Lý thuyết cần nắm
Kiến thức nền tảng về Windows endpoint trong môi trường doanh nghiệp
1.1 Vòng đời Endpoint (Device Lifecycle)
Trong môi trường doanh nghiệp, mỗi thiết bị đi qua 5 giai đoạn. IT Admin chịu trách nhiệm quản lý toàn bộ vòng đời này, thường thông qua Microsoft Intune + SCCM (Co-management).
Procurement
Mua & nhận thiết bị. Đăng ký Autopilot.
Deployment
Cài OS, enroll MDM, push apps
Management
Patch, policy, compliance
Refresh
Nâng cấp hoặc tái sử dụng
Retirement
Wipe & decommission
1.2 So sánh các phiên bản Windows
| Phiên bản | Đối tượng | Tính năng nổi bật | MDM (Intune) | Domain Join | Licensing |
|---|---|---|---|---|---|
| Windows 11 Home | Cá nhân | Teams Personal, Snap layouts | ✗ | ✗ | OEM / Retail |
| Windows 11 Pro | SMB / Developer | BitLocker, Hyper-V, Remote Desktop, WIP | ✓ | ✓ | Retail / Volume |
| Windows 11 Enterprise | Doanh nghiệp lớn | AppLocker, Credential Guard, DirectAccess, Windows Sandbox, WDAG | ✓ Full | ✓ Full | Microsoft 365 E3/E5 |
| Windows 11 Education | Giáo dục | Tương đương Enterprise, SetupDiag | ✓ | ✓ | EES / Shape the Future |
| Windows 11 Enterprise LTSC | Kiosk, ATM, thiết bị y tế | Không có Microsoft Store, cập nhật chậm | ✓ | ✓ | Volume (LTSC) |
| Windows 365 (Cloud PC) | Remote work, Frontline | Stream qua browser, không cần hardware mạnh | ✓ Managed | ✓ Entra Join | Per-user SaaS subscription |
Lưu ý thi MD-102: Windows 11 Enterprise có các tính năng bảo mật nâng cao như Credential Guard, Device Guard (HVCI), Windows Defender Application Guard (WDAG) mà Pro không có. Đây là lý do doanh nghiệp phải dùng Enterprise cho môi trường nhạy cảm.
1.3 Yêu cầu phần cứng Windows 11
CPU
1 GHz+, 2+ cores, 64-bit compatible
RAM
4 GB minimum
Storage
64 GB minimum (SSD khuyến nghị)
Security (BẮT BUỘC)
TPM 2.0 + UEFI Secure Boot
Critical: Windows 11 bắt buộc TPM 2.0. Machines không có TPM 2.0 sẽ không được upgrade. Kiểm tra hàng loạt bằng
Get-Tpm hoặc Endpoint Analytics trong Intune.
1.4 Windows Servicing Channels
| Channel | Đối tượng | Tần suất feature update | Dùng khi nào |
|---|---|---|---|
| General Availability Channel (GAC) | Toàn bộ doanh nghiệp | 1 lần/năm (tháng 9-11) | Máy nhân viên thông thường — default choice |
| Windows Insider (Release Preview) | IT pilot team | Hàng tuần / tháng | Test compatibility trước khi deploy sản xuất |
| LTSC (Long-Term Servicing Channel) | Thiết bị đặc biệt | Mỗi 2-3 năm (EOL 10 năm) | Kiosk, ATM, máy xưởng, thiết bị y tế |
Lab thực chiến
Kiểm tra và quản lý Windows edition trong môi trường doanh nghiệp
Lab A — Kiểm tra Windows Edition qua PowerShell
Thực hành tại: Máy Windows cục bộ hoặc VM Windows 10/11 (Hyper-V / Azure VM / AWS EC2)
- Mở PowerShell với quyền Administrator (Windows + X → Terminal Admin)
- Chạy các lệnh kiểm tra sau:
# Kiểm tra edition hiện tại
Get-WindowsEdition -Online
# Kiểm tra TPM (bắt buộc Windows 11)
Get-Tpm
# Kiểm tra Secure Boot
Confirm-SecureBootUEFI
# Thông tin OS chi tiết
Get-ComputerInfo | Select-Object OsName, OsVersion, OsBuildNumber, WindowsEditionId
# Kiểm tra Windows Update channel
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" | Select BranchReadinessLevel
Kết quả đầu ra mong đợi
Edition : Enterprise
EditionId : Enterprise
ReleaseId : 22H2
TpmPresent : True
TpmReady : True
TpmEnabled : True
ManufacturerVersion : 2.0
True # Confirm-SecureBootUEFI = True nếu enabled
OsName : Microsoft Windows 11 Enterprise
OsVersion : 10.0.22621
OsBuildNumber : 22621
WindowsEditionId : Enterprise
Nếu TpmPresent = False hoặc ManufacturerVersion = 1.2, máy không eligible Windows 11.
