Amministrazione gestione del gruppo per Surface Hub
Tutti i dispositivi Surface Hub possono essere configurati localmente usando l'app Impostazioni nel dispositivo. Per impedire agli utenti non autorizzati di modificare le impostazioni, l'app Impostazioni richiede credenziali di amministratore per aprire l'app.
Gestione del gruppo amministratori
È possibile configurare gli account amministratore per il dispositivo nei modi seguenti:
- Creare un account amministratore locale
- Aggiungere il dispositivo ad Active Directory
- Microsoft Entra aggiungere il dispositivo
- Configurare account Amministrazione non globali nei dispositivi aggiunti Microsoft Entra (Surface Hub 2S)
Creare un account amministratore locale
Per creare un amministratore locale, scegli di usare un amministratore locale durante la prima esecuzione. In questo modo viene creato un singolo account amministratore locale in Surface Hub con il nome utente e la password di propria scelta. Usa queste credenziali per aprire l'app Impostazioni.
Si noti che le informazioni sull'account amministratore locale non sono supportate da alcun servizio directory. È consigliabile scegliere un amministratore locale solo se il dispositivo non ha accesso ad Active Directory (AD) o Microsoft Entra ID. Se decidi di modificare la password dell'amministratore locale, puoi farlo in Impostazioni. Tuttavia, se si vuole passare dall'uso dell'account amministratore locale all'uso di un gruppo dal dominio o Microsoft Entra tenant, è necessario reimpostare il dispositivo e passare di nuovo al programma per la prima volta.
Aggiungere il dispositivo ad Active Directory
È possibile aggiungere Surface Hub al dominio di Active Directory per consentire agli utenti di un gruppo di sicurezza specificato di configurare le impostazioni. Durante la prima esecuzione, scegli di usare Servizi di dominio Active Directory. È necessario fornire credenziali in grado di aggiungere il dominio di propria scelta e il nome di un gruppo di sicurezza esistente. Chiunque appartenga al gruppo di sicurezza può immettere le proprie credenziali e sbloccare Impostazioni.
Cosa accade quando il dominio si aggiunge a Surface Hub?
L'aggiunta al dominio dei dispositivi Surface Hub consente di:
- Concedere diritti amministrativi ai membri di uno specifico gruppo di sicurezza di AD.
- Eseguire il backup della chiave di ripristino BitLocker del dispositivo archiviandola nell'oggetto computer in Active Directory. Per altri dettagli, vedi Salvare la chiave BitLocker.
- Sincronizzare l'orologio di sistema con il controller di dominio per comunicazioni crittografate
Surface Hub non supporta l'applicazione di Criteri di gruppo o certificati dal controller di dominio.
Nota
Se il dispositivo Surface Hub perde il trust con il dominio (ad esempio, se rimuovi il dispositivo Surface Hub dal dominio dopo l'aggiunta al dominio), non potrai eseguire l'autenticazione nel dispositivo e aprire Impostazioni. Se decidi di rimuovere la relazione di trust di Surface Hub con il dominio, per prima cosa reimposta il dispositivo.
Microsoft Entra aggiungere il dispositivo
Puoi usare Microsoft Entra ID per partecipare a Surface Hub per consentire ai professionisti IT del tenant Microsoft Entra di configurare le impostazioni. Durante la prima esecuzione scegliere di usare Microsoft Entra ID. È necessario fornire credenziali in grado di aggiungere il tenant di Microsoft Entra preferito. Dopo aver Microsoft Entra partecipare, agli utenti appropriati verranno concessi i diritti di amministratore nel dispositivo.
Per impostazione predefinita, a tutti gli amministratori globali vengono concessi i diritti di amministratore in un Microsoft Entra Surface Hub aggiunto.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente. Per altre informazioni, vedere le indicazioni consigliate in Configurare account Amministrazione non globali in Surface Hub.
È possibile aggiungere altri amministratori come descritto in dettaglio in questa pagina.
Cosa accade quando si Microsoft Entra partecipare a Surface Hub?
I surface hub usano Microsoft Entra join per:
- Concedere i diritti di amministratore agli utenti appropriati nel tenant Microsoft Entra.
- Eseguire il backup della chiave di ripristino BitLocker del dispositivo archiviandola nell'account usato per Microsoft Entra l'aggiunta al dispositivo. Per altri dettagli, vedi Salvare la chiave BitLocker.
Registrazione automatica tramite Microsoft Entra join
Surface Hub ora supporta la possibilità di registrarsi automaticamente in Intune unendo il dispositivo a Microsoft Entra ID.
Per altre informazioni, vedere Configurare la registrazione per i dispositivi Windows.
Quale opzione scegliere?
Se l'organizzazione usa Active Directory o Microsoft Entra ID, è consigliabile aggiungere un dominio o Microsoft Entra join, principalmente per motivi di sicurezza. Persone sono in grado di autenticare e sbloccare le impostazioni con le proprie credenziali e possono essere spostate all'interno o all'esterno dei gruppi di sicurezza associati al dominio.
| Opzione | Requisiti | Quali credenziali possono essere usate per accedere all'app Impostazioni? |
|---|---|---|
| Creare un account amministratore locale | Nessuno | Il nome utente e la password specificati durante la prima esecuzione |
| Aggiungere il dispositivo a un dominio Active Directory (AD) | L'organizzazione deve usare AD | Qualsiasi utente AD di uno specifico gruppo di sicurezza del dominio |
| Microsoft Entra aggiungere il dispositivo | L'organizzazione usa Microsoft Entra Basic | Solo amministratori globali |
| L'organizzazione usa Microsoft Entra ID P1 o P2 o Enterprise Mobility Suite (EMS) | Amministratori globali e amministratori aggiuntivi |
Configurare gli account Amministrazione non globali nei dispositivi aggiunti Microsoft Entra
Per i dispositivi Surface Hub v1 e Surface Hub 2S aggiunti a Microsoft Entra ID, Windows 10 Team 2020 Update consente di limitare le autorizzazioni di amministratore alla gestione dell'app Impostazioni in Surface Hub. In questo modo è possibile definire l'ambito delle autorizzazioni di amministratore solo per Surface Hub e impedire l'accesso amministratore potenzialmente indesiderato a un intero dominio Microsoft Entra. Per altre informazioni, vedere Configurare account Amministrazione non globali in Surface Hub.