Configurar contas administrativas não globais no Surface Hub

O Windows 10 Team 2020 Update adiciona suporte para configurar contas de administrador não globais que limitam permissões ao gerenciamento do aplicativo Configurações em dispositivos Surface Hub ingressados em um domínio do Azure AD. Isso permite que você escopo permissões de administrador somente Surface Hub e impedir o acesso de administrador potencialmente indesejado em todo um domínio do Azure AD. Antes de começar, certifique-se de que seu Surface Hub está ingressado no Azure AD e ingresse automaticamente no Intune. Caso não seja, você precisará redefinir Surface Hub e concluir o programa de instalação OOBE (OOBE) de primeira vez, escolhendo a opção de ingressar no Azure AD.

Resumo

O processo de criação de contas de administrador não globais envolve as seguintes etapas:

  1. Em Microsoft Intune, crie um grupo de Segurança contendo os administradores designados para gerenciar Surface Hub.
  2. Obtenha o SID do grupo do Azure AD usando o PowerShell.
  3. Criar arquivo XML contendo SID do grupo do Azure AD.
  4. Crie um Grupo de Segurança contendo os Surface Hub que serão gerenciados pelo grupo de Segurança de administradores não globais.
  5. Crie um perfil de Configuração personalizado destinado ao grupo de segurança que contém seus Surface Hub dispositivos.

Criar grupos de segurança do Azure AD

Primeiro crie um grupo de segurança que contenha as contas de administrador. Em seguida, crie outro grupo de segurança para Surface Hub dispositivos.

Criar grupo de segurança para contas de administrador

  1. Entre no Intune por meio do Microsoft Endpoint Manager deadministração, selecione GruposNovo Grupo > e em Tipo > **** de grupo, selecione Segurança.

  2. Insira um nome de grupo , por exemplo, Surface Hub Administradores Locais e selecione Criar.

    Criar grupo de segurança para administradores do Hub.

  3. Abra o grupo, selecione Membrose escolha Adicionar membros para inserir as contas de administrador que você deseja designar como administradores não globais no Surface Hub. Para saber mais sobre a criação de grupos no Intune, consulte Adicionar grupos para organizar usuários e dispositivos.

Criar grupo de segurança para Surface Hub dispositivos

  1. Repita o procedimento anterior para criar um grupo de segurança separado para dispositivos Hub; por exemplo, Surface Hub dispositivos.

    Crie um grupo de segurança para dispositivos Hub.

Obter SID do grupo do Azure AD usando o PowerShell

  1. Iniciar o PowerShell com privilégios de conta elevados ( Executar comoAdministrador) e garantir que seu sistema está configurado para executar scripts do PowerShell. Para saber mais, consulte About Execution Policies.

  2. Instalar Azure PowerShell módulo.

  3. Entre no locatário do Azure AD.

    Connect-AzureAD
    
  4. Quando você estiver entrando em seu locatário, execute o seguinte comando. Ele solicitará que você "Digite a ID do objeto do grupo do Azure AD".

    function Convert-ObjectIdToSid
    {    param([String] $ObjectId)   
         $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
    
    }
    
  5. No Intune, selecione o grupo criado anteriormente e copie a ID do objeto, conforme mostrado na figura a seguir.

    Copy Object id of security group.

  6. Execute o seguinte commandlet para obter o SID do grupo de segurança:

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
    $Result = Convert-ObjectIdToSid $AADGroup
    Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
    
  7. Colar a id object no commandlet do PowerShell, pressione Entere copie o SID do Grupo do Azure AD em um editor de texto.

Criar arquivo XML contendo SID do grupo do Azure AD

  1. Copie o seguinte em um editor de texto:

      <groupmembership>   
      <accessgroup desc = "S-1-5-32-544">        
      <member name = "Administrator" />        
      <member name = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX" />  
      </accessgroup>
      </groupmembership>
    

    Importante

    Talvez seja necessário usar o nome localizado para a conta administrador. Não remova o membro do Administrador padrão do arquivo XML.

  2. Substitua o SID de espaço reservado (começando pelo S-1-12-1) pelo SID do grupo do Azure AD e salve o arquivo como XML; por exemplo, aad-local-admin.xml.

    Observação

    Embora os grupos deverão ser especificados por meio do SID, se você quiser adicionar usuários do Azure diretamente, eles podem ser adicionados especificando seu Nome de Entidade de Usuário (UPN) nesse formato: <member name = "AzureAD\user@contoso.com" />

Criar perfil de configuração personalizado

  1. Em Endpoint Manager, selecione Perfisde > Configuração de > Dispositivos Criar perfil.

  2. Em Plataforma, selecione Windows 10 e posterior. Em Perfil, selecione Personalizadoe, em seguida, selecione Criar.

  3. Adicione um nome e uma descrição e selecione Next.

  4. Em Configuração configurações > OMA-URI Configurações, selecione Adicionar.

  5. No painel Adicionar Linha, adicione um nome e em OMA-URI, adicione a seguinte cadeia de caracteres:

    ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
    
  6. Em Tipo de dados, selecione XML de cadeia de caracteres e navegue até abrir o arquivo XML criado na etapa anterior.

    carregar arquivo de configuração xml de administrador local.

  7. Clique em Salvar.

  8. Clique em Selecionar grupos para incluir e escolher o grupo de segurança criado anteriormente (Surface Hub dispositivos). Clique em Avançar.

  9. Em Regras de Aplicabilidade, adicione uma Regra, se desejado. Caso contrário, selecione Próximo e selecione Criar.

Para saber mais sobre perfis de configuração personalizados usando cadeias de caracteres OMA-URI, consulte Use custom settings for Windows 10 devices in Intune.

Administradores não globais gerenciando Surface Hub

Membros do grupo Surface Hub Segurança de Administradores Locais agora podem entrar no aplicativo Configurações no Surface Hub e gerenciar configurações.

Importante

O acesso padrão de administradores globais ao aplicativo Configurações é removido (a menos que eles também sejam membros desse novo grupo de segurança).