次の方法で共有


Surface Hub 用の環境の準備

このページでは、Surface Hub v1 または Surface Hub 2S を設定および管理するための依存関係について説明します。

ヒント

この記事のコンパニオンとして、Microsoft 365 管理センターにサインインするときに 、Surface Hub と Microsoft Teams Rooms の自動セットアップ ガイド を使用することをお勧めします。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 Exchange Online でホストされていて、Microsoft Teamsを使用している場合は、正しい設定でデバイス アカウントが自動的に作成されます。 または、既存のリソース アカウントを検証して、互換性のある Surface Hub デバイス アカウントに変えるのに役立ちます。 サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 M365 セットアップ ポータルに移動します。

インフラストラクチャの依存関係

お使いの IT インフラストラクチャで Surface Hub の機能が確実に動作するように、次の依存関係を確認してください。

依存関係 説明 詳細情報
オンプレミス サービスと Active Directory または M365 Surface Hub では、Active Directory または Microsoft Entra アカウント ( デバイス アカウントと呼ばれます) を使用して、Exchange および Teams (または Skype for Business) サービスにアクセスします。 デバイス アカウントの資格情報を検証し、デバイス アカウントの表示名、エイリアス、Exchange サーバー、セッション開始プロトコル (SIP) アドレスなどの情報にアクセスするには、Surface Hub が Active Directory ドメイン コントローラーまたは Microsoft Entra テナントに接続できる必要があります。

注: Surface Hubs は、Microsoft Teams、Skype for Business Server 2019、Skype for Business Server 2015、または Skype for Business Online と連携します。 Lync Server 2013 などの以前のプラットフォームはサポートされていません。 Surface Hubs は GCC DoD 環境ではサポートされていません。
Microsoft 365 エンドポイント

デバイス アカウントの作成およびテスト
Windows Update、ストア、診断 OS 機能と品質更新プログラムを使用して Surface Hub を維持するには、Windows Update または Windows Update for Business へのアクセスが必要です。 アプリを管理するには、Microsoft Store へのアクセスが必要です。 Windows 10 Enterprise バージョン 20H2 の接続エンドポイントの管理

Surface Hub で Windows 更新プログラムを管理する
モバイル デバイス管理 (MDM) ソリューション (Microsoft Intune、Microsoft Endpoint Configuration Manager、またはサポートされているサード パーティの MDM プロバイダー) 設定を適用してアプリをリモートでインストールし、一度に複数のデバイスにインストールする場合は、MDM ソリューションを設定し、そのソリューションにデバイスを登録する必要があります。 Microsoft Intune のネットワーク エンドポイント

MDM プロバイダーによる設定の管理
Azure Monitor Azure Monitor を使用して、Surface Hub デバイスの正常性を監視できます。

注: 現在、Surface Hubs では、Azure Monitor によって利用される Log Analytics サービスと通信するためのプロキシ サーバーの使用はサポートされていません。
Log Analytics エンドポイント

Azure Monitor を使用して Surface Hubs を監視し、正常性を追跡します。
ネットワーク アクセス Surface Hubs では、有線接続とワイヤレス接続の両方がサポートされます (有線接続をお勧めします)。

802.1X 認証
Windows 10 Team 20H2 では、有線およびワイヤレス接続の 802.1X 認証が既定で有効になっていますが、802.1x ネットワーク プロファイルと認証証明書も Surface Hub にインストールされていることを確認する必要があります。 Intune またはその他のモバイル デバイス管理ソリューションを使用して Surface Hub を管理する場合は、 ClientCertificateInstall CSP を使用して証明書を配信できます。 それ以外の場合は 、プロビジョニング パッケージを作成 し、初回実行時のセットアップ中または設定アプリを使用してインストールできます。 証明書が適用されると、802.1X 認証が自動的に開始されます。

動的 IP
静的 IP を使用するように Surface Hubs を構成することはできません。 DHCP を使用して IP アドレスを割り当てる必要があります。

