単一フォレスト環境での Surface Hub のオンプレミス展開On-premises deployment for Surface Hub in a single-forest environment

このトピックでは、単一フォレスト環境のオンプレミス展開を使っている場合に、Microsoft Surface Hub のデバイス アカウントを追加する方法について説明します。This topic explains how you add a device account for your Microsoft Surface Hub when you have a single-forest, on-premises deployment.

Microsoft Exchange 2013 以降と Skype for Business 2013 以降を搭載した単一フォレスト環境のオンプレミス展開を使っている場合は、提供されている PowerShell スクリプトを使用してデバイス アカウントを作成できます。If you have a single-forest on-premises deployment with Microsoft Exchange 2013 or later and Skype for Business 2013 or later, then you can use the provided PowerShell scripts to create device accounts. 複数フォレスト展開を使っている場合は、「複数フォレスト環境での Surface Hub のオンプレミス展開」をご覧ください。If you’re using a multi-forest deployment, see On-premises deployment for Surface Hub in a multi-forest environment.

  1. PC でリモート PowerShell セッションを開始し、Exchange に接続します。Start a remote PowerShell session from a PC and connect to Exchange.

    関連付けられたコマンドレットを実行するための適切なアクセス許可が設定されていることを確認します。Be sure you have the right permissions set to run the associated cmdlets.

    ここで $strExchangeServer は Exchange サーバーの完全修飾ドメイン名 (FQDN) であり、 $strLyncFQDN は Skype for Business サーバーの FQDN です。Note here that $strExchangeServer is the fully qualified domain name (FQDN) of your Exchange server, and $strLyncFQDN is the FQDN of your Skype for Business server.

    Set-ExecutionPolicy Unrestricted
    $org='contoso.microsoft.com'
    $cred=Get-Credential $admin@$org
    $sessExchange = New-PSSession -ConfigurationName microsoft.exchange -Credential $cred -AllowRedirection -Authentication Kerberos -ConnectionUri "http://$strExchangeServer/powershell" -WarningAction SilentlyContinue
    $sessLync = New-PSSession -Credential $cred -ConnectionURI "https://$strLyncFQDN/OcsPowershell" -AllowRedirection -WarningAction SilentlyContinue
    Import-PSSession $sessExchange
    Import-PSSession $sessLync
    
  2. セッションを確立したら、新しいメールボックスを作成して RoomMailboxAccount として有効にするか、既存の会議室メールボックスの設定を変更します。After establishing a session, you’ll either create a new mailbox and enable it as a RoomMailboxAccount, or change the settings for an existing room mailbox. これにより、アカウントを Surface Hub に対して認証できます。This will allow the account to authenticate into the Surface Hub.

    既存のリソース メールボックスを変更する場合は、次のコマンドレットを実行します。If you're changing an existing resource mailbox:

    Set-Mailbox -Identity 'HUB01' -EnableRoomMailboxAccount $true -RoomMailboxPassword (ConvertTo-SecureString -String <password> -AsPlainText -Force)
    

    新しいリソース メールボックスを作成する場合は、次のコマンドレットを実行します。If you’re creating a new resource mailbox:

    New-Mailbox -UserPrincipalName HUB01@contoso.com -Alias HUB01 -Name "Hub-01" -Room -EnableRoomMailboxAccount $true -RoomMailboxPassword (ConvertTo-SecureString -String <password> -AsPlainText -Force)
    

重要

ActiveSync 仮想ディレクトリの基本認証は、Surface Hub で他の認証方法を使用して認証できないため、有効にする必要があります。ActiveSync Virtual Directory Basic Authentication is required to be enabled as the Surface Hub is unable to authenticate using other authentication methods.

  1. メールボックスをセットアップしたら、新しい Exchange ActiveSync ポリシーを作成するか、互換性のある既存のポリシーを使用する必要があります。After setting up the mailbox, you will need to either create a new Exchange ActiveSync policy, or use a compatible existing policy.

