创建 Surface Hub 的预配程序包

预配包允许自动部署关键功能,从而帮助在组织中所有 Surface Hub 之间提供一致的体验。 在单独的电脑上使用 Windows 配置Designer (WCD) ,可以完成以下任务:

概述

预配包可实现简化的设置过程,无需大量 IT 干预即可执行,从而在组织和企业环境中节省时间和资源。

  1. 在运行Windows 10或Windows 11的单独电脑上,从 Microsoft 应用商店安装 Windows 配置Designer。
  2. 选择“ 预配 Surface Hub 设备 ”,以使用向导配置常见设置。 或选择“ 高级预配 ”以查看和配置所有可能的设置。
  3. 创建预配包并将其保存到 U 盘。
  4. 在首次运行安装期间或通过“设置”应用将包部署到 Surface Hub。 若要了解详细信息,请参阅 创建预配包

使用 Surface Hub 预配向导

  1. 打开 Windows 配置Designer并选择“预配 Surface Hub 设备”。
    使用 Surface Hub 预配向导。
  2. 为项目命名,然后选择“ 下一步”。

添加证书

添加证书。

若要为设备预配证书,请选择“ 添加证书”。 输入证书的名称,然后浏览以选择要使用的证书。 有关高级预配选项,请参阅下面的将 证书添加到包部分。

配置代理设置

配置代理设置。

  1. 对代理设置切换为。 默认情况下,Surface Hub 会自动检测代理设置。 但是,假设基础结构以前需要使用代理服务器,并且已更改为不需要代理服务器。 可以通过选择“”和“自动检测设置”,使用预配包将 Surface Hub 设备还原默认设置。

  2. 如果切换“ 是”,可以选择自动检测代理设置或通过输入以下选项之一手动配置设置:

    • 安装脚本的 URL。
    • 静态代理服务器地址和端口信息。
  3. 如果打算使用安装脚本或代理服务器,请关闭 “自动检测设置”。 可以使用安装脚本 代理服务器,而不是同时使用两者。

  4. 输入 surface Hub 应在不使用代理服务器) 的情况下直接连接到的异常 (地址。 示例: *.office365.com

  5. 确定是否对本地地址使用代理服务器。

设置设备管理员

加入 Active Directory、Microsoft Entra ID或创建本地管理员帐户。

可以在 Active Directory 中注册设备,并指定安全组以使用“设置”应用,注册Microsoft Entra ID以允许全局管理员使用“设置”应用,或在设备上创建本地管理员帐户。

重要提示

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。 若要了解详细信息,请参阅在 Surface Hub 上配置非全局管理员帐户中的建议指南。

  1. 若要在 Active Directory 中注册设备,请输入最低特权用户帐户的凭据,以将该设备加入域。 然后,指定安全组以在 Surface Hub 上拥有管理员凭据。 如果将程序包应用于已重置的 Surface Hub,则可以使用相同的域帐户,只要它最初设置 Surface Hub 的帐户相同。 否则,必须在预配包中使用不同的域帐户。
  2. 在使用 Windows 配置Designer配置批量Microsoft Entra注册之前,请规划Microsoft Entra联接实现。 Microsoft Entra租户中每个用户的最大设备数设置决定了可以在向导中获取的批量令牌的使用频率。
  3. 若要在 Microsoft Entra ID 中注册设备,请选择该选项,并为使用向导获取的批量令牌输入友好名称。 设置令牌的到期日期(从获取该令牌之日算起最多 30 天)。 选择“ 获取批量令牌”。 在“让我们让你登录”窗口中,输入有权将设备加入到Microsoft Entra ID的帐户,然后输入密码。 选择“接受”,为 Windows 配置Designer授予必要的权限。
  4. 若要创建本地管理员帐户,请选择该选项并输入用户名和密码。

重要提示

如果在预配包中创建本地帐户,则必须每 42 天使用设置应用更改密码。 如果在此期限内未更改密码,帐户可能会被锁定而无法登录。

注册第三方 MDM 提供程序

注册第三方移动设备管理。

使用第三方移动设备管理 (MDM) 提供商,可以使用此部分注册 Surface Hub。 若要注册Intune,请首先设置Microsoft Entra加入,如上一部分所述,并按照以下Intune文档中的说明操作:快速入门:为 Windows 10/11 设备设置自动注册

  1. 在第三方 MDM 中注册时切换 “是”“否 ”。
  2. 如果切换“ 是”,请提供有权注册设备的服务帐户和密码或证书指纹,并指定身份验证类型。
  3. 如果 MDM 提供程序需要,请输入发现服务、注册服务和策略服务的 URL。

