Surface Hub 的管理员组管理
可使用设备上的“设置”应用在本地配置每个 Surface Hub。 若要防止未经授权的用户更改设置,“设置”应用要求使用管理员凭据打开该应用。
管理员组管理
可以通过以下方式为设备设置管理员帐户:
- 创建本地管理员帐户
- 将设备加入到 Active Directory 的域
- Microsoft Entra加入设备
- 在已加入Microsoft Entra的设备上配置非全局管理员帐户, (Surface Hub 2S)
创建本地管理员帐户
若要创建本地管理员,请在首次运行期间选择使用本地管理员。 这会在 Surface Hub 上创建一个具有所选用户名和密码的本地管理员帐户。 使用这些凭据打开“设置”应用。
请注意,本地管理员帐户信息不受任何目录服务的支持。 如果设备无权访问 Active Directory (AD) 或Microsoft Entra ID,我们建议仅选择本地管理员。 如果决定更改本地管理员的密码,可在“设置”中执行此操作。 但是,如果要从使用本地管理员帐户更改为使用域或Microsoft Entra租户中的组,则需要重置设备并再次完成首次程序。
将设备加入到 Active Directory 的域
可以将 Surface Hub 加入 AD 域,以允许来自指定安全组的用户配置设置。 在首次运行时,选择使用Active Directory 域服务。 需要提供能够加入所选域的凭据,以及现有安全组的名称。 属于该安全组成员的任何人都可以输入其凭据并解锁“设置”。
域加入 Surface Hub 时会发生什么情况?
将 Surface Hub 加入域可:
- 将管理员权限授予 AD 中指定安全组的成员。
- 通过将设备的 BitLocker 恢复密钥存储在 AD 中的计算机对象下来备份该设备的 BitLocker 恢复密钥。 有关详细信息,请参阅保存 BitLocker 密钥。
- 同步系统时钟和域控制器,进行加密通信
Surface Hub 不支持从域控制器应用组策略或证书。
注意
如果 Surface Hub 失去与域的信任(例如,如果在 Surface Hub 加入域后,将其从该域中删除),将无法对设备进行身份验证并打开“设置”。 当决定删除 Surface Hub 与域的信任关系时,首先要重置设备。
Microsoft Entra加入设备
可以使用Microsoft Entra ID加入 Surface Hub,以允许来自Microsoft Entra租户的 IT 专业人员配置设置。 首次运行期间,选择使用 Microsoft Entra ID。 需要提供能够加入所选Microsoft Entra租户的凭据。 成功Microsoft Entra加入后,将向相应人员授予设备上的管理员权限。
默认情况下,所有全局管理员都被授予已加入Microsoft Entra Surface Hub 的管理员权限。 使用 Microsoft Entra ID P1、P2 或企业移动性套件 (EMS) ,可以添加其他管理员:
- 在 Azure 经典门户中,选择“ Active Directory”,然后选择组织目录的名称。
- 在“配置”页上的“设备”>下,在“已加入Microsoft Entra设备上的其他管理员”下,选择“已选择”。
- 选择“添加”,然后选择要在 Surface Hub 和其他已加入Microsoft Entra设备上添加为管理员的用户。
- 完成后,选择复选标记按钮以保存更改。
Microsoft Entra加入 Surface Hub 时会发生什么情况?
Surface Hub 使用Microsoft Entra联接来:
- 向Microsoft Entra租户中的相应用户授予管理员权限。
- 通过将设备的 BitLocker 恢复密钥存储在用于Microsoft Entra加入设备的帐户下来备份该设备的 BitLocker 恢复密钥。 有关详细信息,请参阅保存 BitLocker 密钥。
通过Microsoft Entra加入自动注册
Surface Hub 现在支持通过将设备加入到Microsoft Entra ID来自动注册Intune。
有关详细信息,请参阅 设置 Windows 设备的注册。
我应该选择哪一个?
如果你的组织正在使用 Active Directory 或 Microsoft Entra ID,我们建议你加入域或Microsoft Entra加入,这主要是出于安全原因。 人员能够使用自己的凭据进行身份验证和解锁“设置”,并且可以移入或移出与域关联的安全组。
| 选项 | 要求 | 哪些凭据可用于访问“设置”应用? |
|---|---|---|
| 创建本地管理员帐户 | 无 | 首次运行时指定的用户名和密码 |
| 加入 Active Directory (AD) 域 | 组织使用 AD | 域中特定安全组的任意 AD 用户 |
| Microsoft Entra加入设备 | 你的组织使用 Microsoft Entra Basic | 仅限全局管理员 |
| 组织使用 Microsoft Entra ID P1、P2 或企业移动性套件 (EMS) | 全局管理员和其他管理员 |
在已加入Microsoft Entra设备上配置非全局管理员帐户
对于已加入Microsoft Entra ID的 Surface Hub v1 和 Surface Hub 2S 设备,Windows 10 协同版 2020 更新允许你限制管理员权限来管理 Surface Hub 上的“设置”应用。 这使你能够将管理员权限限定为仅 Surface Hub 的范围,并防止可能不需要的管理员访问整个Microsoft Entra域。 若要了解详细信息,请参阅在 Surface Hub 上配置非全局管理员帐户。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