Surface Hub の管理グループ管理
デバイスで設定アプリを使用すると、すべての Surface Hub をローカルで構成できます。 承認されていないユーザーによって設定が変更されるのを防ぐため、設定アプリでは、アプリを起動する際に管理者の資格情報が求められます。
管理者グループの管理
デバイスの管理者アカウントは、次の方法で設定できます。
- ローカル管理者アカウントを作成する
- デバイスを Active Directory にドメイン参加させる
- Microsoft Entra がデバイスに参加する
- Microsoft Entra 参加済みデバイスでグローバル管理者以外のアカウントを構成する (Surface Hub 2S)
ローカル管理者アカウントを作成する
ローカル管理者を作成するには、最初の実行時にローカル管理者の使用を選択します。 これにより、任意のユーザー名とパスワードを使用して、Surface Hub に 1 つのローカル管理者アカウントが作成されます。 これらの資格情報を使用して、設定アプリを開きます。
ローカル管理者アカウント情報は、どのディレクトリ サービスによってもサポートされていないことに注意してください。 デバイスが Active Directory (AD) または Microsoft Entra ID にアクセスできない場合にのみ、ローカル管理者を選択することをお勧めします。 ローカル管理者のパスワードを変更する場合は、[設定] で変更できます。 ただし、ローカル管理者アカウントの使用からドメインまたは Microsoft Entra テナントのグループの使用に変更する場合は、 デバイスをリセット して、最初のプログラムをもう一度実行する必要があります。
デバイスを Active Directory にドメイン参加させる
Surface Hub を AD ドメインに参加させ、指定したセキュリティ グループのユーザーが設定を構成できるようにします。 初回実行時に、Active Directory ドメイン サービスの使用を選択します。 任意のドメインに参加できる資格情報と、既存のセキュリティ グループの名前を指定する必要があります。 そのセキュリティ グループのメンバーであるユーザーが自身の資格情報を入力すると、設定のロックを解除できます。
ドメインが Surface Hub に参加するとどうなりますか?
Surface Hub をドメインに参加させると、次のような処理が可能になります。
- AD 内の指定したセキュリティ グループのメンバーに管理者権限を付与します。
- デバイスの BitLocker 回復キーを AD のコンピューター オブジェクトの下に格納してバックアップします。 詳しくは、「BitLocker キーの保存」をご覧ください。
- 暗号化された通信用にシステム クロックをドメイン コントローラーと同期します。
Surface Hub では、ドメイン コントローラーからのグループ ポリシーまたは証明書の適用はサポートされていません。
注
Surface Hub にドメインとの信頼がなくなった場合 (たとえば、ドメイン参加後にドメインから Surface Hub を削除する場合)、デバイスに対して認証を受けて設定を開くことができなくなります。 Surface Hub とドメインとの信頼関係を削除する場合は、先にデバイスをリセットします。
Microsoft Entra がデバイスに参加する
Microsoft Entra ID を使用して Surface Hub に参加し、Microsoft Entra テナントの IT 担当者が設定を構成できるようにします。 初回実行時に、 Microsoft Entra ID を使用することを選択します。 任意の Microsoft Entra テナントに参加できる資格情報を指定する必要があります。 Microsoft Entra に正常に参加すると、適切なユーザーにデバイスの管理者権限が付与されます。
既定では、すべての グローバル管理者 には、Microsoft Entra 参加済みの Surface Hub に対する管理者権限が付与されます。
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。 詳細については、「 Surface Hub でグローバル以外の管理者アカウントを構成する」の推奨ガイダンスを参照してください。
このページの詳細に従って、追加の管理者を追加できます。
Microsoft Entra が Surface Hub に参加するとどうなりますか?
Surface Hubs では、次の場合に Microsoft Entra 参加が使用されます。
- Microsoft Entra テナント内の適切なユーザーに管理者権限を付与します。
- デバイスの BitLocker 回復キーをバックアップするには、Microsoft Entra がデバイスに参加するために使用したアカウントに保存します。 詳しくは、「BitLocker キーの保存」をご覧ください。
Microsoft Entra 参加による自動登録
Surface Hub では、デバイスを Microsoft Entra ID に参加させて Intune に自動的に登録する機能がサポートされるようになりました。
詳細については、「 Windows デバイスの登録を設定する」を参照してください。
選択に関する推奨事項
組織で Active Directory または Microsoft Entra ID を使用している場合は、主にセキュリティ上の理由から、ドメイン参加または Microsoft Entra 参加をお勧めします。 ユーザーは、独自の資格情報を使用して設定を認証およびロック解除でき、ドメインに関連付けられているセキュリティ グループに移動または削除できます。
| オプション | 要件 | 設定アプリへのアクセスに使用できる資格情報 |
|---|---|---|
| ローカル管理者アカウントを作成する | なし | 初回実行時に指定したユーザー名とパスワード |
| Active Directory (AD) ドメインに参加させる | 組織で AD を使用している | ドメイン内の特定のセキュリティ グループに属する任意の AD ユーザー |
| Microsoft Entra がデバイスに参加する | 組織で Microsoft Entra Basic を使用している | グローバル管理者のみ |
| 組織で Microsoft Entra ID P1 または P2 または Enterprise Mobility Suite (EMS) を使用している | グローバル管理者と追加の管理者 |
Microsoft Entra 参加済みデバイスでグローバル管理者以外のアカウントを構成する
Microsoft Entra ID に参加している Surface Hub v1 デバイスと Surface Hub 2S デバイスの場合、Windows 10 Team 2020 Update では、Surface Hub の設定アプリの管理に対する管理者アクセス許可を制限できます。 これにより、Surface Hub のみの管理者アクセス許可のスコープを設定し、望ましくない可能性がある管理者が Microsoft Entra ドメイン全体にアクセスできないようにすることができます。 詳細については、「 Surface Hub でグローバル管理者以外のアカウントを構成する」を参照してください。