若要了解详细信息,请参阅 使用 MDM 提供程序管理 Surface Hub。

添加应用程序

添加应用程序。

注意

目前,在 Windows 上运行Microsoft Teams 会议室的 Surface Hub 不支持将应用添加到预配包的功能。

对于运行 Windows 10 协同版 版本的 Surface Hub 2S,可以在预配包中安装多个通用 Windows 平台 (UWP) 应用。 若要了解详细信息,请参阅 使用应用预配电脑

提示

尽管 Windows 配置Designer允许将经典 Win32 应用添加到预配包,但 Surface Hub 仅接受 UWP 应用。 如果包括经典 Win32 应用,预配将失败。

密码保护预配包

如果使用密码,则每次将预配包应用到设备时都必须输入密码。

完成预配向导

如果只需要配置常见设置,请选择“ 完成>创建 ”,然后跳到 “生成包”部分。 或者通过切换到“高级预配”继续配置设置。

使用高级预配

提示

使用向导创建带有通用设置的程序包,然后切换到高级编辑器以添加其他设置。

切换到高级编辑器。

  1. 如果继续上一部分,请选择“切换到高级编辑器”;否则,请打开 Windows 配置Designer并选择“高级预配”。

    使用高级预配。

  2. 为项目命名,然后选择“ 下一步”。

  3. 依次选择“通用Windows 10 协同版”、“下一步”和“完成”。

    WCD 新项目。

  4. 在项目中的 “可用自定义项”下,选择“ 通用团队设置”。

    WCD 常见设置。

将证书添加到程序包

可以使用预配包安装证书,允许设备向 Exchange Microsoft进行身份验证。

注意

预配包只能将证书安装到设备 (本地计算机) 存储,而不能安装到用户存储区。 如果组织要求在用户存储中安装证书,请使用 中心设置 应用: 更新 & 安全>证书>导入证书。 或者,可以使用 MDM 策略 将证书部署到设备存储或用户存储。

提示

ClientCertificates 部分适用于具有私钥的 .pfx 文件;根 CA 的.cer文件应放在 RootCertificates 节中,而对于 CACertificates 节中的中间 CA,应将其放在其中。

  1. Windows 配置Designer>可用的自定义项 中,转到“运行时设置>”“证书>”“客户端证书”。
  2. 输入 CertificateName 的标签,然后选择“ 添加”。
  3. 输入 CertificatePassword
  4. 对于 CertificatePath,浏览并选择证书。
  5. ExportCertificate 设置为 False
  6. 对于 KeyLocation,选择仅软件

将 UWP 应用添加到程序包

适用于企业的 Microsoft Store停用后,现在可以使用 WinGet 来处理 UWP 应用的下载和打包。

  • 默认情况下,WinGet 预安装在Windows 10 (版本 1809 及更高版本) 和Windows 11。 若要确认已安装 WinGet,请打开命令提示符并输入 winget
  • 确保运行的是 WinGet 1.8 或更高版本。
  • 如果 WinGet 不存在或需要最新版本,请按照以下说明 操作:安装 WinGet
  1. 通过 WinGet 下载 UWP 应用:

    首先,下载应用包 (.appx 或 .appxbundle 文件) 和任何依赖项文件:

    winget download --id <app-id> --source msstore --accept-source-agreements
    

    将 和 <app-id> 替换为<app-name>要安装的应用的名称和 ID。

  2. 保存应用包和依赖项:

    下载后,应用文件和依赖项将保存到本地驱动器。 请确保将这些文件复制到预配包的生成位置。

  3. 将 UWP 应用添加到预配包:

    可用自定义项窗格中,转到运行时设置>UniversalAppInstall>DeviceContextApp

    • 输入应用的 PackageFamilyName ,然后选择“ 添加”。 为了保持一致性,请使用应用的程序包系列名称。 可以使用 WinGet 查找此信息:

      winget show <app-id>
      

      详细信息中列出了包系列名称 (PFM) 。

    • 对于 ApplicationFile,选择“ 浏览 ”以查找并选择使用 WinGet 下载的目标应用文件 (.appx 或 .appxbundle) 。

    • 对于 DependencyAppxFiles,选择“ 浏览 ”以查找并添加应用所需的任何依赖项文件。 确保使用这些依赖项的 x64 版本。

  4. 如果需要,) 添加应用许可证 (:

    如果应用通常需要许可证 (以前通过适用于企业的 Microsoft Store) 分发的应用,请执行以下步骤:

    • 创建应用许可证的副本,并将其重命名为使用 .ms-windows-store-license 扩展。 例如,将“example.xml”重命名为“example.ms-windows-store-license”。

    • 在 Windows 配置Designer,转到可用自定义>运行时设置>通用应用安装>DeviceContextAppLicense

    • 输入 LicenseProductId 并选择“ 添加”。 使用应用的许可证 ID,该 ID 可通过使用文本编辑器打开在许可证文件中找到。 在 LicenseID 属性中查找值。

