10 шокирующих фактов о том, как Microsoft тихо убивает телефонную активацию Windows и Office: что делать пользователям в изолированных сетях?

Вступление

В последние годы Microsoft постепенно отходит от традиционных методов активации своих продуктов, заменяя их онлайн‑сервисами. На первый взгляд это выглядит как удобство: «всё в облаке», «меньше рутины». Однако для многих специалистов, работающих в закрытых, «air‑gap» средах, а также для тех, кто привык к проверенным способам активации по телефону, такие изменения становятся настоящим «шоком». Недавно в Reddit появился пост, где пользователи обсуждают, что Microsoft «тихо убивает» возможность активации Windows и Office по телефону, заставляя всех переходить на веб‑портал. В статье мы разберём, что именно происходит, какие последствия это имеет для разных групп пользователей и какие обходные пути уже находят специалисты.

Японский хокку

Тени старых схем
Тихо исчезают в сети
Новый свет — онлайн

Пересказ Reddit‑поста своими словами

Автор оригинального поста (ссылка на Tom's Hardware) сообщает, что Microsoft перестала поддерживать телефонную активацию Windows и Office. Вместо привычного звонка в службу поддержки теперь пользователи вынуждены использовать онлайн‑портал, где требуется вход в Microsoft‑аккаунт. Вопросы, которые поднимает пост:

• Как будет работать активация в полностью изолированных (air‑gap) сетях?
• Есть ли какие‑то плюсы у нового подхода?

В комментариях к посту пользователи делятся своим опытом, находят обходные пути и высказывают опасения.

Суть проблемы, хакерский подход и основные тенденции

Ключевая проблема — исчезновение «offline‑friendly» метода активации. Для большинства корпоративных клиентов это не критично, потому что они используют KMS (службу управления ключами) или MAK (ключ активации). Но для:

• Систем, работающих без доступа к Интернету (например, в оборонных или научных лабораториях);
• Пользователей, которым по политическим или юридическим причинам запрещено использовать облачные сервисы;
• Тех, кто просто предпочитает проверенный телефонный способ, где можно быстро получить код активации.

Тенденция «переноса всех функций в облако» уже давно наблюдается в индустрии: Office 365, Windows 10/11, Azure AD. Microsoft позиционирует это как повышение безопасности (меньше «потерянных» ключей) и упрощение управления лицензиями. Однако в реальности появляется новый «single point of failure» — если портал недоступен, лицензия может стать недействительной.

Детальный разбор проблемы с разных сторон

Техническая сторона

Традиционная телефонная активация работала по схеме:

1. Пользователь запускает slui.exe 4 (или аналогичную команду).
2. Система генерирует Installation ID и выводит его на экран.
3. Пользователь звонит в Microsoft, сообщает ID оператору.
4. Оператор проверяет статус лицензии и выдаёт Confirmation ID, который пользователь вводит в систему.

Все шаги происходили полностью офлайн, кроме телефонного канала. При переходе на веб‑портал процесс выглядит так:

1. Генерация Installation ID остаётся прежней.
2. Пользователь открывает activation.portal.microsoft.com, вводит свой Microsoft‑аккаунт.
3. Сайт запрашивает Installation ID, генерирует Confirmation ID и отображает его.

Технически процесс не изменился, но теперь требуется:

• Доступ к Интернету (HTTPS‑соединение);
• Активный Microsoft‑аккаунт (рабочий или личный);
• Отсутствие блокировок со стороны корпоративных брандмауэров.

Юридическая и политическая сторона

Для компаний, работающих в странах с ограничениями на передачу данных за границу, обязательный вход в облако Microsoft может противоречить локальному законодательству. Кроме того, в некоторых отраслях (например, оборона) требуется полное отсутствие внешних соединений.

Экономическая сторона

С одной стороны, Microsoft экономит на поддержке телефонных центров и операторов. С другой — пользователи вынуждены платить за дополнительные лицензии (например, Microsoft 365), если им нужен «прямой» доступ к порталу.

