管理員 Surface Hub 的群組管理
在個別裝置上使用 [設定] 應用程式,可各自設定其上的 Surface Hub。 為防止未經授權的使用者變更設定,\[設定\] 應用程式要求您必須提供系統管理員認證才能開啟應用程式。
系統管理員群組管理
您可以透過下列方式設定裝置的系統管理員帳戶:
- 建立本機系統管理員帳戶
- 將裝置加入 Active Directory 的網域
- Microsoft Entra 加入裝置
- (Surface Hub 2S) ,在已加入 Microsoft Entra 裝置上設定非全域 管理員 帳戶
建立本機系統管理員帳戶
若要建立本機系統管理員,請在初次執行期間選擇使用本機系統管理員。 這會使用您選擇的使用者名稱和密碼,在 Surface Hub 上建立單一本機系統管理員帳戶。 使用這些認證來開啟 \[設定\] 應用程式。
請注意,本機系統管理員帳戶資訊不受任何目錄服務支援。 只有在裝置無法存取 Active Directory (AD) 或 Microsoft Entra ID 時,才建議您選擇本機系統管理員。 如果您決定變更本機系統管理員的密碼,可以在 \[設定\] 中變更。 不過,如果您想要從使用本機系統管理員帳戶變更為使用網域或 Microsoft Entra 租使用者中的群組,則必須重設裝置,然後再次進行第一次程式。
將裝置加入 Active Directory 的網域
您可以將 Surface Hub 加入 AD 網域,以允許來自指定安全組的使用者設定設定。 在初次執行時,請選擇使用 Active Directory Domain Services。 您必須提供能夠加入所選網域的認證,以及現有安全組的名稱。 所有屬於該安全性群組成員的使用者都可以輸入他們的認證,並將 \[設定\] 解除鎖定。
當您的網域加入 Surface Hub 時,會發生什麼事?
Surface Hub 會透過加入網域來:
- 將系統管理員權限授與 AD 中指定安全性群組的成員。
- 將裝置的 BitLocker 修復金鑰儲存在 AD 中的電腦物件下,以備份裝置的 BitLocker 修復金鑰。 請參閱儲存您的 BitLocker 金鑰來取得詳細資料。
- 透過網域控制站同步處理系統時鐘以進行加密通訊
Surface Hub 不支援從域控制器套用 群組原則 或憑證。
注意
如果您的 Surface Hub 失去網域的信任 (例如,如果您在 Surface Hub 加入網域之後,將它從網域移除),您將無法在裝置中進行驗證並開啟 \[設定\]。 如果您決定移除 Surface Hub 與您網域的信任關係,請先重設裝置。
Microsoft Entra 加入裝置
您可以使用 Microsoft Entra ID 加入 Surface Hub,以允許來自 Microsoft Entra 租使用者的 IT 專業人員設定設定。 在第一次執行期間,選擇使用 Microsoft Entra ID。 您必須提供能夠加入所選 Microsoft Entra 租使用者的認證。 成功 Microsoft Entra 加入之後,裝置上的適當人員將獲得系統管理員許可權。
根據預設,所有全域系統管理員都會在已加入 Microsoft Entra Surface Hub 上獲得系統管理員許可權。
重要
Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。 若要深入瞭解,請參閱在 Surface Hub 上設定非全域 管理員 帳戶中的建議指引。
您可以新增其他系統管理員,如 此頁面所詳述。
當您 Microsoft Entra 加入 Surface Hub 時,會發生什麼事?
Surface Hub 使用 Microsoft Entra 聯結:
- 將系統管理員許可權授與 Microsoft Entra 租使用者中的適當使用者。
- 將裝置的 BitLocker 修復金鑰儲存在用來 Microsoft Entra 加入裝置的帳戶下,以備份裝置的 BitLocker 修復金鑰。 請參閱儲存您的 BitLocker 金鑰來取得詳細資料。
透過 Microsoft Entra 加入自動註冊
Surface Hub 現在支援將裝置加入 Microsoft Entra ID,以自動註冊 Intune。
如需詳細資訊, 請參閱設定 Windows 裝置的註冊。
我應該選擇哪一個?
如果您的組織使用 Active Directory 或 Microsoft Entra ID,我們建議您加入網域或 Microsoft Entra 加入,主要是基於安全性考慮。 人員 能夠使用自己的認證來驗證和解除鎖定設定,而且可以移入或移出與您網域相關聯的安全組。
| 選項 | 需求 | 哪些認證可以用於存取 \[設定\] 應用程式? |
|---|---|---|
| 建立本機系統管理員帳戶 | 無 | 於初次執行時指定的使用者名稱和密碼 |
| 加入 Active Directory (AD) 網域 | 您的組織使用 AD | 來自您網域中指定安全性群組的任何 AD 使用者 |
| Microsoft Entra 加入裝置 | 您的組織使用 Microsoft Entra Basic | 僅限全域系統管理員 |
| 您的組織使用 Microsoft Entra ID P1 或 P2 或 Enterprise Mobility Suite (EMS) | 全域系統管理員及額外的系統管理員 |
在已加入 Microsoft Entra 裝置上設定非全域 管理員 帳戶
針對已加入 Microsoft Entra ID 的 Surface Hub v1 和 Surface Hub 2S 裝置,Windows 10 團隊版 2020 更新可讓您將系統管理員許可權限制為在 Surface Hub 上管理設定應用程式。 這可讓您僅限 Surface Hub 的系統管理員許可權範圍,並防止潛在的垃圾系統管理員存取整個 Microsoft Entra 網域。 若要深入瞭解,請參閱在 Surface Hub 上設定非全域 管理員 帳戶。