Comment puis-je obtenir Windows 10 Entreprise ?

Windows 10 Entreprise est uniquement disponible via des programmes de licences en volume : Microsoft 365 E3/E5 (abonnement par utilisateur) ou via Software Assurance (par appareil). Il n'est pas vendu au détail. Si vous êtes un particulier, vous ne pouvez pas légalement acheter une seule licence. Certaines organisations fournissent des images d'entreprise aux employés via leur portail d'entreprise.

Quelle est la différence entre Windows 10 Entreprise et Windows 10 Professionnel ?

Pro inclut la gestion de base (Stratégie de groupe, BitLocker, RDP Host, Hyper‑V). Enterprise ajoute une sécurité avancée : Credential Guard, Application Guard, DirectAccess, BranchCache, WDAC, Defender pour l'intégration des points de terminaison, Universal Print, Desktop Analytics et LTSC. Enterprise est conçu pour les organisations disposant d’équipes de sécurité informatique dédiées et d’exigences de conformité.

Windows 10 Éducation est-il identique à Entreprise ?

Oui, fonctionnellement identique. Windows 10 Education est construit à partir du même code que Enterprise et inclut toutes les mêmes fonctionnalités de sécurité et de gestion. Les seules différences sont le nom de l'édition affiché, les fonds d'écran par défaut et la licence (l'enseignement est gratuit pour les établissements universitaires). Pour les organisations non universitaires, vous avez besoin d’Enterprise.

Qu'est-ce que le canal de service à long terme (LTSC) ?

LTSC est une version spéciale de Windows 10 Entreprise qui ne reçoit pas de mises à jour de fonctionnalités – uniquement des mises à jour de sécurité et de qualité pendant 10 ans maximum. Il est destiné aux appareils spécialisés qui ne doivent jamais changer : les guichets automatiques, les équipements médicaux, les contrôleurs industriels et les kiosques. Microsoft déconseille d'utiliser LTSC pour les ordinateurs de bureau à usage général ou pour la productivité Office.

Windows 10 Entreprise inclut-il les applications Microsoft 365 (Office) ?

Non. Windows 10 Entreprise est uniquement le système d'exploitation. Les applications Microsoft 365 (anciennement Office 365 ProPlus) sont un abonnement distinct. Cependant, Microsoft 365 E3/E5 regroupe Windows 10 Entreprise et les applications Microsoft 365.

Puis-je passer de Windows 10 Professionnel vers Entreprise sans réinstaller ?

Oui. Si vous disposez d'une clé de licence en volume Entreprise valide (MAK ou KMS), accédez à **Paramètres → Mise à jour et sécurité → Activation → Modifier la clé de produit** et saisissez la clé Entreprise. La mise à niveau se poursuivra et conservera tous les fichiers et applications. Vous ne pouvez pas revenir à Pro sans une nouvelle installation.

Windows 10 Entreprise fonctionne-t-il avec Windows Autopilot ?

Oui. Autopilot prend en charge toutes les éditions de Windows 10 (sauf Home). L’entreprise peut être provisionnée via Autopilot avec la jointure Azure AD et les politiques Intune – déploiement sans intervention pour les nouveaux appareils.

Quel est le cycle de vie du support pour Windows 10 Entreprise ?

Les versions Semi-Annual Channel (SAC) sont prises en charge pendant 18 mois après chaque version (par exemple, 21H2 pris en charge jusqu'en juin 2023). Les versions LTSC sont prises en charge pendant 10 ans (5 grand public + 5 étendues). La prise en charge générale de toutes les éditions de Windows 10 prend fin le **14 octobre 2025**, après quoi vous devez disposer de mises à jour de sécurité étendues (ESU) – disponibles uniquement via une licence en volume pour une durée maximale de 3 ans.

Windows Defender pour Endpoint est-il inclus dans Windows 10 Entreprise ?

Non. Windows 10 Entreprise inclut **Microsoft Defender Antivirus** et le **Microsoft Defender for Endpoint – Plan 1** gratuit (antivirus de base). Les fonctionnalités EDR complètes (Defender for Endpoint Plan 2) nécessitent une licence distincte, généralement incluse dans Microsoft 365 E5 ou vendue sous forme de module complémentaire pour E3.

Puis-je utiliser Hyper‑V et Credential Guard en même temps ?

