Surface Hub 的作業系統基本資訊

• 適用於:

  Surface Hub, Surface Hub 2S

Surface Hub 作業系統 Windows 10 團隊版 源自 Windows 10 企業版，為企業管理、安全性和其他功能提供豐富的支援。 但是，它們之間有重要差異。 企業版是針對電腦設計，Windows 10 團隊版則是針對大型螢幕和會議室從頭開始設計。 當您評估 Surface Hub 的安全性與管理需求時，建議您將它視為新的作業系統。 本文強調 Surface Hub 上的 Windows 10 團隊版 與企業版 Windows 10 或 Windows 11 之間的主要差異。

將 Surface Hub 轉換為執行 Pro 或 Enterprise 桌面

您可以移轉至 Windows 10 或 Windows 11 專業版/Enterprise，以變更 Surface Hub 2S 上的 OS。 若要深入瞭解，請參閱下列資源：

• 宣佈在 Surface Hub 2S 上推出 Windows 10 專業版 與 Enterprise。

• 移轉至 Surface Hub 2S 上的 Windows 10 或 Windows 11 專業版 或 Enterprise

使用者介面

殼層 (作業系統使用者介面)

Surface Hub 的殼層是針對大型螢幕和將觸控功能最佳化而從頭開始設計。 它不會使用與 Windows 10 或 Windows 11 企業版 相同的殼層。

對組織原則的潛在影響：

• 與 Windows 10 或 Windows 11 企業版 殼層中的控件相關的設定不適用於 Surface Hub。

鎖定畫面和螢幕保護程式

Surface Hub 沒有鎖定畫面或螢幕保護裝置，但它有稱為歡迎畫面的類似功能。 歡迎畫面會顯示裝置帳戶的行事曆中排定的會議，以及對以下 Surface Hub 最常用應用程式的簡易進入點 - 商務用 Skype、白板及連線。

對組織原則的潛在影響：

• 鎖定畫面、螢幕逾時及螢幕保護程式的設定不適用於 Surface Hub。

使用者登入

與 Windows 電腦不同，任何人都能接觸和使用 Surface Hub，且不需要使用者登入。 為了啟用這項功能，Surface Hub 不支援 Windows 登入，其方式與 Windows 10 或 Windows 11 企業版 (的相同方式，例如，將使用者登入 OS，並在整個操作系統) 中使用這些認證。 相反地，一律會有本機、自動登入、低許可權的使用者登入 Surface Hub。 它不支援登入更多使用者，包括系統管理員使用者 (例如，當系統管理員登入時，他們就不會登入OS) 。

用戶可以登入 Surface Hub，但不會登入 OS。 例如，當使用者登入應用程式或我的會議和檔案時，使用者只會登入應用程式或服務，而不會登入 OS。 如此一來，登入的使用者可以存取他們儲存在雲端的雲端檔案及個人會議，而在啟動 \[結束工作階段\] 時捨棄這些認證。 會議和檔案登入程式不支援 EWSAllowList 或 EWSBlockList 原則。

對組織原則的潛在影響：

• 一般而言，Surface Hub 會使用鎖定功能，而不是使用者存取控制，來強制執行安全性。 與密碼需求、互動式登入、用戶帳戶和訪問控制相關的原則不適用於 Surface Hub。

儲存及瀏覽檔案

使用者可以存取 Surface Hub 上的一組有限目錄。

• 音樂
• 影片
• 文件
• 圖片
• 下載

儲存在這些本機目錄中的檔案會在使用者按下 \[結束工作階段\] 時刪除。 若要儲存會議期間建立的內容，使用者應將檔案儲存到 USB 磁碟機或 OneDrive。

對組織原則的潛在影響： - 與檔案和資料夾的訪問許可權和擁有權相關的原則不適用於 Surface Hub。 使用者無法瀏覽及儲存檔案到系統目錄與網路資料夾。

應用程式

預設應用程式

除了少數例外狀況，Surface Hub 上的預設 通用 Windows 平台 (UWP) 應用程式也可在 Windows 10 或 Windows 11 電腦上使用。

Surface Hub 上預先安裝的 UWP應用程式：

• 鬧鐘與時鐘
• 小算盤
• 連線
• Excel Mobile
• 意見反應中樞
• 檔案總管
• 開始使用
• 地圖
• Microsoft Edge
• Microsoft Power BI
• Microsoft Teams
• Microsoft Whiteboard
• OneDrive
• 相片
• PowerPoint Mobile
• 設定
• 市集
• 提示
• Word Mobile

對組織原則的潛在影響：

• 使用 Windows 10 或 Windows 11 企業版 的指導方針來判斷 Surface Hub 上預設應用程式的功能和網路需求。

安裝應用程式、驅動程式及服務

為了協助保留裝置的類似設備本質，Surface Hub 只支援安裝 通用 Windows 平台 (UWP) 應用程式，不支援安裝傳統 Win32 應用程式、服務和驅動程式。 此外，只有系統管理員有權安裝 UWP應用程式。

