为 Surface Hub 准备环境
本页介绍设置和管理 Surface Hub v1 或 Surface Hub 2S 的依赖项。
提示
作为本文的配套内容,建议在登录到 Microsoft 365 管理中心时使用 Surface Hub 和 Microsoft Teams 会议室自动设置指南 。 本指南将基于你的环境自定义你的体验。 如果你托管在 Exchange Online 中并使用 Microsoft Teams,本指南将自动创建具有正确设置的设备帐户。 或者使用它来验证现有资源帐户,以帮助将其转换为兼容的 Surface Hub 设备帐户。 若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 M365 安装门户。
基础结构依赖项
查看这些依赖关系,以确保 Surface Hub 功能在你的 IT 基础结构中有效。
依赖关系 | 说明 | 了解详细信息 |
---|---|---|
本地服务和 Active Directory 或 M365 | Surface Hub 使用 Active Directory 或 Microsoft Entra 帐户 (称为 设备帐户) 来访问 Exchange 和 Teams (或 Skype for Business) 服务。 Surface Hub 必须能够连接到 Active Directory 域控制器或 Microsoft Entra 租户,以便验证设备帐户的凭据,以及访问设备帐户的显示名称、别名、Exchange 服务器和会话初始协议 (SIP) 地址等信息。 注意:Surface Hub 可与 Microsoft Teams、Skype for Business Server 2019、Skype for Business Server 2015 或 Skype for Business Online 配合使用。 不支持早期平台(如 Lync Server 2013)。 GCC DoD 环境中不支持 Surface Hub。 |
Microsoft 365 个终结点 创建和测试设备帐户 |
Windows 更新、存储和诊断 | 需要访问 Windows 更新或适用于企业的 Windows 更新才能使用 OS 功能和质量更新来维护 Surface Hub。 需要访问 Microsoft Store 才能维护应用。 |
管理 Windows 10 企业版版本 20H2 的连接终结点 管理 Surface Hub 上的 Windows 更新 |
移动设备管理 (MDM) 解决方案 (Microsoft Intune、Microsoft Endpoint Configuration Manager 或受支持的第三方 MDM 提供程序) | 如果要远程应用设置和安装应用,以及一次应用于多台设备,则必须设置 MDM 解决方案并将设备注册到该解决方案。 |
Microsoft Intune 网络终结点 使用 MDM 提供程序管理设置 |
Azure Monitor | Azure Monitor 可用于监视 Surface Hub 设备的运行状况。 注意:Surface Hub 目前不支持使用代理服务器来与 Azure Monitor 使用的 Log Analytics 服务进行通信。 |
Log Analytics 终结点 使用 Azure Monitor 监视 Surface Hub 以跟踪其运行状况。 |
网络访问 | Surface Hub 支持有线或无线连接, (有线连接是首选) 。 802.1X 身份验证 在 Windows 10 Team 20H2 中,尽管默认情况下已启用有线和无线连接的 802.1X 身份验证,但你需要确保在 Surface Hub 上也安装了 802.1x 网络配置文件和身份验证证书。 如果使用 Intune 或其他移动设备管理解决方案管理 Surface Hub,则可以使用 ClientCertificateInstall CSP 传递证书。 否则,可以 创建预配包 ,并在首次运行安装程序期间或使用“设置”应用安装它。 应用证书后,将自动开始 802.1X 身份验证。 动态 IP 无法将 Surface Hub 配置为使用静态 IP。 必须通过 DHCP 为它们分配 IP 地址。 端口 Surface Hub 需要以下开放端口: HTTPS:443 HTTP:80 NTP:123 |
启用 802.1x 有线身份验证 创建 Surface Hub 的预配程序包 |
设备附属关系
使用设备附属关系管理用户对 Surface Hub 上“设置”应用的访问权限。 使用在 Surface Hub) 上运行的 Windows 10 团队操作系统 (,只有授权用户才能使用“设置”应用调整设置。 由于选择附属关系可能会影响功能可用性,因此请适当规划以确保用户可以按预期访问功能。
注意
只能在 OOBE) 设置的初始现用体验期间设置设备附属关系 (。 如果需要重置设备附属关系,则必须重复 OOBE 设置。
无从属关系
没有隶属关系就像在每个 Surface Hub 上具有不同本地管理员帐户的工作组中的 Surface Hub 一样。 如果选择“无附属关系”,则必须将 BitLocker 密钥本地保存到 U 盘。 你仍然可以向 Intune 注册设备;但是,只有本地管理员可以使用 OOBE 期间配置的帐户凭据访问“设置”应用。 可以从“设置”应用更改管理员帐户密码。
Active Directory 域服务
如果将 Surface Hub 关联到本地 Active Directory 域服务,则需要使用域中的安全组管理对“设置”应用的访问权限。 这有助于确保所有安全组成员都有权更改 Surface Hub 上的设置。 另请注意以下事项:当 Surface Hub 关联公司与本地 Active Directory 域服务时,BitLocker 密钥可以保存在 Active Directory 架构中。 有关详细信息,请参阅 BitLocker 规划指南。
组织的受信任根 CA 将推送到 Surface Hub 中的同一容器,这意味着你无需使用预配包导入它们。
你仍然可以向 Intune 注册设备,以集中管理 Surface Hub 上的设置。
Microsoft Entra ID
选择将 Surface Hub 关联到 Microsoft Entra ID 时,任何具有全局管理员角色的用户都可以登录到 Surface Hub 上的“设置”应用。 还可以配置非全局管理员帐户,以限制管理 Surface Hub 上的“设置”应用的权限。 这使你能够将管理员权限限定为仅 Surface Hubs 的范围,并防止跨整个 Microsoft Entra 域进行可能不需要的管理员访问权限。
重要提示
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。 若要了解详细信息,请参阅在 Surface Hub 上配置非全局管理员帐户中的建议指南。
注意
Surface Hub 管理员帐户只能在 通过 Microsoft Entra ID 进行身份验证时登录到“设置”应用。 不支持第三方联合标识提供者 (Idp) 。
如果为组织启用了 Intune 自动注册 ,则 Surface Hub 会自动向 Intune 注册;在这种情况下,在安装过程中用于Microsoft Entra 隶属关系的帐户必须获得 Intune 的许可,并且有权注册 Windows 设备。 安装过程完成后,设备的 BitLocker 密钥将自动保存在 Entra ID Microsoft中。
若要详细了解如何使用 Microsoft Entra ID 管理 Surface Hub,请参阅:
查看并填写 Surface Hub 设置工作表(可选)
在为 Surface Hub 实行首次运行计划时,需要提供一些信息。 设置工作表总结了此类信息,并提供要实行首次运行计划所需的特定于环境的信息。 有关详细信息,请参阅设置工作表。