管理员组管理 (Surface Hub)

可使用设备上的“设置”应用在本地配置每个 Surface Hub。 若要防止未经授权的用户更改设置,“设置”应用要求使用管理员凭据打开该应用。

管理员组管理

可以使用以下三种方法之一设置设备的管理员帐户:

  • 创建本地管理员帐户
  • 将设备加入 Active Directory (AD) 域
  • 将设备加入 Azure Active Directory (Azure AD)

创建本地管理员帐户

若要创建本地管理员,请在首次运行期间选择使用本地管理员。 这将使用所选的用户名和密码在 Surface Hub 上创建一个本地管理员帐户。 使用这些凭据打开“设置”应用。

注意:任何目录服务都不会备份本地管理员帐户信息。 我们建议你仅当设备无权访问 Active Directory (AD) 或 Azure Active Directory (Azure AD) 时,才选择本地管理员。 如果决定更改本地管理员的密码,可在“设置”中执行此操作。 但是,如果想要从使用本地管理员帐户更改为使用域或 Azure AD 租户的组,则需要重置该设备,并再次完成首次计划。

将设备加入 Active Directory (AD) 域

可将 Surface Hub 加入 AD 域,支持指定安全组的用户配置设置。 在首次运行时,选择使用Active Directory 域服务。 需要提供可加入所选域的凭据以及现有安全组的名称。 属于该安全组成员的任何人都可以输入其凭据并解锁“设置”。

将 Surface Hub 加入域时会发生什么?

将 Surface Hub 加入域可:

  • 将管理员权限授予 AD 中指定安全组的成员。
  • 将设备的 BitLocker 恢复密钥存储在 AD 中的计算机对象下,备份该密钥。 有关详细信息,请参阅保存 BitLocker 密钥
  • 同步系统时钟和域控制器,进行加密通信

Surface Hub 不支持在域控制器中应用组策略或证书。

备注

如果 Surface Hub 失去与域的信任(例如,如果在 Surface Hub 加入域后,将其从该域中删除),将无法对设备进行身份验证并打开“设置”。 当决定删除 Surface Hub 与域的信任关系时,首先要重置设备

将设备加入 Azure Active Directory (Azure AD)

可将 Surface Hub 加入 Azure AD,支持 Azure AD 租户中的 IT 专业人员配置设置。 在首次运行时,选择使用Microsoft Azure Active Directory。 将需要提供能够加入所选 Azure AD 租户的凭据。 成功加入 Azure AD 后,将授予相应用户该设备的管理员权限。

默认情况下,所有全局管理员都将授予加入 Azure AD 的 Surface Hub 的管理员权限。 凭借 Azure AD PremiumEnterprise Mobility Suite (EMS) 可添加其他管理员:

  1. Azure 经典门户中,单击 Active Directory,然后单击组织目录的名称。
  2. 配置页面的设备 > Azure AD 联接设备上的其他管理员下,单击已选定
  3. 单击添加,选择在 Surface Hub 和其他 Azure AD 联结设备上以管理员身份希望添加的用户。
  4. 结束后,单击复选标记按钮,保存更改。

将 Surface Hub 加入 Azure AD 时会发生什么?

Surface Hub 加入 Azure AD 可:

  • 将管理员权限授予 Azure AD 租户中的相应用户。
  • 将设备的 BitLocker 恢复密钥存储在加入 Azure AD 的设备帐户下,备份该密钥。 有关详细信息,请参阅保存 BitLocker 密钥
重要

Surface Hub 当前不支持加入 Azure AD 即自动注册到 Microsoft Intune。 如果组织自动将加入 Azure AD 的设备注册到 Intune,必须先为 Surface Hub 禁用此策略再将设备加入 Azure AD。

我应该选择哪一个?

如果组织使用的是 AD 或 Azure AD,我们建议选择“域加入”或“Azure AD 加入”,这主要是出于安全方面的原因。 用户将能够使用自己的凭据进行身份验证和解锁“设置”,并且可移入或移出与域相关联的安全组。

选项 要求 哪些凭据可用于访问“设置”应用?
创建本地管理员帐户 首次运行时指定的用户名和密码
加入 Active Directory (AD) 域 组织使用 AD 域中特定安全组的任意 AD 用户
将设备加入 Azure Active Directory (Azure AD) 组织使用 Azure AD Basic 仅限全局管理员
  组织使用 Azure AD Premium 或 Enterprise Mobility Suite (EMS) 全局管理员和其他管理员