Surface Hubの管理者グループ管理

デバイスで設定アプリを使用すると、すべての Surface Hub をローカルで構成できます。 承認されていないユーザーによって設定が変更されるのを防ぐため、設定アプリでは、アプリを起動する際に管理者の資格情報が求められます。

管理者グループの管理

デバイスの管理者アカウントは、次の方法で設定できます。

ローカル管理者アカウントを作成する

ローカル管理者を作成するには、最初の実行時にローカル管理者の使用を選択します。 これにより、Surface Hub に、選択したユーザー名とパスワードを使用するローカル管理者アカウントが 1 つ作成されます。 これらの資格情報を使用して、設定アプリを開きます。

ローカル管理者アカウントの情報は、ディレクトリ サービスによってサポートされないことに注意してください。 デバイスで Active Directory (AD) または Azure Active Directory (Azure AD) にアクセスできない場合にのみ、ローカル管理者を選ぶことをお勧めします。 ローカル管理者のパスワードを変更する場合は、[設定] で変更できます。 ただし、ローカル管理者アカウントの使用からドメインまたは Azure AD テナントのグループの使用に変更する場合は、デバイスをリセットして、初回設定プログラムを再度実行する必要があります。

ドメインがデバイスを Active Directory に参加させる

Surface Hub を AD ドメインに参加させると、指定したセキュリティ グループのユーザーが設定を構成できるようになります。 初回実行時に、Active Directory ドメイン サービスの使用を選択します。 選択したドメインに参加させる権限のある資格情報と既存のセキュリティ グループの名前を指定する必要があります。 そのセキュリティ グループのメンバーであるユーザーが自身の資格情報を入力すると、設定のロックを解除できます。

Surface Hub をドメインに参加させた場合の動作

Surface Hub をドメインに参加させると、次のような処理が可能になります。

  • AD 内の指定したセキュリティ グループのメンバーに管理者権限を付与します。
  • デバイスの BitLocker 回復キーを AD のコンピューター オブジェクトに保存することによって、BitLocker 回復キーをバックアップします。 詳しくは、「BitLocker キーの保存」をご覧ください。
  • 暗号化された通信用にシステム クロックをドメイン コントローラーと同期します。

Surface Hubでは、ドメイン コントローラーからのグループ ポリシーまたは証明書の適用はサポートされていません。

注意

Surface Hub にドメインとの信頼がなくなった場合 (たとえば、ドメイン参加後にドメインから Surface Hub を削除する場合)、デバイスに対して認証を受けて設定を開くことができなくなります。 Surface Hub とドメインとの信頼関係を削除する場合は、先にデバイスをリセットします。

デバイスに参加Azure AD

Azure Active Directory (Azure AD) してSurface Hubに参加し、Azure AD テナントの IT 担当者が設定を構成できるようにします。 初回実行時に、Microsoft Azure Active Directory の使用を選択します。 選択した Azure AD テナントに参加させることのできる資格情報を入力する必要があります。 Azure AD への参加が正常に完了すると、適切なユーザーにデバイスの管理者権限が付与されます。

既定では、すべてのグローバル管理者に、Azure AD に参加している Surface Hub の管理者権限が与えられます。 Azure AD Premium または Enterprise Mobility Suite (EMS) では、その他の管理者を追加できます。

  1. Azure クラシック ポータルで、[Active Directory] をクリックし、組織のディレクトリの名前をクリックします。
  2. [構成] ページの [デバイス] > [Azure AD 参加済みデバイスの追加の管理者] で、[選択済み] をクリックします。
  3. [追加] をクリックし、Surface Hub や他の Azure AD 参加済みデバイスの管理者として追加するユーザーを選択します。
  4. 作業が完了したら、チェックマーク ボタンをクリックして変更を保存します。

Surface Hub を Azure AD に参加させた場合の動作

Surface Hub を Azure AD に参加させると、次のような処理が可能になります。

  • Azure AD テナントの適切なユーザーに管理者権限を付与します。
  • デバイスの BitLocker 回復キーを、Azure AD にデバイスを参加させるときに使用したアカウントに保存することによって、BitLocker 回復キーをバックアップします。 詳しくは、「BitLocker キーの保存」をご覧ください。

Azure Active Directory参加による自動登録

Surface Hubは、デバイスをAzure Active Directoryに参加させることで、Intuneに自動的に登録する機能をサポートするようになりました。

詳細については、「Windows デバイスの登録を設定する」を参照してください。

選択に関する推奨事項

組織で AD または Azure AD を使用している場合は、主にセキュリティ上の理由から、ドメインまたは Azure AD に参加させることをお勧めします。 ユーザーは、自身の資格情報を使用して、認証を行ったり、設定のロックを解除することができ、ドメインに関連付けられているセキュリティ グループの内外に移動することができます。

オプション 要件 設定アプリへのアクセスに使用できる資格情報
ローカル管理者アカウントを作成する なし 初回実行時に指定したユーザー名とパスワード
Active Directory (AD) ドメインに参加させる 組織で AD を使用している ドメイン内の特定のセキュリティ グループに属する任意の AD ユーザー
デバイスを Azure Active Directory (Azure AD) に参加させる 組織で Azure AD Basic を使用している グローバル管理者のみ
  組織でAzure AD Premium または Enterprise Mobility Suite (EMS) を使用している グローバル管理者と追加の管理者

Azure AD参加しているデバイスでグローバル管理者以外のアカウントを構成する

Surface Hub v1 および Surface Hub 2S デバイスがAzure ADに参加している場合、Windows 10 Team 2020 Update では、Surface Hub上の設定 アプリの管理に管理者アクセス許可を制限できます。 これにより、Surface Hubのみに対する管理者アクセス許可のスコープを設定し、望ましくない可能性がある管理者がAzure AD ドメイン全体にアクセスできないようにすることができます。 詳細については、「Surface Hubでグローバル管理者以外のアカウントを構成する」を参照してください。