Konfigurieren von nicht globalen Admin-Konten auf Surface Hub

  • Artikel
  • Gilt für:
    Surface Hub, Surface Hub 2S

Das Windows 10 Team 2020 Update bietet Unterstützung für die Konfiguration von Konten ohne globale Admin, die Berechtigungen auf die Verwaltung der Einstellungs-App auf Surface Hub-Geräten beschränken, die mit einer Microsoft Entra Domäne verknüpft sind. Auf diese Weise können Sie Administratorberechtigungen nur für Surface Hub festlegen und potenziell unerwünschten Administratorzugriff für eine gesamte Microsoft Entra Domäne verhindern.

Windows 10 Team 2020 Update 2 fügt Unterstützung für LocalUsersAndGroups CSP hinzu. Dies ist jetzt der empfohlene CSP; RestrictedGroups CSP wird weiterhin unterstützt, ist aber veraltet.

Hinweis

Bevor Sie beginnen, stellen Sie sicher, dass Ihr Surface Hub Microsoft Entra eingebunden ist und automatisch registriert Intune. Andernfalls müssen Sie den Surface Hub zurücksetzen und das erstmalige, sofort einsatzbereite Setup (OOBE) erneut abschließen. Wählen Sie dabei die Option zum Beitreten Microsoft Entra ID aus. Nur Konten, die sich über Microsoft Entra ID authentifizieren, werden mit der nicht globalen Admin-Richtlinienkonfiguration unterstützt.

Zusammenfassung

Der Prozess zum Erstellen von Konten ohne globale Admin umfasst die folgenden Schritte:

  1. Erstellen Sie in Microsoft Intune eine Sicherheitsgruppe mit den Administratoren, die für die Verwaltung von Surface Hub bestimmt sind.
  2. Abrufen Microsoft Entra Gruppen-SID mithilfe von PowerShell.
  3. Erstellen Sie eine XML-Datei, die Microsoft Entra Gruppen-SID enthält.
  4. Erstellen Sie eine Sicherheitsgruppe mit den Surface Hub-Geräten, die von der Sicherheitsgruppe "Nicht-Globale Administratoren" verwaltet werden.
  5. Erstellen Sie ein benutzerdefiniertes Konfigurationsprofil für die Sicherheitsgruppe, die Ihre Surface Hub-Geräte enthält.

Erstellen Microsoft Entra Sicherheitsgruppen

Erstellen Sie zunächst eine Sicherheitsgruppe, die die Administratorkonten enthält. Erstellen Sie dann eine weitere Sicherheitsgruppe für Surface Hub-Geräte.

Erstellen einer Sicherheitsgruppe für Admin-Konten

  1. Melden Sie sich über das Microsoft Intune Admin Center bei Intune an, wählen Sie Gruppen>Neue Gruppe> und unter Gruppentyp die Option Sicherheit aus.

  2. Geben Sie einen Gruppennamen ein, z. B. Lokale Surface Hub-Administratoren , und wählen Sie dann Erstellen aus.

    Erstellen Sie eine Sicherheitsgruppe für Hubadministratoren.

  3. Öffnen Sie die Gruppe, wählen Sie Mitglieder und dann Mitglieder hinzufügen aus, um die Administratorkonten einzugeben, die Sie als nicht globale Administratoren auf Surface Hub festlegen möchten. Weitere Informationen zum Erstellen von Gruppen in Intune finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Erstellen einer Sicherheitsgruppe für Surface Hub-Geräte

  1. Wiederholen Sie das vorherige Verfahren, um eine separate Sicherheitsgruppe für Hubgeräte zu erstellen. Beispielsweise Surface Hub-Geräte.

    Erstellen sie eine Sicherheitsgruppe für Hubgeräte.

Abrufen Microsoft Entra Gruppen-SID mithilfe von PowerShell

  1. Starten Sie PowerShell mit erhöhten Kontoberechtigungen (Als Administrator ausführen), und stellen Sie sicher, dass Ihr System für die Ausführung von PowerShell-Skripts konfiguriert ist. Weitere Informationen finden Sie unter Informationen zu Ausführungsrichtlinien.

  2. Installieren Sie Azure PowerShell Modul.

  3. Melden Sie sich bei Ihrem Microsoft Entra Mandanten an.

    Connect-AzureAD

    Hinweis

    Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

    Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration.

    Beachten Sie, dass Versionen 1.0. x von MSOnline kann nach dem 30. Juni 2024 zu Einer Unterbrechung führen.

