Vorbereiten der Umgebung für Surface Hub
Auf dieser Seite werden Abhängigkeiten zum Einrichten und Verwalten von Surface Hub v1 oder Surface Hub 2S beschrieben.
Tipp
Als Ergänzung zu diesem Artikel empfehlen wir, den Leitfaden für die automatisierte Einrichtung von Surface Hub- und Microsoft Teams-Räumen zu verwenden, wenn Sie beim Microsoft 365 Admin Center angemeldet sind. In diesem Leitfaden wird Ihre Benutzererfahrung basierend auf Ihrer Umgebung angepasst. Wenn Sie in Exchange Online gehostet werden und Microsoft Teams verwenden, wird im Leitfaden automatisch Ihr Gerätekonto mit den richtigen Einstellungen erstellt. Oder verwenden Sie es, um vorhandene Ressourcenkonten zu überprüfen, um sie in kompatible Surface Hub-Gerätekonten umzuwandeln. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum M365-Setupportal.
Infrastrukturabhängigkeiten
Überprüfen Sie diese Abhängigkeiten, um sicherzustellen, dass die Surface Hub-Features in Ihrer IT-Infrastruktur funktionieren.
| Abhängigkeit | Beschreibung | Weitere Informationen |
|---|---|---|
| Lokale Dienste und Active Directory oder M365 | Surface Hub verwendet ein Active Directory- oder Microsoft Entra-Konto (als Gerätekonto bezeichnet), um auf Exchange- und Teams-Dienste (oder Skype for Business) zuzugreifen. Der Surface Hub muss in der Lage sein, eine Verbindung mit Ihrem Active Directory-Domänencontroller oder Ihrem Microsoft Entra-Mandanten herzustellen, um die Anmeldeinformationen des Gerätekontos zu überprüfen und auf Informationen wie Anzeigename, Alias, Exchange-Server und SIP-Adresse (Session Initiation Protocol) des Gerätekontos zuzugreifen. HINWEIS: Surface Hubs funktionieren mit Microsoft Teams, Skype for Business Server 2019, Skype for Business Server 2015 oder Skype for Business Online. Frühere Plattformen wie Lync Server 2013 werden nicht unterstützt. Surface Hubs werden in GCC DoD-Umgebungen nicht unterstützt. |
Microsoft 365-Endpunkte Erstellen und Testen eines Gerätekontos |
| Windows Update, Store und Diagnose | Zugriff auf Windows Update oder Windows Update for Business ist erforderlich, um Surface Hub mit Betriebssystemfeatures und Qualitätsupdates zu verwalten. Der Zugriff auf den Microsoft Store ist erforderlich, um Apps zu verwalten. |
Verwalten von Verbindungsendpunkten für Windows 10 Enterprise, Version 20H2 Verwalten von Windows-Updates auf Surface Hub |
| Lösung für die Verwaltung mobiler Geräte (MDM) (Microsoft Intune, Microsoft Endpoint Configuration Manager oder unterstützter MDM-Drittanbieter) | Wenn Sie Einstellungen anwenden und Apps remote und auf mehrere Geräte gleichzeitig installieren möchten, müssen Sie eine MDM-Lösung einrichten und das Gerät für diese Lösung registrieren. |
Netzwerkendpunkte für Microsoft Intune Verwalten von Einstellungen mithilfe eines MDM-Anbieters |
| Azure Monitor | Azure Monitor kann verwendet werden, um die Integrität von Surface Hub-Geräten zu überwachen. HINWEIS: Surface Hubs unterstützen derzeit nicht die Verwendung eines Proxyservers für die Kommunikation mit dem log Analytics-Dienst, der von Azure Monitor verwendet wird. |
Log Analytics-Endpunkte Überwachen Sie Surface Hubs mit Azure Monitor, um deren Integrität nachzuverfolgen. |
| Netzwerkzugriff | Surface Hubs unterstützen sowohl kabelgebundene als auch drahtlose Verbindungen (eine kabelgebundene Verbindung wird bevorzugt). 802.1X-Authentifizierung In Windows 10 Team 20H2 ist die 802.1X-Authentifizierung für kabelgebundene und drahtlose Verbindungen zwar standardmäßig aktiviert, Sie müssen jedoch sicherstellen, dass auf Surface Hub auch ein 802.1x-Netzwerkprofil und ein Authentifizierungszertifikat installiert sind. Wenn Sie Surface Hub mit Intune oder einer anderen Lösung für die Verwaltung mobiler Geräte verwalten, können Sie das Zertifikat mithilfe des CSP ClientCertificateInstall bereitstellen. Andernfalls können Sie ein Bereitstellungspaket erstellen und es während des Setups der ersten Ausführung oder mithilfe der App "Einstellungen" installieren. Wenn das Zertifikat angewendet wird, beginnt die 802.1X-Authentifizierung automatisch. Dynamische IP-Adresse Surface Hubs können nicht für die Verwendung einer statischen IP-Adresse konfiguriert werden. Ihnen muss über DHCP eine IP-Adresse zugewiesen werden. Anschlüsse Der Surface Hub erfordert die folgenden offenen Anschlüsse: HTTPS: 443 HTTP: 80 NTP: 123 |
Aktivieren der kabelgebundenen 802.1x-Authentifizierung Erstellen von Bereitstellungspaketen für Surface Hub |
Gerätezugehörigkeit
Verwenden Sie die Gerätezugehörigkeit, um den Benutzerzugriff auf die App "Einstellungen" auf Surface Hub zu verwalten. Mit dem Windows 10 Team-Betriebssystem (das auf Surface Hub ausgeführt wird) können nur autorisierte Benutzer Einstellungen über die Einstellungs-App anpassen. Da sich die Auswahl der Zugehörigkeit auf die Featureverfügbarkeit auswirken kann, sollten Sie entsprechend planen, um sicherzustellen, dass Benutzer wie beabsichtigt auf Features zugreifen können.