Oui. Les deux utilisent la même plateforme d’hyperviseur. Cependant, l'activation de VBS (y compris Credential Guard) réserve une certaine mémoire et peut limiter la disponibilité d'Hyper‑V de certaines fonctionnalités (comme la virtualisation imbriquée) en fonction du matériel. Sur les systèmes modernes, ils coexistent bien.

Quelle est la différence entre Windows Defender Application Guard et Windows Sandbox ?

Windows Sandbox est une machine virtuelle légère et temporaire permettant de tester n'importe quelle application : vous ouvrez Sandbox, exécutez un programme d'installation non fiable et le fermez - toutes les modifications ont disparu. Application Guard est spécifiquement destiné à la navigation Web Microsoft Edge, intégré au navigateur et peut être géré par des politiques. Application Guard est disponible dans Enterprise ; Windows Sandbox est en Pro/Enterprise (mais pas en LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise est le système d'exploitation de Microsoft conçu pour les moyennes et grandes organisations nécessitant les plus hauts niveaux de sécurité, de contrôle et de gestion. Construit sur les mêmes bases que Windows 10 Professionnel, Enterprise ajoute une suite complète de technologies de sécurité avancées : Windows Defender Credential Guard (isolation des informations d'identification basée sur la virtualisation), Windows Defender Application Guard (navigation isolée du matériel), Microsoft Defender for Endpoint (EDR d'entreprise), DirectAccess (VPN transparent), BranchCache (optimisation WAN), AppLocker (liste blanche des applications) et BitLocker (disque complet). cryptage). Il comprend également Windows Update for Business avec des options de report étendues, Desktop Analytics pour la préparation aux mises à jour et l'option Long‑Term Servicing Channel (LTSC) pour les appareils dont les fonctionnalités ne changent jamais (DAB, équipements médicaux, contrôle industriel). Windows 10 Entreprise peut être géré via Microsoft Intune (MDM) ou Configuration Manager (SCCM) sur site. Les licences par abonnement via Microsoft 365 E3/E5 fournissent des mises à jour régulières des fonctionnalités, tandis que l'édition LTSC (disponible uniquement avec la Software Assurance active) offre 10 ans de mises à jour de sécurité sans modification des fonctionnalités. Grâce à la prise en charge des architectures Zero Trust modernes, de Windows Hello Entreprise et de la sécurité basée sur la virtualisation, Windows 10 Entreprise protège les données sensibles même lorsqu'elles sont accessibles à partir de réseaux non fiables. Le support grand public prend fin le 14 octobre 2025, avec des mises à jour de sécurité étendues (ESU) disponibles via des licences en volume pour une durée pouvant aller jusqu'à trois années supplémentaires.

How It Works

Le processus de démarrage de Windows 10 Entreprise inclut des couches de sécurité supplémentaires basées sur la virtualisation et des hooks de réseau d'entreprise. Voici la séquence complète sur un appareil Enterprise géré :

1. UEFI, Secure Boot & BitLocker

Le micrologiciel UEFI avec Secure Boot vérifie la signature du chargeur de démarrage. Si BitLocker est activé, le TPM libère la clé de déchiffrement uniquement après que le démarrage mesuré ait vérifié l'absence de falsification. Sur les appareils dotés de protection DMA (Kernel DMA Protection), les ports Thunderbolt sont bloqués jusqu'au chargement du système d'exploitation.

2. Virtualisation‑Based Security (VBS) Initialisation

L'hyperviseur (Microsoft Hyper‑V) se charge tôt, créant des conteneurs de virtualisation isolés. Credential Guard exécute LSA dans une VM sécurisée. Windows Defender Application Guard (WDAG) prépare son propre conteneur léger. Le système d'exploitation principal s'exécute en tant que partition racine avec des privilèges réduits.

3. Kernel & Device Guard / WDAC

Le noyau se charge avec Hypervisor‑Protected Code Integrity (HVCI). Chaque module de pilote et de noyau est vérifié par rapport à une stratégie (WDAC) avant exécution. Seuls les binaires signés par des éditeurs autorisés (Microsoft, votre organisation) peuvent s'exécuter, bloquant ainsi efficacement les rootkits et les pilotes non signés.

4. DirectAccess & VPN Client

Dès que la connectivité réseau est disponible, le client DirectAccess tente d'établir un tunnel IPsec vers le réseau d'entreprise à l'aide de certificats de machine. Cela se produit avant la connexion de l'utilisateur, ce qui permet la gestion des appareils à distance (déploiement de correctifs, mises à jour des politiques) même lorsqu'aucun utilisateur n'est connecté.

