Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
セキュア ブートを備えた UEFI ファームウェアはブートローダーの署名を検証します。 BitLocker が有効になっている場合、TPM は、測定されたブートで改ざんがないことが確認された後にのみ復号キーを解放します。 DMA 保護 (カーネル DMA 保護) を備えたデバイスでは、OS がロードされるまで Thunderbolt ポートがブロックされます。
2. Virtualisation‑Based Security (VBS) Initialisation
ハイパーバイザー (Microsoft Hyper‑V) が早期にロードされ、分離された仮想化コンテナーが作成されます。 Credential Guard は、安全な VM 内で LSA を実行します。 Windows Defender Application Guard (WDAG) は、独自の軽量コンテナーを準備します。メイン OS は、権限が制限されたルート パーティションとして実行されます。
3. Kernel & Device Guard / WDAC
カーネルは Hypervisor‑Protected Code Integrity (HVCI) を使用してロードされます。すべてのドライバーとカーネル モジュールは、実行前にポリシー (WDAC) に対して検証されます。承認された発行者 (Microsoft、組織) によって署名されたバイナリのみが実行できるため、ルートキットと署名のないドライバーが効果的にブロックされます。
4. DirectAccess & VPN Client
ネットワーク接続が利用可能になるとすぐに、DirectAccess クライアントは、マシン証明書を使用して企業ネットワークへの IPsec トンネルを確立しようとします。これはユーザーのログオン前に行われるため、ユーザーがサインインしていない場合でもリモート デバイス管理 (パッチの展開、ポリシーの更新) が可能になります。
5. User Logon with Windows Hello for Business
ログイン画面では、Windows Hello for Business (生体認証または PIN) により、Azure AD またはオンプレミスの Active Directory に対してユーザーが認証されます。 Remote Credential Guard を使用すると、ユーザーはターゲット マシンに資格情報を送信せずにリモート リソースにアクセスできます。
6. Group Policy / MDM Refresh & BranchCache
バックグラウンド サービスは、ドメイン コントローラーまたは Intune MDM ポリシーからグループ ポリシー オブジェクト (GPO) を更新します。 「分散キャッシュ モード」の BranchCache は、以前にダウンロードされたファイルのローカル ピア キャッシュをチェックし、冗長な WAN 転送を回避します。
7. Windows Defender Application Guard (Optional)
管理者が Application Guard モード (またはポリシー経由) で Edge を起動すると、新しい Hyper‑V コンテナは最小限の Windows イメージで起動します。ブラウザはこのサンドボックス内で実行され、クリップボードとファイルのリダイレクトはポリシーによって制御されます。コンテナを閉じると、すべての変更が破棄されます。
8. Microsoft Defender for Endpoint Sensors
Defender for Endpoint センサー (`MsSense.exe`) は、プロセスの作成、ネットワーク接続、ファイルの書き込み、レジストリの変更を監視します。行動シグナルはリアルタイムのリスク分析のためにクラウドに送信されます。脅威が検出された場合、自動対応アクション (隔離、ファイル隔離) をトリガーできます。
9. Windows Update for Business & Desktop Analytics
Windows Update for Business は、延期ポリシー (機能更新には最大 365 日) と更新リングを使用します。 デスクトップ分析 は、Configuration Manager と統合して、アップグレードの準備に関する洞察を提供し、展開前にアプリケーションの互換性の問題を特定します。
Key Features
Credential Guard
仮想化ベースのセキュリティにより LSASS が分離され、パス・ザ・ハッシュ攻撃やパス・ザ・チケット攻撃を防止します。 TPM 2.0 と UEFI ロックが必要です。
Application Guard for Edge
Web ブラウジング用のハードウェア分離コンテナ – 悪意のある Web サイトがホスト OS を侵害することはありません。クリップボード制御とファイルリダイレクトポリシーをサポートします。
DirectAccess
IPsec を使用した常時接続の透過的な VPN。ユーザーのログオン前に接続し、マルチサイトをサポートし、証明書認証と統合します。
