Configurare account di Amministrazione non globali in Surface Hub

• Si applica a:

  Surface Hub, Surface Hub 2S

L'aggiornamento Windows 10 Team 2020 introduce il supporto per la configurazione di account amministratore non globali con autorizzazioni limitate per gestire solo l'app Impostazioni nei dispositivi Surface Hub aggiunti a un dominio Microsoft Entra. Ciò consente agli amministratori IT di definire l'ambito delle autorizzazioni di amministratore in modo specifico per Surface Hub, riducendo il rischio di accesso indesiderato nell'intero dominio Microsoft Entra.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Windows 10 Team 2020 Update 2 introduce il supporto per il provider di servizi di configurazione LocalUsersAndGroups, ora il metodo consigliato. Anche se il provider di servizi di configurazione RestrictedGroups rimane supportato, è deprecato.

Nota

Prima di iniziare, verificare che Surface Hub sia aggiunto a Microsoft Entra e registrato automaticamente in Intune. In caso contrario, reimpostare Surface Hub e completare la configurazione predefinita con Microsoft Entra ID. Solo gli account autenticati tramite Microsoft Entra ID possono usare configurazioni di amministratore non globali.

Riepilogo

Il processo di creazione di account Amministrazione non globali prevede i passaggi seguenti:

1. In Intune creare un gruppo di sicurezza contenente amministratori di Surface Hub designati.
2. Usare PowerShell per ottenere il SID del gruppo Microsoft Entra.
3. Creare un file XML con il SID del gruppo Microsoft Entra.
4. Creare un gruppo di sicurezza contenente i dispositivi Surface Hub gestiti dal gruppo di sicurezza degli amministratori non globali.
5. Creare un profilo di configurazione personalizzato per il gruppo di sicurezza che contiene i dispositivi Surface Hub.

Creare gruppi di sicurezza Microsoft Entra

Creare prima di tutto un gruppo di sicurezza contenente gli account amministratore. Creare quindi un altro gruppo di sicurezza per i dispositivi Surface Hub.

Creare un gruppo di sicurezza per gli account Amministrazione

1. Accedere a Intune tramite l'interfaccia di amministrazione Microsoft Intune, selezionare Gruppi>Nuovo gruppo> e in Tipo di gruppo selezionare Sicurezza.

2. Immettere un nome di gruppo, ad esempio Amministratori locali di Surface Hub, e selezionare Crea.

   

3. Aprire il gruppo, selezionare Membri e scegliere Aggiungi membri per aggiungere gli account amministratore designati. Per altre informazioni sulla creazione di gruppi in Intune, vedere Aggiungere gruppi per organizzare utenti e dispositivi.

Creare un gruppo di sicurezza per i dispositivi Surface Hub

1. Ripetere la procedura precedente per creare un gruppo di sicurezza separato per i dispositivi hub, ad esempio i dispositivi Surface Hub.

   

Ottenere Microsoft Entra SID del gruppo con PowerShell

1. Avviare PowerShell con privilegi di account elevati (Esegui come amministratore) e assicurarsi che il sistema sia configurato per l'esecuzione di script di PowerShell. Per altre informazioni, vedere Informazioni sui criteri di esecuzione.

2. Installare Azure PowerShell modulo.

3. Accedere al tenant Microsoft Entra.

   Connect-AzureAD
   

   Nota

   I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

   È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione.

   Tenere presente che le versioni 1.0. x di MSOnline potrebbe verificarsi un'interruzione dopo il 30 giugno 2024.

4. Dopo aver eseguito l'accesso al tenant, eseguire il cmdlet seguente. Viene richiesto di digitare l'ID oggetto del gruppo di Microsoft Entra.

   function Convert-ObjectIdToSid
   {    param([String] $ObjectId)   
        $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
   
   }
   

5. In Intune selezionare il gruppo creato in precedenza e copiare l'ID oggetto, come illustrato nella figura seguente.

   

6. Eseguire il cmdlet seguente per ottenere il SID del gruppo di sicurezza:

   $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
   $Result = Convert-ObjectIdToSid $AADGroup
   Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
   

7. Incollare l'ID oggetto nel cmdlet di PowerShell, premere INVIO e copiare il SID del gruppo Microsoft Entra in un editor di testo.

Creare un file XML contenente Microsoft Entra SID del gruppo

1. Copiare il codice seguente in un editor di testo:

   <GroupConfiguration>
   <accessgroup desc = "S-1-5-32-544">
       <group action = "U" />
       <add member = "AzureAD\bob@contoso.com"/>
       <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
   </accessgroup>
   </GroupConfiguration>
   

2. Sostituire il SID segnaposto (a partire da S-1-12-1) con il SID del gruppo di Microsoft Entra e quindi salvare il file come XML, ad esempio Microsoft Entra ID-local-admin.xml.

   Nota

   Gli utenti possono anche essere aggiunti direttamente usando i nomi dell'entità utente (UPN):
   <member name="AzureAD\user@contoso.com" />

Creare un profilo di configurazione personalizzato

1. In Endpoint Manager passare aProfili> di configurazione dispositivi>Crea profilo.

2. Seleziona Windows 10 e versioni successive per la piattaforma. Per il profilo scegliere Modelli>creazione personalizzata>.

3. Specificare un nome e una descrizione, quindi selezionare Avanti.

4. In Impostazioni di configurazione>Impostazioni URI OMA selezionare Aggiungi.

5. Aggiungere un nome e usare l'URI OMA seguente:

    ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
   

   Nota

   L'impostazione dei criteri RestrictedGroups/ConfigureGroupMembership consente di aggiungere o sostituire membri del gruppo locale. Tuttavia, non può aggiungere o rimuovere in modo selettivo i membri senza sostituire l'intero gruppo. Per Windows 10 Team 2020 Update 2, LocalUsersAndGroups è l'impostazione consigliata. L'applicazione di entrambe le impostazioni dei criteri a Surface Hub non è supportata e può produrre risultati imprevedibili.

6. In Tipo di dati selezionare Stringa XML e selezionare per aprire il file XML creato nel passaggio precedente.

   

7. Seleziona Salva.

8. Selezionare Seleziona gruppi da includere e scegliere il gruppo di sicurezza creato in precedenza (dispositivi Surface Hub). Selezionare Avanti.

9. In Regole di applicabilità aggiungere una regola, se necessario. In caso contrario, selezionare Avanti e quindi crea.

Per altre informazioni sui profili di configurazione personalizzati che usano stringhe URI OMA, vedere Usare impostazioni personalizzate per i dispositivi Windows 10 in Intune.

Amministratori non globali che gestiscono Surface Hub

I membri del gruppo Di sicurezza amministratori locali di Surface Hub appena configurato possono ora accedere all'app Impostazioni in Surface Hub e gestire le impostazioni.

Importante

Se viene applicato il provider di servizi di configurazione LocalUsersAndGroups , l'accesso all'app Impostazioni da parte degli amministratori globali viene rimosso a meno che non sia configurato in modo esplicito usando l'azione "U".