5. User Logon with Windows Hello for Business

Sur l'écran de connexion, Windows Hello Entreprise (biométrique ou code PIN) authentifie l'utilisateur auprès d'Azure AD ou d'Active Directory sur site. Remote Credential Guard permet à l'utilisateur d'accéder à des ressources distantes sans envoyer ses informations d'identification à la machine cible.

6. Group Policy / MDM Refresh & BranchCache

Les services d’arrière-plan actualisent les objets de stratégie de groupe (GPO) à partir des contrôleurs de domaine ou des stratégies Intune MDM. BranchCache en « mode cache distribué » vérifie le cache homologue local pour les fichiers précédemment téléchargés, évitant ainsi les transferts WAN redondants.

7. Windows Defender Application Guard (Optional)

Si un administrateur lance Edge en mode Application Guard (ou via une stratégie), un nouveau conteneur Hyper‑V démarre avec une image Windows minimale. Le navigateur s'exécute dans ce bac à sable, avec la redirection du presse-papiers et des fichiers contrôlée par une stratégie. La fermeture du conteneur annule toutes les modifications.

8. Microsoft Defender for Endpoint Sensors

Le capteur Defender for Endpoint (`MsSense.exe`) surveille la création de processus, les connexions réseau, les écritures de fichiers et les modifications du registre. Les signaux comportementaux sont envoyés vers le cloud pour une analyse des risques en temps réel. Si une menace est détectée, des actions de réponse automatisées (isolement, quarantaine de fichiers) peuvent être déclenchées.

9. Windows Update for Business & Desktop Analytics

Windows Update for Business utilise des politiques de report (jusqu'à 365 jours pour les mises à jour de fonctionnalités) et des anneaux de mise à jour. Desktop Analytics s'intègre à Configuration Manager pour fournir des informations sur la préparation à la mise à niveau, en identifiant les problèmes de compatibilité des applications avant le déploiement.

Key Features

Credential Guard

La sécurité basée sur la virtualisation isole le LSASS et empêche les attaques pass-the-hash et pass-the-ticket. Nécessite TPM 2.0 et le verrouillage UEFI.

Application Guard for Edge

Conteneur isolé du matériel pour la navigation Web : les sites Web malveillants ne peuvent pas compromettre le système d'exploitation hôte. Prend en charge les politiques de contrôle du presse-papiers et de redirection de fichiers.

DirectAccess

VPN transparent et permanent utilisant IPsec. Se connecte avant la connexion de l'utilisateur, prend en charge le multisite et s'intègre à l'authentification par certificat.

BranchCache

Mise en cache distribuée ou hébergée du contenu SMB/HTTP : réduit la bande passante et la latence WAN pour les utilisateurs des succursales.

Windows Defender Application Control (WDAC)

Intégrité du code protégée par l'hyperviseur : autorisez uniquement les exécutables, pilotes et scripts fiables. Bloque les ransomwares et les malwares sans fichier au niveau du noyau.

AppLocker

Liste blanche des applications en mode utilisateur avec des collections de règles pour les EXE, les MSI, les scripts et les applications Store. Mode audit pour les tests.

Microsoft Defender for Endpoint

EDR d'entreprise complet : capteurs comportementaux, IA cloud, enquêtes automatisées, gestion des menaces et des vulnérabilités et actions de réponse (isolement, quarantaine).

BitLocker

Cryptage complet du disque avec TPM et PIN. Enterprise ajoute BitLocker Network Unlock (démarrage à partir d'un lecteur chiffré lorsqu'il est connecté au réseau d'entreprise) et l'intégration Microsoft BitLocker Administration and Monitoring (MBAM).

Windows Hello for Business

Authentification à deux facteurs utilisant la biométrie + TPM. Remplace les mots de passe par une authentification basée sur une clé ou un certificat. Prend en charge Azure AD et AD sur site.

Desktop Analytics

Intégration avec Configuration Manager pour évaluer la compatibilité des applications avec les mises à jour des fonctionnalités Windows. Fournit des recommandations pilotes et des informations sur la restauration.

Windows Update for Business (Advanced)

Différez les mises à jour des fonctionnalités jusqu'à 365 jours, les mises à jour de qualité jusqu'à 30 jours. Créez des groupes de périphériques (pilotes, larges, critiques) avec des anneaux de mise à jour. S'intègre à l'optimisation de la livraison (peer‑to‑peer).

