Surface Hub 的操作系统基本信息
Surface Hub 操作系统(Windows 10 协同版)源自Windows 10 企业版,为企业管理、安全性和其他功能提供丰富的支持。 但是,二者之间存在着重要差异。 企业版针对电脑设计,而 Windows 10 协同版针对大屏幕和会议室进行全新设计。 评估 Surface Hub 的安全和管理要求时,建议将其视为新的操作系统。 本文重点介绍 Surface Hub 上的Windows 10 协同版与Windows 10或Windows 11企业版之间的主要区别。
将 Surface Hub 转换为运行专业版或企业版桌面版
可以通过迁移到 Windows 10 或 Windows 11 专业版/企业版来更改 Surface Hub 2S 上的操作系统。 若要了解详细信息,请参阅以下资源:
用户界面
Shell(操作系统用户界面)
Surface Hub 的 Shell 针对大屏幕进行了全新设计,并优化了触摸功能。 它不使用与 Windows 10 或 Windows 11 企业版 相同的 shell。
对组织策略的潜在影响:
- 与 Windows 10 或 Windows 11 企业版 shell 中的控件相关的设置不适用于 Surface Hub。
锁屏界面和屏幕保护程序
Surface Hub 没有锁屏界面或屏幕保护程序,但它有一个类似功能(称为欢迎屏幕)。 欢迎屏幕显示设备帐户日历中的计划会议和访问 Surface Hub 常用应用(Skype for Business、白板和 Connect)的简单入口点。
对组织策略的潜在影响:
- 锁屏界面、屏幕超时和屏幕保护程序的设置不适用于 Surface Hub。
用户登录
与 Windows 电脑不同,任何人都可以访问和使用 Surface Hub,无需用户登录。 若要启用此公用功能,Surface Hub 不支持与 Windows 10 或 Windows 11 企业版 (相同的方式登录 Windows,例如,将用户登录到 OS 并在操作系统) 中使用这些凭据。 相反,始终有本地自动登录的低特权用户登录到 Surface Hub。 它不支持登录任何其他用户,包括管理员用户 (例如,当管理员登录时,他们不会登录到 OS) 。
用户可以登录到 Surface Hub,但不会登录到 OS。 例如,当用户登录到“应用”或“我的会议和文件”时,该用户仅登录到应用或服务,而不登录到 OS。 因此,登录用户可以检索其云文件和存储在云中的个人会议,并且这些凭据将会在结束会话激活时被丢弃。 会议和文件登录过程不支持 EWSAllowList 或 EWSBlockList 策略。
对组织策略的潜在影响:
- 通常情况下,Surface Hub 使用锁定功能(而不是用户访问控制)以强制实施安全性。 与密码要求、交互式登录、用户帐户和访问控制相关的策略不适用于 Surface Hub。
保存和浏览文件
用户有权访问 Surface Hub 上的一组受限目录:
- 音乐
- 视频
- 文档
- 图片
- 下载
当用户按下结束会话时,以本地方式保存在这些目录中的文件会删除。 若要保存在会议期间创建的内容,用户应将文件保存到 U 盘或 OneDrive。
对组织策略的潜在影响: - 与文件和文件夹的访问权限和所有权相关的策略不适用于 Surface Hub。 用户不能浏览文件,也不能将文件保存到系统目录和网络文件夹。
应用程序
默认应用程序
除了少数例外,Surface Hub 上的默认 UWP) 应用通用 Windows 平台 (也可在Windows 10或Windows 11电脑上使用。
在 Surface Hub 上预安装的 UWP 应用:
- 闹钟和时钟
- 计算器
- Connect
- Excel Mobile
- 反馈中心
- 文件资源管理器
- 入门
- 地图
- Microsoft Edge
- Microsoft Power BI
- Microsoft Teams
- Microsoft Whiteboard
- OneDrive
- 照片
- PowerPoint Mobile
- “设置”
- 应用商店
- 提示
- Word Mobile
对组织策略的潜在影响:
- 使用Windows 10或Windows 11 企业版指南来确定 Surface Hub 上默认应用的功能和网络要求。
安装应用、驱动程序和服务
为了帮助保留设备的类似设备的性质,Surface Hub 仅支持安装通用 Windows 平台 (UWP) 应用,不支持安装经典 Win32 应用、服务和驱动程序。 此外,只有管理员有权安装 UWP 应用。
对组织策略的潜在影响:
- 员工只能使用管理员已经安装的应用,这有助于缓解意外使用风险。 Surface Hub 不支持安装大多数传统电脑管理和监视工具所需的 Win32 代理。
