Настройка учетных записей неглобальных администраторов на Surface Hub 2S

Когда вы присоединяете Surface Hub 2S к домену Azure AD, вы можете настроить учетные записи неглобальных администраторов, которые ограничивают разрешения на управление приложением "Параметры" на Surface Hub 2. Это позволяет вам получать разрешения администратора только для Surface Hub только в том случае, если вы не можете получить потенциально нежелательного администратора для всего домена Azure AD. Прежде чем начать, убедитесь в том, что Surface Hub 2 входит в Azure AD. В противном случае вам потребуется сбросить Surface Hub 2 и выполнить начальную программу установки (OOBE), выбрав параметр для присоединения к Azure AD.

Краткий обзор

Процесс создания учетных записей, не являющихся глобальными администраторами, состоит из указанных ниже действий.

  1. В Microsoft Intune создайте группу безопасности, в которой находятся администраторы, назначенные для управления Surface Hub 2.
  2. Получение SID группы Azure AD с помощью PowerShell.
  3. Создание XML-файла, содержащего SID группы Azure AD.
  4. Создайте группу безопасности с устройствами Surface Hub 2S, которые будут управляться группой безопасности неглобальных администраторов.
  5. Создание настраиваемого профиля конфигурации, предназначенного для группы безопасности, содержащей устройства Surface Hub 2S.

Создание групп безопасности Azure AD

Сначала создайте группу безопасности с учетными записями администратора. Затем создайте другую группу безопасности для устройств Surface Hub.

Создание группы безопасности для учетных записей администраторов

  1. Войдите в Intune через центр администрирования Microsoft Endpoint Manager, выберите группы > создать группу > и в разделе Тип группы выберите пункт безопасность.

  2. Введите имя группы (например, "Surface Hub Local Администраторы" ) и нажмите кнопку "создать" .

    Создание группы безопасности для администраторов центра администрирования

  3. Откройте группу, выберите пункт Участникии нажмите кнопку Добавить участников , чтобы ввести учетные записи администраторов, которые вы хотите назначить в качестве неглобальных администраторов Surface Hub 2. Чтобы узнать больше о создании групп в Intune, ознакомьтесь со статьей Добавление групп для упорядочения пользователей и устройств.

Создание группы безопасности для устройств Surface Hub 2S

  1. Повторите описанные выше действия, чтобы создать отдельную группу безопасности для устройств-концентраторов. Например, Surface Hub.

    Создание группы безопасности для устройств-концентраторов

Получение SID группы Azure AD с помощью PowerShell

  1. Запустите PowerShell с правами повышенной учетной записи (Запуск от имени администратора) и убедитесь, что ваша система настроена для выполнения сценариев PowerShell. Дополнительные сведения можно найти в разделе о политиках выполнения.

  2. Установите модуль Azure PowerShell.

  3. Войдите в свою учетную запись клиента Azure AD.

    Connect-AzureAD
    
  4. Войдя в свой клиент, выполните указанные ниже unifiedgroup. Вам будет предложено "введите идентификатор объекта группы Azure AD".

    function Convert-ObjectIdToSid
    {    param([String] $ObjectId)   
         $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
    
    }
    
  5. В Intune выберите созданную ранее группу и скопируйте идентификатор объекта, как показано на приведенном ниже рисунке.

    Копирование идентификатора объекта группы безопасности

  6. Чтобы получить SID группы безопасности, выполните следующие unifiedgroup:

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
    $Result = Convert-ObjectIdToSid $AADGroup
    Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
    
  7. Вставьте идентификатор объекта в unifiedgroup PowerShell, нажмите клавишу Ввод, а затем скопируйте SID группы Azure AD в текстовый редактор.

Создание XML-файла, содержащего SID группы Azure AD

  1. Скопируйте следующий текст в текстовый редактор.

      <groupmembership>   
      <accessgroup desc = "Administrators">        
      <member name = "Administrator" />        
      <member name = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX" />  
      </accessgroup>
      </groupmembership>
    
  2. Замените заполнитель SID (начиная с S-1-12-1) на ИД безопасности группы Azure AD , а затем сохраните его в формате XML. Например, aad-local-admin.xml.

Создание настраиваемого профиля конфигурации

  1. В диспетчере конечных точек Devicesщелкните > профили конфигурацииустройств, чтобы > создать профиль.

  2. В разделе Platform (платформа) выберите Windows 10 или более поздней версии. В разделе Профиль выберите пункт Настраиваемаяи нажмите кнопку создать.

  3. Добавьте имя и описание, а затем нажмите кнопку Далее.

  4. В разделе Параметры конфигурации > OMA-URIнажмите кнопку Добавить.

  5. В области добавить строку добавьте имя и в разделе OMA-URIдобавьте следующую строку:

    ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
    
  6. В разделе Тип данных выберите пункт строковый XML и перейдите к файлу XML, созданному на предыдущем этапе.

    Загрузка XML-файла конфигурации локального администратора

  7. Нажмите кнопку Сохранить.

  8. Щелкните выбрать группы, чтобы включить , и выберите группу безопасности, созданную ранее (Surface Hub Devices). Нажмите кнопку Далее

  9. В разделе правила применимости при необходимости добавьте правило. В противном случае нажмите кнопку Далее , а затем нажмите кнопку создать.

Дополнительные сведения о настраиваемых профилях конфигурации с помощью строк OMA-URI см. в статье Использование настраиваемых параметров для устройств с Windows 10 в Intune.

Неглобальные администраторы, управляющие Surface Hub 2S

Участники группы безопасности "Локальные администраторы Surface Hub " теперь могут войти в приложение "Параметры" на Surface Hub 2S и управлять параметрами.