BranchCache
SMB/HTTP コンテンツの分散またはホスト型キャッシュ – ブランチ オフィス ユーザーの WAN 帯域幅と遅延を削減します。
Windows Defender Application Control (WDAC)
ハイパーバイザーで保護されたコードの整合性 – 信頼できる実行可能ファイル、ドライバー、およびスクリプトのみを許可します。ランサムウェアとファイルレス マルウェアをカーネル レベルでブロックします。
AppLocker
EXE、MSI、スクリプト、ストア アプリのルール コレクションを含むユーザー モード アプリケーションのホワイトリスト。テスト用の監査モード。
Microsoft Defender for Endpoint
完全なエンタープライズ EDR – 行動センサー、クラウド AI、自動調査、脅威と脆弱性の管理、対応アクション (隔離、隔離)。
BitLocker
TPM と PIN によるフルディスク暗号化。 Enterprise では、BitLocker ネットワーク ロック解除 (企業ネットワークに接続されているときに暗号化されたドライブから起動) と Microsoft BitLocker 管理と監視 (MBAM) の統合が追加されています。
Windows Hello for Business
生体認証 + TPM を使用した 2 要素認証。パスワードをキーベースまたは証明書ベースの認証に置き換えます。 Azure AD とオンプレミス AD をサポートします。
Desktop Analytics
Configuration Manager との統合により、Windows 機能更新プログラムとアプリケーションの互換性を評価します。パイロットの推奨事項とロールバックの洞察を提供します。
Windows Update for Business (Advanced)
機能の更新は最大 365 日、品質の更新は最大 30 日間延期されます。アップデート リングを使用してデバイス グループ (パイロット、ブロード、クリティカル) を作成します。配信の最適化 (ピアツーピア) と統合します。
Universal Print
クラウドベースの印刷ソリューション – プリント サーバーは必要ありません。 Enterprise エディションには、ユニバーサル プリント コネクタとユーザーごとの印刷ジョブ クォータの管理が含まれています。
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
クラウド MDM (Intune) とオンプレミス SCCM の両方を使用してデバイスをシームレスに管理します。条件付きアクセス、コンプライアンス ポリシー、リモート アクション (ワイプ、リタイア、同期) を有効にします。
Long‑Term Servicing Channel (LTSC)
機能変更なしの 10 年間のセキュリティ更新 – 固定目的デバイス (ATM、医療、産業) 向け。ソフトウェア アシュアランス付きのみ。
Credential Guard & Virtualisation‑Based Security
オペレーティング システムから秘密を隔離します – カーネル マルウェアでもハッシュを盗むことはできません
How Credential Guard Works
Credential Guard は、仮想化ベースのセキュリティ (VBS) を使用して、ハードウェア分離された仮想マシン内でローカル セキュリティ機関サブシステム サービス (LSASS) を実行します。この安全な VM の外部にある Windows プロセスは、内部に保存されているハッシュされた資格情報、Kerberos チケット、または NTLM ハッシュにアクセスできません。 Pass‑the‑hash 攻撃や Pass‑the‑ticket 攻撃は、秘密が隔離された環境から決して出ないため不可能になります。
Requirements & Enablement
Intel VT‑x (拡張ページ テーブル搭載) または AMD‑V (Rapid Virtualisation Indexing 搭載)、UEFI ロック、および TPM 2.0 を搭載した 64 ビット CPU が必要です。グループ ポリシー経由で有効にします: 「コンピュータの構成 → 管理用テンプレート → システム → Device Guard → 仮想化ベースのセキュリティを有効にする」。 「Credential Guard で有効」に設定します。
Key Protection & Remote Credential Guard
Credential Guard は、キー トラスト (TPM バインド キー) と 証明書トラスト (スマートカード証明書) も保護します。 Remote Credential Guard は、これを RDP セッションに拡張します。ユーザーがリモート PC に接続するとき、その資格情報がクライアント マシンから離れることはありません。ターゲット PC は、ユーザーのパスワード ハッシュではなく、Kerberos サービス チケットを受け取ります。
