Ativar Windows 10 Atualizações de Segurança Alargada (ESU) para clientes que acedem a máquinas virtuais e na cloud

Aplica-se a: ✅ Windows 10, version 22H2

Importante

Procurando informações de consumidor? Para utilizadores individuais ou clientes Windows 10 Home, estão disponíveis mais informações sobre Atualizações de Segurança Alargada para Windows 10 nos seguintes recursos:

Para obter mais informações sobre como ativar a ESU para uso doméstico, veja programa Windows 10 Atualizações de Segurança Alargada para Consumidores (ESU)
Para obter informações gerais, veja a secção de perguntas mais frequentes da página Fim do suporte para Windows 10.

O programa Windows 10 Atualizações de Segurança Alargada (ESU) permite que as organizações recebam atualizações de segurança críticas e importantes para PCs inscritos no serviço de subscrição paga. A ESU prolonga a utilização de dispositivos Windows 10 para além da data de fim do suporte a 14 de outubro de 2025. Este artigo fornece instruções sobre como ativar as chaves da ESU em ambientes comerciais.

Pré-requisitos

Para ativar a ESU para Windows 10, tem de cumprir os seguintes pré-requisitos:

Requisitos do dispositivo:

Windows 10, versão 22H2 com KB5066791 ou uma atualização posterior instalada
O Pacote de Preparação do Licenciamento de Atualizações de Segurança Alargada (ESU) para Windows 10 KB5072653 tem de ser instalado após KB5066791
Privilégios administrativos no dispositivo

Windows 10 versões de Manutenção de Longo Prazo (LTSB/LTSC) têm os seus próprios ciclos de vida e NÃO são abrangidas através do programa Windows 10 ESU. Para obter mais informações, consulte Ciclo de Vida da Microsoft.

Pontos finais necessários para Windows 10 dispositivos que acedem a PCs Windows 365 Cloud:

https://dls.microsoft.com
https://login.windows.net

Considerações sobre cenários de cloud e virtualização

Alguns cenários de cloud e virtualização têm considerações específicas para ativar a ESU. Em alguns casos, a ESU já está ativada para si e noutros, poderá ter de efetuar passos adicionais. A lista seguinte resume estes cenários:

As Atualizações de Segurança Alargada (ESU) estão disponíveis sem custos adicionais para Windows 10 máquinas virtuais nos seguintes ambientes alojados pela Microsoft ou integrados Azure. Não são necessárias configurações ou chaves adicionais nos seguintes ambientes:
- Área de Trabalho Virtual do Azure
- Azure máquinas virtuais
- Azure Anfitrião Dedicado
- Azure Local (Azure Local é o novo nome para Azure Stack HCI)
- Azure Stack Hub
- Azure Stack Edge
- PCs na Cloud do Windows 365
  - É necessária uma configuração adicional para ativar a ESU para dispositivos Windows 10 locais que acedem Windows 365 PCs na Cloud. Para obter mais informações, veja Extensão da Atualização de Segurança para dispositivos locais que acedem a Windows 365.
Outras plataformas de virtualização que são executadas no Azure (como Nutanix, Citrix ou Omnissa Horizon no Solução VMware no Azure) podem necessitar de ativação manual de chaves da ESU.

Contacte a equipa da sua conta Microsoft para obter uma chave 5x5. A ativação pode ser gerida com o Ferramenta de Gerenciamento de Ativação de Volume ou com um script.

Configurar vDI nãopersistente

Ao configurar Windows 10 ESU na configuração de VDI não existente, é importante seguir os seguintes passos, caso contrário, irá consumir ativações na chave Windows 10 ESU:

Instale Windows 10, versão 22H2.
Instale e ative o Windows 10 chave ESU com a instalação e ative as instruções da chave ESU.
Instale a atualização e o reinício mais recentes.

Remova o Windows 10 chave de produto ESU com o seguinte comando, em que <Activation ID> se encontram os IDs de Ativação da tabela:

Programa ESU	ID de Ativação
Win10 ESU Year1	f520e45e-7413-4a34-a497-d2765967d094
Win10 ESU Year2	1043add5-23b1-4afb-9a0f-64343c8f3f8d
Win10 ESU Year3	83d49986-add3-41d7-ba33-87c7bfb5c0fb

cscript.exe %windir%\system32\slmgr.vbs /upk <Activation ID>

Execute sysprep para preparar a imagem do VDI para duplicação.
Crie a sua imagem dourada.

Siga os mesmos passos para atualizar a imagem dourada utilizada para implementação com dispositivos VDI quando forem lançadas novas atualizações.

Atualização de Segurança Alargada para dispositivos locais que acedem a Windows 365

Windows 10 dispositivos que acedem a PCs Windows 365 Enterprise Cloud e Windows 365 PCs cloud de Primeira Linha no modo dedicado têm automaticamente direito à ESU durante a duração da oferta da ESU se o utilizador tiver uma licença de Windows 365 Enterprise ativa atribuída ou Windows 365 Frontline Cloud PC no modo dedicado aprovisionado, desde que sejam cumpridas as seguintes condições:

