Configurar contas de Administrador não Globais no Surface Hub
A Atualização do Windows 10 Team 2020 adiciona suporte para configurar contas de Administrador não Globais que limitam as permissões de gestão da aplicação Definições em dispositivos Surface Hub associados a um domínio do Microsoft Entra. Isto permite-lhe definir o âmbito de permissões de administrador apenas para o Surface Hub e impedir o acesso de administrador potencialmente indesejado em todo um domínio do Microsoft Entra.
Importante
A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
A Atualização 2 do Windows 10 Team 2020 adiciona suporte para CSP LocalUsersAndGroups. Este é agora o CSP recomendado a utilizar; O CSP RestrictedGroups ainda é suportado, mas foi preterido.
Observação
Antes de começar, certifique-se de que o Surface Hub está associado ao Microsoft Entra e que o Intune está inscrito automaticamente. Caso contrário, terá de repor o Surface Hub e concluir novamente a configuração OOBE (out-of-the-box) pela primeira vez , escolhendo a opção para aderir ao Microsoft Entra ID. Apenas as contas que se autenticam através do ID do Microsoft Entra são suportadas com a configuração da política de Administração não Global.
Resumo
O processo de criação de contas de Administrador não Globais envolve os seguintes passos:
- No Microsoft Intune, crie um grupo de Segurança que contenha os administradores designados para gerir o Surface Hub.
- Obtenha o SID do grupo Microsoft Entra com o PowerShell.
- Crie um ficheiro XML com o SID do grupo Microsoft Entra.
- Crie um Grupo de Segurança que contenha os dispositivos Surface Hub que o grupo de Segurança de administradores não Globais irá gerir.
- Crie um perfil de Configuração personalizado destinado ao grupo de segurança que contém os seus dispositivos Surface Hub.
Criar grupos de segurança do Microsoft Entra
Primeiro, crie um grupo de segurança que contenha as contas de administrador. Em seguida, crie outro grupo de segurança para dispositivos Surface Hub.
Criar grupo de segurança para contas de Administrador
Inicie sessão no Intune através do centro de administração do Microsoft Intune, selecioneGrupos>Novo Grupo> e, em Tipo de grupo, selecione Segurança.
Introduza um Nome do grupo ( por exemplo, Administradores Locais do Surface Hub ) e, em seguida, selecione Criar.
Abra o grupo, selecione Membros e selecione Adicionar membros para introduzir as contas de Administrador que pretende designar como administradores não globais no Surface Hub. Para saber mais sobre como criar grupos no Intune, veja Adicionar grupos para organizar utilizadores e dispositivos.
Criar grupo de segurança para dispositivos Surface Hub
Repita o procedimento anterior para criar um grupo de segurança separado para dispositivos Hub; por exemplo, dispositivos Surface Hub.
Obter o SID do grupo Microsoft Entra com o PowerShell
Inicie o PowerShell com privilégios de conta elevados (Executar como Administrador) e certifique-se de que o seu sistema está configurado para executar scripts do PowerShell. Para saber mais, veja Acerca das Políticas de Execução.
Inicie sessão no seu inquilino do Microsoft Entra.
Connect-AzureADObservação
Os módulos do PowerShell do Azure AD e do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos que migre para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração.
Tenha em atenção que as versões 1.0. x do MSOnline pode sofrer interrupções após 30 de junho de 2024.
Quando tiver sessão iniciada no seu inquilino, execute o seguinte commandlet. Ser-lhe-á pedido para "Escreva o ID de Objeto do seu grupo microsoft Entra".
function Convert-ObjectIdToSid { param([String] $ObjectId) $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-') }No Intune, selecione o grupo que criou anteriormente e copie o ID do Objeto, conforme mostrado na figura seguinte.
Execute o seguinte commandlet para obter o SID do grupo de segurança:
$AADGroup = Read-Host "Please type the Object ID of your Azure AD Group" $Result = Convert-ObjectIdToSid $AADGroup Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $ResultCole o ID do Objeto no commandlet do PowerShell, prima Enter e copie o SID do grupo Microsoft Entra para um editor de texto.
Criar ficheiro XML que contém o SID do grupo Microsoft Entra
Copie o seguinte para um editor de texto:
<GroupConfiguration> <accessgroup desc = "S-1-5-32-544"> <group action = "U" /> <add member = "AzureAD\bob@contoso.com"/> <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/> </accessgroup> </GroupConfiguration>Substitua o SID do marcador de posição (a começar pelo S-1-12-1) pelo SID do grupo Microsoft Entra e, em seguida, guarde o ficheiro como XML; por exemplo, Microsoft Entra ID-local-admin.xml.
Observação
Embora os grupos devam ser especificados através do respetivo SID, se quiser adicionar utilizadores do Azure diretamente, especifique os respetivos Nomes Principais de Utilizador (UPNs) neste formato:
<member name = "AzureAD\user@contoso.com" />
Criar perfil de configuração personalizado
No Endpoint Manager, selecionePerfis de Configuraçãode Dispositivos>>Criar perfil.
Em Plataforma, selecione Windows 10 e posterior. Em Perfil, selecioneCriaçãoPersonalizada> de Modelos>.
Adicione um nome e uma descrição e, em seguida, selecione Seguinte.
Em Definições> de configuraçãoDefinições OMA-URI, selecione Adicionar.
No painel Adicionar Linha, adicione um nome e, em OMA-URI, adicione a seguinte cadeia:
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/ConfigureObservação
A definição de política RestrictedGroups/ConfigureGroupMembership também lhe permite configurar membros (utilizadores ou grupos do Microsoft Entra) para um grupo local do Windows 10. No entanto, permite apenas uma substituição completa dos grupos existentes pelos novos membros. Não pode adicionar ou remover membros seletivamente. Disponível no Windows 10 Team 2020 Update 2, é recomendado utilizar a definição de política LocalUsersandGroups em vez da definição de política RestrictedGroups. A aplicação de ambas as definições de política ao Surface Hub não é suportada e pode produzir resultados imprevisíveis.
Em Tipo de dados, selecione Cadeia XML e navegue para abrir o ficheiro XML que criou no passo anterior.
Clique em Salvar.
Clique em Selecionar grupos para incluir e escolha o grupo de segurança que criou anteriormente (dispositivos Surface Hub). Clique em Avançar.
Em Regras de aplicabilidade, adicione uma Regra, se assim o desejar. Caso contrário, selecione Seguinte e, em seguida, selecione Criar.
Para saber mais sobre perfis de configuração personalizados com cadeias OMA-URI, veja Utilizar definições personalizadas para dispositivos Windows 10 no Intune.
Administradores não globais que gerem o Surface Hub
Os membros do grupo de Segurança de Administradores Locais do Surface Hub recentemente configurado podem agora iniciar sessão na aplicação Definições no Surface Hub e gerir as definições.
Importante
A menos que a ação Atualizar ("U") do CSP LocalUsersAndGroups seja a única configuração utilizada, o acesso pré-existente dos Administradores globais à aplicação Definições é removido.