Performance Impact
VBS は、セキュア VM と通常の OS の間のコンテキスト切り替えにわずかなオーバーヘッド (CPU の 2 ~ 5%) を課します。最新のサーバークラスのハードウェアでは、これはほとんどのワークロードに対して無視できます。一部の従来のドライバーとアプリケーション (特にアンチチート ゲーム ソフトウェア) には互換性がなく、VBS の起動がブロックされます。
Windows Defender Application Guard (WDAG)
ハードウェア分離ブラウジング - 信頼できない Web サイトを閲覧するための最も安全な方法
Hyper‑V Container per Browser Session
WDAG は、軽量の Hyper‑V コンテナ内で Microsoft Edge を起動します。このコンテナはホスト OS のコピーを使用しますが、ホストのメモリ、ストレージ、ネットワーク スタック (仮想スイッチ経由を除く) にはアクセスできない別の仮想マシンで実行されます。 Web サイトがブラウザを悪用した場合、攻撃者はコンテナにアクセスするだけで、ホストはまったく影響を受けません。
Configuration & Policies
グループ ポリシーまたは Intune 経由で有効にします: 「管理用テンプレート → Windows コンポーネント → Windows Defender Application Guard → Windows Defender Application Guard をオンにする」。ポリシーは、クリップボードへのアクセス (コピー/ペーストは許可されますか?)、ファイルのダウンロードのリダイレクト (ホストに保存しますか?)、コンテナーからの印刷を制御します。エンタープライズ リソースの信頼を定義することもできます (例: 内部 SharePoint サイトは通常の Edge で開きます)。
Performance & User Experience
最初の起動では、コンテナーの作成に 5 ~ 10 秒かかります。キャッシュにより、その後の起動が高速になります。中に入ると、ネイティブに近いブラウジングが可能になります。コンテナーはデータを保持しません。コンテナーが閉じると、Cookie、ダウンロード、閲覧履歴は破棄されます。ユーザーには、「Application Guard」モードであることを示す特別な UI が表示されます。
Integration with Defender for Endpoint
コンテナー内でマルウェア サンプルが検出された場合、Defender for Endpoint はペイロードを自動的に収集し、分析のために送信できます。不審な動作が検出された場合、コンテナを既知の正常な状態に自動的にリセットすることもできます。
DirectAccess & BranchCache
分散組織向けのシームレスなリモート アクセスと WAN の最適化
DirectAccess – Always On VPN
DirectAccess は、デバイスがインターネットにアクセスできるようになるとすぐに、自動的で透過的な常時接続の IPsec トンネルを企業ネットワークに提供します。ユーザー入力なし (クリックによる接続なし) – 認証にマシン証明書を使用します。ユーザーは、NAT やファイアウォールの背後にある場合でも、オンプレミスであるかのように内部リソース (ファイル共有、イントラネット サイト) にアクセスします。 DirectAccess は マルチサイト 展開もサポートし、ネットワーク アクセス保護 (NAP) (レガシー) と統合します。
DirectAccess vs Traditional VPN
従来の VPN はユーザーが手動で接続する必要があり、アイドル状態になった後に切断される可能性があり、ユーザーがログオンする前は機能しません。 DirectAccess はログイン前に自動的に接続し、無期限に接続を維持し、強制トンネリング (企業ネットワーク経由でルーティングされるすべてのインターネット トラフィック) またはスプリット トンネリングをサポートします。ラップトップのリモート管理や内部リソースへの常時アクセスに最適です。
BranchCache – Reduce WAN Traffic
BranchCache は、ローカル クライアント PC またはオンサイトでホストされているキャッシュ サーバー上のリモート ファイル サーバー (SMB 共有) および HTTP (Web) サーバーからのコンテンツをキャッシュします。 分散キャッシュ モード では、各クライアントはコンテンツをキャッシュし、ローカル LAN ディスカバリ (WS-Discovery) 経由でピア クライアントと共有します。 ホスト型キャッシュ モード では、専用の Windows Server が中央キャッシュとして機能します。同じファイルに対する後続のリクエストはローカル キャッシュから処理されるため、遅延と WAN 使用率が大幅に削減されます。
BranchCache Security