    • 选择新的 LicenseProductId 节点。 对于 “LicenseInstall”,选择“ 浏览 ”以查找并选择已重命名的许可证文件, (example.ms-windows-store-license) 。

将策略添加到程序包

Surface Hub 支持策略配置服务提供程序中的策略子集。 其中一些策略可以使用 Windows 配置Designer进行配置。

若要添加 CSP 策略,请执行以下操作

  1. 转到 “可用自定义”“>运行时设置>策略”。

  2. 选择要管理的组件,并根据需要配置策略设置。 例如,若要防止员工使用 InPrivate 网站浏览 Surface Hub,请选择 “AllowInPrivate ”,然后选择“ 禁用”。

    配置策略设置。

将 Surface Hub 设置添加到程序包

可将 SurfaceHub 配置服务提供程序中的设置添加到设置包。

  1. 转到 “可用自定义”“>通用团队版设置”。
  2. 选择要管理的组件,并根据需要配置策略设置。
  3. 配置完预配包后,选择“ 文件>保存”。
  4. 阅读项目文件可能包含敏感信息的警告,然后选择“ 确定”

生成程序包

生成预配包时,可以在项目和预配包中包含敏感信息 (.ppkg) 文件。 虽然可以加密 .ppkg 文件,但项目文件不会加密。 将项目文件存储在安全位置,或将其删除(如果不再需要)。

  1. 打开 Windows 配置Designer>Export>预配包

  2. 所有者更改为 IT 管理员

  3. 设置程序包版本的值,然后选择下一步

    提示

    将所有者设置为 IT 管理员可确保包设置保持适当的“优先属性”,并在随后从其他源应用其他预配包时在 Surface Hub 上保持有效。

    提示

    可以修改现有包并更改版本号以更新以前应用的包。

  4. 可选:可以选择加密包并启用包签名:

    1. 选择“ 加密包 ”,然后输入密码。
    2. 选择 “签名包>”“浏览 ”,然后根据需要选择证书。

    重要提示

    建议在预配包中包含受信任的预配证书。 将包应用于设备时,证书将添加到系统存储,从而允许以无提示方式应用后续包。

  5. 选择“ 下一步 ”以指定输出位置。 Windows 配置Designer默认使用项目文件夹作为输出位置。 或者选择“ 浏览 ”以更改默认输出位置。 选择下一步

  6. 选择“ 生成 ”以开始生成包。 项目信息显示在生成页上。

  7. 如果生成失败,将显示一条错误消息,其中包含指向项目文件夹的链接。 查看日志以诊断错误,并再次尝试生成包。

  8. 如果生成成功,则会显示预配包、输出目录和项目目录的名称。 选择“ 完成 ”以关闭向导并返回到“自定义项”页。

  9. 选择 输出位置 以转到包的位置。 将 .ppkg 复制到空 U 盘。

将设置包应用到 Surface Hub

可通过两种方式将预配包部署到 Surface Hub:

  • 首次运行安装程序。 可以应用预配包来自定义多个选项,包括 Wi-Fi 设置、代理设置、设备帐户详细信息、Microsoft Entra加入和相关设置。
  • “设置”应用。 首次运行安装程序后,可以通过“设置”应用应用预配包。

在首次运行时应用设置包

  1. 首次打开 Surface Hub 时,首次运行的程序会显示“ 你好”页。 在继续操作之前,请确保正确配置了设置。
  2. 将包含 .ppkg 文件的 U 盘插入 Surface Hub。 如果包位于驱动器的根目录中,则首次运行的程序将识别它并询问是否要设置设备。 选择设置
  3. 下一个屏幕会要求你选择预配源。 选择“可移动媒体”,然后点击“下一步”
  4. 选择要应用的预配包 (*.ppkg) ,然后点击“ 下一步”。 请注意,首次运行期间只能安装一个包。
  5. 首次运行的程序将显示预配包将应用的更改的摘要。 选择是的,添加它

设备首次重启后,请删除 U 盘。 预配包中的设置将应用于设备,并且可以完成 OOBE。

使用“设置”应用应用应用预配包

  1. 将包含 .ppkg 文件的 U 盘插入 Surface Hub。
  2. 在 Surface Hub 中,启动 “设置” ,并在出现提示时输入管理员凭据。
  3. 导航到 Surface Hub>设备管理。 在 “预配包”下,选择“ 添加或删除预配包>”“添加包”。
  4. 选择设置包,然后选择添加。 如果出现提示,请再次输入管理员凭据。
  5. 你将看到要应用的更改的摘要。 选择是的,添加它

了解详细信息