, compruebe la siguiente entrada del Registro en el punto de conexión físico Windows 10 que se conectaría a un PC en la nube Windows 365:

• Clave: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
• Nombre: EnableESUSubscriptionCheck
• Tipo: REG_DWORD
• Valor: 1

Comprobación de la idoneidad de ESU y la preparación para la actualización

Para confirmar que un dispositivo ha completado la inscripción y es apto para recibir actualizaciones de ESU, compruebe lo siguiente en el Windows 10 punto de conexión físico que se conectaría a un PC en la nube Windows 365:

• Entrada del Registro:

  • Clave: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  • Nombre: Win10CommercialW365ESUEligible
  • Tipo: REG_DWORD
  • Valor: 1

• En Visor de eventos>Aplicaciones y registros> de servicios, Microsoft>Windows>ClipESU, busque Id. de evento 113. Este evento indica que la licencia Windows 365 ESU se instaló correctamente.

  Nota

  Este registro de eventos es específico de la solución ESU de usuario y dispositivos Windows 365. No es para la solución ESU clave de producto ESU ESU MAK 5x5.

Scripts de ejemplo

Los siguientes scripts son ejemplos de cómo habilitar o deshabilitar la EnableESUSubscriptionCheck marca en Windows 10 dispositivos mediante PowerShell:

Habilitación de ESUSubscriptionCheck mediante PowerShell

En el siguiente ejemplo de script de PowerShell se habilita la EnableESUSubscriptionCheck marca en Windows 10 dispositivos:

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 1

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Deshabilitación de ESUSubscriptionCheck mediante PowerShell

En el siguiente ejemplo de script de PowerShell se deshabilita la EnableESUSubscriptionCheck marca en Windows 10 dispositivos:

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 0

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Contenidos relacionados

• Habilitación de Windows 10 Novedades de seguridad extendida (ESU) para máquinas físicas
• opciones deSlmgr.vbs
• Programa de Novedades de seguridad extendida (ESU) para Windows 10