Gestione dei gruppi di amministrazione per Surface Hub
Tutti i dispositivi Surface Hub possono essere configurati localmente usando l'app Impostazioni nel dispositivo. Per impedire agli utenti non autorizzati di modificare le impostazioni, l'app Impostazioni richiede credenziali di amministratore per aprire l'app.
Gestione del gruppo amministratori
È possibile configurare gli account amministratore per il dispositivo nei modi seguenti:
- Creare un account amministratore locale
- Aggiungere il dispositivo ad Active Directory
- Microsoft Entra si unisce al dispositivo
- Configurare account amministratore non globali nei dispositivi aggiunti a Microsoft Entra (Surface Hub 2S)
Creare un account amministratore locale
Per creare un amministratore locale, scegli di usare un amministratore locale durante la prima esecuzione. In questo modo viene creato un singolo account amministratore locale in Surface Hub con il nome utente e la password di propria scelta. Usa queste credenziali per aprire l'app Impostazioni.
Si noti che le informazioni sull'account amministratore locale non sono supportate da alcun servizio directory. È consigliabile scegliere un amministratore locale solo se il dispositivo non ha accesso ad Active Directory (AD) o a Microsoft Entra ID. Se decidi di modificare la password dell'amministratore locale, puoi farlo in Impostazioni. Tuttavia, se si vuole passare dall'uso dell'account amministratore locale all'uso di un gruppo del dominio o del tenant di Microsoft Entra, è necessario reimpostare il dispositivo e passare di nuovo al programma per la prima volta.
Aggiungere il dispositivo ad Active Directory
È possibile aggiungere Surface Hub al dominio di Active Directory per consentire agli utenti di un gruppo di sicurezza specificato di configurare le impostazioni. Durante la prima esecuzione, scegli di usare Servizi di dominio Active Directory. È necessario fornire credenziali in grado di aggiungere il dominio di propria scelta e il nome di un gruppo di sicurezza esistente. Chiunque appartenga al gruppo di sicurezza può immettere le proprie credenziali e sbloccare Impostazioni.
Cosa accade quando il dominio si aggiunge a Surface Hub?
L'aggiunta al dominio dei dispositivi Surface Hub consente di:
- Concedere diritti amministrativi ai membri di uno specifico gruppo di sicurezza di AD.
- Eseguire il backup della chiave di ripristino BitLocker del dispositivo archiviandola nell'oggetto computer in Active Directory. Per altri dettagli, vedi Salvare la chiave BitLocker.
- Sincronizzare l'orologio di sistema con il controller di dominio per comunicazioni crittografate
Surface Hub non supporta l'applicazione di Criteri di gruppo o certificati dal controller di dominio.
Nota
Se il dispositivo Surface Hub perde il trust con il dominio (ad esempio, se rimuovi il dispositivo Surface Hub dal dominio dopo l'aggiunta al dominio), non potrai eseguire l'autenticazione nel dispositivo e aprire Impostazioni. Se decidi di rimuovere la relazione di trust di Surface Hub con il dominio, per prima cosa reimposta il dispositivo.
Microsoft Entra si unisce al dispositivo
Puoi usare Microsoft Entra ID per partecipare a Surface Hub per consentire ai professionisti IT del tenant di Microsoft Entra di configurare le impostazioni. Durante la prima esecuzione, scegliere di usare l'ID Microsoft Entra. È necessario fornire credenziali in grado di partecipare al tenant di Microsoft Entra di propria scelta. Dopo aver completato l'iscrizione a Microsoft Entra, agli utenti appropriati verranno concessi i diritti di amministratore nel dispositivo.
Per impostazione predefinita, a tutti gli amministratori globali vengono concessi i diritti di amministratore in un Surface Hub aggiunto a Microsoft Entra.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente. Per altre informazioni, vedere le indicazioni consigliate in Configurare account di amministrazione non globali in Surface Hub.
È possibile aggiungere altri amministratori come descritto in dettaglio in questa pagina.
Cosa accade quando microsoft entra a far parte di Surface Hub?
Surface Hubs usa l'aggiunta a Microsoft Entra per:
- Concedere i diritti di amministratore agli utenti appropriati nel tenant di Microsoft Entra.
- Eseguire il backup della chiave di ripristino BitLocker del dispositivo archiviandola nell'account usato per aggiungere Microsoft Entra al dispositivo. Per altri dettagli, vedi Salvare la chiave BitLocker.
Registrazione automatica tramite l'aggiunta a Microsoft Entra
Surface Hub ora supporta la possibilità di registrarsi automaticamente in Intune aggiungendo il dispositivo a Microsoft Entra ID.
Per altre informazioni, vedere Configurare la registrazione per i dispositivi Windows.
Quale opzione scegliere?
Se l'organizzazione usa Active Directory o Microsoft Entra ID, è consigliabile aggiungere a un dominio o a Microsoft Entra, principalmente per motivi di sicurezza. Gli utenti possono autenticare e sbloccare le impostazioni con le proprie credenziali e possono essere spostati all'interno o all'esterno dei gruppi di sicurezza associati al dominio.
| Opzione | Requisiti | Quali credenziali possono essere usate per accedere all'app Impostazioni? |
|---|---|---|
| Creare un account amministratore locale | Nessuno | Il nome utente e la password specificati durante la prima esecuzione |
| Aggiungere il dispositivo a un dominio Active Directory (AD) | L'organizzazione deve usare AD | Qualsiasi utente AD di uno specifico gruppo di sicurezza del dominio |
| Microsoft Entra si unisce al dispositivo | L'organizzazione usa Microsoft Entra Basic | Solo amministratori globali |
| L'organizzazione usa Microsoft Entra ID P1 o P2 o Enterprise Mobility Suite (EMS) | Amministratori globali e amministratori aggiuntivi |
Configurare account amministratore non globali nei dispositivi aggiunti a Microsoft Entra
Per i dispositivi Surface Hub v1 e Surface Hub 2S aggiunti a Microsoft Entra ID, Windows 10 Team 2020 Update consente di limitare le autorizzazioni di amministratore alla gestione dell'app Impostazioni in Surface Hub. In questo modo è possibile definire l'ambito delle autorizzazioni di amministratore solo per Surface Hub e impedire l'accesso amministratore potenzialmente indesiderato a un intero dominio di Microsoft Entra. Per altre informazioni, vedere Configurare account di amministrazione non globali in Surface Hub.