ポート
Surface Hub には、次のオープン ポートが必要です。

HTTPS: 443
HTTP: 80
NTP: 123
802.1x ワイヤード (有線) 認証を有効にする

Surface Hub 用のプロビジョニング パッケージを作成する

デバイスの所属

デバイスの所属を使用して、Surface Hub の設定アプリへのユーザー アクセスを管理します。 Windows 10 Team オペレーティング システム (Surface Hub で実行) では、承認されたユーザーのみが設定アプリを使用して設定を調整できます。 所属を選択すると機能の可用性に影響を与える可能性があるため、ユーザーが意図したとおりに機能にアクセスできるように適切に計画してください。

デバイスの所属は、最初のアウトオブボックス エクスペリエンス (OOBE) のセットアップ中にのみ設定できます。 デバイスの所属をリセットする必要がある場合は、OOBE セットアップを繰り返す必要があります。

所属なし

各 Surface Hub で異なるローカル管理者アカウントを持つワークグループに Surface Hub を配置するような所属はありません。 [所属なし] を選択した場合は、 BitLocker キーを USB サム ドライブにローカルに保存する必要があります。 デバイスは引き続き Intune に登録できます。ただし、OOBE 中に構成されたアカウント資格情報を使用して設定アプリにアクセスできるのは、ローカル管理者だけです。 管理者アカウントのパスワードは、設定アプリから変更できます。

Active Directory Domain Services

オンプレミスの Active Directory Domain Services と Surface Hub を関連付ける場合は、ドメイン上のセキュリティ グループを使用して設定アプリへのアクセスを管理する必要があります。 これにより、すべてのセキュリティ グループ メンバーが Surface Hub の設定を変更するアクセス許可を持つことができます。 また、Surface Hub の関連会社がオンプレミスの Active Directory ドメイン サービスを使用している場合は、BitLocker キーを Active Directory スキーマに保存できます。 詳細については、「 BitLocker 計画ガイド」を参照してください。

組織の信頼されたルート CA は、Surface Hub 内の同じコンテナーにプッシュされるため、プロビジョニング パッケージを使用してインポートする必要はありません。

引き続き Intune にデバイスを登録して、Surface Hub の設定を一元的に管理できます。

Microsoft Entra ID

Microsoft Entra ID を使用して Surface Hub を関連付ける場合、グローバル管理者ロールを持つユーザーは、Surface Hub の設定アプリにサインインできます。 また、Surface Hub 上の設定アプリの管理にアクセス許可を制限する非グローバル管理者アカウントを構成することもできます。 これにより、Surface Hubs の管理者アクセス許可のみをスコープし、Microsoft Entra ドメイン全体で望ましくない可能性のある管理者アクセスを防止できます。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。 詳細については、「 Surface Hub でグローバル以外の管理者アカウントを構成する」の推奨ガイダンスを参照してください。

Surface Hub 管理者アカウントは、 Microsoft Entra ID を使用して認証する場合にのみ、設定アプリにサインインできます。 サード パーティのフェデレーション ID プロバイダー (IdP) はサポートされていません。

組織で Intune の自動登録 を有効にした場合、Surface Hub は Intune に自動的に登録します。このシナリオでは、セットアップ中に Microsoft Entra の所属に使用されるアカウントは、Intune のライセンスを取得し、Windows デバイスを登録するためのアクセス許可を持っている必要があります。 セットアップ プロセスが完了すると、デバイスの BitLocker キーが Microsoft Entra ID に自動的に保存されます。

Microsoft Entra ID を使用した Surface Hub の管理の詳細については、次を参照してください。

Surface Hub セットアップ ワークシートの確認と完了 (省略可能)

Surface Hub 用に最初の実行プログラムを実行する場合、指定する必要のある情報がいくつかあります。 セットアップ ワークシートを使用すると、指定する必要のある情報をまとめて、最初の実行プログラムを実行する場合に必要な環境固有の情報を一覧にすることができます。 詳しくは、「セットアップのワークシート」をご覧ください。

詳細情報