安全和锁定
对于在公用空间(如会议室)中使用的 Surface Hub,其自定义 OS 实现了Windows 10或Windows 11中可用的许多安全和锁定功能。 若要了解详细信息,请参阅 Surface Hub 安全性概述
Surface Hub 实现以下 Windows 安全功能:
- 安全启动
- 启用基于虚拟化的代码完整性保护
- 使用 AppLocker 的应用程序限制策略
- BitLocker 驱动器加密
- 受信任的平台模块 (TPM)
- 在 Windows 中Microsoft Defender防病毒
- 对“设置”应用的访问权限的用户帐户控制 (UAC)
以下 Surface Hub 功能提供更高的安全性:
- 自定义 UEFI 固件
- 自定义 Shell 和“开始”菜单限制设备使用会议功能
- 自定义文件资源管理器仅授予对“我的文档”下的文件和文件夹的访问权限
- 自定义设置应用仅允许管理员修改设备设置
- 下载高级即插即用驱动程序处于禁用状态
对组织策略的潜在影响:
- 在对 Surface Hub 执行安全评估时,考虑以下功能。
管理
设备设置
设备设置可通过“设置”应用进行配置。 “设置”应用是针对 Surface Hub 自定义的,但也包含许多来自 Windows 10 或 Windows 11 Desktop 的熟悉设置。 打开“设置”应用以验证管理员凭据时,会显示“用户帐户控制 (UAC) 提示,但这不会登录管理员。
对组织策略的潜在影响:
- 员工可以使用 Surface Hub 进行会议,但不能修改任何设备设置。 这可确保员工仅使用设备中的会议功能(锁定功能除外)。
管理功能
Surface Hub 不支持Windows 10或Windows 11 企业版中的管理功能,例如Microsoft管理控制台、运行、命令提示符、PowerShell、注册表编辑器和任务管理器。 “设置”应用包含在 Surface Hub 上本地提供的所有管理功能。
事件查看器
Windows 10 协同版 2020 Update 2 添加了对 Windows 事件查看器的支持,这与安装在 Windows 10 专业版 或 Windows 10 企业版 上的事件查看器相同。
打开事件查看器:
- 使用管理员凭据登录到 “设置” 应用。
- 选择“更新 & 安全>日志”,然后在“事件查看器”下选择“打开”。
若要了解详细信息,请参阅 Windows 事件查看器。
远程管理和监视
Surface Hub 支持通过移动设备管理 (MDM) 解决方案(例如通过 Azure Monitor进行Microsoft Intune和监视)进行远程管理。
对组织策略的潜在影响:
- Surface Hub 不支持安装大多数传统电脑管理和监视工具(例如 System Center Operations Manager)所需的 Win32 代理。
组策略
Surface Hub 不支持 Windows 组策略,包括审核。 改用 MDM 将策略应用到 Surface Hub。 有关 MDM 的详细信息,请参阅使用 MDM 提供程序管理设置。
对组织策略的潜在影响:
- 使用 MDM(而非组策略)管理 Surface Hub。
远程协助
Surface Hub 不支持远程协助。
对组织策略的潜在影响:
- 与远程协助相关的策略不适用于 Surface Hub。
网络
域加入和Microsoft Entra加入
Surface Hub 主要使用域加入和Microsoft Entra加入来提供目录支持的管理员组。 不支持混合联接。 用户不能使用域帐户登录。 有关详细信息,请参阅管理员组管理。
对组织策略的潜在影响:
- 将 Surface Hub 加入域时,不会应用组策略设置。 与域成员身份相关的策略设置不适用于 Surface Hub。
访问域资源
用户可以登录到 Microsoft Edge 以访问 Intranet 站点和联机资源 (,例如 Microsoft 365) 。 如果你的 Surface Hub 配置了设备帐户,系统会使用它来访问 Exchange、Microsoft Teams 会议室或Skype for Business。 但是,Surface Hub 不支持访问文件共享和打印机等域资源。
对组织策略的潜在影响:
- 与访问域对象相关的策略不适用于 Surface Hub。
诊断数据
Surface Hub OS 使用 Windows 连接用户体验来收集和传输诊断数据。 有关详细信息,请参阅在组织中配置 Windows 诊断数据。
对组织策略的潜在影响:
- 为 Surface Hub 配置诊断数据级别的方式与为 Windows 10 或 Windows 11 企业版 配置诊断数据级别的方式相同。