Préparer votre environnement pour Microsoft Surface Hub

Cette page décrit les dépendances de configuration et de gestion Surface Hub v1 ou Surface Hub 2S.

Dépendances d’infrastructure

Passez en revue ces dépendances pour vous assurer que les fonctionnalités du SurfaceHub fonctionnent dans votre infrastructure informatique.

Dépendance Description En savoir plus
Services locaux et Active Directory ou M365 Surface Hub utilise un compte Active Directory ou Azure AD (appelé compte d’appareil) pour accéder aux services Exchange et Teams (ou Skype Entreprise). Le SurfaceHub doit être en mesure de se connecter au contrôleur de domaine ActiveDirectory ou à votre client AzureAD pour valider les informations d’identification du compte d’appareil, et pour accéder à des informations telles que le nom complet du compte d’appareil, l’alias, le serveur Exchange et l’adresse SIP.

REMARQUE : Les Surface Hubs fonctionnent avec Microsoft Teams, Skype Entreprise Server 2019, Skype Entreprise Server 2015 ou Skype Entreprise Online. Les plateformes antérieures, telles que Lync Server 2013, ne sont pas prises en charge. Les Surface Hubs ne sont pas pris en charge dans les environnements DoD Cloud de la communauté du secteur public.
points de terminaison Microsoft 365

Créer et tester un compte d’appareil
Windows Update, magasin et diagnostics L’accès à Windows Update ou Windows Update entreprise est nécessaire pour maintenir Surface Hub avec les mises à jour de qualité et de fonctionnalités du système d’exploitation. L’accès au Microsoft Store est nécessaire pour gérer les applications. Gérer les points de terminaison de connexion pour Windows 10 Entreprise, version 20H2

Gérer les mises à jourWindows sur SurfaceHub
Solution de gestion des appareils mobiles (Microsoft Intune, Microsoft Endpoint Configuration Manager ou fournisseur MDM tiers pris en charge) Si vous souhaitez appliquer des paramètres et installer des applications à distance et sur plusieurs appareils à la fois, vous devez configurer une solution GPM et inscrire l’appareil à cette solution. Points de terminaison réseau pour Microsoft Intune

Gérer les paramètres avec un fournisseur GPM
Azure Monitor Azure Monitor peut être utilisé pour surveiller l’intégrité des appareils Surface Hub.

REMARQUE : Les Surface Hubs ne prennent actuellement pas en charge l’utilisation d’un serveur proxy pour communiquer avec le service Log Analytics utilisé par Azure Monitor.
Points de terminaison Log Analytics

Surveillez surface Hubs avec Azure Monitor pour suivre leur intégrité.
Accès réseau Les Surface Hubs prennent en charge les connexions câblées ou sans fil (une connexion câblée est recommandée).

Authentification 802.1X
Dans Windows 10 Collaboration 20H2, bien que l’authentification 802.1X pour les connexions câblées et sans fil soit activée par défaut, vous devez vous assurer qu’un profil réseau 802.1x et un certificat d’authentification sont également installés sur Surface Hub. Si vous gérez Surface Hub avec Intune ou une autre solution de gestion des appareils mobiles, vous pouvez remettre le certificat à l’aide du fournisseur de solutions Cloud ClientCertificateInstall. Sinon, vous pouvez créer un package d’approvisionnement et l’installer lors de l’installation de la première exécution ou à l’aide de l’application Paramètres. Lorsque le certificat est appliqué, l’authentification 802.1X commence automatiquement.

Adresse IP dynamique
Les Surface Hubs ne peuvent pas être configurés pour utiliser une adresse IP statique. Une adresse IP doit leur être attribuée via DHCP.