    Surface Hub は、 PasswordEnabled プロパティが False に設定された ActiveSync ポリシーが適用されているデバイス アカウントとのみ互換性があります。Surface Hubs are only compatible with device accounts that have an ActiveSync policy where the PasswordEnabled property is set to False. このポリシーが正しく設定されていない場合、Surface Hub の Exchange サービス (メール、カレンダー、および会議への参加) が有効になりません。If this isn’t set properly, then Exchange services on the Surface Hub (mail, calendar, and joining meetings), will not be enabled.

    互換性のあるポリシーをまだ作成していない場合は、次のコマンドレットを使用します。このコマンドレットは、"Surface Hubs" というポリシーを作成します。If you haven’t created a compatible policy yet, use the following cmdlet—this one creates a policy called "Surface Hubs". ポリシーを作成すると、同じポリシーを他のデバイス アカウントに適用できます。Once it’s created, you can apply the same policy to other device accounts.

    $easPolicy = New-MobileDeviceMailboxPolicy -Name “SurfaceHubs” -PasswordEnabled $false
    

    互換性のあるポリシーを作成したら、デバイス アカウントにポリシーを適用する必要があります。Once you have a compatible policy, then you will need to apply the policy to the device account. ただし、ポリシーはユーザー アカウントにのみ適用でき、リソース メールボックスには適用できません。However, policies can only be applied to user accounts and not resource mailboxes. メールボックスを変換して種類をユーザーにし、ポリシーを適用して、変換でメールボックスに戻す必要があります。また、メールボックスを有効に戻してパスワードをもう一度設定することが必要になる場合もあります。You need to convert the mailbox into a user type, apply the policy, and then convert it back into a mailbox—you may need to re-enable it and set the password again too.

    $acctUpn = Get-Mailbox -Identity "<mailbox identity>"
    $credNewAccount.Password = ConvertTo-SecureString -String <room mailbox password> -AsPlainText -Force
    Set-Mailbox $acctUpn -Type Regular
    Set-CASMailbox $acctUpn -ActiveSyncMailboxPolicy $easPolicy
    Set-Mailbox $acctUpn -Type Room
    Set-Mailbox $acctUpn -RoomMailboxPassword $credNewAccount.Password -EnableRoomMailboxAccount $true
    
  2. ユーザーの会議エクスペリエンスを向上させるには、さまざまな Exchange プロパティをデバイス アカウントに設定できます。Various Exchange properties can be set on the device account to improve the meeting experience for people. 設定が必要なプロパティについては、「Exchange プロパティ」をご覧ください。You can see which properties need to be set in the Exchange properties section.

    Set-CalendarProcessing -Identity $acctUpn -AutomateProcessing AutoAccept -AddOrganizerToSubject $false –AllowConflicts $false –DeleteComments $false -DeleteSubject $false -RemovePrivateProperty $false
    Set-CalendarProcessing -Identity $acctUpn -AddAdditionalResponse $true -AdditionalResponse "This is a Surface Hub room!"
    
  3. パスワードを無期限にする場合は、PowerShell コマンドレットでも設定できます。If you decide to have the password not expire, you can set that with PowerShell cmdlets too. 詳細については、「パスワード管理」をご覧ください。See Password management for more information.

    Set-AdUser $acctUpn -PasswordNeverExpires $true
    
  4. Active Directory のアカウントが Surface Hub に認証されるように、アカウントを有効にします。Enable the account in Active Directory so it will authenticate to the Surface Hub.