Universal Print

Solution d'impression basée sur le cloud : aucun serveur d'impression requis. L'édition Enterprise inclut la gestion des connecteurs Universal Print et le quota de tâches d'impression par utilisateur.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Gérez les appareils en toute transparence avec MDM dans le cloud (Intune) et SCCM sur site. Permet l'accès conditionnel, les politiques de conformité et les actions à distance (effacement, retrait, synchronisation).

Long‑Term Servicing Channel (LTSC)

10 ans de mises à jour de sécurité sans modification des fonctionnalités – pour les appareils à usage fixe (DAB, médicaux, industriels). Uniquement avec Software Assurance.

Credential Guard & Virtualisation‑Based Security

Isolez les secrets du système d'exploitation : même les logiciels malveillants du noyau ne peuvent pas voler les hachages.

How Credential Guard Works

Credential Guard utilise la sécurité basée sur la virtualisation (VBS) pour exécuter le service de sous-système d'autorité de sécurité locale (LSASS) à l'intérieur d'une machine virtuelle isolée du matériel. Les processus Windows en dehors de cette machine virtuelle sécurisée ne peuvent pas accéder aux informations d'identification hachées, aux tickets Kerberos ou aux hachages NTLM stockés à l'intérieur. Les attaques Pass‑the‑hash et Pass‑the‑ticket deviennent impossibles car les secrets ne quittent jamais l'environnement isolé.

Requirements & Enablement

Nécessite un processeur 64 bits avec Intel VT‑x (avec tables de pages étendues) ou AMD‑V (avec indexation de virtualisation rapide), verrouillage UEFI et TPM 2.0. Activer via la stratégie de groupe : « Configuration de l'ordinateur → Modèles d'administration → Système → Device Guard → Activer la sécurité basée sur la virtualisation ». Réglez sur « Activé avec Credential Guard ».

Key Protection & Remote Credential Guard

Credential Guard protège également Key Trust (clés liées au TPM) et Certificate Trust (certificats de carte à puce). Remote Credential Guard étend cette fonctionnalité aux sessions RDP : lorsqu'un utilisateur se connecte à un PC distant, ses informations d'identification ne quittent jamais la machine client. Le PC cible reçoit un ticket de service Kerberos, et non le hachage du mot de passe de l'utilisateur.

Performance Impact

VBS impose une petite surcharge (2 à 5 % du processeur) pour la commutation de contexte entre la VM sécurisée et le système d'exploitation normal. Sur le matériel serveur moderne, cela est négligeable pour la plupart des charges de travail. Certains pilotes et applications existants (en particulier les logiciels de jeu anti-triche) sont incompatibles et empêcheront VBS de s'activer.

Windows Defender Application Guard (WDAG)

Navigation isolée du matériel : le moyen le plus sécurisé de surfer sur des sites Web non fiables

Hyper‑V Container per Browser Session

WDAG lance Microsoft Edge dans un conteneur Hyper‑V léger. Ce conteneur utilise une copie du système d'exploitation hôte mais s'exécute sur une machine virtuelle distincte sans accès à la mémoire, au stockage ou à la pile réseau de l'hôte (sauf via un commutateur virtuel). Si un site Web exploite le navigateur, l’attaquant n’accède qu’au conteneur – l’hébergeur reste totalement intact.

Configuration & Policies

Activer via la stratégie de groupe ou Intune : « Modèles d'administration → Composants Windows → Windows Defender Application Guard → Activer Windows Defender Application Guard ». Les stratégies contrôlent l’accès au presse-papiers (copier/coller autorisé ?), la redirection du téléchargement de fichiers (enregistrer sur l’hôte ?) et l’impression à partir du conteneur. Vous pouvez également définir l'approbation des ressources de l'entreprise (par exemple, les sites SharePoint internes ouverts dans Edge normal).

Performance & User Experience

First launch takes 5–10 seconds to create the container; les lancements ultérieurs sont plus rapides grâce à la mise en cache. Une fois à l’intérieur, la navigation est quasi native. Le conteneur ne conserve aucune donnée : les cookies, les téléchargements et l'historique de navigation sont supprimés à la fermeture du conteneur. Les utilisateurs voient une interface utilisateur spéciale indiquant qu'ils sont en mode « Application Guard ».

