Vorbereiten der Umgebung für Microsoft Surface Hub

Auf dieser Seite werden Abhängigkeiten zum Einrichten und Verwalten von Surface Hub v1 oder Surface Hub 2S beschrieben.

Infrastrukturabhängigkeiten

Überprüfen Sie diese Abhängigkeiten, um sicherzustellen, dass die Surface Hub-Features in Ihrer IT-Infrastruktur funktionieren.

Abhängigkeit Beschreibung Weitere Informationen
Lokale Dienste und Active Directory oder M365 Surface Hub verwendet ein Active Directory- oder Azure AD-Konto (das als Gerätekontobezeichnet wird) für den Zugriff auf Exchange- und Teams -Dienste (oder Skype for Business). Surface Hub muss eine Verbindung mit dem Active Directory-Domänencontroller oder dem AzureAD-Mandanten herstellen können, um die Anmeldeinformationen des Gerätekontos zu überprüfen und um auf Informationen wie Anzeigename, Alias, Exchange-Server und Adresse des Session Initiation-Protokolls (SIP) des Gerätekontos zuzugreifen.

HINWEIS: Surface Hubs arbeiten mit Microsoft Teams, Skype for Business Server 2019, Skype for Business Server 2015 oder Skype for Business Online. Frühere Plattformen wie Lync Server 2013 werden nicht unterstützt. Surface Hubs werden in GCC High- oder DoD-Umgebungen nicht unterstützt.
Microsoft 365 Endpunkte

Erstellen und Testen eines Gerätekontos
Windows Aktualisieren, Store und Diagnose Der Zugriff auf Windows Update oder Windows Update for Business ist erforderlich, um Surface Hub mit Betriebssystemfeatures und Qualitätsupdates aufrechtzuerhalten. Der Zugriff auf die Microsoft Store ist für die Verwaltung von Apps erforderlich. Verwalten von Verbindungsendpunkten für Windows 10 Enterprise, Version 20H2

Verwalten von Windows-Updates auf Surface Hub
Mdm-Lösung (Mobile Device Management) (Microsoft Intune, Microsoft Endpoint Configuration Manager oder unterstützter MDM-Anbieter von Drittanbietern) Wenn Sie per Remoteverbindung auf mehreren Geräten gleichzeitig Einstellungen anwenden und Apps installieren möchten, müssen Sie eine MDM-Lösung einrichten und das Gerät für diese Lösung registrieren. Netzwerkendpunkte für Microsoft Intune

Verwalten von Einstellungen mithilfe eines MDM-Anbieters
Azure Monitor Azure Monitor kann verwendet werden, um die Integrität von Surface Hub Geräten zu überwachen.

HINWEIS: Surface Hubs unterstützen derzeit nicht die Verwendung eines Proxyservers für die Kommunikation mit dem von Azure Monitor verwendeten Log Analytics-Dienst.
Log Analytics-Endpunkte

Überwachen Sie Surface Hubs mit Azure Monitor, um deren Integrität nachzuverfolgen.
Netzwerkzugriff Surface Hubs unterstützen sowohl kabelgebundene als auch drahtlose Verbindungen (eine kabelgebundene Verbindung wird bevorzugt).

802.1X-Authentifizierung
In Windows 10 Team 20H2, obwohl die 802.1X-Authentifizierung für kabelgebundene und drahtlose Verbindungen standardmäßig aktiviert ist, müssen Sie sicherstellen, dass auch ein 802.1x-Netzwerkprofil und ein Authentifizierungszertifikat auf Surface Hub installiert ist. Wenn Sie Surface Hub mit Intune oder einer anderen Verwaltungslösung für mobile Geräte verwalten, können Sie das Zertifikat mithilfe des ClientCertificateInstall-Konfigurationsdienstanbieters (CSP)bereitstellen. Andernfalls können Sie ein Bereitstellungspaket erstellen und es bei der Erstausführung oder mithilfe der Einstellungen-App installieren. Wenn das Zertifikat angewendet wird, beginnt die 802.1X-Authentifizierung automatisch.

Dynamische IP
Surface Hubs können nicht für die Verwendung einer statischen IP konfiguriert werden. Ihnen muss über DHCP eine IP-Adresse zugewiesen werden.