データは SHA-256 を使用して暗号化され、整合性がチェックされます。クライアントは要求したファイルの部分のみを受信し、不正な再構築を防ぐためにキャッシュはセグメント化されます。 BranchCache は HTTP および SMB プロトコル上で動作し、Windows ファイル サーバーとシームレスに統合されます。
Windows Defender Application Control (WDAC) & AppLocker
ゼロトラスト アプリケーションのホワイトリスト登録 – 承認されたソフトウェアのみが実行されます
WDAC – Hypervisor‑Protected Code Integrity
WDAC (旧称 Device Guard) を使用すると、管理者はどの実行可能ファイル、ドライバー、スクリプト、および MSI を信頼するかを正確に指定できます。ルールは、ファイル パス、発行者 (デジタル証明書)、またはファイル ハッシュに基づいています。このポリシーはハイパーバイザー (HVCI) によって強制され、カーネルモードのマルウェアによってバイパスされることはありません。 WDAC は、既知のマルウェアだけでなく、攻撃者が使用する「常駐型」バイナリ (PowerShell、wmic など) もブロックできます。
WDAC vs AppLocker
AppLocker は、Enterprise (および Pro) で利用できるユーザー モード ポリシー ソリューションです。管理は簡単ですが、カーネル ドライバーによってバイパスされる可能性があります。 WDAC はカーネル モード、ハイパーバイザーで保護されたソリューションです。非常に強力ですが、慎重な計画とテストが必要です。多くの組織では、重要なシステムの保護には WDAC、ユーザー アプリの制限には AppLocker の両方を使用しています。
Creating WDAC Policies
参照 PC 上で「ConfigCI」PowerShell モジュールを使用します。 「New-CIPolicy」はシステムをスキャンし、現在インストールされているすべてのアプリケーションとドライバーの許可リストを生成します。 `ConvertFrom-CIPolicy` はバイナリ形式に変換します。グループ ポリシーまたは MDM 経由で展開します。最初に 監査モード で実行すると、ブロックされる内容を実際にブロックせずにログに記録できます。
AppLocker Rulesets for Enterprises
AppLocker は、実行可能ファイル (.exe、.com)、Windows インストーラー (.msi、.msp)、スクリプト (.ps1、.bat、.vbs、.js)、DLL、およびパッケージ化されたアプリ (ストア アプリ) の 5 つのルール コレクションをサポートします。ポリシーはユーザー グループごとに適用できます。たとえば、すべてのユーザーが `C:\Program Files` および `C:\Program Files (x86)` からプログラムを実行することを許可しますが、 `%USERPROFILE%\Downloads` または `%TEMP%` からのプログラムの実行は拒否します。
Microsoft Defender for Endpoint (formerly ATP)
自動化された調査と対応を備えたエンタープライズ EDR
Next‑Generation Protection
動作センサー、クラウド AI、機械学習モデルは、プロセスの動作、ネットワーク接続、レジストリの変更を分析します。 攻撃対象領域削減ルール (Office による子プロセスの作成のブロック、電子メール クライアントからの実行可能コンテンツのブロックなど) は、一般的な感染ベクトルを防ぎます。
Endpoint Detection & Response (EDR)
エンドポイントの詳細な可視性: 不審な動作に関するアラート、マシン全体の調査、プロセス ツリーのタイムライン ビュー。セキュリティ オペレーション センター (SOC) は、最大 6 か月間生のテレメトリをクエリできます (ライセンスに応じて異なります)。
Automated Investigation & Remediation
アラートがトリガーされると、Defender for Endpoint はインシデントを自動的に調査します。つまり、根本原因を特定し、影響を受けるコンピューターをネットワークから隔離し (Microsoft Intune 統合を使用)、悪意のあるアーティファクト (ファイル、レジストリ キー、スケジュールされたタスク) を削除します。
Threat & Vulnerability Management (TVM)
TVM は、不足しているセキュリティ アップデート、設定ミス (脆弱なファイアウォール ルールなど)、および脆弱なソフトウェア バージョンを継続的に検出します。リスクベースの優先順位付け、つまりエクスプロイトの可能性と資産の危険性に基づいた「パッチファースト」の推奨事項を提供します。
Long‑Term Servicing Channel (LTSC)
機能変更なしの 10 年間のセキュリティ更新 – 固定目的デバイス向け
What is LTSC?