  4. Wenn Sie bei Ihrem Mandanten angemeldet sind, führen Sie das folgende Commandlet aus. Sie werden aufgefordert, die Objekt-ID Ihrer Microsoft Entra Gruppe einzugeben.

    function Convert-ObjectIdToSid
{    param([String] $ObjectId)   
     $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')

}

  5. Wählen Sie in Intune die Gruppe aus, die Sie zuvor erstellt haben, und kopieren Sie die Objekt-ID, wie in der folgenden Abbildung dargestellt.

    Kopieren Sie die Objekt-ID der Sicherheitsgruppe.

  6. Führen Sie das folgende Commandlet aus, um die SID der Sicherheitsgruppe abzurufen:

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
$Result = Convert-ObjectIdToSid $AADGroup
Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result

  7. Fügen Sie die Objekt-ID in das PowerShell-Befehlslet ein, drücken Sie die EINGABETASTE, und kopieren Sie die Microsoft Entra Gruppen-SID in einen Text-Editor.

Erstellen einer XML-Datei mit Microsoft Entra Gruppen-SID

  1. Kopieren Sie Folgendes in einen Text-Editor:

    <GroupConfiguration>
<accessgroup desc = "S-1-5-32-544">
    <group action = "U" />
    <add member = "AzureAD\bob@contoso.com"/>
    <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
</accessgroup>
</GroupConfiguration>

  2. Ersetzen Sie die Platzhalter-SID (beginnend mit S-1-12-1) durch Ihre Microsoft Entra Gruppen-SID, und speichern Sie die Datei dann als XML, z. B. Microsoft Entra ID-local-admin.xml.

    Hinweis

    Gruppen sollten zwar über ihre SID angegeben werden, aber wenn Sie Azure-Benutzer direkt hinzufügen möchten, geben Sie deren Benutzerprinzipalnamen (User Principal Names, UPNs) in folgendem Format an: <member name = "AzureAD\user@contoso.com" />

Erstellen eines benutzerdefinierten Konfigurationsprofils

  1. Wählen Sie in Endpoint Manager Geräte>Konfigurationsprofile>Profil erstellen aus.

  2. Wählen Sie unter Plattform die Option Windows 10 und höher aus. Wählen Sie unter Profil die Option Vorlagen>Benutzerdefiniertes>Erstellen aus.

  3. Fügen Sie einen Namen und eine Beschreibung hinzu, und wählen Sie dann Weiter aus.

  4. Wählen Sie unter Konfigurationseinstellungen>OMA-URI-Einstellungen die Option Hinzufügen aus.

  5. Fügen Sie im Bereich Zeile hinzufügen einen Namen und unter OMA-URI die folgende Zeichenfolge hinzu:

     ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

    Hinweis

    Mit der Richtlinieneinstellung RestrictedGroups/ConfigureGroupMembership können Sie auch Mitglieder (Benutzer oder Microsoft Entra Gruppen) für eine Windows 10 lokale Gruppe konfigurieren. Es ermöglicht jedoch nur einen vollständigen Ersatz der vorhandenen Gruppen durch die neuen Mitglieder. Elemente können nicht selektiv hinzugefügt oder entfernt werden. In Windows 10 Team Update 2020 verfügbar, empfiehlt es sich, anstelle der Richtlinieneinstellung RestrictedGroups die Richtlinieneinstellung LocalUser undGroups zu verwenden. Das Anwenden beider Richtlinieneinstellungen auf Surface Hub wird nicht unterstützt und kann zu unvorhersehbaren Ergebnissen führen.

  6. Wählen Sie unter Datentyp die Option Zeichenfolgen-XML aus, und navigieren Sie, um die XML-Datei zu öffnen, die Sie im vorherigen Schritt erstellt haben.

    Laden Sie die XML-Konfigurationsdatei des lokalen Administrators hoch.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie auf Einzuschließende Gruppen auswählen , und wählen Sie die Sicherheitsgruppe aus, die Sie zuvor erstellt haben (Surface Hub-Geräte). Klicken Sie auf Weiter.

  9. Fügen Sie unter Anwendbarkeitsregeln bei Bedarf eine Regel hinzu. Wählen Sie andernfalls Weiter und dann Erstellen aus.

Weitere Informationen zu benutzerdefinierten Konfigurationsprofilen mit OMA-URI-Zeichenfolgen finden Sie unter Verwenden von benutzerdefinierten Einstellungen für Windows 10 Geräte in Intune.

Nicht globale Administratoren, die Surface Hub verwalten

Mitglieder der neu konfigurierten Sicherheitsgruppe "Lokale Administratoren" für Surface Hub können sich jetzt bei der App "Einstellungen" auf Surface Hub anmelden und Einstellungen verwalten.

Wichtig

Sofern die Aktion Aktualisieren ("U") des CSP "LocalUsersAndGroups " nicht die einzige verwendete Konfiguration ist, wird der bereits vorhandene Zugriff globaler Administratoren auf die Einstellungs-App entfernt.