Criar os pacotes de provisionamento para Surface Hub
Os pacotes de aprovisionamento permitem automatizar a implementação das principais funcionalidades, ajudando a proporcionar uma experiência consistente em todos os Surface Hubs na sua organização. Ao utilizar o Windows Configuration Designer (WCD) num PC separado, pode concluir as seguintes tarefas:
- Inscrever-se no Active Directory ou Microsoft Entra ID
- Criar uma conta de administrador de dispositivo
- Adicionar aplicativos e certificados
- Configurar as definições do proxy
- Configurar as definições do Fornecedor de Serviços de Configuração (CSP)
Visão geral
Os pacotes de aprovisionamento permitem um processo de configuração simplificado que pode ser executado sem uma intervenção alargada de TI, poupando tempo e recursos em ambientes organizacionais e empresariais.
- Num PC separado com Windows 10 ou Windows 11, instale o Windows Configuration Designer a partir da Microsoft Store.
- Selecione Aprovisionar dispositivos Surface Hub para configurar definições comuns através de um assistente. Em alternativa, selecione Aprovisionamento avançado para ver e configurar todas as definições possíveis.
- Crie o pacote de aprovisionamento e guarde-o numa pen USB.
- Implemente o pacote no Surface Hub durante a configuração da primeira execução ou através da aplicação Definições. Para saber mais, veja Criar um pacote de aprovisionamento.
Utilizar o assistente de aprovisionamento do Surface Hub
- Abra a Configuração do Windows Designer e selecione Aprovisionar dispositivos Surface Hub.
- Dê um nome ao projeto e selecione Seguinte.
Adicionar certificados
Para aprovisionar o dispositivo com um certificado: selecione Adicionar um certificado. Introduza um nome para o certificado e, em seguida, procure selecionar o certificado a utilizar. Para obter opções avançadas de aprovisionamento, veja a secção abaixo Adicionar um certificado ao seu pacote.
Configurar as definições do proxy
Alterne entre Sim ou Não para as configurações de proxy. Por predefinição, o Surface Hub deteta automaticamente as definições de proxy. No entanto, suponha que a sua infraestrutura era anteriormente necessária para utilizar um servidor proxy e mudou para não precisar de um servidor proxy. Pode utilizar um pacote de aprovisionamento para reverter os seus dispositivos Surface Hub para as predefinições ao selecionar Sim e Detetar automaticamente as definições.
Se alternar Sim, pode selecionar para detetar automaticamente as definições de proxy ou configurar manualmente as definições ao introduzir uma das seguintes opções:
- Um URL para um script de configuração.
- Um endereço de servidor proxy estático e informações de porta.
Se pretender utilizar um script de configuração ou um servidor proxy, desative Detetar automaticamente as definições. Pode utilizar um script de configuração ou um servidor proxy, não ambos.
Introduza as exceções (endereços aos quais o Surface Hub deve ligar-se diretamente sem utilizar o servidor proxy). Exemplo: *.office365.com
Identifique se pretende utilizar o servidor proxy para endereços locais.
Configurar administradores de dispositivos
Pode inscrever o dispositivo no Active Directory e especificar um grupo de segurança para utilizar a aplicação Definições, inscrever-se no Microsoft Entra ID para permitir que os Administradores globais utilizem a aplicação Definições ou criem uma conta de administrador local no dispositivo.
Importante
A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente. Para saber mais, veja a documentação de orientação recomendada em Configurar contas de Administração não globais no Surface Hub.
- Para registrar o dispositivo no Active Directory, insira as credenciais para uma conta de usuário menos privilegiada para ingressar o dispositivo no domínio. Em seguida, especifique o grupo de segurança para ter credenciais de administrador no Surface Hub. Se aplicar o pacote a um Surface Hub que foi reposto, pode utilizar a mesma conta de domínio desde que seja a mesma conta que configurou o Surface Hub inicialmente. Caso contrário, uma conta de domínio diferente deve ser usada no pacote de provisionamento.
- Antes de utilizar o Designer de Configuração do Windows para configurar a inscrição em massa Microsoft Entra, planeie a implementação da associação Microsoft Entra. O número máximo de dispositivos por definição de utilizador no inquilino do Microsoft Entra determina a frequência com que o token em massa que obtém no assistente pode ser utilizado.