Long‑Term Servicing Channel (旧 LTSB) は、機能更新プログラムを受け取らない Windows 10 Enterprise の特別なエディションです。最長 10 年間 (メインストリーム 5 年間 + 延長 5 年間) のセキュリティと品質のアップデートのみが含まれます。 ATM、医療機器 (MRI、CT スキャナー)、産業用制御システム (SCADA)、キオスク、組み込みシステムなど、機能を変更してはいけないデバイスに最適です。
What’s Missing in LTSC
LTSC には、Microsoft Edge (Chromium ではなくレガシー バージョンのみ)、Windows ストア、Cortana、受信トレイ アプリ (メール、カレンダー、電卓)、OneDrive、およびタイムラインやセットなどの最新機能は含まれていません。また、Windows 10 の半年ごとの機能更新プログラム (21H2、22H2 など) もサポートしていません。これにより、LTSC は新しいハードウェアと互換性がなくなります (ドライバーには新しい Windows ビルドが必要になる場合があります)。
Licensing & Availability
LTSC は、有効なソフトウェア アシュアランス (ボリューム ライセンス) を持つ顧客、または Microsoft 365 E3/E5 を通じて利用できる顧客 (LTSC はありません。SA が必要です) のみ利用できます。新しい LTSC リリースはそれぞれ、リリース日から 10 年間サポートされます (たとえば、Windows 10 Enterprise LTSC 2019 は 2029 年まで、LTSC 2021 は 2031 年までサポートされます)。クリーン インストールせずに、ある LTSC リリースから別の LTSC リリースにアップグレードすることはできません。
LTSC vs Semi‑Annual Channel (SAC)
ほとんどのエンタープライズ デバイスは、半期チャネル (SAC) を使用して、年に 2 回新機能を入手する必要があります。 LTSC は、UI の変更や機能更新のための再起動を許容できない重要なインフラストラクチャに特化したツールです。 Microsoft は、汎用デスクトップ、Office、または開発マシンに LTSC を使用しないことをお勧めします。
Pros
- ✓比類のないセキュリティ – Credential Guard、Application Guard、WDAC、および Defender for Endpoint が徹底した防御を提供します
- ✓DirectAccess により、ユーザー側の VPN が不要 – シームレスなリモート アクセス管理
- ✓BranchCache は、ブランチ オフィスのファイル サーバーと Web アプリのエクスペリエンスを大幅に向上させます
- ✓完全なデバイス管理 – Intune、ConfigMgr、グループ ポリシー、および共同管理
- ✓Windows Update for Business (1 年間の延期あり) – スケジュールに合わせて更新を計画してください
- ✓長期サービス チャネル (LTSC) 規制環境または安定性が重要な環境向け
- ✓AppLocker + WDAC – カーネル モードからユーザー モードまでゼロトラスト アプリケーション ポリシーを適用します
- ✓Microsoft Defender for Endpoint は、サードパーティ エージェントなしでエンタープライズ EDR を提供します
- ✓デスクトップ分析 は、現実世界の互換性データを使用してアップグレードのリスクを軽減します
- ✓リモート資格情報ガード は、RDP セッション中に資格情報を保護します
- ✓ユニバーサル プリント によりプリント サーバーの複雑さが軽減されます
- ✓S モードの Windows 10 をサポート – 非常に制限された環境向けに、Microsoft Store アプリのみにロックダウンされています
Cons
- ✗小売では利用できません – ボリューム ライセンス契約が必要です (Microsoft 365 E3/E5 またはソフトウェア アシュアランス)
- ✗Pro よりもコストが高い - ユーザーごと、デバイスごとのサブスクリプション料金 (通常、Microsoft 365 の一部としてユーザーあたり月額 7 ~ 14 ドル)
- ✗複雑さ – 多くの機能 (WDAC、Credential Guard、Application Guard) には慎重な計画とテストが必要です
- ✗ハードウェア要件 – VBS 機能には、TPM 2.0、UEFI、および最新の CPU が必要です。古いデバイスではサポートされていない可能性があります
- ✗アプリケーションの互換性の問題 – WDAC は正規のソフトウェアをブロックする可能性があります。 Credential Guard は一部のサードパーティ認証モジュールを破壊します
- ✗パフォーマンスのオーバーヘッド – VBS (Credential Guard、HVCI) によりパフォーマンスが 2 ~ 8% 低下する可能性があり、高 I/O またはゲーム ワークロードで顕著です。
- ✗DirectAccess には Windows Server インフラストラクチャが必要です (DirectAccess サーバー、PKI、DNS、および IPv6 移行テクノロジ)
- ✗BranchCache には Windows Server ファイル サーバーと慎重なキャッシュ サイズ設定が必要です
- ✗サポートは 2025 年 10 月 14 日に終了します – すべての Windows 10 エディションと同様 (ただし、LTSC は特定のリリースでは 2031 年に終了します)
- ✗コンシューマ向け機能なし – Cortana、Windows ストア (無効にすることができます)、コンシューマ クラウド エクスペリエンスはポリシーによってオフになっています (これらを期待しているユーザーを混乱させる可能性があります)
- ✗LTSC には最新のブラウザーとアプリ ストアがありません – 回避策なしでは Microsoft Teams、新しい Edge、または Store アプリをインストールできません
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |