啟用Windows 10擴展安全性匯報 (ESU) ，讓存取雲端與虛擬機器的客戶端受益

適用於: ✅ Windows 10, version 22H2

重要

正在尋找消費者資訊嗎？ 對於個人或 Windows 10 家用版用戶，更多關於 Windows 10 擴展安全匯報的資訊，請參閱以下資源：

欲了解更多關於讓 ESU 用於家庭使用的資訊，請參閱 Windows 10 消費者擴展安全匯報 (ESU) 計畫
一般資訊請參閱 Windows 10 支援終止頁面的常見問題區。

Windows 10 擴展安全匯報 (ESU) 計畫允許組織接收付費訂閱服務中電腦的關鍵且重要的安全更新。 ESU 將 Windows 10 裝置的使用延長至 2025 年 10 月 14 日的支援結束日期之後。本文提供如何在商業環境中啟用 ESU 金鑰的說明。

必要條件

要啟用 Windows 10 的 ESU，您必須符合以下先決條件：

裝置需求：

Windows 10，安裝了 22H2 版本，KB5066791，或是後續更新
匯報 (ESU) 授權準備套件必須在KB5072653 Windows 10 KB5066791後安裝
裝置的管理權限

Windows 10長期服務釋出 (LTSB/LTSC) 有自己的生命週期，且不包含在Windows 10 ESU計畫中。欲了解更多資訊，請參閱 Microsoft 生命週期。

Windows 10 裝置存取 Windows 365 雲端電腦所需的端點：

https://dls.microsoft.com
https://login.windows.net

雲端與虛擬化情境考量

某些雲端與虛擬化場景在啟用 ESU 時有特定的考量。在某些情況下，ESU 已經為您啟用，而在其他情況下，您可能需要採取額外步驟。以下列表總結了這些情境：

擴展安全性匯報 (ESU) 在以下Microsoft主機或Azure整合環境中，Windows 10虛擬機無需額外費用即可取得。以下環境中不需要額外的設定或金鑰：
- Azure 虛擬桌面
- Azure virtual machines
- Azure 專用主機
- Azure Local (Azure Local 是 Azure 堆疊人機互動) 的新名稱
- Azure Stack Hub
- Azure Stack Edge
- Windows 365 雲端電腦
  - 若要啟用本地 Windows 10 裝置存取 Windows 365 雲端電腦，則需額外設定。欲了解更多資訊，請參閱本地裝置存取 Windows 365 的擴展安全更新。
其他在Azure (上運行的虛擬化平台，如 Nutanix、Citrix 或 Omnissa Horizon on Azure VMware 解決方案) ，可能需要手動啟用 ESU 金鑰。

請聯絡你的 Microsoft 帳戶團隊，取得 5x5 的金鑰。啟用可透過大量啟用管理工具或腳本管理。

配置非持久性VDI

在非持久性 VDI 配置中設定 Windows 10 ESU 時，務必遵循以下步驟，否則您將使用Windows 10 ESU金鑰的啟用資料：

安裝 Windows 10，版本 22H2。
使用安裝文件安裝並啟用 Windows 10 ESU 金鑰，並啟用 ESU 金鑰指令。
安裝最新更新並重新啟動。

請使用以下指令移除 Windows 10 ESU 產品金鑰，其中 <Activation ID> 是表格中的 Activation ID：

ESU 計畫	啟用識別碼
Win10 ESU 第一年	F520E45E-7413-4A34-A497-D2765967D094
Win10 ESU 第二年	1043add5-23b1-4afb-9a0f-64343c8f3f8d
Win10 ESU 第三年	83d49986-add3-41d7-ba33-87c7bfb5c0fb

cscript.exe %windir%\system32\slmgr.vbs /upk <Activation ID>

執行 sysprep 準備 VDI 映像以進行複製。
打造你的金色形象。

當新更新釋出時，依照相同步驟更新用於 VDI 裝置部署的黃金映像。

針對存取 Windows 365 的本地裝置的擴展安全更新

使用專用模式存取 Windows 365 企業雲端 PC 與 Windows 365 Frontline 雲端 PC 的 Windows 10 裝置，若使用者已指定有效 Windows 365 企業版授權或 Windows 365 授權，則在 ESU 提供期間自動享有 ESU 權限前線雲端電腦在專用模式下已配置，前提是符合以下條件：

本地的 Windows 10 裝置要麼是 Microsoft Entra 加入，要麼是 Microsoft Entra 混合加入。
- 僅註冊 Microsoft Entra 或內部部署的 Active Directory 加入的裝置，則不符合 Windows 365 商業 ESU 存取資格。 Windows 自動修補程式註冊並非必須。
- 非由組織管理且僅註冊 Microsoft Entra 的個人或自帶裝置不符合此權利。這些裝置應透過消費者ESU計畫註冊。符合資格的使用者最多可啟用 10 台裝置。
使用者必須每 22 天至少登入一次，才能維持該裝置 ESU 更新的資格，使用與 Windows 365 Cloud PC 相同的 Microsoft Entra ID 帳號登入實體Windows 10裝置。
IT 管理員必須使用 Microsoft Intune 或其他 MDM 供應商來部署自訂政策，啟用 EnableESUSubscriptionCheck 旗標。此政策有助於驗證裝置是否註冊於 Windows 10 ESU 訂閱計畫。

要用 Intune 設定 EnableESUSubscriptionCheck 旗標

如果你偏好在不使用 MDM 提供者的情況下設定此設定，文中提供範例腳本以供方便。

登入 Microsoft Intune 管理中心。
前往裝置>管理>裝置設定。
選擇建立然後 新增政策。
選擇以下物業作為保單檔案：
1. 平台：Windows 10 及以後版本
2. 個人檔案類型：自訂，或範本 > 自訂
選取 [建立]。
在 基礎設定中，提供以下屬性，完成後選擇 「下一 組」。
1. 名稱：EnableESUSubscriptionCheck
2. 說明：啟用 Windows 10 ESU 訂閱檢查
在設定設定中，選擇新增一個新的 OMA-URI 設定，並具備以下屬性，完成後選擇 「下一步 」：
1. 名稱：EnableESUSubscriptionCheck
2. 說明：啟用 Windows 10 ESU 訂閱檢查
3. OMA-URI：./Device/Vendor/MSFT/Policy/Config/Licensing/EnableESUSubscriptionCheck
4. 資料類型：整數
5. 值：1 (值為 0 則該檢定失效 )
在 「指派」中，選擇你想指派該政策的群組，然後選擇 「下一步」。
在適用規則中選擇下一步。
在 檢視 + 創建中，檢視你的設定。
選擇建立以完成建立保單。

注意

ESU 授權將自動回填至您的 Windows 365 訂閱，並顯示在 Microsoft 365 系統管理中心。

驗證 Windows 365 使用者與裝置的 ESU 註冊狀況

Windows 365 企業版

確認 Windows 365 企業版用戶的 ESU 註冊情況：

登入 Microsoft 365 系統管理中心。
選擇帳務授權>。
選擇 Windows 365 企業版訂閱。
選擇你想驗證的使用者，然後選擇 管理應用程式 & 服務。
在飛出視窗中，確認使用者已列出並啟用 Windows 10 ESU 商用程式。

Windows 365 前線 (專屬)

確認 Windows 365 Frontline 用戶的 ESU 註冊情況：

從 Microsoft 365 系統管理中心，請前往「為您的產品>開>費」Windows 365 Frontline。
從 Microsoft Intune 管理中心，前往裝置>Windows 365>所有雲端電腦。依照前線專用 = 型態篩選雲端電腦。

確認裝置上的 ESU 註冊狀況

要確認裝置是否已註冊在 ESU 程式中，請檢查連接 Windows 365 雲端電腦的 Windows 10 實體端點上的以下登錄檔條目：

說明： HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
名稱：EnableESUSubscriptionCheck
類型：REG_DWORD
數值：1

確認ESU資格並更新準備度

為了確認裝置已完成註冊並有資格接收 ESU 更新，請檢查連接 Windows 365 雲端電腦的 Windows 10 實體端點是否有以下事項：

登記資料：
- 說明： HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
- 名稱：Win10CommercialW365ESE符合資格
- 類型：REG_DWORD
- 數值：1
在事件檢視器>應用程式與服務日誌中>，檢查Microsoft>Windows>ClipESU 的事件 ID 113。此事件表示 Windows 365 ESU 授權已成功安裝。

注意

此事件日誌專屬於 Windows 365 使用者與裝置的 ESU 解決方案。這不是針對 ESU MAK 5x5 產品金鑰 ESU 解決方案。

範例文字

以下腳本範例說明如何在 Windows 10 裝置上使用 PowerShell 啟用或停用該EnableESUSubscriptionCheck旗標：

使用 PowerShell 啟用 ESUSubscriptionCheck

以下 PowerShell 腳本範例可在 Windows 10 裝置上啟用此EnableESUSubscriptionCheck標誌：

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 1

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

使用 PowerShell 停用 ESUSubscriptionCheck

以下 PowerShell 腳本範例在 Windows 10 裝置上停用該EnableESUSubscriptionCheck標誌：

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 0

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-11-21