Integration with Defender for Endpoint

Si un échantillon de logiciel malveillant est détecté à l’intérieur du conteneur, Defender for Endpoint peut automatiquement collecter la charge utile et la soumettre pour analyse. Le conteneur peut également être automatiquement réinitialisé à un état connu si un comportement suspect est détecté.

DirectAccess & BranchCache

Accès à distance transparent et optimisation WAN pour les organisations distribuées

DirectAccess – Always On VPN

DirectAccess fournit un tunnel IPsec automatique, transparent et toujours actif vers le réseau d'entreprise dès que l'appareil a accès à Internet. Aucune saisie utilisateur (pas de clic pour se connecter) : il utilise des certificats de machine pour l'authentification. Les utilisateurs accèdent aux ressources internes (partages de fichiers, sites intranet) comme s'ils se trouvaient sur site, même derrière des NAT et des pare-feu. DirectAccess prend également en charge le déploiement multi‑site et s'intègre à Network Access Protection (NAP) (ancienne version).

DirectAccess vs Traditional VPN

Le VPN traditionnel nécessite que l'utilisateur se connecte manuellement, peut se déconnecter après une inactivité et ne fonctionne pas avant la connexion de l'utilisateur. DirectAccess se connecte automatiquement avant la connexion, reste connecté indéfiniment et prend en charge le tunneling forcé (tout le trafic Internet acheminé via le réseau d'entreprise) ou le tunneling fractionné. Il est idéal pour la gestion à distance des ordinateurs portables et un accès constant aux ressources internes.

BranchCache – Reduce WAN Traffic

BranchCache met en cache le contenu des serveurs de fichiers distants (partages SMB) et des serveurs HTTP (Web) sur les PC clients locaux ou sur un serveur de cache hébergé sur site. En mode cache distribué, chaque client met en cache le contenu et le partage avec des clients homologues via la découverte du réseau local (WS-Discovery). En mode cache hébergé, un serveur Windows dédié fait office de cache central. Les requêtes ultérieures pour le même fichier sont traitées à partir du cache local, ce qui réduit considérablement la latence et l'utilisation du WAN.

BranchCache Security

Les données sont cryptées et leur intégrité est vérifiée à l'aide de SHA‑256. Les clients reçoivent uniquement les parties du fichier qu'ils demandent et le cache est segmenté pour empêcher toute reconstruction non autorisée. BranchCache fonctionne sur les protocoles HTTP et SMB, parfaitement intégrés au serveur de fichiers Windows.

Windows Defender Application Control (WDAC) & AppLocker

Liste blanche des applications Zero Trust : seuls les logiciels approuvés s'exécutent

WDAC – Hypervisor‑Protected Code Integrity

WDAC (anciennement Device Guard) permet aux administrateurs de spécifier exactement quels fichiers exécutables, pilotes, scripts et MSI sont approuvés. Les règles sont basées sur le chemin du fichier, l'éditeur (certificat numérique) ou le hachage du fichier. La stratégie est appliquée par l'hyperviseur (HVCI) et ne peut pas être contournée par les logiciels malveillants en mode noyau. WDAC peut bloquer non seulement les logiciels malveillants connus, mais également les fichiers binaires « vivant de la terre » (par exemple, PowerShell, wmic) utilisés par les attaquants.

WDAC vs AppLocker

AppLocker est une solution de stratégie en mode utilisateur disponible dans Enterprise (et Pro) – plus facile à gérer mais peut être contournée par les pilotes du noyau. WDAC est une solution en mode noyau protégée par hyperviseur – beaucoup plus puissante mais nécessite une planification et des tests minutieux. De nombreuses organisations utilisent les deux : WDAC pour la protection du système critique, AppLocker pour les restrictions utilisateur-application.

Creating WDAC Policies

Utilisez le module PowerShell `ConfigCI` sur un PC de référence. `New-CIPolicy` analyse le système et génère une liste verte de toutes les applications et pilotes actuellement installés. `ConvertFrom-CIPolicy` se convertit au format binaire. Déployez via la stratégie de groupe ou MDM. Vous pouvez initialement exécuter le Mode Audit pour enregistrer ce qui serait bloqué sans le bloquer réellement.

