Surface Hub の管理グループの管理Admin group management for Surface Hub

デバイスで設定アプリを使用すると、すべての Surface Hub をローカルで構成できます。Every Surface Hub can be configured locally using the Settings app on the device. 承認されていないユーザーによって設定が変更されるのを防ぐため、設定アプリでは、アプリを起動する際に管理者の資格情報が求められます。To prevent unauthorized users from changing settings, the Settings app requires admin credentials to open the app.

管理者グループの管理Admin Group Management

デバイスの管理者アカウントは、次の方法で設定できます。You can set up administrator accounts for the device in the following ways:

ローカル管理者アカウントを作成するCreate a local admin account

ローカル管理者を作成するには、最初の実行時にローカル管理者の使用を選択しますTo create a local admin, choose to use a local admin during first run. これにより、Surface Hub に、選択したユーザー名とパスワードを使用するローカル管理者アカウントが 1 つ作成されます。This will create a single local admin account on the Surface Hub with the username and password of your choice. これらの資格情報を使用して、設定アプリを開きます。Use these credentials to open the Settings app.

ローカル管理者アカウントの情報は、ディレクトリ サービスによってサポートされないことに注意してください。Note that the local admin account information is not backed by any directory service. デバイスで Active Directory (AD) または Azure Active Directory (Azure AD) にアクセスできない場合にのみ、ローカル管理者を選ぶことをお勧めします。We recommend you only choose a local admin if the device does not have access to Active Directory (AD) or Azure Active Directory (Azure AD). ローカル管理者のパスワードを変更する場合は、[設定] で変更できます。If you decide to change the local admin’s password, you can do so in Settings. ただし、ローカル管理者アカウントの使用からドメインまたは Azure AD テナントのグループの使用に変更する場合は、デバイスをリセットして、初回設定プログラムを再度実行する必要があります。However, if you want to change from using the local admin account to using a group from your domain or Azure AD tenant, then you’ll need to reset the device and go through the first-time program again.

デバイスを Active Directory にドメイン参加するDomain join the device to Active Directory

Surface Hub を AD ドメインに参加させると、指定したセキュリティ グループのユーザーが設定を構成できるようになります。You can domain join the Surface Hub to your AD domain to allow users from a specified security group to configure settings. 初回実行時に、Active Directory ドメイン サービスの使用を選択します。During first run, choose to use Active Directory Domain Services. 選択したドメインに参加させる権限のある資格情報と既存のセキュリティ グループの名前を指定する必要があります。You'll need to provide credentials that are capable of joining the domain of your choice, and the name of an existing security group. そのセキュリティ グループのメンバーであるユーザーが自身の資格情報を入力すると、設定のロックを解除できます。Anyone who is a member of that security group can enter their credentials and unlock Settings.

Surface Hub をドメインに参加させた場合の動作What happens when you domain join your Surface Hub?

Surface Hub をドメインに参加させると、次のような処理が可能になります。Surface Hubs use domain join to:

  • AD 内の指定したセキュリティ グループのメンバーに管理者権限を付与します。Grant admin rights to members of a specified security group in AD.
  • デバイスの BitLocker 回復キーを AD のコンピューター オブジェクトに保存することによって、BitLocker 回復キーをバックアップします。Backup the device's BitLocker recovery key by storing it under the computer object in AD. 詳しくは、「BitLocker キーの保存」をご覧ください。See Save your BitLocker key for details.
  • 暗号化された通信用にシステム クロックをドメイン コントローラーと同期します。Synchronize the system clock with the domain controller for encrypted communication

Surface Hub では、ドメイン コントローラーからのグループ ポリシーまたは証明書の適用はサポートされていません。Surface Hub does not support applying Group Policy or certificates from the domain controller.

注意

Surface Hub にドメインとの信頼がなくなった場合 (たとえば、ドメイン参加後にドメインから Surface Hub を削除する場合)、デバイスに対して認証を受けて設定を開くことができなくなります。If your Surface Hub loses trust with the domain (for example, if you remove the Surface Hub from the domain after it is domain joined), you won't be able to authenticate into the device and open up Settings. Surface Hub とドメインとの信頼関係を削除する場合は、先にデバイスをリセットします。If you decide to remove the trust relationship of the Surface Hub with your domain, reset the device first.

Azure ADデバイスに参加するAzure AD join the device

Azure Active Directory (Azure AD) を使用して Surface Hub に参加すると、Azure AD テナントの IT 管理者が設定を構成できます。You can Azure Active Directory (Azure AD) to join the Surface Hub to allow IT pros from your Azure AD tenant to configure settings. 初回実行時に、Microsoft Azure Active Directory の使用を選択します。During first run, choose to use Microsoft Azure Active Directory. 選択した Azure AD テナントに参加させることのできる資格情報を入力する必要があります。You will need to provide credentials that are capable of joining the Azure AD tenant of your choice. Azure AD への参加が正常に完了すると、適切なユーザーにデバイスの管理者権限が付与されます。After you successfully Azure AD join, the appropriate people will be granted admin rights on the device.