- Para inscrever o dispositivo no Microsoft Entra ID, selecione essa opção e introduza um nome amigável para o token em massa que obterá com o assistente. Defina uma data de expiração do token (máximo de 30 dias a partir da data de obtenção do token). Selecione Obter token em massa. Na janela Vamos iniciar sessão, introduza uma conta com permissão para associar um dispositivo a Microsoft Entra ID e, em seguida, a palavra-passe. Selecione Aceitar para dar ao Windows Configuration Designer as permissões necessárias.
- Para criar uma conta de administrador local, selecione essa opção e introduza um nome de utilizador e palavra-passe.
Importante
Se criar uma conta local no pacote de provisionamento, você deverá alterar a senha usando o aplicativo Configurações a cada 42 dias. Se a senha não for alterada durante esse período, a conta poderá estar bloqueada e não será possível entrar.
Inscrever-se num fornecedor de MDM de terceiros
Ao utilizar um fornecedor de gestão de dispositivos móveis (MDM) de terceiros, pode utilizar esta secção para inscrever o Surface Hub. Para se inscrever no Intune, primeiro configure Microsoft Entra associação, conforme descrito na secção anterior, e siga as instruções na seguinte documentação de Intune: Início Rápido: Configurar a inscrição automática para dispositivos Windows 10/11.
- Alterne Sim ou Não para inscrição na MDM de terceiros.
- Se ativar/desativar Sim, forneça uma conta de serviço e palavra-passe ou thumbprint de certificado que esteja autorizado a inscrever o dispositivo e especifique o tipo de autenticação.
- Se for exigido pelo seu fornecedor de MDM, introduza os URLs para o serviço de deteção, o serviço de inscrição e o serviço de política.
Para saber mais, veja Gerir o Surface Hub com um fornecedor de MDM.
Adicionar aplicativos
Observação
Neste momento, a capacidade de adicionar aplicações a um pacote de aprovisionamento não é suportada nos Surface Hubs com Salas do Microsoft Teams no Windows.
Para o Surface Hub 2S com Windows 10 Team edição, pode instalar várias aplicações Plataforma Universal do Windows (UWP) num pacote de aprovisionamento. Para saber mais, veja Aprovisionar PCs com aplicações.
Dica
Embora a Configuração do Windows Designer lhe permita adicionar uma aplicação Win32 Clássica a um pacote de aprovisionamento, o Surface Hub só aceita aplicações UWP. Se você incluir um aplicativo Win32 clássico, o provisionamento falhará.
Pacote de aprovisionamento de proteção de palavra-passe
Se utilizar uma palavra-passe, tem de introduzi-la sempre que aplicar o pacote de aprovisionamento a um dispositivo.
Concluir o assistente de aprovisionamento
Se apenas precisar de configurar definições comuns, selecione Concluir>Criar e avance para a secção Criar o seu pacote. Em alternativa, continue a configurar as definições ao mudar para Aprovisionamento avançado.
Utilizar o Aprovisionamento avançado
Dica
Use o assistente para criar um pacote com as configurações comuns e alterne para o editor avançado a fim de adicionar outras configurações.
Se continuar a partir da secção anterior, selecione Mudar para editor avançado; caso contrário, abra o Windows Configuration Designer e selecione Aprovisionamento avançado.
Dê um nome ao projeto e selecione Seguinte.
Selecione Comum para Windows 10 Team, selecione Seguinte e, em seguida, selecione Concluir.
No projeto, em Personalizações disponíveis, selecione Definições comuns da Equipa.
Adicionar um certificado ao pacote
Pode utilizar pacotes de aprovisionamento para instalar certificados, permitindo que o dispositivo se autentique no Microsoft Exchange.
Observação
Os pacotes de aprovisionamento só podem instalar certificados no arquivo do dispositivo (computador local) e não no arquivo do utilizador. Se a sua organização exigir que os certificados sejam instalados no arquivo de utilizadores, utilize a aplicação Definições do Hub: AtualizarCertificados>de Segurança> &Importar Certificados. Em alternativa, pode utilizar políticas de MDM para implementar certificados no arquivo de dispositivos ou no arquivo de utilizadores.
Dica
A secção ClientCertificates destina-se a ficheiros .pfx com uma chave privada; .cer ficheiros para ACs de raiz devem ser colocados na secção RootCertificates e nas ACs Intermédias na secção CACertificates .
- Em Configuração do Windows Designer>Personalizações disponíveis, aceda a Definições> de runtimeCertificados>ClientCertificates.
- Introduza uma etiqueta para CertificateName e, em seguida, selecione Adicionar.