AppLocker Rulesets for Enterprises

AppLocker prend en charge cinq collections de règles : exécutables (.exe, .com), programmes d'installation Windows (.msi, .msp), scripts (.ps1, .bat, .vbs, .js), DLL et applications packagées (applications du magasin). Les stratégies peuvent être appliquées par groupe d’utilisateurs. Par exemple : autorisez tous les utilisateurs à exécuter des programmes à partir de `C:\Program Files` et `C:\Program Files (x86)`, mais refusez l'exécution à partir de `%USERPROFILE%\Downloads` ou `%TEMP%`.

Microsoft Defender for Endpoint (formerly ATP)

Enterprise EDR avec investigation et réponse automatisées

Next‑Generation Protection

Les capteurs comportementaux, l'IA cloud et les modèles d'apprentissage automatique analysent les comportements des processus, les connexions réseau et les modifications du registre. Les règles de réduction de la surface d'attaque (par exemple, empêcher Office de créer des processus enfants, bloquer le contenu exécutable du client de messagerie) empêchent les vecteurs d'infection courants.

Endpoint Detection & Response (EDR)

Visibilité approfondie sur les points finaux : alertes sur les comportements suspects, enquêtes sur toutes les machines et vues chronologiques des arborescences de processus. Les centres d'opérations de sécurité (SOC) peuvent interroger la télémétrie brute pendant 6 mois maximum (selon la licence).

Automated Investigation & Remediation

Lorsqu'une alerte est déclenchée, Defender pour Endpoint peut enquêter automatiquement sur l'incident : déterminer la cause première, isoler les machines affectées du réseau (à l'aide de l'intégration Microsoft Intune) et supprimer les artefacts malveillants (fichiers, clés de registre, tâches planifiées).

Threat & Vulnerability Management (TVM)

TVM découvre en permanence les mises à jour de sécurité manquantes, les mauvaises configurations (par exemple, des règles de pare-feu faibles) et les versions logicielles vulnérables. Il fournit une priorisation basée sur les risques – des recommandations « Patch first » basées sur la probabilité d'exploitation et l'exposition des actifs.

Long‑Term Servicing Channel (LTSC)

10 ans de mises à jour de sécurité sans modification des fonctionnalités – pour les appareils à usage fixe

What is LTSC?

Le canal de maintenance à long terme (anciennement LTSB) est une édition spéciale de Windows 10 Entreprise qui ne reçoit pas de mises à jour de fonctionnalités. Il comprend uniquement des mises à jour de sécurité et de qualité pour une durée maximale de 10 ans (5 ans grand public + 5 ans étendus). Idéal pour les appareils dont les fonctionnalités ne doivent jamais changer : distributeurs automatiques de billets, équipements médicaux (IRM, scanners CT), systèmes de contrôle industriel (SCADA), kiosques et systèmes embarqués.

What’s Missing in LTSC

LTSC est livré sans Microsoft Edge (ancienne version uniquement, pas Chromium), Windows Store, Cortana, les applications de boîte de réception (Mail, Calendrier, Calculatrice), OneDrive et les fonctionnalités modernes telles que Timeline et Sets. Il ne prend pas non plus en charge les mises à jour semestrielles des fonctionnalités de Windows 10 (par exemple, 21H2, 22H2). Cela rend LTSC incompatible avec le nouveau matériel (les pilotes peuvent nécessiter des versions Windows plus récentes).

Licensing & Availability

LTSC est uniquement disponible pour les clients disposant d'une Software Assurance active (licence en volume) ou via Microsoft 365 E3/E5 (pas de LTSC là-bas – vous avez besoin de SA). Chaque nouvelle version de LTSC est prise en charge pendant 10 ans à compter de sa date de sortie (par exemple, Windows 10 Enterprise LTSC 2019 est pris en charge jusqu'en 2029, LTSC 2021 jusqu'en 2031). Vous ne pouvez pas effectuer de mise à niveau d'une version LTSC à une autre sans une nouvelle installation.

LTSC vs Semi‑Annual Channel (SAC)

La plupart des appareils d'entreprise doivent utiliser le canal semi-annuel (SAC) : bénéficiez de nouvelles fonctionnalités deux fois par an. LTSC est un outil spécialisé pour les infrastructures critiques qui ne peut pas tolérer les modifications de l'interface utilisateur ni le redémarrage pour les mises à jour de fonctionnalités. Microsoft déconseille d'utiliser LTSC pour les ordinateurs de bureau à usage général, Office ou les machines de développement.

