Настройка не глобальных учетных записей Администратор на Surface Hub

• Применяется к:

  Surface Hub, Surface Hub 2S

Обновление Windows 10 для совместной работы 2020 добавляет поддержку настройки не глобальных учетных записей Администратор, которые ограничивают разрешения на управление приложением "Параметры" на устройствах Surface Hub, присоединенных к Microsoft Entra домену. Это позволяет область разрешения администратора только для Surface Hub и предотвратить потенциально нежелательный доступ администратора во всем домене Microsoft Entra.

Windows 10 для совместной работы 2020 с обновлением 2 добавлена поддержка localUsersAndGroups CSP. Теперь это рекомендуемый поставщик служб CSP для использования; Поставщик CSP RestrictedGroups по-прежнему поддерживается, но не рекомендуется.

Примечание.

Прежде чем начать, убедитесь, что surface Hub Microsoft Entra присоединен и Intune автоматически зарегистрирован. В противном случае вам потребуется сбросить Surface Hub и снова завершить настройку первого запуска (OOBE), выбрав вариант присоединения к Microsoft Entra ID. Только учетные записи, которые проходят проверку подлинности с помощью Microsoft Entra ID, поддерживаются с конфигурацией не глобальной политики Администратор.

Сводка

Процесс создания не глобальных учетных записей Администратор включает в себя следующие действия.

1. В Microsoft Intune создайте группу безопасности, содержащую администраторов, назначенных для управления Surface Hub.
2. Получение идентификатора безопасности группы Microsoft Entra с помощью PowerShell.
3. Создайте XML-файл, содержащий идентификатор безопасности группы Microsoft Entra.
4. Создайте группу безопасности, содержащую устройства Surface Hub, которыми будет управлять группа безопасности не глобальных администраторов.
5. Создайте пользовательский профиль конфигурации, предназначенный для группы безопасности, содержащей устройства Surface Hub.

Создание групп безопасности Microsoft Entra

Сначала создайте группу безопасности, содержащую учетные записи администратора. Затем создайте другую группу безопасности для устройств Surface Hub.

Создание группы безопасности для учетных записей Администратор

1. Войдите в Intune через Центр администрирования Microsoft Intune, выберите Группы>Новая группа> и в разделе Тип группы выберите Безопасность.

2. Введите имя группы, например Локальные администраторы Surface Hub , а затем нажмите кнопку Создать.

   

3. Откройте группу, выберите Участники и нажмите кнопку Добавить участников , чтобы ввести учетные записи администраторов, которые вы хотите назначить не глобальными администраторами на Surface Hub. Дополнительные сведения о создании групп в Intune см. в статье Добавление групп для организации пользователей и устройств.

Создание группы безопасности для устройств Surface Hub

1. Повторите предыдущую процедуру, чтобы создать отдельную группу безопасности для центральных устройств. например, устройства Surface Hub.

   

Получение идентификатора безопасности группы Microsoft Entra с помощью PowerShell

1. Запустите PowerShell с повышенными привилегиями учетной записи (запуск от имени администратора) и убедитесь, что ваша система настроена для выполнения сценариев PowerShell. Дополнительные сведения см. в статье О политиках выполнения.

2. Установка модуля Azure PowerShell.

3. Войдите в клиент Microsoft Entra.

   Connect-AzureAD
   

   Примечание.

   модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

   Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции.

   Имейте в виду, что версии 1.0. x msOnline может столкнуться с нарушениями после 30 июня 2024 г.

4. Когда вы войдете в клиент, выполните следующую команду. Вам будет предложено ввести идентификатор объекта Microsoft Entra группы.

   function Convert-ObjectIdToSid
   {    param([String] $ObjectId)   
        $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
   
   }
   

5. В Intune выберите созданную ранее группу и скопируйте идентификатор объекта, как показано на следующем рисунке.

   

6. Выполните следующую команду, чтобы получить идентификатор безопасности группы безопасности:

   $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
   $Result = Convert-ObjectIdToSid $AADGroup
   Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
   

7. Вставьте идентификатор объекта в командлет PowerShell, нажмите клавишу ВВОД и скопируйте идентификатор безопасности группы Microsoft Entra в текстовый редактор.

Создание XML-файла, содержащего идентификатор безопасности группы Microsoft Entra

1. Скопируйте следующее в текстовый редактор:

   <GroupConfiguration>
   <accessgroup desc = "S-1-5-32-544">
       <group action = "U" />
       <add member = "AzureAD\bob@contoso.com"/>
       <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
   </accessgroup>
   </GroupConfiguration>
   

2. Замените заполнитель SID (начиная с S-1-12-1) на идентификатор безопасности группы Microsoft Entra, а затем сохраните файл в формате XML, например Microsoft Entra ID-local-admin.xml.

   Примечание.

   Хотя группы должны быть указаны через их идентификатор безопасности, если вы хотите добавить пользователей Azure напрямую, укажите их имена субъектов-пользователей (UPN) в следующем формате: <member name = "AzureAD\user@contoso.com" />

Создание профиля настраиваемой конфигурации

1. В Endpoint Manager выберите Устройства>Профили> конфигурацииСоздать профиль.

2. В разделе Платформа выберите Windows 10 и более поздних версий. В разделе Профиль выберите Шаблоны>Пользовательское>создание.

3. Добавьте имя и описание, а затем нажмите кнопку Далее.

4. В разделе Параметры конфигурации>OMA-URI Settings (Параметры OMA-URI) выберите Добавить.

5. В области Добавление строки добавьте имя и в разделе OMA-URI добавьте следующую строку:

    ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
   

   Примечание.

   Параметр политики RestrictedGroups/ConfigureGroupMembership также позволяет настроить участников (пользователей или Microsoft Entra группы) в Windows 10 локальной группе. Однако она позволяет полностью заменить существующие группы новыми участниками. Нельзя выборочно добавлять или удалять члены. Доступное в Windows 10 для совместной работы 2020 с обновлением 2, рекомендуется использовать параметр политики LocalUsersandGroups вместо параметра политики RestrictedGroups. Применение обоих параметров политики к Surface Hub не поддерживается и может привести к непредсказуемым результатам.

6. В разделе Тип данных выберите String XML и перейдите, чтобы открыть XML-файл, созданный на предыдущем шаге.

   

7. Нажмите кнопку Сохранить.

8. Щелкните Выбрать группы, чтобы включить и выбрать созданную ранее группу безопасности (устройства Surface Hub). Нажмите кнопку Далее

9. При необходимости добавьте правило в разделе Правила применимости. В противном случае нажмите кнопку Далее , а затем нажмите кнопку Создать.

Дополнительные сведения о настраиваемых профилях конфигурации, использующих строки OMA-URI, см. в статье Использование настраиваемых параметров для Windows 10 устройств в Intune.

Не глобальные администраторы, управляющие Surface Hub

Члены только что настроенной группы безопасности локальных администраторов Surface Hub теперь могут входить в приложение "Параметры" на Surface Hub и управлять параметрами.

Важно.

Если действие Обновление ("U") поставщика CSP LocalUsersAndGroups не является единственной используемой конфигурацией, то существующий доступ глобальных администраторов к приложению "Параметры" будет удален.