- Insira a CertificatePassword.
- Para CertificatePath, procure e selecione o certificado.
- Defina ExportCertificate como False.
- Para KeyLocation, selecione Software only.
Adicionar uma aplicação UWP ao seu pacote
Com a descontinuação do Microsoft Store para Empresas, agora pode utilizar o WinGet para processar a transferência e o empacotamento de aplicações UWP.
- Por predefinição, o WinGet é pré-instalado no Windows 10 (versão 1809 e posterior) e Windows 11. Para confirmar que tem o WinGet instalado, abra uma linha de comandos e introduza winget.
- Certifique-se de que está a executar o WinGet 1.8 ou posterior.
- Se o WinGet não estiver presente ou precisar da versão mais recente, siga estas instruções: Instalar o WinGet.
Transferir aplicações UWP através do WinGet:
Primeiro, transfira o pacote de aplicação (ficheiros .appx ou .appxbundle) e quaisquer ficheiros de dependência:
winget download --id <app-id> --source msstore --accept-source-agreements
Substitua
<app-name>
e<app-id>
pelo nome e ID da aplicação que pretende instalar.Guardar o pacote de aplicações e as dependências:
Depois de transferidos, os ficheiros da aplicação e as dependências são guardados na unidade local. Certifique-se de que copia estes ficheiros para a localização de criação do pacote de aprovisionamento.
Adicione a aplicação UWP ao pacote de aprovisionamento:
No painel Personalizações disponíveis, vá até Configurações de tempo de execução>UniversalAppInstall>DeviceContextApp.
Introduza um PackageFamilyName para a aplicação e selecione Adicionar. Para manter a consistência, use o nome da família de pacotes do aplicativo. Pode encontrar estas informações com o WinGet:
winget show <app-id>
O Nome da Família do Pacote (PFM) está listado nos detalhes.
Para ApplicationFile, selecione Procurar para localizar e selecionar o ficheiro de aplicação de destino (.appx ou .appxbundle) que transferiu com o WinGet.
Para DependencyAppxFiles, selecione Procurar para localizar e adicionar quaisquer ficheiros de dependência necessários para a aplicação. Certifique-se de que está a utilizar as versões x64 destas dependências.
Adicionar licença de aplicação (se necessário):
Se a sua aplicação necessitar de uma licença (normalmente para aplicações distribuídas anteriormente através do Microsoft Store para Empresas), siga estes passos:
Faça uma cópia da licença da aplicação e mude o nome da mesma para utilizar uma extensão .ms-windows-store-license . Por exemplo, mude o nome de "example.xml" para "example.ms-windows-store-license".
No Windows Configuration Designer, aceda a Personalizações> disponíveisDefinições> de runtimeUniversalAppInstall>DeviceContextAppLicense.
Introduza um LicenseProductId e selecione Adicionar. Utilize o ID de licença da aplicação, que pode ser encontrado no ficheiro de licença ao abri-lo com um editor de texto. Procure o valor no atributo LicenseID .
Selecione o novo nó LicenseProductId. Para LicenseInstall, selecione Procurar para localizar e escolher o ficheiro de licença cujo nome foi mudado (example.ms-windows-store-license).
Adicionar uma política ao pacote
O Surface Hub oferece suporte a um subconjunto das políticas do Provedor de serviços de configuração de políticas. Algumas dessas políticas podem ser configuradas com o Windows Configuration Designer.
Para adicionar políticas CSP:
Aceda a Personalizações> disponíveisDefinições de runtime Políticas>.
Selecione o componente que pretende gerir e configure a definição de política conforme adequado. Por exemplo, para impedir que os funcionários utilizem a navegação no site InPrivate no Surface Hub, selecione PermitirInPrivate e, em seguida, selecione Desativar.
Adicionar configurações do Surface Hub ao seu pacote
Você pode adicionar configurações do Provedor de serviços de configuração SurfaceHub ao seu pacote de provisionamento.
- Aceda a Personalizações disponíveis Definições>Comuns do Team Edition.
- Selecione o componente que pretende gerir e configure a definição de política conforme adequado.
- Quando terminar de configurar o pacote de aprovisionamento, selecioneGuardarFicheiro>.
- Leia o aviso de que os ficheiros do projeto podem conter informações confidenciais e selecione OK
Compilar o pacote
Quando cria um pacote de aprovisionamento, pode incluir informações confidenciais nos ficheiros do projeto e do pacote de aprovisionamento (.ppkg). Embora possa encriptar o ficheiro .ppkg, os ficheiros do projeto não são encriptados. Armazene os ficheiros do projeto numa localização segura ou elimine-os se já não forem necessários.