Pros

✓Sécurité inégalée – Credential Guard, Application Guard, WDAC et Defender for Endpoint assurent une défense en profondeur
✓DirectAccess élimine le VPN orienté utilisateur : gestion transparente des accès à distance
✓BranchCache améliore considérablement l'expérience des succursales pour les serveurs de fichiers et les applications Web
✓Gestion complète des appareils – Intune, ConfigMgr, stratégie de groupe et cogestion
✓Windows Update for Business avec report d'un an : planifiez les mises à jour selon votre calendrier
✓Canal de maintenance à long terme (LTSC) pour les environnements réglementaires ou critiques pour la stabilité
✓AppLocker + WDAC : appliquez des politiques d'application Zero Trust du noyau au mode utilisateur
✓Microsoft Defender for Endpoint fournit un EDR d'entreprise sans agents tiers
✓Desktop Analytics réduit le risque de mise à niveau grâce à des données de compatibilité réelles
✓Remote Credential Guard protège les informations d'identification pendant les sessions RDP
✓Universal Print réduit la complexité du serveur d'impression
✓Prend en charge Windows 10 en mode S – verrouillé uniquement sur les applications du Microsoft Store, pour les environnements ultra-restreints

Cons

✗Non disponible au détail – nécessite un accord de licence en volume (Microsoft 365 E3/E5 ou Software Assurance)
✗Coût plus élevé que Pro : frais d'abonnement par utilisateur/par appareil (généralement de 7 $ à 14 $ par utilisateur/mois dans le cadre de Microsoft 365)
✗Complexité – de nombreuses fonctionnalités (WDAC, Credential Guard, Application Guard) nécessitent une planification et des tests minutieux
✗Exigences matérielles – Les fonctionnalités VBS nécessitent TPM 2.0, UEFI et des processeurs récents ; les appareils plus anciens peuvent ne pas les prendre en charge
✗Problèmes de compatibilité des applications – WDAC peut bloquer des logiciels légitimes ; Credential Guard casse certains modules d'authentification tiers
✗Surcharge de performances – VBS (Credential Guard, HVCI) peut réduire les performances de 2 à 8 %, ce qui est perceptible dans les charges de travail d'E/S ou de jeux élevées.
✗DirectAccess nécessite une infrastructure Windows Server (serveur DirectAccess, technologies de transition PKI, DNS et IPv6)
✗BranchCache nécessite des serveurs de fichiers Windows Server et un dimensionnement minutieux du cache
✗Le support prend fin le 14 octobre 2025 – comme pour toutes les éditions de Windows 10 (bien que LTSC aille jusqu'en 2031 pour des versions spécifiques)
✗Aucune fonctionnalité grand public – Cortana, Windows Store (peut être désactivé), les expériences cloud grand public sont désactivées par politique (peut dérouter les utilisateurs qui les attendent)
✗LTSC ne dispose pas de navigateurs et d'une boutique d'applications modernes – ne peut pas installer les applications Microsoft Teams, les nouvelles applications Edge ou Store sans solutions de contournement

Use Cases

Grande entreprise avec plus de 5 000 appareils – gestion centralisée via Intune et ConfigMgr, Defender for Endpoint for SOC, WDAC pour bloquer les logiciels non autorisésServices financiers/bancaires – Credential Guard et sécurité basée sur la virtualisation pour répondre aux exigences réglementaires (PCI-DSS, SOX, GDPR)Soins de santé : protégez les données des patients avec BitLocker et Defender ; LTSC pour les dispositifs médicaux (IRM, ventilateurs) pour lesquels les fonctionnalités ne peuvent pas être modifiéesGouvernement et défense – WDAC et Application Guard pour protéger les réseaux classifiés ; DirectAccess pour un accès à distance sécuriséCommerce de détail/hôtellerie – mode kiosque avec accès attribué et impression universelle ; BranchCache pour la mise en cache du serveur de fichiers au niveau du magasinIndustrie manufacturière/industrielle – LTSC sur les PC des usines exécutant des systèmes SCADA ; pas de redémarrages imprévus ni de modifications de l'interface utilisateurMain-d'œuvre à distance/itinérante – DirectAccess offre un accès transparent aux ressources internes des cafés et des hôtels sans interaction de l'utilisateurMaison de développement de logiciels – Windows Sandbox et Hyper‑V pour les tests ; WDAC en mode audit pour créer des listes autorisées d'applicationsInformatique éducative pour le personnel/administrateur – pas pour les laboratoires d'étudiants, mais pour les enseignants et les appareils administratifs nécessitant une sécurité d'entreprise complète.

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later