Настройка учетных записей администраторов, не являющихся глобальными, на Surface Hub

Обновление Windows 10 для совместной работы 2020 добавляет поддержку для настройки учетных записей администраторов, не вступив в глобальный администратор, которые ограничивают разрешения на управление приложением Параметры на Surface Hub устройствах, присоединившись к домену Azure AD. Это позволяет использовать разрешения администратора только для Surface Hub и предотвращать потенциально нежелательный доступ администратора во всем домене Azure AD. Перед началом работы убедитесь, что Surface Hub присоединились к Azure AD и Автозарегистру Intune. Если нет, вам потребуется Surface Hub и выполнить первую, вне-коробку (OOBE) программу установки, выбрав вариант присоединиться к Azure AD.

Сводка

Процесс создания учетных записей не глобального администратора включает в себя следующие действия:

  1. В Microsoft Intune создайте группу безопасности, содержащую администраторов, назначенных для управления Surface Hub.
  2. Получение SID группы Azure AD с помощью PowerShell.
  3. Создание XML-файла, содержащего SID группы Azure AD.
  4. Создайте группу безопасности, содержащую Surface Hub устройства, которые будут управляться группой безопасности не глобальных администраторов.
  5. Создайте настраиваемый профиль конфигурации, нацеленный на группу безопасности, которая содержит Surface Hub устройства.

Создание групп безопасности Azure AD

Сначала создайте группу безопасности, содержащую учетные записи администратора. Затем создайте другую группу безопасности для Surface Hub устройств.

Создание группы безопасности для учетных записей администратора

  1. Вопишитесь в Intune через центр администрирования Microsoft Endpoint Manager,выберите группы > группы и в соответствии с **** > **** типом группы выберите Безопасность.

  2. Введите имя группы ( например, Surface Hub локальных администраторов), а затем выберите Create.

    Создание группы безопасности для администраторов концентраторов.

  3. Откройте группу, выберите Членов, а затем выберите Добавить участников, чтобы ввести учетные записи администратора, которые вы хотите назначить не глобальными администраторами в Surface Hub. **** Дополнительные информацию о создании групп в Intune см. в добавлении групп для организации пользователей и устройств.

Создание группы безопасности для Surface Hub устройств

  1. Повторите предыдущую процедуру, чтобы создать отдельную группу безопасности для устройств Hub; например, Surface Hub устройства.

    Создание группы безопасности для устройств Hub.

Получение SID группы Azure AD с помощью PowerShell

  1. Запустите PowerShell с повышенными привилегиями учетной записи (Запуститев качестве администратора) и убедитесь, что ваша система настроена для запуска сценариев PowerShell. Чтобы узнать больше, обратитесь к политике выполнения.

  2. Установка Azure PowerShell модуля.

  3. Вопишитесь в клиента Azure AD.

    Connect-AzureAD
    
  4. При подписании в клиенте запустите следующую команду. В нем будет предложено ввести "Введите ID объекта вашей группы Azure AD".

    function Convert-ObjectIdToSid
    {    param([String] $ObjectId)   
         $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
    
    }
    
  5. В Intune выберите группу, созданную ранее, и скопируйте объект id, как показано на следующем рисунке.

    Скопируйте id объекта группы безопасности.

  6. Запустите следующий командлет, чтобы получить SID группы безопасности:

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
    $Result = Convert-ObjectIdToSid $AADGroup
    Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
    
  7. Введите id объекта в командлет PowerShell, нажмите кнопку Ввод, а затем скопируйте SID Группы Azure AD в текстовый редактор.

Создание XML-файла, содержащего SID группы Azure AD

  1. Скопируйте следующее в текстовый редактор:

      <groupmembership>   
      <accessgroup desc = "S-1-5-32-544">        
      <member name = "Administrator" />        
      <member name = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX" />  
      </accessgroup>
      </groupmembership>
    

    Важно!

    Возможно, вам потребуется использовать локализованное имя для учетной записи администратора. Не удалять члена администратора по умолчанию из XML-файла.

  2. Замените SID-держателя (начиная с S-1-12-1) на sid azure AD Group, а затем сохраните файл в качестве XML; например, aad-local-admin.xml.

    Примечание

    В то время как группы должны быть указаны через их SID, если вы хотите добавить пользователей Azure напрямую, их можно добавить, указав основное имя пользователя (UPN) в этом формате: <member name = "AzureAD\user@contoso.com" />

Создание настраиваемой конфигурации профиля

  1. В Endpoint Manager выберите профили конфигурации устройствСоздание > **** > профиля.

  2. В платформе выберите Windows 10 и более поздней стадии. В профиле выберите Настраиваемый, а затем выберите Создать.

  3. Добавьте имя и описание, а затем выберите Далее.

  4. В параметрах > Конфигурация OMA-URI Параметрывыберите Добавить.

  5. В области Добавить строку добавьте имя и в OMA-URIдобавьте следующую строку:

    ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
    
  6. В соответствии с типом Data выберите Строку XML и откройте XML-файл, созданный на предыдущем этапе.

    загрузите локальный файл конфигурии администратора xml.

  7. Нажмите кнопку Сохранить.

  8. Щелкните Выберите группы, чтобы включить и выбрать группу безопасности, созданную ранее (Surface Hub устройства). Нажмите кнопку Далее

  9. В соответствии с правилами применимости при желании добавьте правило. В противном случае выберите Далее, а затем выберите Создать.

Дополнительные данные о пользовательских профилях конфигурации с помощью строк OMA-URI см. в странице Использование настраиваемых параметров для Windows 10 устройств в Intune.

Не глобальные администраторы, управляющие Surface Hub

Теперь члены группы Surface Hub локальных администраторов могут войти в приложение Параметры на Surface Hub и управлять настройками.

Важно!

По умолчанию доступ глобальных администраторов к приложению Параметры удаляется (если они также не являются членами этой новой группы безопасности).