Anschlüsse
Die Surface Hub erfordert die folgenden offenen Ports:

HTTPS: 443
HTTP: 80
NTP: 123
Aktivieren der kabelgebundenen 802.1x-Authentifizierung

Erstellen von Bereitstellungspaketen für Surface Hub

Gerätemitgliedschaft

Verwenden Sie die Gerätemitgliedschaft, um den Benutzerzugriff auf die Einstellungen App auf Surface Hub zu verwalten. Mit dem Windows 10 Team Betriebssystem (das auf Surface Hub ausgeführt wird) können nur autorisierte Benutzer einstellungen mithilfe der Einstellungen App anpassen. Da sich die Auswahl der Mitgliedschaft auf die Verfügbarkeit von Features auswirken kann, sollten Sie entsprechend planen, um sicherzustellen, dass Benutzer wie beabsichtigt auf Features zugreifen können.

Hinweis

Sie können die Gerätemitgliedschaft nur während der anfänglichen Windows-Willkommensseite festlegen. Wenn Sie die Gerätemitgliedschaft zurücksetzen müssen, müssen Sie das Windows-Willkommensseite-Setup wiederholen.

Keine Zugehörigkeit

Keine Zuordnung ist wie Surface Hub in einer Arbeitsgruppe mit einem anderen lokalen Administratorkonto auf jedem Surface Hub. Wenn Sie "Keine Verbindung" auswählen, müssen Sie den BitLocker-Schlüssel lokal auf einem USB-Stickspeichern. Sie können das Gerät weiterhin bei Intune registrieren. Allerdings kann nur der lokale Administrator mithilfe der kontoanmeldeinformationen, die während der Windows-Willkommensseite konfiguriert wurden, auf die Einstellungen App zugreifen. Sie können das Kennwort des Administratorkontos in der Einstellungen-App ändern.

Active Directory Domain Services

Wenn Sie Surface Hub mit lokalen Active Directory-Domänendiensten verbinden, müssen Sie den Zugriff auf die Einstellungen-App mithilfe einer Sicherheitsgruppe in Ihrer Domäne verwalten. Dadurch wird sichergestellt, dass alle Sicherheitsgruppenmitglieder über Berechtigungen zum Ändern von Einstellungen für Surface Hub verfügen. Beachten Sie außerdem Folgendes: Wenn Surface Hub Partner mit Ihren lokalen Active Directory-Domänendiensten verbunden ist, kann der BitLocker-Schlüssel im Active Directory-Schema gespeichert werden. Weitere Informationen finden Sie unter Vorbereiten Ihrer Organisation für BitLocker: Planung und Richtlinien.

Die vertrauenswürdigen Stammzertifizierungsstellen Ihrer Organisation werden in Surface Hub in den gleichen Container verschoben, was bedeutet, dass Sie sie nicht mithilfe eines Bereitstellungspakets importieren müssen.

Sie können das Gerät weiterhin bei Intune registrieren, um Einstellungen auf Ihrem Surface Hub zentral zu verwalten.

Azure Active Directory

Wenn Sie ihre Surface Hub mit Azure Active Directory (Azure AD) verknüpfen möchten, kann sich jeder Benutzer mit der Rolle "Globaler Administrator" bei der Einstellungen-App auf Surface Hub anmelden. Sie können auch nicht globale Administratorkonten konfigurieren, die Berechtigungen für die Verwaltung der Einstellungen-App auf Surface Hub einschränken. Auf diese Weise können Sie Administratorberechtigungen nur für Surface Hubs festlegen und potenziell unerwünschten Administratorzugriff über eine gesamte Azure AD-Domäne hinweg verhindern.

Wenn Sie die automatische Intune-Registrierung für Ihre Organisation aktiviert haben, registriert sich die Surface Hub automatisch bei Intune. In diesem Szenario muss das Konto, das während des Setups für die Azure AD-Mitgliedschaft verwendet wird, für Intune lizenziert sein und über Berechtigungen zum Registrieren Windows Geräten verfügen. Nach Abschluss des Setupprozesses wird der BitLocker-Schlüssel des Geräts automatisch in Azure AD gespeichert.

Weitere Informationen zum Verwalten von Surface Hub mit Azure AD finden Sie unter:

Lesen und Abschließen des Surface Hub-Setup-Arbeitsblatts (optional)

Im Programm für die Erstausführung für Surface Hub müssen Sie einige Informationen bereitstellen. Im Setup-Arbeitsblatt sind diese Informationen zusammengefasst. Darüber hinaus enthält es Listen mit umgebungsspezifischen Infos, die Sie beim Durchlaufen des Programms für die Erstausführung benötigen. Weitere Informationen finden Sie unter Setup-Arbeitsblatt.