通过

在 Surface Hub 上配置非全局管理员帐户

  • 项目
  • 适用于:
    Surface Hub, Surface Hub 2S

Windows 10 协同版 2020 更新添加了对配置非全局管理员帐户的支持,这些帐户限制对加入Microsoft Entra域的 Surface Hub 设备上的“设置”应用管理权限。 这使你能够仅将 Surface Hub 的管理员权限限定为作用域,并防止跨整个Microsoft Entra域进行可能不需要的管理员访问权限。

Windows 10 协同版 2020 Update 2 添加了对 LocalUsersAndGroups CSP 的支持。 这是现在建议使用的 CSP; RestrictedGroups CSP 仍受支持,但已弃用。

注意

在开始之前,请确保 Surface Hub 已Microsoft Entra加入并Intune自动注册。 否则,需要重置 Surface Hub,并再次完成首次 (现成的 OOBE) 设置,然后选择加入Microsoft Entra ID选项。 非全局管理员策略配置仅支持通过 Microsoft Entra ID 进行身份验证的帐户。

摘要

创建非全局管理员帐户的过程涉及以下步骤:

  1. 在 Microsoft Intune 中创建一个安全组,其中包含指定用于管理 Surface Hub 的管理员。
  2. 使用 PowerShell 获取Microsoft Entra组 SID。
  3. 创建包含Microsoft Entra组 SID 的 XML 文件。
  4. 创建包含非全局管理员安全组将管理的 Surface Hub 设备的安全组。
  5. 创建面向包含 Surface Hub 设备的安全组的自定义配置文件。

创建Microsoft Entra安全组

首先,创建包含管理员帐户的安全组。 然后为 Surface Hub 设备创建另一个安全组。

为管理员帐户创建安全组

  1. 通过Microsoft Intune管理中心登录到Intune,选择“组>新建组>”,然后在“组类型”下,选择“安全性”。

  2. 输入组名称(例如 Surface Hub 本地管理员 ),然后选择“ 创建”。

    为中心管理员创建安全组。

  3. 打开组,选择“ 成员”,然后选择“ 添加成员 ”,输入要指定为 Surface Hub 上的非全局管理员的管理员帐户。 若要详细了解如何在 Intune 中创建组,请参阅添加组以组织用户和设备

为 Surface Hub 设备创建安全组

  1. 重复上述过程,为中心设备创建单独的安全组;例如 ,Surface Hub 设备

    为中心设备创建安全组。

使用 PowerShell 获取Microsoft Entra组 SID

  1. 使用提升的帐户权限 (以管理员身份运行) 启动 PowerShell,并确保系统配置为运行 PowerShell 脚本。 若要了解详细信息,请参阅 关于执行策略

  2. 安装 Azure PowerShell 模块

  3. 登录到Microsoft Entra租户。

    Connect-AzureAD

    注意

    自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。

    建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答

    请注意版本 1.0。MSOnline 的 x 可能会在 2024 年 6 月 30 日之后遇到中断。

  4. 登录到租户后,请运行以下 commandlet。 它将提示你“请键入Microsoft Entra组的对象 ID”。

    function Convert-ObjectIdToSid
{    param([String] $ObjectId)   
     $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')

}

  5. 在“Intune”中,选择之前创建的组并复制“对象 ID”,如下图所示。

    复制安全组的对象 ID。

  6. 运行以下命令,获取安全组的 SID:

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
$Result = Convert-ObjectIdToSid $AADGroup
Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result

  7. 将对象 ID 粘贴到 PowerShell 命令let中,按 Enter,然后将Microsoft Entra组 SID 复制到文本编辑器中。

创建包含Microsoft Entra组 SID 的 XML 文件

  1. 将以下内容复制到文本编辑器中:

    <GroupConfiguration>
<accessgroup desc = "S-1-5-32-544">
    <group action = "U" />
    <add member = "AzureAD\bob@contoso.com"/>
    <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
</accessgroup>
</GroupConfiguration>

  2. 将以 S-1-12-1 开头的占位符 SID () 替换为Microsoft Entra组 SID,然后将该文件另存为 XML;例如,Microsoft Entra ID-local-admin.xml

    注意

    虽然应通过其 SID 指定组,但如果要直接添加 Azure 用户,请以以下格式 (UPN) 指定其用户主体名称: <member name = "AzureAD\user@contoso.com" />

创建自定义配置文件

  1. 在 Endpoint Manager 中,选择“ 设备>配置文件”>“创建配置文件”。

  2. 在“平台”下,选择“Windows 10及更高版本”。在“配置文件”下,选择“模板>自定义>创建”。

  3. 添加名称和说明,然后选择“ 下一步”。

  4. “配置设置>OMA-URI 设置”下,选择“ 添加”。

  5. 在“添加行”窗格中,添加名称,并在 “OMA-URI”下添加以下字符串:

     ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

    注意

    RestrictedGroups/ConfigureGroupMembership 策略设置还允许配置成员 (用户或Microsoft Entra组) 到Windows 10本地组。 但是,它仅允许使用新成员完全替换现有组。 不能有选择地添加或删除成员。 在 Windows 10 协同版 2020 Update 2 中可用,建议使用 LocalUsersandGroups 策略设置,而不是 RestrictedGroups 策略设置。 不支持将这两个策略设置应用于 Surface Hub,并且可能会产生不可预知的结果。

  6. 在“数据类型”下,选择“ 字符串 XML ”,然后浏览以打开在上一步中创建的 XML 文件。

    上传本地管理员 xml 配置文件。

  7. 单击“保存”

  8. 单击“选择要包含的组”,然后选择之前 (Surface Hub 设备) 创建的安全组。 单击“下一步”

  9. 在“适用性规则”下,根据需要添加一个规则。 否则,请选择“ 下一步 ”,然后选择“ 创建”。

若要详细了解使用 OMA-URI 字符串的自定义配置文件,请参阅在 Intune 中使用Windows 10设备的自定义设置

管理 Surface Hub 的非全局管理员

新配置的 Surface Hub 本地管理员 安全组的成员现在可以登录到 Surface Hub 上的“设置”应用并管理设置。

重要提示

除非 LocalUsersAndGroups CSP 的更新 (“U”) 操作是唯一使用的配置,否则将删除全局管理员对“设置”应用的现有访问权限。