Управление группами администраторов для Surface Hub
Каждое устройство Surface Hub можно настроить локально с помощью приложения «Параметры» на устройстве. Во избежание несанкционированного изменения параметров для открытия приложения «Параметры» требуются учетные данные администратора.
управление группой администраторов
Учетные записи администратора для устройства можно настроить следующими способами:
- Создание учетной записи локального администратора
- Присоединение устройства к Active Directory
- Присоединение к устройству в Microsoft Entra
- Настройка учетных записей не глобальных администраторов на устройствах, присоединенных к Microsoft Entra (Surface Hub 2S)
Создание учетной записи локального администратора
Чтобы создать локального администратора, во время первого запуска выберите соответствующий параметр. При этом на Surface Hub создается одна учетная запись локального администратора с именем пользователя и паролем по вашему выбору. Используйте эти учетные данные, чтобы открыть приложение "Параметры".
Обратите внимание, что сведения об учетной записи локального администратора не поддерживаются ни одной службой каталогов. Рекомендуется выбирать локального администратора, только если устройство не имеет доступа к Active Directory (AD) или Microsoft Entra ID. Если вы решите изменить пароль локального администратора, это можно сделать в приложении "Параметры". Однако если вы хотите перейти с учетной записи локального администратора на использование группы из вашего домена или клиента Microsoft Entra, необходимо сбросить устройство и снова пройти программу первого использования.
Присоединение устройства к Active Directory
Вы можете присоединить Surface Hub к домену AD, чтобы разрешить пользователям из указанной группы безопасности настраивать параметры. Во время первого запуска выберите использование доменных служб Active Directory. Необходимо указать учетные данные, которые могут присоединиться к выбранному домену, а также имя существующей группы безопасности. Любой член этой группы безопасности может ввести свои учетные данные и разблокировать приложение "Параметры".
Что происходит при присоединении домена к Surface Hub?
Устройства Surface Hub используют присоединение к домену для решения следующих задач:
- предоставить права администратора участникам заданной группы безопасности в AD;
- Создайте резервную копию ключа восстановления BitLocker устройства, сохранив его в объекте компьютера в AD. См. подробные сведения в разделе Сохранение ключа BitLocker.
- Синхронизация системных часов с доменным контроллером для зашифрованного обмена данными
Surface Hub не поддерживает применение групповой политики или сертификатов с контроллера домена.
Примечание.
Если ваше устройство Surface Hub теряет доверие домена (например, при удалении Surface Hub из домена после присоединения к нему), вы не сможете пройти проверку подлинности и открыть приложение «Параметры». Если вы решите удалить отношение доверия Surface Hub с доменом, сначала сбросьте устройство.
Присоединение к устройству в Microsoft Entra
Вы можете использовать Идентификатор Microsoft Entra для присоединения к Surface Hub, чтобы позволить ИТ-специалистам из клиента Microsoft Entra настраивать параметры. Во время первого запуска выберите использовать Идентификатор Microsoft Entra. Необходимо указать учетные данные, которые могут присоединиться к выбранному клиенту Microsoft Entra. После успешного присоединения к Microsoft Entra соответствующие пользователи получат права администратора на устройстве.
По умолчанию всем глобальным администраторам предоставляются права администратора на планшете Surface Hub, присоединенном к Microsoft Entra.
Важно.
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль. Дополнительные сведения см. в руководстве по настройке учетных записей не глобального администратора на Surface Hub.
Вы можете добавить дополнительных администраторов, как описано на этой странице.
Что происходит при присоединении Microsoft Entra к Surface Hub?
Surface Hub используют присоединение к Microsoft Entra для следующих способов:
- Предоставьте права администратора соответствующим пользователям в клиенте Microsoft Entra.
- Создайте резервную копию ключа восстановления BitLocker устройства, сохранив его в учетной записи, которая использовалась для присоединения к устройству Microsoft Entra. См. подробные сведения в разделе Сохранение ключа BitLocker.
Автоматическая регистрация через присоединение к Microsoft Entra
Surface Hub теперь поддерживает возможность автоматической регистрации в Intune путем присоединения устройства к Идентификатору Microsoft Entra.
Дополнительные сведения см. в статье Настройка регистрации для устройств Windows.
Что следует выбрать?
Если ваша организация использует Active Directory или Идентификатор Microsoft Entra, рекомендуется присоединиться к домену или Присоединиться к Microsoft Entra, в первую очередь из соображений безопасности. Пользователи могут проходить проверку подлинности и разблокировать параметры с помощью собственных учетных данных, а также могут перемещаться в группы безопасности, связанные с вашим доменом, или из них.
| Параметр | Требования | Какие учетные данные можно использовать для доступа к приложению "Параметры"? |
|---|---|---|
| Создание учетной записи локального администратора | Нет | Имя пользователя и пароль, заданные во время первого запуска |
| Присоединение устройства к домену Active Directory (AD) | Ваша организация использует AD | Любой пользователь AD из определенной группы безопасности в вашем домене |
| Присоединение к устройству в Microsoft Entra | В вашей организации используется Microsoft Entra Basic | Только глобальные администраторы |
| Ваша организация использует Microsoft Entra ID P1 или P2 или Enterprise Mobility Suite (EMS) | Глобальные администраторы и дополнительные администраторы |
Настройка учетных записей не глобальных администраторов на устройствах, присоединенных к Microsoft Entra
Для устройств Surface Hub версии 1 и Surface Hub 2S, присоединенных к Microsoft Entra ID, обновление Windows 10 Team 2020 позволяет ограничить разрешения администратора на управление приложением "Параметры" на Surface Hub. Это позволяет ограничить разрешения администратора только для Surface Hub и предотвратить потенциально нежелательный доступ администратора ко всему домену Microsoft Entra. Дополнительные сведения см. в статье Настройка учетных записей не глобального администратора на Surface Hub.