Surface Hub 的管理群組管理
在個別裝置上使用 [設定] 應用程式,可各自設定其上的 Surface Hub。 為防止未經授權的使用者變更設定,\[設定\] 應用程式要求您必須提供系統管理員認證才能開啟應用程式。
系統管理員群組管理
您可以透過下列方式設定裝置的系統管理員帳戶:
- 建立本機系統管理員帳戶
- 將裝置加入 Active Directory 的網域
- Microsoft加入裝置
- (Surface Hub 2S) Microsoft加入 Entra 的裝置上設定非全域系統管理員帳戶
建立本機系統管理員帳戶
若要建立本機系統管理員,請在初次執行期間選擇使用本機系統管理員。 這會使用您選擇的使用者名稱和密碼,在 Surface Hub 上建立單一本機系統管理員帳戶。 使用這些認證來開啟 \[設定\] 應用程式。
請注意,本機系統管理員帳戶資訊不受任何目錄服務支援。 如果裝置無法存取 Active Directory (AD) 或Microsoft Entra ID,建議您只選擇本機系統管理員。 如果您決定變更本機系統管理員的密碼,可以在 \[設定\] 中變更。 不過,如果您想要從使用本機系統管理員帳戶變更為使用您網域或Microsoft Entra 租使用者中的群組,則必須 重設裝置 ,然後再次進行第一次程式。
將裝置加入 Active Directory 的網域
您可以將 Surface Hub 加入 AD 網域,以允許來自指定安全組的使用者設定設定。 在初次執行時,請選擇使用 Active Directory Domain Services。 您必須提供能夠加入所選網域的認證,以及現有安全組的名稱。 所有屬於該安全性群組成員的使用者都可以輸入他們的認證,並將 \[設定\] 解除鎖定。
當您的網域加入 Surface Hub 時,會發生什麼事?
Surface Hub 會透過加入網域來:
- 將系統管理員權限授與 AD 中指定安全性群組的成員。
- 將裝置的 BitLocker 修復金鑰儲存在 AD 中的電腦物件下,以備份裝置的 BitLocker 修復金鑰。 請參閱儲存您的 BitLocker 金鑰來取得詳細資料。
- 透過網域控制站同步處理系統時鐘以進行加密通訊
Surface Hub 不支援從域控制器套用組策略或憑證。
注意
如果您的 Surface Hub 失去網域的信任 (例如,如果您在 Surface Hub 加入網域之後,將它從網域移除),您將無法在裝置中進行驗證並開啟 \[設定\]。 如果您決定移除 Surface Hub 與您網域的信任關係,請先重設裝置。
Microsoft加入裝置
您可以使用 Microsoft Entra ID 加入 Surface Hub,以允許來自Microsoft Entra 租使用者的 IT 專業人員進行設定。 在第一次執行期間,選擇使用 Microsoft Entra ID。 您必須提供能夠加入所選 Microsoft Entra 租用戶的認證。 成功Microsoft加入 Entra 之後,會將裝置上的系統管理員許可權授與適當的人員。
根據預設,所有 全域系統管理員 都會在已加入 Entra 的 Surface Hub Microsoft上獲得系統管理員許可權。
重要
Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。 若要深入瞭解,請參閱在 Surface Hub 上設定非全域系統管理員帳戶中的建議指引。
您可以新增其他系統管理員,如 此頁面所詳述。
當您Microsoft加入 Surface Hub 時,會發生什麼事?
Surface Hub 使用 Microsoft Entra join:
- 將系統管理員許可權授與您 Microsoft Entra 租使用者中的適當使用者。
- 將裝置的 BitLocker 修復金鑰儲存在用來Microsoft加入裝置的帳戶之下,以備份裝置的 BitLocker 修復密鑰。 請參閱儲存您的 BitLocker 金鑰來取得詳細資料。
透過 Microsoft Entra join 自動註冊
Surface Hub 現在支援透過將裝置加入至 Microsoft Entra ID,在 Intune 中自動註冊的能力。
如需詳細資訊, 請參閱設定 Windows 裝置的註冊。
我應該選擇哪一個?
如果您的組織使用 Active Directory 或 Microsoft Entra ID,我們建議您加入網域或Microsoft加入 Entra,主要是基於安全性考慮。 人員可以使用自己的認證來驗證和解除鎖定設定,而且可以移入或移出與您網域相關聯的安全組。
| 選項 | 需求 | 哪些認證可以用於存取 \[設定\] 應用程式? |
|---|---|---|
| 建立本機系統管理員帳戶 | 無 | 於初次執行時指定的使用者名稱和密碼 |
| 加入 Active Directory (AD) 網域 | 您的組織使用 AD | 來自您網域中指定安全性群組的任何 AD 使用者 |
| Microsoft加入裝置 | 您的組織使用 Microsoft Entra Basic | 僅限全域系統管理員 |
| 您的組織使用 Microsoft Entra ID P1 或 P2 或 Enterprise Mobility Suite (EMS) | 全域系統管理員及額外的系統管理員 |
在已加入 Entra 的Microsoft裝置上設定非全域管理員帳戶
針對已加入 Microsoft Entra ID 的 Surface Hub v1 和 Surface Hub 2S 裝置,Windows 10 Team 2020 Update 可讓您限制管理 Surface Hub 上 [設定] 應用程式的系統管理員許可權。 這可讓您僅限 Surface Hub 的系統管理員許可權範圍,並防止潛在的垃圾系統管理員存取整個 Microsoft Entra 網域。 若要深入瞭解, 請參閱在 Surface Hub 上設定非全域系統管理員帳戶。