Hinweis
Sie können die Gerätezugehörigkeit nur während der ersten Einrichtung der Out-of-Box-Erfahrung (OOBE) festlegen. Wenn Sie die Gerätezugehörigkeit zurücksetzen müssen, müssen Sie die OOBE-Einrichtung wiederholen.
Keine Zugehörigkeit
Keine Zugehörigkeit ist so, als hätte Surface Hub in einer Arbeitsgruppe mit einem anderen lokalen Administratorkonto auf jedem Surface Hub. Wenn Sie Keine Zugehörigkeit auswählen, müssen Sie den BitLocker-Schlüssel lokal auf einem USB-Stick speichern. Sie können das Gerät weiterhin bei Intune registrieren. Allerdings kann nur der lokale Administrator mithilfe der während der OOBE konfigurierten Kontoanmeldeinformationen auf die Einstellungs-App zugreifen. Sie können das Administratorkontokennwort in der App "Einstellungen" ändern.
Active Directory Domain Services
Wenn Sie Surface Hub mit lokalen Active Directory Domain Services verpartnern, müssen Sie den Zugriff auf die Einstellungs-App mithilfe einer Sicherheitsgruppe in Ihrer Domäne verwalten. Dadurch wird sichergestellt, dass alle Mitglieder der Sicherheitsgruppe über Berechtigungen zum Ändern von Einstellungen auf Surface Hub verfügen. Beachten Sie außerdem Folgendes: Wenn Surface Hub mit Ihren lokalen Active Directory-Domänendiensten verknüpft ist, kann der BitLocker-Schlüssel im Active Directory-Schema gespeichert werden. Weitere Informationen finden Sie im BitLocker-Planungshandbuch.
Die vertrauenswürdigen Stammzertifizierungsstellen Ihrer Organisation werden in denselben Container in Surface Hub gepusht, was bedeutet, dass Sie sie nicht mithilfe eines Bereitstellungspakets importieren müssen.
Sie können das Gerät weiterhin bei Intune registrieren, um die Einstellungen auf Ihrem Surface Hub zentral zu verwalten.
Microsoft Entra ID
Wenn Sie Ihr Surface Hub mit der Microsoft Entra-ID verpartnern möchten, kann sich jeder Benutzer mit der Rolle "Globaler Administrator" bei der App "Einstellungen" auf Surface Hub anmelden. Sie können auch Nicht-globale Administratorkonten konfigurieren, die berechtigungen auf die Verwaltung der Einstellungs-App auf Surface Hub beschränken. Dadurch können Sie Administratorberechtigungen nur für Surface Hubs festlegen und potenziell unerwünschten Administratorzugriff für eine gesamte Microsoft Entra-Domäne verhindern.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können. Weitere Informationen finden Sie in der empfohlenen Anleitung unter Konfigurieren von nicht globalen Administratorkonten auf Surface Hub.
Hinweis
Surface Hub-Administratorkonten können sich nur bei der Einstellungs-App anmelden, wenn sie sich über die Microsoft Entra-ID authentifizieren. Verbundidentitätsanbieter (IdPs) von Drittanbietern werden nicht unterstützt.
Wenn Sie die automatische Intune-Registrierung für Ihre Organisation aktiviert haben, registriert sich der Surface Hub automatisch bei Intune. In diesem Szenario muss das Konto, das während des Setups für die Microsoft Entra-Zugehörigkeit verwendet wird, für Intune lizenziert sein und über Berechtigungen zum Registrieren von Windows-Geräten verfügen. Nach Abschluss des Setupvorgangs wird der BitLocker-Schlüssel des Geräts automatisch in microsoft Entra ID gespeichert.
Weitere Informationen zum Verwalten von Surface Hub mit Microsoft Entra ID finden Sie unter:
Lesen und Abschließen des Surface Hub-Setup-Arbeitsblatts (optional)
Im Programm für die Erstausführung für Surface Hub müssen Sie einige Informationen bereitstellen. Im Setup-Arbeitsblatt sind diese Informationen zusammengefasst. Darüber hinaus enthält es Listen mit umgebungsspezifischen Infos, die Sie beim Durchlaufen des Programms für die Erstausführung benötigen. Weitere Informationen finden Sie unter Setup-Arbeitsblatt.