Ports
La Surface Hub nécessite les ports ouverts suivants :

HTTPS: 443
HTTP: 80
NTP: 123
Activer l'authentification câblée 802.1x

Créer des packages d’approvisionnement pour Surface Hub

Affiliation d’appareil

Utilisez l’affiliation d’appareil pour gérer l’accès utilisateur à l’application Paramètres sur Surface Hub. Avec le système d’exploitation Windows 10 Collaboration (qui s’exécute sur Surface Hub), seuls les utilisateurs autorisés peuvent ajuster les paramètres à l’aide de l’application Paramètres. Étant donné que le choix de l’affiliation peut avoir un impact sur la disponibilité des fonctionnalités, planifiez correctement pour vous assurer que les utilisateurs peuvent accéder aux fonctionnalités comme prévu.

Notes

Vous ne pouvez définir l’affiliation d’appareil que lors de la configuration initiale de l’expérience OOBE (Out-of-Box Experience). Si vous devez réinitialiser l’affiliation de l’appareil, vous devez répéter la configuration OOBE.

Aucune affiliation

Aucune affiliation n’équivaut à avoir Surface Hub dans un groupe de travail avec un compte Administrateur local différent sur chaque Surface Hub. Si vous choisissez Aucune affiliation, vous devez enregistrer localement la clé BitLocker sur un lecteur USB. Vous pouvez toujours inscrire l’appareil avec Intune ; toutefois, seul l’administrateur local peut accéder à l’application Paramètres à l’aide des informations d’identification de compte configurées pendant OOBE. Vous pouvez modifier le mot de passe du compte Administrateur à partir de l’application Paramètres.

Services de domaine Active Directory

Si vous affilié Surface Hub avec Active Directory local Domain Services, vous devez gérer l’accès à l’application Paramètres à l’aide d’un groupe de sécurité sur votre domaine. Cela permet de s’assurer que tous les membres du groupe de sécurité disposent des autorisations nécessaires pour modifier les paramètres sur Surface Hub. Notez également les points suivants : lorsque Surface Hub des affiliés avec votre Active Directory local Domain Services, la clé BitLocker peut être enregistrée dans le schéma Active Directory. Pour plus d’informations, consultez Préparer votre organisation pour BitLocker : Planification et stratégies.

Les autorités de certification racines approuvées de votre organisation sont envoyées au même conteneur dans Surface Hub, ce qui signifie que vous n’avez pas besoin de les importer à l’aide d’un package d’approvisionnement.

Vous pouvez toujours inscrire l’appareil avec Intune pour gérer de manière centralisée les paramètres de votre Surface Hub.

Azure Active Directory

Lorsque vous choisissez d’associer votre Surface Hub à Azure Active Directory (Azure AD), tout utilisateur ayant le rôle Administrateur général peut se connecter à l’application Paramètres sur Surface Hub. Vous pouvez également configurer des comptes d’administrateur non généraux qui limitent les autorisations de gestion de l’application Paramètres sur Surface Hub. Cela vous permet d’étendre uniquement les autorisations d’administrateur pour les Surface Hubs et d’empêcher l’accès administrateur potentiellement indésirable sur l’ensemble d’un domaine Azure AD.

Notes

Surface Hub comptes d’administrateur peuvent uniquement se connecter à l’application Paramètres lors de l’authentification via Azure AD. Les fournisseurs d’identité fédérés tiers ne sont pas pris en charge.

Si vous avez activé Intune’inscription automatique pour votre organisation, le Surface Hub s’inscrit automatiquement auprès de Intune . Dans ce scénario, le compte utilisé pour l’affiliation Azure AD lors de l’installation doit être sous licence pour Intune et disposer des autorisations nécessaires pour inscrire Windows appareils. Une fois le processus d’installation terminé, la clé BitLocker de l’appareil est automatiquement enregistrée dans Azure AD.

Pour en savoir plus sur la gestion des Surface Hub avec Azure AD, consultez :

Passer en revue et remplir la fiche d’installation SurfaceHub (facultatif)

Lorsque vous accédez au programme de première utilisation pour votre SurfaceHub, vous devez fournit certaines informations. La fiche d’installation récapitule ces informations et fournit des listes d’informations spécifiques à l’environnement dont vous avez besoin pour accéder au programme de première utilisation. Pour plus d’informations, voir Fiche d’installation.