作業系統基本版 (Surface Hub)

Surface Hub 作業系統 Windows 10 團隊版是以 Windows 10 企業版為基礎,針對企業管理、安全性及其他功能提供豐富支援。 但是,它們之間有重要差異。 企業版是針對電腦設計,Windows 10 團隊版則是針對大型螢幕和會議室從頭開始設計。 當您評估 Surface Hub 的安全性和管理需求時,最好是將它視為新的作業系統。 本文的設計是為協助凸顯 Surface Hub 上的 Windows 10 團隊版和 Windows 10 企業版的主要差異,以及這些差異對您的組織有哪些意義。

使用者介面

殼層 (作業系統使用者介面)

Surface Hub 的殼層是針對大型螢幕和將觸控功能最佳化而從頭開始設計。 它並沒有使用和 Windows 10 企業版相同的殼層。

這可能會影響下列組織原則:
Windows 10 企業版殼層中相關控制向的設定不適用於 Surface Hub。

鎖定畫面和螢幕保護程式

Surface Hub 沒有鎖定畫面或螢幕保護裝置,但它有稱為歡迎畫面的類似功能。 歡迎畫面會顯示裝置帳戶的行事曆中排定的會議,以及對以下 Surface Hub 最常用應用程式的簡易進入點 - 商務用 Skype、白板及連線。

這可能會影響下列組織原則:
鎖定畫面、螢幕逾時及螢幕保護程式的設定不適用於 Surface Hub。

使用者登入

Surface Hub 是針對在公共空間 (例如會議室) 使用所設計。 與 Windows 電腦不同,任何人都能接觸和使用 Surface Hub,且不需要使用者登入。 為了啟用這項公用功能,Surface Hub 不支援和 Windows 10 企業版登入方式一樣的 Windows 登入 (例如,將使用者登入作業系統,並在整個作業系統使用這些認證)。 反而是,永遠有本機自動登入的低權限使用者登入 Surface Hub。 不支援登入任何另外的使用者,包括系統管理員使用者 (例如,當系統管理員登入時,他們並未登入作業系統)。

使用者可以登入 Surface Hub,但無法登入作業系統。 例如,使用者登入 [應用程式] 或 [我的會議和檔案] 時,使用者只是登入應用程式或服務,而不是作業系統。 如此一來,登入的使用者可以存取他們儲存在雲端的雲端檔案及個人會議,而在啟動 [結束工作階段] 時捨棄這些認證。

這可能會影響下列組織原則:
一般而言,Surface Hub 會使用鎖定功能,而不是使用者存取控制,來強制執行安全性。 與密碼需求、互動式登入、使用者帳戶,以及存取控制有關的原則不適用於 Surface Hub。

儲存及瀏覽檔案

使用者可以存取 Surface Hub 上的一組有限目錄。

  • 音樂
  • 影片
  • 文件
  • 圖片
  • 下載

儲存在這些本機目錄中的檔案會在使用者按下 [結束工作階段] 時刪除。 若要儲存會議期間建立的內容,使用者應將檔案儲存到 USB 磁碟機或 OneDrive。

這可能會影響下列組織原則:
與檔案及資料夾的存取權限和擁有權有關的原則不適用於 Surface Hub。 使用者無法瀏覽及儲存檔案到系統目錄與網路資料夾。

應用程式

預設應用程式

Surface Hub 上有幾個例外的預設通用 Windows 平台 (UWP)應用程式也可以在 Windows 10 電腦上使用。

Surface Hub 上預先安裝的 UWP應用程式:

  • 鬧鐘與時鐘
  • 小算盤
  • 連線
  • Excel Mobile
  • 意見反應中樞
  • 檔案總管*
  • 開始使用
  • 地圖
  • Microsoft Edge
  • Microsoft Power BI
  • OneDrive
  • 相片
  • PowerPoint Mobile
  • 設定*
  • 商務用 Skype*
  • 市集
  • 白板*
  • Word Mobile

標示星號 (*) 的是 Surface Hub 獨有的應用程式

這可能會影響下列組織原則:
請使用 Windows 10 企業版的指導方針來判斷 Surface Hub 上預設應用程式的功能和網路需求。

安裝應用程式、驅動程式及服務

為協助保留裝置原本的設備特性,Surface Hub 僅支援安裝通用 Windows 平台 (UWP) 應用程式,不支援安裝傳統 Win32應用程式、服務及驅動程式。 此外,只有系統管理員有權安裝 UWP應用程式。

