Surface Hub에 대한 관리 그룹 관리
디바이스에서 설정 앱을 사용하여 각 Surface Hub를 개별적으로 구성할 수 있습니다. 권한이 없는 사용자가 설정을 변경하지 못하도록 설정 앱에서는 관리자 자격 증명을 사용하여 앱을 열어야 합니다.
관리자 그룹 관리
다음과 같은 방법으로 디바이스에 대한 관리자 계정을 설정할 수 있습니다.
- 로컬 관리자 계정 만들기
- 디바이스를 Active Directory에 도메인 조인
- Microsoft Entra가 디바이스에 조인
- Microsoft Entra 조인 디바이스에서 비 전역 관리자 계정 구성(Surface Hub 2S)
로컬 관리자 계정 만들기
로컬 관리자를 만들려면 첫 실행 중에 로컬 관리자를 사용하도록 선택합니다. 그러면 선택한 사용자 이름과 암호를 사용하여 Surface Hub에 단일 로컬 관리자 계정이 만들어집니다. 이러한 자격 증명을 사용하여 설정 앱을 엽니다.
로컬 관리자 계정 정보는 디렉터리 서비스에서 지원되지 않습니다. 디바이스가 AD(Active Directory) 또는 Microsoft Entra ID에 액세스할 수 없는 경우에만 로컬 관리자를 선택하는 것이 좋습니다. 로컬 관리자의 암호를 변경하려는 경우 설정에서 변경할 수 있습니다. 그러나 로컬 관리자 계정을 사용하는 것에서 도메인 또는 Microsoft Entra 테넌트에서 그룹을 사용하는 것으로 변경하려면 디바이스를 다시 초기화 하고 처음 프로그램을 다시 진행해야 합니다.
디바이스를 Active Directory에 도메인 조인
Surface Hub를 AD 도메인에 가입하여 지정된 보안 그룹의 사용자가 설정을 구성할 수 있도록 할 수 있습니다. 첫 실행 중에 Active Directory 도메인 서비스를 사용하도록 선택합니다. 선택한 도메인에 가입할 수 있는 자격 증명과 기존 보안 그룹의 이름을 제공해야 합니다. 해당 보안 그룹의 구성원인 사용자가 자격 증명을 입력하고 설정을 잠금 해제할 수 있습니다.
도메인이 Surface Hub에 가입하면 어떻게 되나요?
Surface Hub에서는 도메인 가입을 사용하여 다음을 수행합니다.
- AD에서 지정된 보안 그룹의 구성원에게 관리자 권한을 부여합니다.
- AD의 컴퓨터 개체 아래에 저장하여 디바이스의 BitLocker 복구 키를 백업합니다. 자세한 내용은 BitLocker 키 저장(Surface Hub)을 참조하세요.
- 암호화된 통신을 위해 시스템 시계를 도메인 컨트롤러와 동기화합니다.
Surface Hub는 도메인 컨트롤러에서 그룹 정책 또는 인증서 적용을 지원하지 않습니다.
참고
Surface Hub가 도메인과의 신뢰를 읽을 경우(예: 도메인에 가입된 후 도메인에서 Surface Hub를 제거하는 경우) 장치에 인증하여 설정을 열 수 없습니다. 도메인과 Surface Hub의 트러스트 관계를 제거하려는 경우 먼저 장치를 초기화합니다.
Microsoft Entra가 디바이스에 조인
Microsoft Entra ID를 사용하여 Surface Hub에 가입하여 Microsoft Entra 테넌트에서 IT 전문가가 설정을 구성할 수 있도록 할 수 있습니다. 처음 실행하는 동안 Microsoft Entra ID를 사용하도록 선택합니다. 선택한 Microsoft Entra 테넌트 가입이 가능한 자격 증명을 제공해야 합니다. Microsoft Entra 조인에 성공하면 적절한 사용자에게 디바이스에 대한 관리자 권한이 부여됩니다.
기본적으로 모든 전역 관리자 에게는 Microsoft Entra 조인 Surface Hub에 대한 관리자 권한이 부여됩니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다. 자세한 내용은 Surface Hub에서 비 전역 관리자 계정 구성의 권장 지침을 참조하세요.
이 페이지에 자세히 설명된 대로 관리자를 추가할 수 있습니다.
Microsoft Entra가 Surface Hub에 가입하면 어떻게 되나요?
Surface Hubs는 Microsoft Entra 조인을 사용하여 다음을 수행합니다.
- Microsoft Entra 테넌트에서 적절한 사용자에게 관리자 권한을 부여합니다.
- 디바이스를 Microsoft Entra 조인하는 데 사용된 계정 아래에 저장하여 디바이스의 BitLocker 복구 키를 백업합니다. 자세한 내용은 BitLocker 키 저장(Surface Hub)을 참조하세요.
Microsoft Entra 조인을 통한 자동 등록
이제 Surface Hub는 디바이스를 Microsoft Entra ID에 조인하여 Intune에 자동으로 등록하는 기능을 지원합니다.
자세한 내용은 Windows 디바이스에 대한 등록 설정을 참조하세요.
무엇을 선택해야 할까요?
조직에서 Active Directory 또는 Microsoft Entra ID를 사용하는 경우 주로 보안상의 이유로 도메인 가입 또는 Microsoft Entra 조인을 사용하는 것이 좋습니다. 사용자는 자신의 자격 증명으로 설정을 인증하고 잠금을 해제할 수 있으며 도메인과 연결된 보안 그룹 안팎으로 이동할 수 있습니다.
| 옵션 | 요구 사항 | 설정 앱에 액세스하는 데 사용할 수 있는 자격 증명은 무엇인가요? |
|---|---|---|
| 로컬 관리자 계정 만들기 | 없음 | 첫 실행 중에 지정된 사용자 이름 및 암호 |
| AD(Active Directory)에 대한 도메인 가입 | 조직에서 AD를 사용함 | 도메인에 있는 특정 보안 그룹의 임의 AD 사용자 |
| Microsoft Entra가 디바이스에 조인 | 조직에서 Microsoft Entra Basic을 사용합니다. | 전역 관리자만 |
| 조직에서 Microsoft Entra ID P1 또는 P2 또는 EMS(Enterprise Mobility Suite)를 사용합니다. | 전역 관리자 및 추가 관리자 |
Microsoft Entra 조인 디바이스에서 비 전역 관리자 계정 구성
Microsoft Entra ID에 가입된 Surface Hub v1 및 Surface Hub 2S 디바이스의 경우 Windows 10 Team 2020 Update를 사용하면 관리자 권한을 Surface Hub의 설정 앱 관리로 제한할 수 있습니다. 이렇게 하면 Surface Hub에 대해서만 관리자 권한의 범위를 지정하고 잠재적으로 원치 않는 관리자가 전체 Microsoft Entra 도메인에 액세스하지 못하도록 할 수 있습니다. 자세한 내용은 Surface Hub에서 비 전역 관리자 계정 구성을 참조하세요.