既定では、すべてのグローバル管理者に、Azure AD に参加している Surface Hub の管理者権限が与えられます。By default, all global administrators will be given admin rights on an Azure AD joined Surface Hub. Azure AD Premium または Enterprise Mobility Suite (EMS) では、その他の管理者を追加できます。With Azure AD Premium or Enterprise Mobility Suite (EMS), you can add additional administrators:

  1. Azure クラシック ポータルで、[Active Directory] をクリックし、組織のディレクトリの名前をクリックします。In the Azure classic portal, click Active Directory, and then click the name of your organization's directory.
  2. [構成] ページの [デバイス] > [Azure AD 参加済みデバイスの追加の管理者] で、[選択済み] をクリックします。On the Configure page, under Devices > Additional administrators on Azure AD joined devices, click Selected.
  3. [追加] をクリックし、Surface Hub や他の Azure AD 参加済みデバイスの管理者として追加するユーザーを選択します。Click Add, and select the users you want to add as administrators on your Surface Hub and other Azure AD joined devices.
  4. 作業が完了したら、チェックマーク ボタンをクリックして変更を保存します。When you have finished, click the checkmark button to save your change.

Surface Hub を Azure AD に参加させた場合の動作What happens when you Azure AD join your Surface Hub?

Surface Hub を Azure AD に参加させると、次のような処理が可能になります。Surface Hubs use Azure AD join to:

  • Azure AD テナントの適切なユーザーに管理者権限を付与します。Grant admin rights to the appropriate users in your Azure AD tenant.
  • デバイスの BitLocker 回復キーを、Azure AD にデバイスを参加させるときに使用したアカウントに保存することによって、BitLocker 回復キーをバックアップします。Backup the device's BitLocker recovery key by storing it under the account that was used to Azure AD join the device. 詳しくは、「BitLocker キーの保存」をご覧ください。See Save your BitLocker key for details.

Azure Active Directory への参加による自動登録Automatic enrollment via Azure Active Directory join

Surface Hub では、デバイスを Azure Active Directory に参加することで、Intune に自動的に登録する機能がサポートされます。Surface Hub now supports the ability to automatically enroll in Intune by joining the device to Azure Active Directory.

詳しくは 、「Windows 10 の自動登録を有効にする」をご覧くださいFor more information, see Enable Windows 10 automatic enrollment.

選択に関する推奨事項Which should I choose?

組織で AD または Azure AD を使用している場合は、主にセキュリティ上の理由から、ドメインまたは Azure AD に参加させることをお勧めします。If your organization is using AD or Azure AD, we recommend you either domain join or Azure AD join, primarily for security reasons. ユーザーは、自身の資格情報を使用して、認証を行ったり、設定のロックを解除することができ、ドメインに関連付けられているセキュリティ グループの内外に移動することができます。People will be able to authenticate and unlock Settings with their own credentials, and can be moved in or out of the security groups associated with your domain.

オプションOption 要件Requirements 設定アプリへのアクセスに使用できる資格情報Which credentials can be used to access the Settings app?
ローカル管理者アカウントを作成するCreate a local admin account なしNone 初回実行時に指定したユーザー名とパスワードThe user name and password specified during first run
Active Directory (AD) ドメインに参加させるDomain join to Active Directory (AD) 組織で AD を使用しているYour organization uses AD ドメイン内の特定のセキュリティ グループに属する任意の AD ユーザーAny AD user from a specific security group in your domain
デバイスを Azure Active Directory (Azure AD) に参加させるAzure Active Directory (Azure AD) join the device 組織で Azure AD Basic を使用しているYour organization uses Azure AD Basic グローバル管理者のみGlobal administrators only
  組織でAzure AD Premium または Enterprise Mobility Suite (EMS) を使用しているYour organization uses Azure AD Premium or Enterprise Mobility Suite (EMS) グローバル管理者と追加の管理者Global administrators and additional administrators

Azure ADに参加しているデバイスでグローバル管理者以外のアカウントを構成するConfigure non Global admin accounts on Azure AD-joined devices

Azure AD に参加している Surface Hub 2S デバイスの場合、Windows 10 Team 2020 Update では、Surface Hub 2S での設定アプリの管理に対する管理者権限を制限できます。For Surface Hub 2S devices joined to Azure AD, Windows 10 Team 2020 Update lets you limit admin permissions to management of the Settings app on Surface Hub 2S. これにより、Surface Hub 2S の管理者アクセス許可のみをスコープ設定し、望ましくない可能性のある管理者が Azure AD ドメイン全体にアクセスすることを防止できます。This enables you to scope admin permissions for Surface Hub 2S only and prevent potentially unwanted admin access an entire Azure AD domain. 詳細については 、「Surface Hub 2S でグローバル管理者以外のアカウントを構成する」を参照してくださいTo learn more, see Configure non Global admin accounts on Surface Hub 2S.