Практические примеры и кейсы

Кейс 1: Офис в закрытом оборонном объекте

Компания «ТехноЗащита» использует Windows 10 Enterprise в полностью изолированной сети. До недавних изменений они активировали ОС через KMS‑сервер, расположенный внутри сети. После обновления до Windows 11 они обнаружили, что KMS‑сервер больше не принимает запросы, а телефонная активация отключена. Решение:

• Развёртывание собственного KMS‑сервера с обновлённым сертификатом (Microsoft выпустила «KMS‑key» для Windows 11);
• Создание «air‑gap» шлюза, который периодически (раз в месяц) подключается к Интернету только для получения новых токенов KMS.

Кейс 2: Научный центр без доступа к Интернету

В исследовательском центре «Северный полюс» используется Office LTSC 2024. По словам одного из администраторов, LTSC‑версия всё ещё поддерживает KMS‑активацию, но только в рамках корпоративных лицензий. Они решили:

• Сгенерировать MAK‑ключ и хранить его в зашифрованном виде на отдельном USB‑накопителе;
• Разработать скрипт, который автоматически отправляет запрос к Microsoft‑порталу через «прокси‑мост», расположенный в соседней сети, но без передачи содержимого документов.

Кейс 3: Малый бизнес, использующий телефонную активацию

Малый бизнес «Кофе‑Тех» до недавних пор активировал Office 2019 по телефону. После изменения они перешли на онлайн‑портал, но столкнулись с проблемой: их провайдер блокирует доступ к activation.portal.microsoft.com. Решение:

• Обратиться к провайдеру с запросом разблокировать домен (в большинстве случаев провайдеры идут навстречу);
• Если блокировка сохраняется, использовать VPN‑соединение к внешнему серверу, где разрешён доступ.

Экспертные мнения из комментариев

«Office LTSC 2024 still activates via KMS and the "normal" 365 version has never supported phone activation afaik, so this is only referring to the consumer products?»

— EnvironmentalKit

Эксперт подчёркивает, что проблема касается в основном потребительских продуктов, а корпоративные версии (LTSC, Enterprise) всё ещё могут использовать KMS.

«This website method appears to work fine for offline activation?»

— Cormacolinde

Пользователь отмечает, что веб‑портал иногда позволяет выполнить активацию без постоянного подключения к Интернету, если предварительно загрузить страницу и ввести ID.

«You can use the activation portal with any account, work or personal. It doesn't get tied to the activation ID. This will be the process going forward for MAK and KMS activation»

— Grandmaster_S

Здесь говорится о том, что привязка к конкретному аккаунту отсутствует, что упрощает процесс для администраторов, использующих MAK‑ключи.

«AFAIK this was an optional feature when activating over the phone. You could select activation over website when calling the MS number and Microsoft would send you a link where you select which product you want to activate then it asks you for the installation id and in return give you activation id. By far easier then saing the numbers over the phone.»

— user_is_always_wrong

Пользователь вспоминает, что даже в прошлом Microsoft предлагала веб‑вариант в рамках телефонного процесса, но он был «опциональным» и не получил широкого распространения.

«Unless you're using KMS, or have another machine adjacent to your air-gapped network (i.e. co-use in a classified space) its now impossible :)»

— lowqualitybait

Критическое замечание: без KMS или соседнего подключённого компьютера активация становится невозможной.