Abra a Configuração do Windows Designer>Exportar>pacote de Aprovisionamento.
Altere Proprietário para Administração de TI.
Defina um valor para Versão do Pacote e selecione Avançar.
Dica
Definir o proprietário como Administração de TI garante que as definições do pacote mantêm as "propriedades de precedência" adequadas e permanecem em vigor no Surface Hub se outros pacotes de aprovisionamento forem posteriormente aplicados a partir de outras origens.
Dica
Pode modificar pacotes existentes e alterar o número da versão para atualizar os pacotes aplicados anteriormente.
Opcional: pode optar por encriptar o pacote e ativar a assinatura de pacotes:
- Selecione Encriptar pacote e, em seguida, introduza uma palavra-passe.
- Selecione Assinarpacote> Procurar e escolha o certificado conforme adequado.
Importante
Recomenda-se incluir um certificado de aprovisionamento fidedigno no pacote de aprovisionamento. Quando o pacote é aplicado a um dispositivo, o certificado é adicionado ao arquivo do sistema, permitindo que os pacotes subsequentes sejam aplicados automaticamente.
Selecione Seguinte para especificar a localização de saída. A configuração do Windows Designer predefinição utiliza a pasta do projeto como localização de saída. Em alternativa, selecione Procurar para alterar a localização de saída predefinida. Selecione Avançar.
Selecione Compilar para começar a criar o pacote. As informações do projeto são apresentadas na página de compilação.
Se a compilação falhar, será apresentada uma mensagem de erro com uma ligação para a pasta do projeto. Reveja os registos para diagnosticar o erro e tente criar o pacote novamente.
Se a compilação for bem-sucedida, será apresentado o nome do pacote de aprovisionamento, do diretório de saída e do diretório do projeto. Selecione Concluir para fechar o assistente e regressar à página Personalizações.
Selecione a localização de saída para aceder à localização do pacote. Copie o .ppkg em uma unidade flash USB vazia.
Aplicar um pacote de provisionamento ao Surface Hub
Existem duas formas de implementar pacotes de aprovisionamento num Surface Hub:
- Primeira configuração da execução. Pode aplicar um pacote de aprovisionamento para personalizar várias opções, incluindo definições de Wi-Fi, definições de proxy, detalhes da conta de dispositivo, associação Microsoft Entra e definições relacionadas.
- Aplicação definições. Após a primeira execução da configuração, pode aplicar um pacote de aprovisionamento através da aplicação Definições.
Aplicar um pacote de provisionamento durante a primeira execução
- Quando liga o Surface Hub pela primeira vez, o programa de primeira execução apresenta a página Olá. Certifique-se de que as definições estão configuradas corretamente antes de continuar.
- Insira a unidade flash USB que contém o arquivo .ppkg no Surface Hub. Se o pacote estiver no diretório de raiz da unidade, o programa de primeira execução irá reconhecê-lo e perguntar se pretende configurar o dispositivo. Selecione Configurar.
- A próxima tela solicita que você selecione uma origem de provisionamento. Selecione Mídia Removível e toque em Avançar.
- Selecione o pacote de aprovisionamento (*.ppkg) que pretende aplicar e toque em Seguinte. Tenha em atenção que só pode instalar um pacote durante a primeira execução.
- O programa de primeira execução irá mostrar-lhe um resumo das alterações que o pacote de aprovisionamento irá aplicar. Selecione Sim, adicionar.
Depois de o dispositivo reiniciar pela primeira vez, remova a pen USB. As definições do pacote de aprovisionamento serão aplicadas ao dispositivo e o OOBE pode ser concluído.
Aplicar um pacote de aprovisionamento com a aplicação Definições
- Insira a unidade flash USB que contém o arquivo .ppkg no Surface Hub.
- No Surface Hub, inicie as Definições e introduza as credenciais de administrador quando lhe for pedido.
- Navegue até Surface Hub>Gerenciamento de dispositivo. Em Pacotes de aprovisionamento, selecione Adicionar ou remover um pacote> de aprovisionamentoAdicionar um pacote.
- Escolha seu pacote de provisionamento e selecione Adicionar. Se lhe for pedido, introduza as suas credenciais de administrador novamente.
- Verá um resumo das alterações a aplicar. Selecione Sim, adicionar.