Подготовка среды для использования Microsoft Surface Hub

На этой странице описываются зависимости для настройки и управления Surface Hub v1 или Surface Hub 2S.

Зависимости от инфраструктуры

Изучите эти зависимости, чтобы убедиться, что в вашей ИТ-инфраструктуре будут работать все функции Surface Hub.

Зависимость Описание Подробнее
Локальное обслуживание и Active Directory или M365 Surface Hub использует учетную запись Active Directory или Azure AD (называемую учетной записью устройства) для доступа к Exchange и Teams (или Skype для бизнеса) службам. Surface Hub требуется подключение к вашему контроллеру домена Active Directory или к вашему клиенту Azure AD для проверки учетных данных учетной записи устройства, а также доступа к таким данным, как отображаемое имя, псевдоним, сервер Exchange Server и SIP-адрес устройства.

ПРИМЕЧАНИЕ. Surface Hubs работают с Microsoft Teams, Skype для бизнеса Server 2019, Skype для бизнеса Server 2015 или Skype для бизнеса Online. Более ранние платформы, например Lync Server 2013, не поддерживаются. Концентраторы Surface не поддерживаются в GCC среде High или DoD.
Microsoft 365 конечных точек

Создание и тестирование учетной записи устройства
Windows Обновление, хранение и диагностика Для Windows обновления или Windows для бизнеса необходим доступ к Surface Hub с помощью функций ОС и обновлений качества. Для поддержания приложений Microsoft Store доступ к веб-Microsoft Store. Управление конечными точками подключения для Windows 10 Корпоративная версии 20H2

Обновления Windows на Surface Hub
Решение управления мобильными устройствами (MDM) (Microsoft Intune, Microsoft Endpoint Configuration Manager или поддерживаемый сторонний поставщик MDM) Если вы хотите применять параметры и устанавливать приложения дистанционно и на нескольких устройствах одновременно, вам необходимо установить решение MDM и зарегистрировать свое устройство в этом решении. Конечные точки сети для Microsoft Intune

Управление параметрами с помощью поставщика MDM
Azure Monitor Azure Monitor можно использовать для мониторинга состояния Surface Hub устройств.

ПРИМЕЧАНИЕ. В настоящее время концентраторы Surface не поддерживают использование прокси-сервера для связи со службой Log Analytics, используемой Azure Monitor.
Конечные точки журнала Analytics

Отслеживайте концентраторы Surface с помощью Azure Monitor, чтобы отслеживать их состояние.
Доступ к сети Концентраторы Surface поддерживают как проводные, так и беспроводные подключения (предпочтительно проводное подключение).

Проверка подлинности 802.1X
В Windows 10 для совместной работы 20H2, хотя проверка подлинности 802.1X для проводных и беспроводных подключений включена по умолчанию, необходимо убедиться, что в Surface Hub также установлен сетевой профиль и сертификат проверки подлинности 802.1x. Если вы Surface Hub с помощью intune или другого решения управления мобильными устройствами, вы можете доставить сертификат с помощью CSP ClientCertificateInstall. В противном случае вы можете создать пакет подготовка и установить его во время первого запуска установки или с помощью Параметры приложения. При применении сертификата проверка подлинности 802.1X начинается автоматически.

Динамический IP-адрес
Концентраторы Surface невозможно настроить для использования статического IP-адреса. Им должен быть назначен IP-адрес через DHCP.

Порты
Для Surface Hub требуются следующие открытые порты:

HTTPS: 443
HTTP: 80
NTP: 123
Включение проверки подлинности по стандарту безопасности 802.1X в проводной сети

Создание пакетов подготовки для Surface Hub

Присоединение к устройству

Использование принадлежности к устройству для управления доступом пользователей к приложению Параметры на Surface Hub. С помощью Windows 10 для совместной работы операционной системы (которая работает на Surface Hub) только уполномоченные пользователи могут настраивать параметры с помощью Параметры приложения. Так как выбор принадлежности может повлиять на доступность компонентов, запланируйте соответствующий план, чтобы пользователи могли получать доступ к функциям по назначению.

Примечание

Присоединение к устройству можно установить только во время начальной установки OOBE. Если необходимо сбросить присоединение к устройству, необходимо повторить установку OOBE.

Отсутствие аффилированности

Нет присоединений, как Surface Hub в группе с другой учетной записью локального администратора на каждом Surface Hub. Если вы выбираете "Нет принадлежности", необходимо локально сохранить ключ BitLocker на usb-накопителе. Вы по-прежнему можете записать устройство с помощью Intune; Однако только локальный администратор может получить доступ к приложению Параметры с помощью учетных данных учетных записей, настроенных во время OOBE. Вы можете изменить пароль учетной записи администратора из Параметры приложения.

Доменные службы Active Directory

Если вы Surface Hub с локальной службой домена Active Directory, необходимо управлять доступом к приложению Параметры с помощью группы безопасности на вашем домене. Это позволяет гарантировать, что у всех участников группы безопасности есть разрешения на изменение параметров на Surface Hub. Кроме того, обратите внимание на следующее: если Surface Hub партнеров с локальной службой домена Active Directory, ключ BitLocker можно сохранить в схеме Active Directory. Дополнительные сведения см. в сайте Prepare your organization for BitLocker: Planning and policies.

Доверенные корневые CAs организации отодвигаются в один контейнер в Surface Hub, что означает, что вам не нужно импортировать их с помощью пакета подготовка.

Вы по-прежнему можете записать устройство с Помощью Intune для централизованного управления настройками на Surface Hub.

Azure Active Directory

При присоединении Surface Hub к Azure Active Directory Azure AD любой пользователь с ролью глобального администратора может войти в приложение Параметры в Surface Hub. Вы также можете настроить учетные записи не глобального администратора, ограничивающие разрешения на управление приложением Параметры на Surface Hub. Это позволяет использовать разрешения администратора только для surface Hubs и предотвращать потенциально нежелательный доступ администратора во всем домене Azure AD.

Если вы включили автоматическую регистрацию Intune для вашей организации, Surface Hub автоматически зарегистрируется в Intune; В этом сценарии учетная запись, используемая для аффилированности Azure AD во время настройки, должна иметь лицензию для Intune и иметь разрешения на регистрацию Windows устройств. После завершения процесса настройки в Azure AD автоматически сохраняются клавиши BitLocker устройства.

Дополнительные информацию об управлении Surface Hub Azure AD см. в этой ссылке.

Изучение и заполнение рабочего плана настройки Surface Hub (необязательно)

При работе с программой первого запуска для Surface Hub вам понадобится ввести некоторые данные. В рабочем плане настройки содержатся эти данные для различных сред. Подробнее об этом: Рабочий план настройки.