Administración de grupos de administración para Surface Hub
Cada Surface Hub se puede configurar localmente mediante la aplicación Configuración en el dispositivo. Para impedir que usuarios no autorizados cambien la configuración, la aplicación Configuración requiere credenciales de administrador para abrir la aplicación.
Administración del grupo de administradores
Puede configurar cuentas de administrador para el dispositivo de las siguientes maneras:
- Crear una cuenta de administrador local
- Unión del dominio del dispositivo a Active Directory
- Microsoft Entra unirse al dispositivo
- Configurar cuentas de administrador no globales en dispositivos unidos a Microsoft Entra (Surface Hub 2S)
Crear una cuenta de administrador local
Para crear un administrador local, elige usar un administrador local durante la primera ejecución. Esto crea una sola cuenta de administrador local en Surface Hub con el nombre de usuario y la contraseña que prefieras. Usa estas credenciales para abrir la aplicación Configuración.
Tenga en cuenta que la información de la cuenta de administrador local no está respaldada por ningún servicio de directorio. Se recomienda elegir solo un administrador local si el dispositivo no tiene acceso a Active Directory (AD) o a Microsoft Entra ID. Si decides cambiar la contraseña del administrador local, puedes hacerlo en Configuración. Sin embargo, si desea cambiar de usar la cuenta de administrador local a usar un grupo de su dominio o inquilino de Microsoft Entra, debe restablecer el dispositivo y volver a pasar por el programa por primera vez.
Unión del dominio del dispositivo a Active Directory
Puedes unir Surface Hub al dominio de AD para permitir que los usuarios de un grupo de seguridad especificado configuren la configuración. Durante la primera ejecución, elige usar los servicios de dominio de Active Directory. Debe proporcionar credenciales que sean capaces de unir el dominio que prefiera y el nombre de un grupo de seguridad existente. Cualquier persona que sea miembro de ese grupo de seguridad puede escribir sus credenciales y desbloquear Configuración.
¿Qué ocurre cuando tu dominio se une a Surface Hub?
Los Surface Hubs usan unión a un dominio para:
- Conceder derechos de administrador a los miembros de un grupo de seguridad especificado en AD.
- Realice una copia de seguridad de la clave de recuperación de BitLocker del dispositivo almacenándola en el objeto de equipo en AD. Consulta Guardar la clave de BitLocker para obtener más información.
- Sincronizar el reloj del sistema con el controlador de dominio para la comunicación cifrada
Surface Hub no admite la aplicación de directivas de grupo ni certificados desde el controlador de dominio.
Nota
Si el Surface Hub pierde confianza en el dominio (por ejemplo, si se quita el Surface Hub del dominio cuando esté unido a este), no podrás autenticarte en el dispositivo ni abrir Configuración. Si decides quitar la relación de confianza entre el Surface Hub y tu dominio, restablece el dispositivo en primer lugar.
Microsoft Entra unirse al dispositivo
Puedes usar Microsoft Entra ID para unirte a Surface Hub con el fin de permitir que los profesionales de TI de tu inquilino de Microsoft Entra configuren la configuración. Durante la primera ejecución, elija usar Microsoft Entra ID. Debe proporcionar credenciales que sean capaces de unirse al inquilino de Microsoft Entra que prefiera. Después de unirte correctamente a Microsoft Entra, se concederán derechos de administrador a las personas adecuadas en el dispositivo.
De forma predeterminada, a todos los administradores globales se les conceden derechos de administrador en un Surface Hub unido a Microsoft Entra.
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente. Para obtener más información, consulta las instrucciones recomendadas en Configuración de cuentas de administrador no globales en Surface Hub.
Puede agregar administradores adicionales como se detalla en esta página.
¿Qué ocurre cuando Microsoft Entra se une a Surface Hub?
Surface Hubs usa la combinación de Microsoft Entra para:
- Conceda derechos de administrador a los usuarios adecuados en el inquilino de Microsoft Entra.
- Realice una copia de seguridad de la clave de recuperación de BitLocker del dispositivo almacenándola en la cuenta que se usó para unir el dispositivo a Microsoft Entra. Consulta Guardar la clave de BitLocker para obtener más información.
Inscripción automática mediante la unión a Microsoft Entra
Surface Hub ahora admite la capacidad de inscribirse automáticamente en Intune uniendo el dispositivo a Microsoft Entra ID.
Para obtener más información, vea Configurar la inscripción para dispositivos Windows.
¿Cuál debo elegir?
Si su organización usa Active Directory o Microsoft Entra ID, se recomienda unirse a un dominio o a Microsoft Entra, principalmente por motivos de seguridad. Las personas pueden autenticarse y desbloquear la configuración con sus propias credenciales, y se pueden mover dentro o fuera de los grupos de seguridad asociados a su dominio.
| Opción | Requisitos | ¿Qué credenciales se pueden usar para acceder a la aplicación Configuración? |
|---|---|---|
| Crear una cuenta de administrador local | Ninguna | El nombre de usuario y contraseña especificados durante la primera ejecución |
| Unión a un dominio de Active Directory (AD) | Tu organización usa AD | Cualquier usuario de AD de un grupo de seguridad específico de tu dominio |
| Microsoft Entra unirse al dispositivo | Su organización usa Microsoft Entra Basic | Solo los administradores globales |
| Su organización usa Microsoft Entra ID P1 o P2 o Enterprise Mobility Suite (EMS) | Los administradores globales y los administradores adicionales |
Configuración de cuentas de administrador no globales en dispositivos unidos a Microsoft Entra
En el caso de los dispositivos Surface Hub v1 y Surface Hub 2S unidos a Microsoft Entra ID, Windows 10 Team 2020 Update te permite limitar los permisos de administrador a la administración de la aplicación Configuración en Surface Hub. Esto te permite limitar los permisos de administrador solo para Surface Hub y evitar el acceso de administrador potencialmente no deseado a todo un dominio de Microsoft Entra. Para obtener más información, consulta Configurar cuentas de administrador no globales en Surface Hub.