Microsoft Surface Hub 用の環境の準備

このページでは、Surface Hub v1 または Surface Hub 2S を設定および管理するための依存関係について説明します。

インフラストラクチャの依存関係

お使いの IT インフラストラクチャで Surface Hub の機能が確実に動作するように、次の依存関係を確認してください。

依存関係 説明 詳細情報
オンプレミス サービスと Active Directory または M365 Surface Hubでは、Active Directory または Azure AD アカウント (デバイス アカウントと呼ばれます) を使用して、ExchangeおよびTeams (またはSkype for Business) サービスにアクセスします。 デバイス アカウントの資格情報を検証し、デバイス アカウントの表示名、エイリアス、Exchange サーバー、セッション開始プロトコル (SIP) アドレスなどの情報にアクセスすることを目的に、Surface Hub が Active Directory ドメイン コントローラーまたは Azure AD テナントに接続できる必要があります。

注: Surface Hubs は、Microsoft Teams、Skype for Business Server 2019、Skype for Business Server 2015、または Skype for Business Online で機能します。 Lync Server 2013 などの以前のプラットフォームはサポートされていません。 Surface Hubs は、GCC DoD 環境ではサポートされていません。
エンドポイントをMicrosoft 365する

デバイス アカウントの作成およびテスト
Windows Update、Microsoft Store、診断 OS 機能と品質更新プログラムを使用してSurface Hubを維持するには、ビジネス向けのWindows UpdateまたはWindows Updateへのアクセスが必要です。 アプリを管理するには、Microsoft Storeへのアクセスが必要です。 Windows 10 Enterprise バージョン 20H2 の接続エンドポイントの管理

Surface Hub で Windows 更新プログラムを管理する
モバイル デバイス管理 (MDM) ソリューション (Microsoft Intune、Microsoft Endpoint Configuration Manager、またはサポートされているサード パーティの MDM プロバイダー) 設定を適用し、アプリをリモートでインストールし、一度に複数のデバイスにインストールする場合は、MDM ソリューションを設定し、そのソリューションにデバイスを登録する必要があります。 Microsoft Intune のネットワーク エンドポイント

MDM プロバイダーによる設定の管理
Azure Monitor Azure Monitor を使用して、Surface Hub デバイスの正常性を監視できます。

注: Surface Hubs では、現在、Azure Monitor で使用されている Log Analytics サービスと通信するためのプロキシ サーバーの使用はサポートされていません。
Log Analytics エンドポイント

Azure Monitor を使用して Surface Hubs を監視し、正常性を追跡します
ネットワーク アクセス Surface Hubs では、有線接続とワイヤレス接続の両方がサポートされます (有線接続をお勧めします)。

802.1X 認証
Windows 10 Team 20H2 では、有線およびワイヤレス接続の 802.1X 認証が既定で有効になっていますが、Surface Hubに 802.1x ネットワーク プロファイルと認証証明書もインストールされていることを確認する必要があります。 Intuneまたはその他のモバイル デバイス管理ソリューションでSurface Hubを管理する場合は、ClientCertificateInstall CSP を使用して証明書を配信できます。 それ以外の場合は、プロビジョニング パッケージを作成し、初回のセットアップ時または設定 アプリを使用してインストールできます。 証明書が適用されると、802.1X 認証が自動的に開始されます。

動的 IP
Surface Hubs は、静的 IP を使用するように構成することはできません。 DHCP を介して IP アドレスを割り当てる必要があります。

ポート
Surface Hubには、次のオープン ポートが必要です。

HTTPS: 443
HTTP: 80
NTP: 123
802.1x ワイヤード (有線) 認証を有効にする

Surface Hub 用のプロビジョニング パッケージを作成する

デバイスの所属

デバイス所属を使用して、Surface Hub上の設定 アプリへのユーザー アクセスを管理します。 Windows 10 Team オペレーティング システム (Surface Hubで実行) では、承認されたユーザーのみが設定 アプリを使用して設定を調整できます。 所属を選択すると機能の可用性に影響を与える可能性があるため、ユーザーが意図したとおりに機能にアクセスできるように適切に計画します。

注意

デバイスの所属は、初期の既定のエクスペリエンス (OOBE) のセットアップ時にのみ設定できます。 デバイスの所属をリセットする必要がある場合は、OOBE セットアップを繰り返す必要があります。

所属なし

各Surface Hubで異なるローカル管理者アカウントを持つワークグループにSurface Hubを持つような所属はありません。 [所属なし] を選択した場合は、 BitLocker キーを USB サム ドライブにローカルに保存する必要があります。 デバイスをIntuneに登録することはできますが、OOBE 中に構成されたアカウント資格情報を使用して、ローカル管理者のみが設定 アプリにアクセスできます。 管理者アカウントのパスワードは、設定 アプリから変更できます。

Active Directory Domain Services

オンプレミスの Active Directory Domain Services とSurface Hubを関連付ける場合は、ドメイン上のセキュリティ グループを使用して、設定 アプリへのアクセスを管理する必要があります。 これにより、すべてのセキュリティ グループ メンバーに、Surface Hubの設定を変更するアクセス許可が付与されます。 また、次の点にも注意してください。オンプレミスの Active Directory ドメイン サービスを持つ関係者Surface Hub場合は、BitLocker キーを Active Directory スキーマに保存できます。 詳細については、「 BitLocker の組織の準備: 計画とポリシー」を参照してください。

組織の信頼されたルート CA は、Surface Hubの同じコンテナーにプッシュされます。つまり、プロビジョニング パッケージを使用してインポートする必要はありません。

Intuneを使用してデバイスを登録して、Surface Hubの設定を一元的に管理することもできます。

Azure Active Directory

Surface Hubを Azure Active Directory (Azure AD) に関連付ける場合、グローバル管理者ロールを持つすべてのユーザーは、Surface Hubで設定 アプリにサインインできます。 Surface Hub上の設定 アプリの管理にアクセス許可を制限するグローバル管理者アカウント以外のアカウントを構成することもできます。 これにより、Surface Hubs のみに対する管理者アクセス許可のスコープを設定し、Azure AD ドメイン全体で望ましくない可能性がある管理者アクセスを防ぐことができます。

注意

Surface Hub管理者アカウントは、Azure AD 経由で認証する場合にのみ、設定 アプリにサインインできます。 サード パーティフェデレーション ID プロバイダー (IDP) はサポートされていません。

組織Intune自動登録を有効にした場合、Surface Hubは自動的にIntuneに登録されます。このシナリオでは、セットアップ中に Azure AD 所属に使用されるアカウントは、Intuneに対してライセンスを付与され、Windows デバイスを登録するアクセス許可を持っている必要があります。 セットアップ プロセスが完了すると、デバイスの BitLocker キーが Azure AD に自動的に保存されます。

Azure AD を使用したSurface Hubの管理の詳細については、次を参照してください。

Surface Hub セットアップ ワークシートの確認と完了 (省略可能)

Surface Hub 用に最初の実行プログラムを実行する場合、指定する必要のある情報がいくつかあります。 セットアップ ワークシートを使用すると、指定する必要のある情報をまとめて、最初の実行プログラムを実行する場合に必要な環境固有の情報を一覧にすることができます。 詳しくは、「セットアップのワークシート」をご覧ください。