O dispositivo de Windows 10 local está Microsoft Entra associado ou Microsoft Entra associado híbrido.
- Os dispositivos apenas Microsoft Entra registados ou associados Active Directory local não são elegíveis para acesso comercial à ESU com Windows 365. A inscrição do Windows Autopatch não é um requisito.
- Os dispositivos pessoais ou BYOD que não são geridos pela organização e só estão Microsoft Entra registados não serão elegíveis para este direito. Estes dispositivos devem ser inscritos através do programa ESU de Consumidor. Um utilizador elegível pode ativar até 10 dispositivos.
Os utilizadores têm de iniciar sessão no respetivo dispositivo físico Windows 10 com a mesma conta Microsoft Entra ID que utilizam para Windows 365 PCs na Cloud pelo menos uma vez a cada 22 dias para manter a elegibilidade para as atualizações da ESU nesse dispositivo.
Os administradores de TI têm de utilizar Microsoft Intune ou outro fornecedor de MDM para implementar uma política personalizada que permita o sinalizador EnableESUSubscriptionCheck. Esta política ajuda a verificar se um dispositivo está inscrito no programa de subscrição Windows 10 ESU.

Para configurar o sinalizador EnableESUSubscriptionCheck com Intune

Se preferir configurar esta definição sem utilizar um fornecedor de MDM, são fornecidos scripts de exemplo para sua comodidade.

Inicie sessão no centro de administração do Microsoft Intune.
Aceda a Dispositivos> Gerirconfiguraçãode dispositivos>.
Selecione Criar e, em seguida , Nova Política.
Selecione as seguintes propriedades para o perfil de política:
1. Plataforma: Windows 10 e posterior
2. Tipo de perfil: Personalizado ou Modelos Personalizados >
Selecione Criar.
Em Noções básicas, forneça as seguintes propriedades e, em seguida, selecione Seguinte quando terminar.
1. Nome: EnableESUSubscriptionCheck
2. Descrição: ative Windows 10 subscrição ESU marcar
Em Definições de configuração, selecione Adicionar para adicionar uma nova definição OMA-URI com as seguintes propriedades e, em seguida, selecione Seguinte quando terminar:
1. Nome: EnableESUSubscriptionCheck
2. Descrição: ative Windows 10 subscrição ESU marcar
3. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Licensing/EnableESUSubscriptionCheck
4. Tipo de dados: Inteiro
5. Valor: 1 (um valor de 0 desativa o marcar.)
Em Atribuições, selecione os grupos aos quais pretende atribuir a política e, em seguida, selecione Seguinte.
Selecione Seguinte em Regras de Aplicabilidade.
Em Rever + criar, reveja as suas definições.
Selecione Criar para concluir a criação da política.

Observação

As licenças ESU serão automaticamente preenchidas novamente na sua subscrição Windows 365 e aparecerão no Centro de administração do Microsoft 365.

Verificar a inscrição da ESU para utilizadores e dispositivos Windows 365

Windows 365 Enterprise

Para confirmar a inscrição da ESU para Windows 365 Enterprise utilizadores:

Entre no Centro de administração do Microsoft 365.
SelecioneLicençasde Faturação>.
Selecione a subscrição Windows 365 Enterprise.
Selecione um utilizador que pretenda verificar e, em seguida, selecione Gerir aplicações & serviços.
Na lista de opções, confirme que o utilizador tem o Windows 10 ESU Comercial listado e ativado para o utilizador.

Windows 365 Frontline (Dedicado)

Para confirmar a inscrição da ESU para Windows 365 utilizadores da Linha da Frente:

A partir do Centro de administração do Microsoft 365, aceda a Faturação>os Seus Produtos>Windows 365 Linha da Frente.
No centro de administração do Microsoft Intune, aceda a Dispositivos>Windows 365>Todos os PCs na Cloud. Filtre os PCs na Cloud por Frontline Type = Dedicated.

Verificar a inscrição da ESU em dispositivos

Para verificar se um dispositivo está inscrito no programa ESU, marcar para a seguinte entrada de registo no Windows 10 ponto final físico que ligaria a um PC na nuvem do Windows 365:

Chave: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
Nome: EnableESUSubscriptionCheck
Tipo: REG_DWORD
Valor: 1

Verificar a elegibilidade da ESU e a preparação da atualização

Para confirmar que um dispositivo concluiu a inscrição e é elegível para receber atualizações da ESU, marcar para o seguinte no ponto final físico Windows 10 que se ligaria a um PC na nuvem do Windows 365:

Entrada de registo:
- Chave: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
- Nome: Win10CommercialW365ESUEligible
- Tipo: REG_DWORD
- Valor: 1
No Visualizador de Eventos>Aplicações e Registos de Serviços> doMicrosoft>Windows>ClipESU, marcar para o ID do Evento 113. Este evento indica que a licença Windows 365 ESU foi instalada com êxito.

Observação

Este registo de eventos é específico da solução ESU Windows 365 utilizador e dispositivos. Não se trata da solução ESU de chave de produto ESU MAK 5x5.

Scripts de exemplo

Os scripts seguintes são exemplos de como ativar ou desativar o sinalizador em dispositivos Windows 10 com o EnableESUSubscriptionCheck PowerShell:

Ativar ESUSubscriptionCheck com o PowerShell

O seguinte exemplo de script do PowerShell ativa o EnableESUSubscriptionCheck sinalizador em dispositivos Windows 10:

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 1

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Desativar ESUSubscriptionCheck com o PowerShell

O seguinte exemplo de script do PowerShell desativa o EnableESUSubscriptionCheck sinalizador em dispositivos Windows 10:

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 0

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

Comentários

Esta página foi útil?

Last updated on 2025-11-21