這可能會影響下列組織原則:
員工只能使用系統管理員已經安裝的應用程式,以協助防止用於非預期用途。 Surface Hub 不支援安裝大部分傳統電腦管理及監視工具所需的 Win32 代理程式。

安全性和鎖定

針對要在公共空間 (例如會議室) 使用的 Surface Hub,其自訂作業系統會實作 Windows 10 中可用的許多安全性和鎖定功能。

Surface Hub 會實作這些 Windows 10 安全性功能:

這些 Surface Hub 功能可提供額外的安全性:

  • 自訂 UEFI 韌體
  • 自訂殼層與 [開始] 功能表可限制裝置只能使用會議功能
  • 自訂檔案總管只會授與對 [我的文件] 底下的檔案和資料夾的存取權
  • 自訂設定應用程式只會允許系統管理員修改裝置設定
  • 已停用下載先進隨插及用驅動程式的功能

這可能會影響下列組織原則:
在針對 Surface Hub 執行您的安全性評估時,請考量這些功能。

管理

裝置設定

裝置設定可以透過設定應用程式設定。 設定應用程式已經針對 Surface Hub 自訂,但也包含許多 Windows 10 Desktop 中許多熟悉的設定。 開啟設定應用程式時會顯示使用者帳戶控制 (UAC) 提示,以確認系統管理員的認證,但這樣並不會將系統管理員登入系統中。

這可能會影響下列組織原則:
員工可以使用 Surface Hub 開會,但無法修改任何裝置設定。 除了鎖定功能之外,這也可以確保員工只能將裝置用於會議功能。

管理功能

Surface Hub 不支援 Windows 10 企業版中的管理功能,例如 Microsoft Management Console、執行、命令提示字元、PowerShell、登錄編輯程式、事件檢視器,以及工作管理員。 設定應用程式包含 Surface Hub 本機可用的所有系統管理功能。

這可能會影響下列組織原則:
Surface Hubs 的管理方式和傳統電腦不同。 請使用 MDM 來設定設定,以及使用 OMS 來監視您的 your Surface Hub。

遠端管理及監視工具

Surface Hub 支援透過行動裝置管理 (MDM) 解決方案 (例如Microsoft Intune和透過Azure 監視器監視) 進行遠端系統管理。

這可能會影響下列組織原則:
Surface Hub 不支援安裝大部分傳統電腦管理及監視工具所需的 Win32 代理程式,例如 System Center Operations Manager。

群組原則

Surface Hub 不支援 Windows 群組原則, 包括審計。 請改用 MDM 套用原則到您的 Surface Hub。 如需 MDM 的詳細資訊,請參閱使用 MDM 提供者管理設定

這可能會影響下列組織原則:
請使用 MDM 管理 Surface Hub,不要使用群組原則。

遠端協助

Surface Hub 不支援遠端單協助。

這可能會影響下列組織原則:
和遠端協助有關的原則不適用於 Surface Hub。

網路

網域加入和 Azure Active Directory (Azure AD) 加入

Surface Hub 主要使用網域加入和 Azure AD 加入來提供由目錄支援的系統管理員群組。 使用者無法使用網域帳戶登入。 如需相關資訊,請參閱系統管理員群組管理

這可能會影響下列組織原則:
當 Surface Hub 加入您的網域時不會套用群組原則。 和網域成員有關的原則不適用於 Surface Hub。

評估網域資源

使用者可以登入 Microsoft Edge 以存取內部網路網站和線上資源 (例如 Office 365)。 如果您的 Surface Hub 是使用裝置帳戶設定,系統會用它來存取 Exchange 和商務用 Skype。 但是,Surface Hub 不支援存取網域資源,例如檔案共用和印表機。

這可能會影響下列組織原則:
和存取網域物件有關的原則不適用於 Surface Hub。

診斷資料

Surface Hub OS 會使用 Windows 10 已連線使用者體驗與遙測元件,來收集和傳輸診斷資料。 如需詳細資訊,請參閱在您的組織中設定 Windows 診斷資料

這可能會影響下列組織原則:
請使用和 Windows 10 企業版相同的方式設定 Surface Hub 的診斷資料層級。