为 Surface Hub 准备环境

本页介绍设置和管理 Surface Hub v1 或 Surface Hub 2S 的依赖项。

提示

作为本文的配套内容,我们建议在登录到 Microsoft 365 管理 中心时使用 Surface Hub 和Microsoft Teams 会议室自动设置指南。 本指南将基于你的环境自定义你的体验。 如果你托管在 Exchange Online 并使用 Microsoft Teams,本指南将自动创建具有正确设置的设备帐户。 或者使用它来验证现有资源帐户,以帮助将其转换为兼容的 Surface Hub 设备帐户。 若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 M365 安装门户

基础结构依赖项

查看这些依赖关系,以确保 Surface Hub 功能在你的 IT 基础结构中有效。

依赖关系 描述 了解详细信息
本地服务和 Active Directory 或 M365 Surface Hub 使用 Active Directory 或 Microsoft Entra 帐户 (称为设备帐户) 来访问 Exchange 和 Teams (或Skype for Business) 服务。 Surface Hub 必须能够连接到 Active Directory 域控制器或Microsoft Entra租户,以便验证设备帐户的凭据,以及访问设备帐户的显示名称、别名、Exchange 服务器和会话初始协议 (SIP) 地址等信息。

注意:Surface Hub 可与 Microsoft Teams、Skype for Business Server 2019、Skype for Business Server 2015 或 Skype for Business Online 配合使用。 不支持早期平台(如 Lync Server 2013)。 GCC DoD 环境中不支持 Surface Hub。
Microsoft 365 个终结点

创建和测试设备帐户
Windows 更新、存储和诊断 需要访问 Windows 更新 或 Windows 更新 for Business 才能使用 OS 功能和质量更新来维护 Surface Hub。 需要访问 Microsoft Store 才能维护应用。 管理 Windows 10 企业版版本 20H2 的连接终结点

管理 Surface Hub 上的 Windows 更新
移动设备管理 (MDM) 解决方案 (Microsoft Intune、Microsoft Configuration Manager或受支持的第三方 MDM 提供程序) 如果要远程应用设置和安装应用,以及一次应用于多台设备,则必须设置 MDM 解决方案并将设备注册到该解决方案。 Microsoft Intune 网络终结点

使用 MDM 提供程序管理设置
Azure Monitor Azure Monitor 可用于监视 Surface Hub 设备的运行状况。

注意:Surface Hub 目前不支持使用代理服务器来与 Azure Monitor 使用的 Log Analytics 服务进行通信。
Log Analytics 终结点

使用 Azure Monitor 监视 Surface Hub 以跟踪其运行状况
网络访问 Surface Hub 支持有线或无线连接, (有线连接是首选) 。

802.1X 身份验证
在 Windows 10 协同版 20H2 中,尽管默认情况下已启用有线和无线连接的 802.1X 身份验证,但你需要确保在 Surface Hub 上也安装了 802.1x 网络配置文件和身份验证证书。 如果使用 Intune 或其他移动设备管理解决方案管理 Surface Hub,则可以使用 ClientCertificateInstall CSP 传递证书。 否则,可以 创建预配包 ,并在首次运行安装程序期间或使用“设置”应用安装它。 应用证书后,将自动开始 802.1X 身份验证。

动态 IP
无法将 Surface Hub 配置为使用静态 IP。 必须通过 DHCP 为它们分配 IP 地址。

端口
Surface Hub 需要以下开放端口:

HTTPS:443
HTTP:80
NTP:123
启用 802.1x 有线身份验证

创建 Surface Hub 的预配程序包

设备附属关系

使用设备附属关系管理用户对 Surface Hub 上“设置”应用的访问权限。 使用在 Surface Hub) 上运行的 Windows 10 协同版 操作系统 (,只有授权用户才能使用“设置”应用调整设置。 由于选择附属关系可能会影响功能可用性,因此请适当规划以确保用户可以按预期访问功能。

注意

只能在 OOBE) 设置的初始现用体验期间设置设备附属关系 (。 如果需要重置设备附属关系,则必须重复 OOBE 设置。

无从属关系

没有隶属关系就像在每个 Surface Hub 上具有不同本地管理员帐户的工作组中的 Surface Hub 一样。 如果选择“无附属关系”,则必须将 BitLocker 密钥本地保存到 U 盘。 你仍然可以使用 Intune 注册设备;但是,只有本地管理员可以使用 OOBE 期间配置的帐户凭据访问“设置”应用。 可以从“设置”应用更改管理员帐户密码。

Active Directory 域服务

如果将 Surface Hub 关联到 本地 Active Directory 域服务,则需要使用域中的安全组管理对“设置”应用的访问权限。 这有助于确保所有安全组成员都有权更改 Surface Hub 上的设置。 另请注意以下事项:当 Surface Hub 关联公司与你的本地 Active Directory 域服务时,BitLocker 密钥可以保存在 Active Directory 架构中。 有关详细信息,请参阅 BitLocker 规划指南

组织的受信任根 CA 将推送到 Surface Hub 中的同一容器,这意味着你无需使用预配包导入它们。

你仍可以使用 Intune 注册设备,以集中管理 Surface Hub 上的设置。

Microsoft Entra ID

选择将 Surface Hub 关联到 Microsoft Entra ID 时,任何具有全局管理员角色的用户都可以登录到 Surface Hub 上的“设置”应用。 还可以配置非全局管理员帐户,以限制管理 Surface Hub 上的“设置”应用的权限。 这使你能够仅限定 Surface Hub 的管理员权限范围,并防止跨整个Microsoft Entra域进行可能不需要的管理员访问权限。

重要提示

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。 若要了解详细信息,请参阅在 Surface Hub 上配置非全局管理员帐户中的建议指南。

注意

Surface Hub 管理员帐户只能在通过 Microsoft Entra ID 进行身份验证时登录到“设置”应用。 不支持第三方联合标识提供者 (Idp) 。

如果为组织启用了Intune自动注册,Surface Hub 将自动注册Intune;在这种情况下,在安装过程中用于Microsoft Entra附属的帐户必须获得Intune许可,并且有权注册 Windows 设备。 安装过程完成后,设备的 BitLocker 密钥将自动保存在Microsoft Entra ID中。

若要详细了解如何使用Microsoft Entra ID管理 Surface Hub,请参阅:

查看并填写 Surface Hub 设置工作表(可选)

在为 Surface Hub 实行首次运行计划时,需要提供一些信息。 设置工作表总结了此类信息,并提供要实行首次运行计划所需的特定于环境的信息。 有关详细信息,请参阅设置工作表

了解详细信息