Gestion des groupes d’administrateurs pour Surface Hub
Chaque Surface Hub peut être configuré localement à l’aide de l’application Paramètres sur celui-ci. Pour empêcher les utilisateurs non autorisés de modifier les paramètres, l’application Paramètres nécessite des informations d’identification d’administrateur pour ouvrir l’application.
Administrer la gestion des groupes
Vous pouvez configurer des comptes d’administrateur pour l’appareil des manières suivantes :
- Créer un compte d’administrateur local
- Joindre le domaine à l’appareil à Active Directory
- Microsoft Entra joindre l’appareil
- Configurer des comptes d’administrateur non général sur des appareils joints à Microsoft Entra (Surface Hub 2S)
Créer un compte d’administrateur local
Pour créer un administrateur local, choisissez d’utiliser un administrateur local lors de la première utilisation. Cela crée un seul compte d’administrateur local sur le Surface Hub avec le nom d’utilisateur et le mot de passe de votre choix. Utilisez ces informations d’identification pour ouvrir l’application Paramètres.
Notez que les informations de compte d’administrateur local ne sont sauvegardées par aucun service d’annuaire. Nous vous recommandons de choisir un administrateur local uniquement si l’appareil n’a pas accès à Active Directory (AD) ou à l’ID Microsoft Entra. Si vous le souhaitez, vous pouvez modifier le mot de passe de l’administrateur local dans Paramètres. Toutefois, si vous souhaitez passer de l’utilisation du compte d’administrateur local à l’utilisation d’un groupe à partir de votre domaine ou d’un locataire Microsoft Entra, vous devez réinitialiser l’appareil et passer à nouveau par le programme de première fois.
Joindre le domaine à l’appareil à Active Directory
Vous pouvez joindre le Surface Hub à votre domaine AD pour permettre aux utilisateurs d’un groupe de sécurité spécifié de configurer les paramètres. Lors de la première utilisation, choisissez d’utiliser Active Directory Domain Services. Vous devez fournir des informations d’identification capables de joindre le domaine de votre choix, ainsi que le nom d’un groupe de sécurité existant. Tout utilisateur membre de ce groupe de sécurité peut entrer ses informations d’identification et déverrouiller l’application Paramètres.
Que se passe-t-il lorsque votre domaine rejoint votre Surface Hub ?
Les Surface Hub utilisent la jonction de domaine pour :
- Accorder des droits d’administrateur aux membres d’un groupe de sécurité spécifié dans Active Directory.
- Sauvegardez la clé de récupération BitLocker de l’appareil en la stockant sous l’objet ordinateur dans AD. Pour plus d’informations, voir Enregistrer la clé BitLocker.
- Synchroniser l’horloge système avec le contrôleur de domaine pour la communication chiffrée
Le Surface Hub ne prend pas en charge l’application d’une stratégie de groupe ou de certificats à partir du contrôleur de domaine.
Remarque
Si votre Surface Hub perd son approbation auprès du domaine (par exemple, si vous supprimez le Surface Hub du domaine une fois qu’il est joint au domaine), vous ne serez pas en mesure de vous authentifier sur l’appareil et d’ouvrir l’application Paramètres. Si vous décidez de supprimer la relation d’approbation du Surface Hub avec votre domaine, commencez par réinitialiser l’appareil.
Microsoft Entra joindre l’appareil
Vous pouvez utiliser l’ID Microsoft Entra pour rejoindre le Surface Hub afin de permettre aux professionnels de l’informatique de votre locataire Microsoft Entra de configurer les paramètres. Lors de la première exécution, choisissez d’utiliser l’ID Microsoft Entra. Vous devez fournir des informations d’identification capables de rejoindre le locataire Microsoft Entra de votre choix. Une fois que vous avez rejoint Microsoft Entra, les personnes appropriées se voient accorder des droits d’administrateur sur l’appareil.
Par défaut, tous les administrateurs généraux disposent de droits d’administrateur sur un Surface Hub joint à Microsoft Entra.
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant. Pour plus d’informations, consultez les conseils recommandés dans Configurer des comptes d’administrateur non général sur Surface Hub.
Vous pouvez ajouter des administrateurs supplémentaires comme indiqué dans cette page.
Que se passe-t-il lorsque microsoft Entra rejoint votre Surface Hub ?
Les Surface Hubs utilisent la jointure Microsoft Entra pour :
- Accordez des droits d’administrateur aux utilisateurs appropriés dans votre locataire Microsoft Entra.
- Sauvegardez la clé de récupération BitLocker de l’appareil en la stockant sous le compte utilisé pour joindre l’appareil à Microsoft Entra. Pour plus d’informations, voir Enregistrer la clé BitLocker.
Inscription automatique via la jonction Microsoft Entra
Surface Hub prend désormais en charge la possibilité de s’inscrire automatiquement dans Intune en joignant l’appareil à l’ID Microsoft Entra.
Pour plus d’informations, consultez Configurer l’inscription pour les appareils Windows.
Que choisir ?
Si votre organisation utilise l’ID Active Directory ou Microsoft Entra, nous vous recommandons de joindre un domaine ou de joindre Microsoft Entra, principalement pour des raisons de sécurité. Les utilisateurs peuvent s’authentifier et déverrouiller les paramètres avec leurs propres informations d’identification, et peuvent être déplacés dans ou hors des groupes de sécurité associés à votre domaine.
Option | Conditions requises | Informations d’identification pouvant être utilisées pour accéder à l’application Paramètres |
---|---|---|
Créer un compte d’administrateur local | Aucune | Nom d’utilisateur et mot de passe spécifiés lors de la première utilisation |
Joindre l’appareil à un domaine Active Directory (AD) | Votre organisation utilise AD | Tout utilisateur AD d’un groupe de sécurité spécifique de votre domaine |
Microsoft Entra joindre l’appareil | Votre organisation utilise Microsoft Entra Basic | Administrateurs généraux uniquement |
Votre organisation utilise l’ID Microsoft Entra P1 ou P2 ou Enterprise Mobility Suite (EMS) | Administrateurs globaux et supplémentaires |
Configurer des comptes d’administrateur non général sur des appareils joints à Microsoft Entra
Pour les appareils Surface Hub v1 et Surface Hub 2S joints à l’ID Microsoft Entra, Windows 10 Team 2020 Update vous permet de limiter les autorisations d’administrateur à la gestion de l’application Paramètres sur Surface Hub. Cela vous permet d’étendre les autorisations d’administrateur pour Surface Hub uniquement et d’empêcher l’accès administrateur potentiellement indésirable à un domaine Microsoft Entra entier. Pour plus d’informations, consultez Configurer des comptes non administrateur général sur Surface Hub.