Surface Hub 上对“设置”应用的访问权限问题的疑难解答
若要在 Surface Hub 上打开“设置”应用,请选择“ 所有应用>设置”。 使用 Surface Hub 的任何人都可以使用“轻松访问”设置。 对于所有其他设置,请选择“ 以管理员身份查看 ”,并使用管理员帐户登录。 如果在尝试使用管理员帐户登录后无法访问设置,请查看此页面上的故障排除指南,从设备附属关系开始。
设备附属关系
对 Surface Hub 上的“设置”应用的完全访问权限取决于首次 运行安装期间最初如何关联 Surface Hub , (又名 OOBE) 通过以下选项之一:
Microsoft Entra ID
默认情况下,当 Surface Hub 加入到 Microsoft Entra ID 时,只有 Azure 租户中指定为全局管理员 (GA) 的帐户才能访问“设置”。 如果无法访问“设置”,请检查以下问题:
- 帐户是否为全局管理员帐户?
- 密码是否已过期? 请尝试重置密码。
- Surface Hub 是否已连接到 Internet?
- Surface Hub 是否位于阻止访问 Microsoft Entra ID 的代理或防火墙后面?
- 你或其他管理员是否为 Surface Hub 配置 了非全局管理员策略 ? 如果是,请参阅以下部分。
重要提示
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。 若要了解详细信息,请参阅在 Surface Hub 上配置非全局管理员帐户中的建议指南。
排查非全局管理员策略问题
加入 Microsoft Entra ID 并在 Intune 中自动注册后,可以配置非全局管理员策略以允许其他帐户访问 Surface Hub 上的设置。 如果启用了非全局管理员策略,并且用户无法访问“设置”,请检查以下问题:
策略成功:仍然无法访问“设置”
如果 Intune 显示非全局管理员策略设置已成功应用于 Surface Hub:
- 尝试登录的帐户是否是为此策略指定的安全组的成员?
- Surface Hub 是否已连接到 Internet?
- 如果使用 GA 帐户,它是否是 Surface Hub 上配置的安全组的成员? 还必须将 GA 帐户添加到此安全组。 否则,如果非全局管理员策略应用于 Surface Hub,GA 将无法再访问“设置”。
策略失败:Intune 错误
如果 Intune 显示非全局管理员策略设置无法访问 Surface Hub:
- 是否是在云中创建的帐户的安全组?
- ) XML 中使用的Microsoft Entra 组 SID (安全标识符 是否正确?
- 是否正确 创建了 XML 文件?
- 确保策略已分配给 Surface Hub 设备对象,而不是设备帐户。
若要了解详细信息,请参阅 对 intune 中的策略和配置文件进行故障排除Microsoft
本地 AD
如果 Surface Hub 已加入域并连接到本地 AD,则会在首次运行设置期间指定 AD 中的安全组,以允许组成员登录到“设置”。 可以在 Surface Hub 设置 >> Surface Hub 帐户中看到此指定组。 如果在尝试登录“设置”时收到错误消息,指出“这需要提升”,请检查以下问题:
- 确保使用的帐户是 OOBE 期间指定的安全组的成员。
- 确保帐户已启用且密码未过期。
注意
如果 Surface Hub 失去与域的信任,并且无法再访问“设置”,则需要重置 Surface Hub。
本地管理员 - 无设备附属关系
如果选择使用本地管理员设置 Surface Hub, (没有设备附属关系来Microsoft Entra ID 或本地 AD) ,则首次运行设置期间创建的帐户是唯一可以访问设置的帐户。 本地管理员帐户不受任何目录服务支持。 如果凭据被遗忘或不再有效,则需要重置 Surface Hub。
重要提示
如果本地管理员帐户是使用 预配包创建的,则必须每 42 天重置一次密码。 否则,帐户可能被锁定,无法登录“设置”。 如果发生这种情况,则需要重置 Surface Hub。