Preparar o ambiente para o Microsoft Surface Hub

Esta página descreve as dependências para configurar e gerenciar Surface Hub v1 ou Surface Hub 2S.

Dependências de infraestrutura

Examine essas dependências para verificar se recursos do Surface Hub funcionarão na infraestrutura de TI.

Dependência Descrição Saiba mais
Serviços locais e Active Directory ou M365 Surface Hub usa uma conta do Active Directory ou do Azure AD (chamada de conta de dispositivo ) para acessar Exchange e Teams (ou Skype for Business). O Surface Hub deve ser capaz de se conectar ao controlador de domínio do Active Directory ou ao locatário do Azure AD para validar as credenciais da conta de dispositivo, bem como acessar informações, como o nome de exibição da conta de dispositivo, alias, Exchange Server e endereço com protocolo SIP.

OBSERVAÇÃO: Os Surface Hubs funcionam com Microsoft Teams, Skype for Business Server 2019, Skype for Business Server 2015 ou Skype for Business Online. Plataformas anteriores, como o Lync Server 2013, não têm suporte. Os Surface Hubs não são suportados GCC ambientes High ou DoD.
Microsoft 365 pontos de extremidade

Criar e testar uma conta de dispositivo
Windows Atualização, Loja e Diagnóstico O acesso ao Windows Update ou Windows Update for Business é necessário para manter o Surface Hub com as atualizações de qualidade e recursos do sistema operacional. O acesso ao Microsoft Store é necessário para manter aplicativos. Gerenciar pontos de extremidade de conexão para Windows 10 Enterprise, versão 20H2

Gerenciar atualizações do Windows no Surface Hub
Solução de gerenciamento de dispositivo móvel (MDM) (Microsoft Intune, Microsoft Endpoint Configuration Manager ou provedor MDM de terceiros com suporte) Se você deseja aplicar configurações e instalar aplicativos remotamente, e a vários dispositivos de cada vez, instale uma solução MDM e registre o dispositivo nessa solução. Terminais de rede do Microsoft Intune

Gerenciar configurações com um provedor MDM
Azure Monitor O Monitor do Azure pode ser usado para monitorar a saúde de Surface Hub dispositivos.

OBSERVAÇÃO: Os Surface Hubs atualmente não suportam o uso de um servidor proxy para se comunicar com o serviço de Análise de Log utilizado pelo Monitor do Azure.
Pontos de extremidade do Log Analytics

Monitore os Surface Hubs com o Monitor do Azure para acompanhar sua saúde.
Acesso à rede Os Surface Hubs suportam conexões com fio ou sem fio (uma conexão com fio é preferencial) .

Autenticação 802.1X
No Windows 10 Team 20H2, embora a autenticação 802.1X para conexões com fio e sem fio seja habilitada por padrão, você precisa garantir que um perfil de rede 802,1x e um certificado de autenticação também seja instalado no Surface Hub. Se você gerenciar Surface Hub com o Intune ou outra solução de gerenciamento de dispositivo móvel, poderá entregar o certificado usando o CSP ClientCertificateInstall. Caso contrário, você pode criar um pacote de provisionamento e instalá-lo durante a primeira instalação ou usando o Configurações aplicativo. Quando o certificado é aplicado, a autenticação 802.1X começa automaticamente.

IP dinâmico
Os Surface Hubs não podem ser configurados para usar um IP estático. Eles devem ser atribuídos a um endereço IP por meio de DHCP.

Portas
O Surface Hub requer as seguintes portas abertas:

HTTPS: 443
HTTP: 80
NTP: 123
Habilitar autenticação com fio 802.1x

Criar os pacotes de provisionamento para Surface Hub

Afiliação de dispositivo

Use a afiliação de dispositivo para gerenciar o acesso do usuário ao aplicativo Configurações no Surface Hub. Com o Windows 10 Team operacional (que é executado no Surface Hub), somente os usuários autorizados podem ajustar as configurações usando o aplicativo Configurações. Como a escolha da afiliação pode afetar a disponibilidade de recursos, planeje-se adequadamente para garantir que os usuários possam acessar recursos conforme o pretendido.

Observação

Você só pode definir a afiliação de dispositivo durante a configuração inicial do OOBE (experiência inicial). Se você precisar redefinir a afiliação de dispositivo, precisará repetir a configuração OOBE.

Sem afiliação

Nenhuma afiliação é como ter Surface Hub em um grupo de trabalho com uma conta de Administrador local diferente em cada Surface Hub. Se você escolher Nenhuma afiliação, deverá salvar localmente a Chave do BitLocker em uma unidade de pen drive. Você ainda pode registrar o dispositivo com o Intune; no entanto, somente o administrador local pode acessar o aplicativo Configurações usando as credenciais de conta configuradas durante o OOBE. Você pode alterar a senha da conta de administrador do Configurações app.

Active Directory Domain Services

Se você Surface Hub com os Serviços de Domínio do Active Directory local, precisará gerenciar o acesso ao aplicativo Configurações usando um grupo de segurança em seu domínio. Isso ajuda a garantir que todos os membros do grupo de segurança tenham permissões para alterar as configurações Surface Hub. Observe também o seguinte: quando Surface Hub afiliadas aos Seus Serviços de Domínio do Active Directory locais, a chave BitLocker pode ser salva no Esquema do Active Directory. Para obter mais informações, consulte Prepare your organization for BitLocker: Planning and policies.

As CAs Raiz Confiáveis da sua organização são empurradas para o mesmo contêiner no Surface Hub, o que significa que você não precisa importá-los usando um pacote de provisionamento.

Você ainda pode registrar o dispositivo com o Intune para gerenciar centralmente as configurações em seu Surface Hub.

Azure Active Directory

Quando você optar por afiliadar seu Surface Hub com o Azure Active Directory (Azure AD), qualquer usuário com a função Administrador Global pode entrar no aplicativo Configurações no Surface Hub. Você também pode configurar contas de administrador não globais que limitem permissões ao gerenciamento do aplicativo Configurações no Surface Hub. Isso permite que você escopo permissões de administrador somente para Surface Hubs e impedir o acesso de administrador potencialmente indesejado em todo um domínio do Azure AD.

Se você habilitar o Registro Automático do Intune para sua organização, o Surface Hub se registrará automaticamente no Intune; nesse cenário, a conta usada para afiliação do Azure AD durante a instalação deve ser licenciada para o Intune e ter permissões para registrar Windows dispositivos. Depois que o processo de instalação é concluído, a chave BitLocker do dispositivo é salva automaticamente no Azure AD.

Para saber mais sobre como gerenciar Surface Hub com o Azure AD, consulte:

Examinar e preencher planilha de configuração do Surface Hub (opcional)

Ao passar pelo programa de apresentação do Surface Hub, existem algumas informações que você precisará fornecer. A planilha de configuração resume essas informações e fornece listas de informações específicas do ambiente das quais você precisará ao passar pelo programa de apresentação. Para obter mais informações, consulte Planilha de configuração.