Управление группой администраторов для Surface Hub

Каждое устройство Surface Hub можно настроить локально с помощью приложения «Параметры» на устройстве. Во избежание несанкционированного изменения параметров для открытия приложения «Параметры» требуются учетные данные администратора.

управление группой администраторов

Учетные записи администратора для устройства можно настроить следующими способами:

Создание учетной записи локального администратора

Чтобы создать локального администратора, во время первого запуска выберите соответствующий параметр. При этом на Surface Hub будет создана одна учетная запись локального администратора с выбранными именем пользователя и паролем. Используйте эти учетные данные, чтобы открыть приложение "Параметры".

Обратите внимание, что данные учетной записи локального администратора не резервируются ни одной службой каталогов. Мы рекомендуем выбрать локального администратора, если у устройства нет доступа к Active Directory или Azure Active Directory. Если вы решите изменить пароль локального администратора, это можно сделать в приложении "Параметры". Однако если вы захотите изменить локального администратора на группу из домена или клиента Azure AD, потребуется сбросить устройство и снова выполнить процедуру первого запуска.

Присоединение устройства к Домену в Active Directory

Можно присоединить устройство Surface Hub к своему домену AD, чтобы разрешить пользователям из заданной группы безопасности настраивать параметры. Во время первого запуска выберите использование доменных служб Active Directory. Потребуется предоставить учетные данные, позволяющие присоединяться к выбранному домену, и имя существующей группы безопасности. Любой член этой группы безопасности может ввести свои учетные данные и разблокировать приложение "Параметры".

Что происходит, когда вы присоединяете Surface Hub к домену?

Устройства Surface Hub используют присоединение к домену для решения следующих задач:

  • предоставить права администратора участникам заданной группы безопасности в AD;
  • выполнить резервное копирование ключа восстановления BitLocker устройства, сохранив его в объекте компьютера в AD. См. подробные сведения в разделе Сохранение ключа BitLocker.
  • Синхронизация системных часов с доменным контроллером для зашифрованного обмена данными

Surface Hub не поддерживает применение групповая политика или сертификатов с контроллера домена.

Примечание

Если ваше устройство Surface Hub теряет доверие домена (например, при удалении Surface Hub из домена после присоединения к нему), вы не сможете пройти проверку подлинности и открыть приложение «Параметры». Если вы решите удалить отношение доверия Surface Hub с доменом, сначала сбросьте устройство.

Azure AD присоединение устройства

Вы можете Azure Active Directory (Azure AD) присоединиться к Surface Hub, чтобы ИТ-специалисты из Azure AD клиента настраивали параметры. Во время первого запуска выберите использование Microsoft Azure Active Directory. Вам необходимо ввести учетные данные, позволяющие присоединиться к выбранному клиенту Azure AD. После присоединения к Azure AD соответствующим пользователям будут предоставлены на устройстве права администрирования.

По умолчанию все глобальные администраторы получат права администратора на устройстве Surface Hub, присоединенном к Azure AD. С помощью Azure AD Premium или Enterprise Mobility Suite (EMS) можно добавить дополнительных администраторов:

  1. В разделе Классический портал Azure щелкните Active Directory, а затем щелкните имя каталога организации.
  2. На странице Настройка в разделе Устройства > Дополнительные администраторы на устройствах, присоединенных к Azure AD щелкните Выбранные.
  3. Нажмите кнопку Добавитьи выберите пользователей, которых требуется добавить в качестве администраторов на устройстве Surface Hub и других присоединенных к Azure AD устройствах.
  4. После завершения нажмите кнопку с флажком, чтобы сохранить изменения.

Что происходит, когда вы подключаете устройство Surface Hub к Azure AD?

Устройства Surface Hub используют присоединение к Azure AD для решения следующих задач:

  • предоставление прав администратора соответствующим пользователям в клиенте Azure AD;
  • резервное копирование ключа восстановления BitLocker на устройстве путем сохранения его в учетной записи, использовавшейся для присоединения устройства к Azure AD. См. подробные сведения в разделе Сохранение ключа BitLocker.

Автоматическая регистрация с Azure Active Directory присоединением

Surface Hub теперь поддерживает возможность автоматической регистрации в Intune путем присоединения устройства к Azure Active Directory.

Дополнительные сведения см. в разделе "Настройка регистрации Windows устройств".

Что следует выбрать?

Если ваша организация использует Active Directory или Azure AD, мы рекомендуем присоединить устройство к домену или Azure AD, главным образом по соображениям безопасности. Пользователи смогут пройти проверку подлинности и разблокировать приложение "Параметры" с собственными учетными данными. При этом их можно будет добавлять и удалять из групп безопасности, связанных с вашими доменом.

Параметр Требования Какие учетные данные можно использовать для доступа к приложению "Параметры"?
Создание учетной записи локального администратора Нет Имя пользователя и пароль, заданные во время первого запуска
Присоединение устройства к домену Active Directory (AD) Ваша организация использует AD Любой пользователь AD из определенной группы безопасности в вашем домене
Присоединение устройства к Azure Active Directory (Azure AD) Ваша организация использует Azure AD Basic Только глобальные администраторы
  Ваша организация использует Azure AD Premium или Enterprise Mobility Suite (EMS) Глобальные администраторы и дополнительные администраторы

Настройка учетных записей администраторов, отличных от глобальных, на Azure AD присоединенных к сети устройств

Для Surface Hub 1 и Surface Hub 2S, присоединенных к Azure AD, обновление Windows 10 для совместной работы 2020 позволяет ограничить разрешения администратора на управление приложением Параметры на Surface Hub. Это позволяет ограничить разрешения администратора только для Surface Hub и запретить потенциально нежелательным администраторам доступ ко всему Azure AD домену. Дополнительные сведения см. в статье "Настройка учетных записей администраторов, не включаемого в глобальный Surface Hub".