針對 Surface Hub 準備您的環境
此頁面描述設定和管理 Surface Hub v1 或 Surface Hub 2S 的相依性。
提示
作為本文的附屬內容,我們建議您在登入 Microsoft 365 系統管理 中心時,使用 Surface Hub 和 Microsoft Teams 會議室 自動化安裝指南。 本指南會根據您的環境自定義您的體驗。 如果您裝載於 Exchange Online,並使用 Microsoft Teams,本指南會自動建立具有正確設定的裝置帳戶。 或使用它來驗證現有的資源帳戶,以協助將它們轉換成相容的 Surface Hub 裝置帳戶。 若要檢閱最佳做法,而不登入和啟用自動化安裝功能,請移至 M365 安裝程式入口網站。
基礎結構相依性
檢閱這些相依性,以確定 Surface Hub 功能可在您的 IT 環境中運作。
| 相依性 | 描述 | 深入了解 |
|---|---|---|
| 內部部署服務和 Active Directory 或 M365 | Surface Hub 使用稱為裝置帳戶 (的 Active Directory 或 Microsoft Entra 帳戶,) 存取 Exchange 和 Teams (或 商務用 Skype) 服務。 Surface Hub 必須能夠連線到 Active Directory 域控制器或 Microsoft Entra 租使用者,才能驗證裝置帳戶的認證,以及存取裝置帳戶的顯示名稱、別名、Exchange 伺服器和會話起始通訊協定等資訊 (SIP) 位址。 注意:Surface Hub 可與 Microsoft Teams、商務用 Skype Server 2019、商務用 Skype Server 2015 或 商務用 Skype Online 搭配使用。 不支援舊版平臺,例如 Lync Server 2013。 GCC DoD 環境中不支援 Surface Hub。 |
Microsoft 365 端點 建立和測試裝置帳戶 |
| Windows Update、儲存和診斷 | 需要存取 Windows Update 或商務用 Windows Update,才能使用操作系統功能和品質更新來維護 Surface Hub。 需要存取 Microsoft Store 才能維護應用程式。 | 管理適用於 Windows 10 企業版 (版本 20H2) 的連線端點 在 Surface Hub 上管理 Windows 更新 |
| 行動裝置管理 (MDM) 解決方案 (Microsoft Intune、Microsoft 端點 Configuration Manager 或支援的第三方 MDM 提供者) | 如果您想要從遠端套用設定和安裝應用程式,以及一次將應用程式安裝到多個裝置,您必須設定 MDM 解決方案,並將裝置註冊到該解決方案。 | Microsoft Intune 的網路端點 使用 MDM 提供者管理設定 |
| Azure 監視器 | Azure 監視器可用來監視 Surface Hub 裝置的健康情況。 注意:Surface Hub 目前不支援使用 Proxy 伺服器來與 Azure 監視器所使用的 Log Analytics 服務通訊。 |
Log Analytics 端點 使用 Azure 監視器監視 Surface Hub 以追蹤其健康情況。 |
| 網路存取 | Surface Hub 支援有線或無線連線, (慣用有線連線) 。 802.1X 驗證 在 Windows 10 團隊版 20H2 中,雖然預設會啟用有線和無線連線的 802.1X 驗證,但您必須確定 Surface Hub 上也已安裝 802.1x 網路配置檔和驗證憑證。 如果您使用 Intune 或其他行動裝置管理解決方案來管理 Surface Hub,您可以使用 ClientCertificateInstall CSP 來傳遞憑證。 否則,您可以 建立布建套件 ,並在初次執行安裝期間或使用 [設定] 應用程式加以安裝。 套用憑證時,802.1X 驗證會自動開始。 動態IP Surface Hub 無法設定為使用靜態 IP。 他們必須透過 DHCP 指派 IP 位址。 連接埠 Surface Hub 需要下列開啟的埠: HTTPS:443 HTTP:80 NTP:123 |
啟用 802.1x 有線驗證 建立 Surface Hub 的佈建套件 |
裝置關係
使用裝置關係來管理使用者對 Surface Hub 上設定應用程式的存取權。 使用在 Surface Hub) 上執行的 Windows 10 團隊版 作業系統 (,只有授權的使用者可以使用 [設定] 應用程式來調整設定。 由於選擇關係可能會影響功能可用性,因此請適當地規劃以確保使用者可以視需要存取功能。
注意
您只能在 OOBE) 設定 (初始全新體驗期間設定裝置關係。 如果您需要重設裝置關係,您必須重複 OOBE 設定。
沒有關係
沒有任何關係就像讓 Surface Hub 在每個 Surface Hub 上都具有不同本機系統管理員帳戶的工作組中。 如果您選擇 [沒有關係],則必須在本機將 BitLocker 金鑰儲存至 USB Thumb 磁碟驅動器。 您仍然可以使用 Intune 註冊裝置;不過,只有本機系統管理員可以使用 OOBE 期間設定的帳戶認證來存取設定應用程式。 您可以從 [設定] 應用程式變更系統管理員帳戶密碼。
Active Directory Domain Services
如果您使用 內部部署的 Active Directory Domain Services 的聯盟 Surface Hub,您需要使用網域上的安全組來管理 [設定] 應用程式的存取權。 這有助於確保所有安全組成員都有權變更 Surface Hub 上的設定。 另請注意下列事項:當 Surface Hub 與您的 內部部署的 Active Directory Domain Services,BitLocker 金鑰可以儲存在 Active Directory 架構中。 如需詳細資訊,請 參閱為組織準備 BitLocker:規劃和原則。
您組織的受信任根 CA 會推送至 Surface Hub 中的相同容器,這表示您不需要使用布建套件匯入它們。
您仍然可以使用 Intune 註冊裝置,以集中管理 Surface Hub 上的設定。
Microsoft Entra ID
當您選擇將 Surface Hub 與 Microsoft Entra ID 建立關聯時,任何具有全域管理員角色的使用者都可以登入 Surface Hub 上的 [設定] 應用程式。 您也可以設定非全域 管理員 帳戶,以限制 Surface Hub 上 [設定] 應用程式的管理許可權。 這可讓您僅限 Surface Hub 的系統管理員許可權範圍,並防止整個 Microsoft Entra 網域中潛在的垃圾系統管理員存取。
注意
Surface Hub 系統管理員帳戶只能在透過 Microsoft Entra ID 驗證時登入設定應用程式。 不支援第三方同盟識別提供者 (idPs) 。
如果您為組織啟用 Intune 自動註冊,Surface Hub 會自動向 Intune 註冊本身;在此案例中,安裝期間用於 Microsoft Entra 關係的帳戶必須獲得 Intune 授權,並具有註冊 Windows 裝置的許可權。 安裝程式完成之後,裝置的 BitLocker 金鑰會自動儲存在 Microsoft Entra ID 中。
若要深入瞭解如何使用 Microsoft Entra ID 管理 Surface Hub,請參閱:
檢閱並完成 Surface Hub 設定工作表 (選擇性)
當您完成 Surface Hub 的初次執行程式時,還需要提供一些資訊。 設定工作表摘要說明該資訊,並提供完成初次執行程式時所需的環境特定資訊的清單。 如需詳細資訊,請參閱設定工作表。
深入了解
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應