共用方式為


針對 Surface Hub 準備您的環境

此頁面描述設定和管理 Surface Hub v1 或 Surface Hub 2S 的相依性。

提示

作為本文的附隨,建議您在登入 Microsoft 365 系統管理 Center 時,使用 Surface Hub 和 Microsoft Teams 會議室 自動化安裝指南。 本指南會根據您的環境自定義您的體驗。 如果您裝載於 Exchange Online,並使用 Microsoft Teams,本指南會自動建立具有正確設定的裝置帳戶。 或使用它來驗證現有的資源帳戶,以協助將它們轉換成相容的 Surface Hub 裝置帳戶。 若要檢閱最佳做法,而不登入和啟用自動化安裝功能,請移至 M365 安裝程式入口網站

基礎結構相依性

檢閱這些相依性,以確定 Surface Hub 功能可在您的 IT 環境中運作。

相依性 描述 深入了解
內部部署服務和 Active Directory 或 M365 Surface Hub 會使用稱為裝置帳戶 (的 Active Directory 或 Microsoft Entra 帳戶,) 存取 Exchange 和 Teams (或 商務用 Skype) 服務。 Surface Hub 必須能夠連線到您的 Active Directory 域控制器或 Microsoft Entra 租使用者,才能驗證裝置帳戶的認證,以及存取 SIP) 位址 (裝置帳戶的顯示名稱、別名、Exchange 伺服器和會話初始通訊協定等資訊。

注意:Surface Hub 使用 Microsoft Teams、商務用 Skype Server 2019、商務用 Skype Server 2015 或 商務用 Skype Online。 不支援舊版平臺,例如 Lync Server 2013。 GCC DoD 環境中不支援 Surface Hub。
Microsoft 365 個端點

建立和測試裝置帳戶
Windows Update、儲存和診斷 需要存取 Windows Update 或商務用 Windows Update,才能使用操作系統功能和品質更新來維護 Surface Hub。 需要存取Microsoft市集,才能維護應用程式。 管理適用於 Windows 10 企業版 (版本 20H2) 的連線端點

在 Surface Hub 上管理 Windows 更新
行動裝置管理 (MDM) 解決方案 (Microsoft Intune、Microsoft Configuration Manager 或支援的第三方 MDM 提供者) 如果您想要從遠端套用設定和安裝應用程式,以及一次將應用程式安裝到多個裝置,您必須設定 MDM 解決方案,並將裝置註冊到該解決方案。 Microsoft Intune 的網路端點

使用 MDM 提供者管理設定
Azure 監視器 Azure 監視器可用來監視 Surface Hub 裝置的健康情況。

注意:Surface Hub 目前不支援使用 Proxy 伺服器來與 Azure 監視器所使用的 Log Analytics 服務通訊。
Log Analytics 端點

使用 Azure 監視器監視 Surface Hub 以追蹤其健康情況
網路存取 Surface Hub 支援有線或無線連線, (慣用有線連線) 。

802.1X 驗證
在 Windows 10 團隊版 20H2 中,雖然預設會啟用有線和無線連線的 802.1X 驗證,但您必須確定 Surface Hub 上也已安裝 802.1x 網路配置檔和驗證憑證。 如果您使用 Intune 或其他行動裝置管理解決方案來管理 Surface Hub,您可以使用 ClientCertificateInstall CSP 來傳遞憑證。 否則,您可以 建立布建套件 ,並在初次執行安裝期間或使用 [設定] 應用程式加以安裝。 套用憑證時,802.1X 驗證會自動開始。

動態IP
Surface Hub 無法設定為使用靜態 IP。 他們必須透過 DHCP 指派 IP 位址。

連接埠
Surface Hub 需要下列開啟的埠:

HTTPS:443
HTTP:80
NTP:123
啟用 802.1x 有線驗證

建立 Surface Hub 的佈建套件

裝置關係

使用裝置關係來管理使用者對 Surface Hub 上設定應用程式的存取權。 使用在 Surface Hub) 上執行的 Windows 10 團隊版 作業系統 (,只有授權的使用者可以使用 [設定] 應用程式來調整設定。 由於選擇關係可能會影響功能可用性,因此請適當地規劃以確保使用者可以視需要存取功能。

注意

您只能在 OOBE) 設定 (初始全新體驗期間設定裝置關係。 如果您需要重設裝置關係,您必須重複 OOBE 設定。

沒有關係

沒有任何關係就像讓 Surface Hub 在每個 Surface Hub 上都具有不同本機系統管理員帳戶的工作組中。 如果您選擇 [沒有關係],則必須在本機將 BitLocker 金鑰儲存至 USB Thumb 磁碟驅動器。 您仍然可以使用 Intune 註冊裝置;不過,只有本機系統管理員可以使用 OOBE 期間設定的帳戶認證來存取設定應用程式。 您可以從 [設定] 應用程式變更系統管理員帳戶密碼。

Active Directory Domain Services

如果您的 Surface Hub 與 內部部署的 Active Directory Domain Services,您必須使用網域上的安全組來管理 [設定] 應用程式的存取權。 這有助於確保所有安全組成員都有權變更 Surface Hub 上的設定。 另請注意下列事項:當 Surface Hub 與您 內部部署的 Active Directory 的分支機構 Domain Services 時,BitLocker 密鑰可以儲存在 Active Directory 架構中。 如需詳細資訊,請參閱 BitLocker 規劃指南

您組織的受信任根 CA 會推送至 Surface Hub 中的相同容器,這表示您不需要使用布建套件匯入它們。

您仍然可以使用 Intune 註冊裝置,以集中管理 Surface Hub 上的設定。

Microsoft Entra ID

當您選擇將 Surface Hub 與 Microsoft Entra ID 建立關聯時,任何具有全域管理員角色的使用者都可以登入 Surface Hub 上的 [設定] 應用程式。 您也可以設定非全域 管理員 帳戶,以限制 Surface Hub 上 [設定] 應用程式的管理許可權。 這可讓您僅限 Surface Hub 的系統管理員許可權範圍,並防止整個 Microsoft Entra 網域中潛在的垃圾系統管理員存取。

重要

Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。 若要深入瞭解,請參閱在 Surface Hub 上設定非全域 管理員 帳戶中的建議指引。

注意

Surface Hub 系統管理員帳戶只能在透過 Microsoft Entra ID 進行驗證時登入設定應用程式。 不支援第三方同盟識別提供者 (idPs) 。

如果您為組織啟用 Intune 自動註冊,Surface Hub 會自動向 Intune 註冊本身;在此案例中,安裝期間用於 Microsoft Entra 關係的帳戶必須獲得 Intune 授權,並具有註冊 Windows 裝置的許可權。 安裝程式完成之後,裝置的 BitLocker 金鑰會自動儲存在 Microsoft Entra ID 中。

若要深入瞭解如何使用 Microsoft Entra ID 管理 Surface Hub,請參閱:

檢閱並完成 Surface Hub 設定工作表 (選擇性)

當您完成 Surface Hub 的初次執行程式時,還需要提供一些資訊。 設定工作表摘要說明該資訊,並提供完成初次執行程式時所需的環境特定資訊的清單。 如需詳細資訊,請參閱設定工作表

深入了解