對組織原則的潛在影響：

• 員工只能使用系統管理員已經安裝的應用程式，以協助防止用於非預期用途。 Surface Hub 不支援安裝大部分傳統電腦管理及監視工具所需的 Win32 代理程式。

安全性和鎖定

若要在會議室等空格中使用 Surface Hub，其自定義 OS 會實作許多 Windows 10 或 Windows 11 中可用的安全性和鎖定功能。 若要深入瞭解，請參閱 Surface Hub 安全性概觀

Surface Hub 會實作下列 Windows 安全性功能：

• 安全開機
• Windows Defender 應用程式控制和虛擬式程式碼完整性保護
• 使用 AppLocker 的應用程式限制原則
• BitLocker 磁碟機加密
• 信賴平台模組 (TPM)
• Microsoft Defender Windows 中的防病毒軟體
• 用於存取設定應用程式的使用者帳戶控制 (UAC)

這些 Surface Hub 功能提供更多安全性：

• 自訂 UEFI 韌體
• 自訂殼層與 \[開始\] 功能表可限制裝置只能使用會議功能
• 自訂檔案總管只會授與對 \[我的文件\] 底下的檔案和資料夾的存取權
• 自訂設定應用程式只會允許系統管理員修改裝置設定
• 已停用下載先進隨插及用驅動程式的功能

對組織原則的潛在影響：

• 在針對 Surface Hub 執行您的安全性評估時，請考量這些功能。

管理

裝置設定

裝置設定可以透過設定應用程式設定。 [設定] 應用程式是針對 Surface Hub 自定義，但也包含許多來自 Windows 10 或 Windows 11 Desktop 的熟悉設定。 開啟 [設定] 應用程式以確認系統管理員的認證時，會出現使用者帳戶控制 (UAC) 提示，但這不會登入系統管理員。

對組織原則的潛在影響：

• 員工可以使用 Surface Hub 進行會議，但無法修改任何裝置設定。 除了鎖定功能之外，這也可以確保員工只能將裝置用於會議功能。

管理功能

Surface Hub 不支援 Windows 10 或 Windows 11 企業版 中的系統管理功能，例如 Microsoft Management Console、Run、Command Prompt、PowerShell、登錄編輯器和任務管理器。 設定應用程式包含 Surface Hub 本機可用的所有系統管理功能。

事件查看器

Windows 10 團隊版 2020 Update 2 新增對 Windows 事件檢視器 的支援，這與安裝在 Windows 10 專業版 或 Windows 10 企業版 上的 事件檢視器 相同。

若要開啟事件檢視器：

1. 使用系統管理員認證登入 設定 應用程式。
2. 選取 [更新 & 安全>性記錄]，然後在 [事件檢視器] 底下，選取 [開啟]。

若要深入瞭解，請參閱 Windows 事件檢視器。

遠端管理及監視工具

Surface Hub 支援透過行動裝置管理 (MDM) 解決方案進行遠端管理，例如透過Azure 監視器 Microsoft Intune 和監視。

對組織原則的潛在影響：

• Surface Hub 不支援安裝大部分傳統電腦管理及監視工具所需的 Win32 代理程式，例如 System Center Operations Manager。

群組原則

Surface Hub 不支援 Windows 群組原則，包括稽核。 請改用 MDM 套用原則到您的 Surface Hub。 如需 MDM 的詳細資訊，請參閱使用 MDM 提供者管理設定。

對組織原則的潛在影響：

• 請使用 MDM 管理 Surface Hub，不要使用群組原則。

遠端協助

Surface Hub 不支援遠端協助。

對組織原則的潛在影響：

• 和遠端協助有關的原則不適用於 Surface Hub。

網路

加入網域並 Microsoft Entra 加入

Surface Hub 主要使用網域加入和 Microsoft Entra 加入來提供目錄支援的系統管理群組。 不支援混合式聯結。 使用者無法使用網域帳戶登入。 如需相關資訊，請參閱系統管理員群組管理。

對組織原則的潛在影響：

• 當 Surface Hub 加入您的網域時，不會套用組策略設定。 與網域成員資格相關的原則設定不適用於 Surface Hub。

評估網域資源

用戶可以登入 Microsoft Edge 來存取內部網路網站和在線資源， (例如 Microsoft 365) 。 如果您的 Surface Hub 已設定裝置帳戶，系統會使用它來存取 Exchange、Microsoft Teams 會議室 或 商務用 Skype。 但是，Surface Hub 不支援存取網域資源，例如檔案共用和印表機。

對組織原則的潛在影響：

• 和存取網域物件有關的原則不適用於 Surface Hub。

診斷資料

Surface Hub OS 會使用 Windows 連線用戶體驗來收集和傳輸診斷數據。 如需詳細資訊，請參閱在您的組織中設定 Windows 診斷資料。

對組織原則的潛在影響：

• 以您針對 Windows 10 或 Windows 11 企業版 的相同方式，設定 Surface Hub 的診斷數據層級。