在 Surface Hub 上設定非全域 管理員 帳戶
Windows 10 團隊版 2020 Update 新增支援,以設定非全域 管理員 帳戶,以限制已加入 Microsoft Entra 網域之 Surface Hub 裝置上的 [設定] 應用程式管理許可權。 這可讓您僅限 Surface Hub 的系統管理員許可權,並防止整個 Microsoft Entra 網域中潛在的垃圾系統管理員存取。
Windows 10 團隊版 2020 Update 2 新增 LocalUsersAndGroups CSP 的支援。 這現在是建議使用的 CSP; RestrictedGroups CSP 仍受支援,但已被取代。
注意
開始之前,請確定您的 Surface Hub 已 Microsoft Entra 加入,並 Intune 自動註冊。 如果沒有,您必須重設 Surface Hub,並完成 OOBE) 設定的第一次全新 (,加入宣告 Microsoft Entra ID 的選項。 非全域 管理員 原則設定僅支援透過 Microsoft Entra ID 進行驗證的帳戶。
摘要
建立非全域 管理員 帳戶的程式包含下列步驟:
- 在 Microsoft Intune 中,建立包含指定來管理 Surface Hub 之系統管理員的安全組。
- 使用 PowerShell 取得 Microsoft Entra 群組 SID。
- 建立包含 Microsoft Entra 群組 SID 的 XML 檔案。
- 建立包含非全域系統管理員安全組將管理之 Surface Hub 裝置的安全組。
- 建立以包含 Surface Hub 裝置的安全組為目標的自定義組態配置檔。
建立 Microsoft Entra 安全組
首先,建立包含系統管理員帳戶的安全組。 然後為 Surface Hub 裝置建立另一個安全組。
建立 管理員 帳戶的安全組
透過 Microsoft Intune 系統管理中心登入 Intune,選取 [群組>新群組],然後在 [群組>類型] 下選取 [安全性]。
輸入組名 ,例如 Surface Hub 本機系統管理員 ,然後選取 [ 建立]。
開啟群組,選取 [成員],然後選擇 [ 新增成員 ] 以輸入您想要在 Surface Hub 上指定為非全域系統管理員的系統管理員帳戶。 若要深入瞭解如何在 Intune 中建立群組,請參閱新增群組以組織用戶和裝置。
建立 Surface Hub 裝置的安全組
重複上述程式,為中樞裝置建立個別的安全組;例如, Surface Hub 裝置。
使用 PowerShell 取得 Microsoft Entra 群組 SID
使用提高的帳戶許可權啟動 PowerShell (以系統 管理員 身分) 執行,並確保您的系統已設定為執行 PowerShell 腳本。 若要深入瞭解,請參閱 關於執行原則。
登入您的 Microsoft Entra 租使用者。
Connect-AzureAD
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。
建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題。
請注意,1.0 版。x 的 MSOnline 可能會在 2024 年 6 月 30 日之後發生中斷。
當您登入租使用者時,請執行下列 Commandlet。 它會提示您「請輸入 Microsoft Entra 群組的物件識別碼」。
function Convert-ObjectIdToSid { param([String] $ObjectId) $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-') }
在 Intune 中,選取您稍早建立的群組並複製 [對象標識元],如下圖所示。
執行下列 Commandlet 以取得安全組的 SID:
$AADGroup = Read-Host "Please type the Object ID of your Azure AD Group" $Result = Convert-ObjectIdToSid $AADGroup Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
將 [物件標識符] 貼到 PowerShell 命令行中,按 Enter 鍵,然後將 Microsoft Entra 群組 SID 複製到文字編輯器中。
建立包含 Microsoft Entra 群組 SID 的 XML 檔案
將下列內容複製到文字編輯器中:
<GroupConfiguration> <accessgroup desc = "S-1-5-32-544"> <group action = "U" /> <add member = "AzureAD\bob@contoso.com"/> <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/> </accessgroup> </GroupConfiguration>
以您的 Microsoft Entra 群組 SID 取代開頭為 S-1-12-1) 的佔位元 SID (,然後將檔案儲存為 XML;例如,Microsoft Entra ID-local-admin.xml。
注意
雖然應該透過其 SID 指定群組,但如果您想要直接新增 Azure 使用者,請以下列格式指定其使用者主體名稱 (UPN) :
<member name = "AzureAD\user@contoso.com" />
建立自定義組態配置檔
在 [端點管理員] 中,選取 [ 裝置>組態配置檔>] [建立配置檔]。
在 [平臺] 底下,選取 [Windows 10 及更新版本]。在 [配置檔] 底下,選取 [範本>自定義>建立]。
新增名稱和描述,然後選取 [ 下一步]。
在 [組態>設定OMA-URI 設定] 下,選取 [新增]。
在 [新增數據列] 窗格中,新增名稱,並在 [OMA-URI] 底下新增下列字串:
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
注意
RestrictedGroups/ConfigureGroupMembership 原則設定也可讓您設定 (使用者或 Microsoft Entra 群組的成員,) Windows 10 本機群組。 不過,它只允許以新成員完整取代現有的群組。 您無法選擇性地新增或移除成員。 在 Windows 10 團隊版 2020 Update 2 中提供,建議使用 LocalUsersandGroups 原則設定,而不是 RestrictedGroups 原則設定。 不支援將這兩個原則設定套用至 Surface Hub,而且可能會產生無法預期的結果。
在 [數據類型] 下,選取 [字串 XML ],然後瀏覽以開啟您在上一個步驟中建立的 XML 檔案。
按一下 [儲存]。
按兩下 [選取群組] 以包含並選擇您稍早 (Surface Hub 裝置) 建立的安全組。 按 \[下一步\]。
在 [適用性規則] 下方,視需要新增規則。 否則,請選取 [下一步 ],然後選取 [ 建立]。
若要深入瞭解使用 OMA-URI 字串的自定義組態配置檔,請參閱在 Intune 中使用 Windows 10 裝置的自定義設定。
管理 Surface Hub 的非全域系統管理員
新設定的 Surface Hub 本機系統管理員 安全組成員現在可以登入 Surface Hub 上的 [設定] 應用程式並管理設定。
重要
除非 LocalUsersAndGroups CSP 的 Update (“U”) 動作是唯一使用的組態,否則會移除全域系統管理員對設定應用程式的預先存在存取權。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應