Управление группой администраторов для Surface Hub

Каждое устройство Surface Hub можно настроить локально с помощью приложения «Параметры» на устройстве. Во избежание несанкционированного изменения параметров для открытия приложения «Параметры» требуются учетные данные администратора.

управление группой администраторов

Настроить учетные записи администраторов для устройства можно следующими способами:

Создание учетной записи локального администратора

Чтобы создать локального администратора, во время первого запуска выберите соответствующий параметр. При этом на Surface Hub будет создана одна учетная запись локального администратора с выбранными именем пользователя и паролем. Используйте эти учетные данные, чтобы открыть приложение "Параметры".

Обратите внимание, что данные учетной записи локального администратора не резервируются ни одной службой каталогов. Мы рекомендуем выбрать локального администратора, если у устройства нет доступа к Active Directory или Azure Active Directory. Если вы решите изменить пароль локального администратора, это можно сделать в приложении "Параметры". Однако если вы захотите изменить локального администратора на группу из домена или клиента Azure AD, потребуется сбросить устройство и снова выполнить процедуру первого запуска.

Присоединить устройство к Домену в Active Directory

Можно присоединить устройство Surface Hub к своему домену AD, чтобы разрешить пользователям из заданной группы безопасности настраивать параметры. Во время первого запуска выберите использование доменных служб Active Directory. Потребуется предоставить учетные данные, позволяющие присоединяться к выбранному домену, и имя существующей группы безопасности. Любой член этой группы безопасности может ввести свои учетные данные и разблокировать приложение "Параметры".

Что происходит, когда вы присоединяете Surface Hub к домену?

Устройства Surface Hub используют присоединение к домену для решения следующих задач:

  • предоставить права администратора участникам заданной группы безопасности в AD;
  • выполнить резервное копирование ключа восстановления BitLocker устройства, сохранив его в объекте компьютера в AD. См. подробные сведения в разделе Сохранение ключа BitLocker.
  • Синхронизация системных часов с доменным контроллером для зашифрованного обмена данными

Surface Hub не поддерживает применение групповой политики или сертификатов с контроллера домена.

Примечание

Если ваше устройство Surface Hub теряет доверие домена (например, при удалении Surface Hub из домена после присоединения к нему), вы не сможете пройти проверку подлинности и открыть приложение «Параметры». Если вы решите удалить отношение доверия Surface Hub с доменом, сначала сбросьте устройство.

Присоединить устройство к Azure AD

Вы можете присоединить Surface Hub к Azure Active Directory (Azure AD), чтобы ИТ-специалисты из клиента Azure AD могли настраивать параметры. Во время первого запуска выберите использование Microsoft Azure Active Directory. Вам необходимо ввести учетные данные, позволяющие присоединиться к выбранному клиенту Azure AD. После присоединения к Azure AD соответствующим пользователям будут предоставлены на устройстве права администрирования.

По умолчанию все глобальные администраторы получат права администратора на устройстве Surface Hub, присоединенном к Azure AD. С помощью Azure AD Premium или Enterprise Mobility Suite (EMS) можно добавить дополнительных администраторов:

  1. В разделе Классический портал Azure щелкните Active Directory, а затем щелкните имя каталога организации.
  2. На странице Настройка в разделе Устройства > Дополнительные администраторы на устройствах, присоединенных к Azure AD щелкните Выбранные.
  3. Нажмите кнопку Добавитьи выберите пользователей, которых требуется добавить в качестве администраторов на устройстве Surface Hub и других присоединенных к Azure AD устройствах.
  4. После завершения нажмите кнопку с флажком, чтобы сохранить изменения.

Что происходит, когда вы подключаете устройство Surface Hub к Azure AD?

Устройства Surface Hub используют присоединение к Azure AD для решения следующих задач:

  • предоставление прав администратора соответствующим пользователям в клиенте Azure AD;
  • резервное копирование ключа восстановления BitLocker на устройстве путем сохранения его в учетной записи, использовавшейся для присоединения устройства к Azure AD. См. подробные сведения в разделе Сохранение ключа BitLocker.

Автоматическая регистрация с помощью присоединиться к Azure Active Directory

Surface Hub теперь поддерживает возможность автоматической регистрации в Intune путем присоединения устройства к Azure Active Directory.

Дополнительные сведения см. в подсети "Включить автоматическую регистрацию в Windows 10".

Что следует выбрать?

Если ваша организация использует Active Directory или Azure AD, мы рекомендуем присоединить устройство к домену или Azure AD, главным образом по соображениям безопасности. Пользователи смогут пройти проверку подлинности и разблокировать приложение "Параметры" с собственными учетными данными. При этом их можно будет добавлять и удалять из групп безопасности, связанных с вашими доменом.

Параметр Требования Какие учетные данные можно использовать для доступа к приложению "Параметры"?
Создание учетной записи локального администратора Нет Имя пользователя и пароль, заданные во время первого запуска
Присоединение устройства к домену Active Directory (AD) Ваша организация использует AD Любой пользователь AD из определенной группы безопасности в вашем домене
Присоединение устройства к Azure Active Directory (Azure AD) Ваша организация использует Azure AD Basic Только глобальные администраторы
  Ваша организация использует Azure AD Premium или Enterprise Mobility Suite (EMS) Глобальные администраторы и дополнительные администраторы

Настройка учетных записей не глобальных администраторов на устройствах, которые присоединяются к Azure AD

Для устройств Surface Hub 2S, которые присоединились к Azure AD, Центр обновления Windows 10 для команды 2020 позволяет ограничить разрешения администратора на управление приложением "Параметры" на Surface Hub 2S. Это позволяет область разрешений администратора только для Surface Hub 2S и предотвратить потенциально нежелательный доступ администратора ко всему домену Azure AD. Дополнительные узнать см. в подстройке "Настройка учетных записей не глобального администратора" на Surface Hub 2S.