Lab B — Xem Device Inventory qua Microsoft Intune Portal
Thực hành tại:
https://intune.microsoft.com → Devices → Windows
- Đăng nhập Microsoft Intune admin center bằng tài khoản Global Admin hoặc Intune Administrator
- Vào Devices → Windows → tab Windows devices
- Click vào một thiết bị → tab Hardware → kiểm tra: OS edition, TPM version, Secure Boot state, Battery capacity
- Dùng Export (Export report → CSV) để lấy danh sách tất cả thiết bị với hardware specs
- Vào Reports → Endpoint analytics → Work from anywhere để xem Windows 11 readiness score
Kết quả đầu ra mong đợi
CSV file chứa tất cả thiết bị Windows với columns: DeviceName, OSVersion, TPMVersion, SecureBootEnabled, EnrolledDate. File này dùng để lên kế hoạch migration Windows 11.
Lab C — Nâng cấp Edition từ Pro lên Enterprise qua Intune
Thực hành tại: intune.microsoft.com → Devices → Configuration profiles
- Vào Devices → Configuration profiles → + Create profile
- Platform: Windows 10 and later | Profile type: Templates | Template: Edition upgrade and mode switch → Create
- Cấu hình: Edition to upgrade to: Windows 11 Enterprise | nhập Product key hoặc upload License file (.xml)
- Tab Assignments: Assign to group chứa thiết bị cần upgrade → Review + create
Kết quả đầu ra mong đợi
Sau khi thiết bị check-in và restart: Edition upgrade từ Pro → Enterprise. Trong Intune Device Configuration, profile status chuyển từ Pending → Succeeded. Verify bằng Get-WindowsEdition -Online.
Tình huống thực tế doanh nghiệp
Áp dụng kiến thức vào bài toán thực tế
Tình huống: Công ty VNG — Migration Windows 10 → 11 cho 3,000 máy
VNG có 3,000 máy tính hỗn hợp (Win 10 Home, Pro, Enterprise), nhiều máy mua từ 2018-2020. CIO yêu cầu migrate toàn bộ lên Windows 11 Enterprise trong Q3/2026 để đáp ứng yêu cầu bảo mật Zero Trust và Conditional Access policy mới.
1 Đánh giá phần cứng hàng loạt (Bulk Assessment)
# Script PowerShell: Bulk check TPM + Secure Boot + Win11 eligibility
$computers = Get-Content "computers.txt"
$results = foreach ($pc in $computers) {
$tpm = Get-WmiObject -Class Win32_Tpm -Namespace "root\CIMV2\Security\MicrosoftTpm" -ComputerName $pc -EA SilentlyContinue
$os = Get-WmiObject Win32_OperatingSystem -ComputerName $pc -EA SilentlyContinue
[PSCustomObject]@{
Computer = $pc
Edition = $os.Caption
TPMPresent = $tpm.IsEnabled_InitialValue
TPMVersion = $tpm.SpecVersion
Win11Ready = ($tpm.SpecVersion -like "2.0*") -and ($os.BuildNumber -ge 19041)
}
}
$results | Export-Csv "win11-readiness.csv" -NoTypeInformation
2 Phân loại và lập kế hoạch migration
| Nhóm máy | Ước tính | Hành động | Timeline |
|---|---|---|---|
| Win 10 Pro/Enterprise, TPM 2.0 ✓ | ~2,200 máy | In-place upgrade via Intune feature update ring | Q2/2026 (Pilot 100 → Wave 500 → All) |
| Win 10 Home, cần edition upgrade | ~500 máy | Edition upgrade qua Intune config profile → OS upgrade | Q2-Q3/2026 |
| Hardware cũ, không có TPM 2.0 | ~300 máy | Replace hardware hoặc chuyển sang Windows 365 Cloud PC | Q3/2026 (budget request) |
Best practice thực tế: Với 300 máy không có TPM 2.0, giải pháp tối ưu về chi phí là triển khai Windows 365 Frontline — nhân viên stream Cloud PC Windows 11 Enterprise qua browser trên bất kỳ thiết bị nào. Chi phí ~$28/user/tháng, rẻ hơn mua máy mới và quản lý dễ hơn qua Intune.
Đây là module đầu tiên trong lộ trình
M02 — Microsoft Entra ID (Tổng quan)