Admin Gruppenverwaltung für Surface Hub
Jedes Surface Hub-Gerät kann mithilfe der Einstellungs-App auf dem Gerät lokal konfiguriert werden. Um die Änderung der Einstellungen durch nicht autorisierte Benutzer zu verhindern, sind zum Öffnen der Einstellungs-App Administratoranmeldeinformationen erforderlich.
Administratorgruppenverwaltung
Sie können Administratorkonten für das Gerät auf folgende Weise einrichten:
- Erstellen eines lokalen Administratorkontos
- Domänenbeitritt des Geräts in Active Directory
- Microsoft Entra das Gerät einbinden
- Konfigurieren von nicht globalen Admin-Konten auf Microsoft Entra verbundenen Geräten (Surface Hub 2S)
Erstellen eines lokalen Administratorkontos
Verwenden Sie zum Erstellen eines lokalen Administrators bei der ersten Ausführung einen lokalen Administrator. Dadurch wird ein einzelnes lokales Administratorkonto auf dem Surface Hub mit dem Benutzernamen und Kennwort Ihrer Wahl erstellt. Verwenden Sie diese Anmeldeinformationen, um die Einstellungs-App zu öffnen.
Beachten Sie, dass die Informationen zum lokalen Administratorkonto von keinem Verzeichnisdienst unterstützt werden. Es wird empfohlen, nur einen lokalen Administrator auszuwählen, wenn das Gerät keinen Zugriff auf Active Directory (AD) oder Microsoft Entra ID hat. Wenn Sie das Kennwort des lokalen Administrators ändern möchten, können Sie dies in den Einstellungen tun. Wenn Sie jedoch von der Verwendung des lokalen Administratorkontos zu einer Gruppe aus Ihrer Domäne oder Microsoft Entra Mandanten wechseln möchten, müssen Sie das Gerät zurücksetzen und das programm zum ersten Mal erneut durchlaufen.
Domänenbeitritt des Geräts in Active Directory
Sie können surface Hub in Ihre AD-Domäne einbinden, um Benutzern aus einer angegebenen Sicherheitsgruppe das Konfigurieren von Einstellungen zu ermöglichen. Wählen Sie bei der ersten Ausführung die Verwendung von Active Directory Domain Services aus. Sie müssen Anmeldeinformationen angeben, die der Domäne Ihrer Wahl beitreten können, sowie den Namen einer vorhandenen Sicherheitsgruppe. Jedes Mitglied dieser Sicherheitsgruppe kann seine Anmeldeinformationen eingeben und die Einstellungen entsperren.
Was geschieht, wenn Ihre Domäne Ihrem Surface Hub beitritt?
Surface Hubs verwenden Domänenbeitritte zu folgenden Zwecken:
- Gewähren von Administratorrechten für Mitglieder einer angegebenen Sicherheitsgruppe in Active Directory
- Sichern Sie den BitLocker-Wiederherstellungsschlüssel des Geräts, indem Sie ihn unter dem Computerobjekt in AD speichern. Details hierzu finden Sie unter Speichern des BitLocker-Schlüssels.
- Synchronisieren der Systemuhr mit dem Domänencontroller für verschlüsselte Kommunikation
Surface Hub unterstützt das Anwenden von Gruppenrichtlinie oder Zertifikaten vom Domänencontroller nicht.
Hinweis
Wenn der Surface Hub die Vertrauensstellung mit der Domäne verliert (wenn Sie z. B. den Surface Hub nach dem Domänenbeitritt aus der Domäne entfernen), können Sie sich nicht beim Gerät authentifizieren und keine Einstellungen öffnen. Wenn Sie die Vertrauensstellung des Surface Hub mit Ihrer Domäne entfernen möchten, müssen Sie zuerst das Gerät zurücksetzen.
Microsoft Entra das Gerät einbinden
Sie können Microsoft Entra ID verwenden, um dem Surface Hub beizutreten, damit IT-Experten aus Ihrem Microsoft Entra Mandanten Einstellungen konfigurieren können. Wählen Sie während der ersten Ausführung aus, Microsoft Entra ID zu verwenden. Sie müssen Anmeldeinformationen angeben, die dem Microsoft Entra Mandanten Ihrer Wahl beitreten können. Nachdem Sie erfolgreich Microsoft Entra beitreten, erhalten die entsprechenden Personen Administratorrechte auf dem Gerät.
Standardmäßig erhalten alle globalen Administratoren Administratorrechte auf einem Microsoft Entra angeschlossenen Surface Hub.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können. Weitere Informationen finden Sie in der empfohlenen Anleitung unter Konfigurieren von nicht globalen Admin-Konten auf Surface Hub.
Sie können weitere Administratoren hinzufügen, wie auf dieser Seite beschrieben.
Was geschieht, wenn Sie Microsoft Entra Ihrem Surface Hub beitreten?
Surface Hubs verwenden Microsoft Entra Join für Folgendes:
- Gewähren Sie den entsprechenden Benutzern in Ihrem Microsoft Entra Mandanten Administratorrechte.
- Sichern Sie den BitLocker-Wiederherstellungsschlüssel des Geräts, indem Sie ihn unter dem Konto speichern, das für Microsoft Entra Beitritt zum Gerät verwendet wurde. Details hierzu finden Sie unter Speichern des BitLocker-Schlüssels.
Automatische Registrierung über Microsoft Entra Join
Surface Hub unterstützt jetzt die Möglichkeit, sich automatisch bei Intune zu registrieren, indem das Gerät mit Microsoft Entra ID verknüpft wird.
Weitere Informationen finden Sie unter Einrichten der Registrierung für Windows-Geräte.
Welche Option sollte ausgewählt werden?
Wenn Ihr organization Active Directory oder Microsoft Entra ID verwendet, empfiehlt es sich, entweder eine Domänenbeitritts- oder Microsoft Entra-Einbindung zu verwenden, hauptsächlich aus Sicherheitsgründen. Personen können Einstellungen mit ihren eigenen Anmeldeinformationen authentifizieren und entsperren und in die Sicherheitsgruppen verschoben werden, die Ihrer Domäne zugeordnet sind.
| Option | Anforderungen | Welche Anmeldeinformationen können für den Zugriff auf die Einstellungs-App verwendet werden? |
|---|---|---|
| Erstellen eines lokalen Administratorkontos | Keine | Der Benutzername und das Kennwort, die bei der ersten Ausführung angegeben wurden |
| Domänenbeitritt zu Active Directory (AD) | Ihre Organisation verwendet AD | Jeder AD-Benutzer aus einer angegebenen Sicherheitsgruppe in Ihrer Domäne |
| Microsoft Entra das Gerät einbinden | Ihr organization verwendet Microsoft Entra Basic | Nur globale Administratoren |
| Ihr organization verwendet Microsoft Entra ID P1 oder P2 oder Enterprise Mobility Suite (EMS) | Globale Administratoren und zusätzliche Administratoren |
Konfigurieren von nicht globalen Admin-Konten auf Microsoft Entra verbundenen Geräten
Für Surface Hub v1- und Surface Hub 2S-Geräte, die mit Microsoft Entra ID verknüpft sind, können Sie mit Windows 10 Team Update 2020 Administratorberechtigungen auf die Verwaltung der App "Einstellungen" auf Surface Hub beschränken. Auf diese Weise können Sie Administratorberechtigungen nur für Surface Hub festlegen und potenziell unerwünschten Administratorzugriff auf eine gesamte Microsoft Entra Domäne verhindern. Weitere Informationen finden Sie unter Konfigurieren von nicht globalen Admin-Konten auf Surface Hub.