    Set-AdUser $acctUpn -Enabled $true
    
  5. Skype for Business Server プールの Surface Hub AD アカウントを有効にして、デバイス アカウントを Skype for Business に対して有効にします。Enable the device account with Skype for Business by enabling your Surface Hub AD account on a Skype for Business Server pool:

    Enable-CsMeetingRoom -SipAddress "sip:HUB01@contoso.com"
     -DomainController DC-ND-001.contoso.com -RegistrarPool LYNCPool15.contoso.com
     -Identity HUB01
    

    Surface Hub のセッション開始プロトコル (SIP) アドレスとドメイン コントローラーに加えて、専用の Skype for Business Server プール ID とユーザー ID を使用する必要があります。You'll need to use the Session Initiation Protocol (SIP) address and domain controller for the Surface Hub, along with your own Skype for Business Server pool identifier and user identity.

  6. 省略可能: アカウントのエンタープライズ VoIP を有効にして、Surface Hub での公衆交換電話網 (PSTN) 電話の発信と着信を許可することもできます。OPTIONAL: You can also allow your Surface Hub to make and receive public switched telephone network (PSTN) phone calls by enabling Enterprise Voice for your account. エンタープライズ VoIP は Surface Hub の要件ではありませんが、Surface Hub クライアントで PSTN ダイヤル機能を使用する場合、実現方法は次のとおりです。Enterprise Voice isn't a requirement for Surface Hub, but if you want PSTN dialing functionality for the Surface Hub client, here's how to enable it:

    Set-CsMeetingRoom  -Identity HUB01 -DomainController DC-ND-001.contoso.com -LineURI "tel:+14255550555;ext=50555"  -EnterpriseVoiceEnabled $true
    

    この場合も、提供されているドメインコントローラーと電話番号の例を独自の情報で置き換える必要があります。Again, you need to replace the provided domain controller and phone number examples with your own information. パラメーターの値 $true は変更されません。The parameter value $true stays the same.

匿名のメールと IM を無効にするDisable anonymous email and IM

Surface Hub は、デバイスアカウントを使用して、メールおよびコラボレーションサービス (IM、ビデオ、音声) を提供します。Surface Hub uses a device account to provide email and collaboration services (IM, video, voice). このデバイスアカウントは、メール、IM、通話の発信時に、送信元の身元 ("差出人") として使用されます。This device account is used as the originating identity (the “from” party) when sending email, IM, and placing calls. このアカウントは個人の識別可能なユーザーからのものではないため、Surface Hub のデバイスアカウントから送信されたため、"匿名" と見なされます。As this account is not coming from an individual, identifiable user, it is deemed “anonymous” because it originated from the Surface Hub's device account.

Id がSurfaceHubPolicyの各会議室デバイスに、ユーザーごとのクライアントポリシーが割り当てられているものとします。Assume you have a per-user client policy assigned to each meeting room device with an identity of SurfaceHubPolicy. 匿名のメールとメッセージングを無効にするには、次のコマンドを使用して、このクライアントポリシーに clientPolicyEntry を追加します。To disable anonymous email and messaging, you add a clientPolicyEntry to this client policy by using the following commands.

$policyEntry = New-CsClientPolicyEntry -Name AllowResourceAccountSendMessage -value $false
$clientPolicy = Get-CsClientPolicy -Identity SurfaceHubPolicy
$clientPolicy.PolicyEntry.Add($policyEntry)
Set-CsClientPolicy -Instance $clientPolicy

ポリシーが設定されていることを確認するには、次の操作を行います。To verify that the policy has been set:

Select-Object -InputObject $clientPolicy -Property PolicyEntry

出力は次のようになります。The output should be:

PolicyEntry
-----------
{Name=AllowResourceAccountSendMessage;Value=False}

ポリシーエントリを変更するには、次の操作を行います。To change the policy entry:

$policyEntry =  New-CsClientPolicyEntry -Name AllowResourceAccountSendMessage -value $true
$clientPolicy | Set-CsClientPolicy -PolicyEntry @{Replace = $policyEntry}

ポリシーのエントリを削除するには、次の操作を行います。To remove the policy entry:

$policyEntry = New-CsClientPolicyEntry -Name AllowResourceAccountSendMessage -value $true
$clientPolicy | Set-CsClientPolicy -PolicyEntry @{Remove = $policyEntry}