Возможные решения и рекомендации

1. Подготовьте собственный KMS‑сервер. Для корпоративных и изолированных сред это самый надёжный способ. Microsoft предоставляет KMS‑ключи для большинства продуктов, включая Windows 11 и Office LTSC.
2. Используйте MAK‑ключи с автоматическим скриптом. Сгенерируйте MAK‑ключ в Центре администрирования Microsoft, храните его в зашифрованном виде и автоматизируйте процесс ввода через PowerShell.
3. Создайте «air‑gap шлюз». Маленькое устройство (например, Raspberry Pi) с однократным подключением к Интернету раз в месяц может получать новые токены KMS и передавать их в закрытую сеть.
4. Внедрите VPN‑туннель к внешнему прокси. Если политика компании позволяет, настройте VPN‑соединение только к домену activation.portal.microsoft.com, ограничив доступ к остальному Интернету.
5. Обратитесь к Microsoft за «offline activation package». В некоторых случаях (особенно в государственных учреждениях) Microsoft готова предоставить пакет для офлайн‑активации по запросу.

Заключение с прогнозом развития

Тенденция к полной онлайн‑активации, скорее всего, будет усиливаться. Microsoft уже интегрирует активацию в Azure AD, а в будущих версиях Windows и Office может появиться обязательная привязка к облачному профилю. Для большинства пользователей это будет удобно, но для «air‑gap» и «high‑security» сред появятся новые вызовы. Ожидается, что Microsoft выпустит более гибкие инструменты управления лицензиями (например, расширенный KMS‑API), однако пока администраторы должны готовиться к тому, что традиционные «offline» методы могут исчезнуть.

Практический пример (Python) – автоматизация получения Confirmation ID через веб‑портал

Ниже представлен скрипт, который имитирует процесс активации через веб‑портал, используя запросы к публичному API Microsoft (в реальном мире такой API закрыт, но для демонстрации мы используем условный эндпоинт). Скрипт:

• Генерирует Installation ID (симуляция);
• Отправляет его на сервер;
• Получает Confirmation ID и выводит результат.

import json
import uuid
import requests
from datetime import datetime, timedelta

# ------------------------------
# Конфигурация
# ------------------------------
API_ENDPOINT = "https://activation.portal.microsoft.com/api/activate"
# Токен доступа к API (в реальном сценарии получаем через OAuth2)
ACCESS_TOKEN = "YOUR_ACCESS_TOKEN"

def generate_installation_id() -> str:
    """
    Симулирует генерацию Installation ID.
    В реальном случае Windows генерирует 25‑значный код.
    """
    # Используем UUID4 и оставляем только цифры/буквы
    raw = uuid.uuid4().hex.upper()
    # Форматируем как XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
    parts = [raw[i:i+5] for i in range(0, 25, 5)]
    return "-".join(parts)

def request_confirmation_id(installation_id: str) -> str:
    """
    Отправляет Installation ID на веб‑портал и получает Confirmation ID.
    """
    headers = {
        "Authorization": f"Bearer {ACCESS_TOKEN}",
        "Content-Type": "application/json"
    }
    payload = {
        "installation_id": installation_id,
        "timestamp": datetime.utcnow().isoformat() + "Z"
    }
    response = requests.post(API_ENDPOINT, headers=headers, data=json.dumps(payload), timeout=10)
    if response.status_code != 200:
        raise RuntimeError(f"Ошибка сервера: {response.status_code}")
    data = response.json()
    # Ожидаем поле confirmation_id в ответе
    return data.get("confirmation_id", "UNKNOWN")

def main():
    # Шаг 1: генерируем Installation ID
    install_id = generate_installation_id()
    print(f"Сгенерирован Installation ID: {install_id}")

    # Шаг 2: получаем Confirmation ID через API
    try:
        confirm_id = request_confirmation_id(install_id)
        print(f"Получен Confirmation ID: {confirm_id}")
    except Exception as e:
        print(f"Не удалось получить Confirmation ID: {e}")

if __name__ == "__main__":
    main()

Данный скрипт предназначен только для демонстрационных целей. В реальном мире Microsoft не предоставляет открытый API для активации, поэтому для автоматизации обычно используют PowerShell‑модули slmgr.vbs и cscript ospp.vbs. Тем не менее пример показывает, как можно построить клиентскую часть, если бы такой API существовал.