Surface Hub 的管理组管理

可使用设备上的“设置”应用在本地配置每个 Surface Hub。 若要防止未经授权的用户更改设置，“设置”应用要求使用管理员凭据打开该应用。

管理员组管理

可以通过以下方式为设备设置管理员帐户：

• 创建本地管理员帐户
• 将设备加入到 Active Directory 的域
• Microsoft Entra 加入设备
• 在已加入 Microsoft Entra 的设备上配置非全局管理员帐户， (Surface Hub 2S)

创建本地管理员帐户

若要创建本地管理员，请在首次运行期间选择使用本地管理员。 这会在 Surface Hub 上创建一个具有所选用户名和密码的本地管理员帐户。 使用这些凭据打开“设置”应用。

请注意，本地管理员帐户信息不受任何目录服务的支持。 如果设备无权访问 Active Directory (AD) 或Microsoft Entra ID，则建议仅选择本地管理员。 如果决定更改本地管理员的密码，可在“设置”中执行此操作。 但是，如果要从使用本地管理员帐户更改为使用域中的组或Microsoft Entra 租户，则需要 重置设备 并再次完成首次程序。

将设备加入到 Active Directory 的域

可以将 Surface Hub 加入 AD 域，以允许来自指定安全组的用户配置设置。 在首次运行时，选择使用Active Directory 域服务。 需要提供能够加入所选域的凭据，以及现有安全组的名称。 属于该安全组成员的任何人都可以输入其凭据并解锁“设置”。

域加入 Surface Hub 时会发生什么情况？

将 Surface Hub 加入域可：

• 将管理员权限授予 AD 中指定安全组的成员。
• 通过将设备的 BitLocker 恢复密钥存储在 AD 中的计算机对象下来备份该设备的 BitLocker 恢复密钥。 有关详细信息，请参阅保存 BitLocker 密钥。
• 同步系统时钟和域控制器，进行加密通信

Surface Hub 不支持从域控制器应用组策略或证书。

Microsoft Entra 加入设备

可以使用 Microsoft Entra ID 加入 Surface Hub，以允许来自Microsoft Entra 租户的 IT 专业人员配置设置。 在首次运行期间，选择使用 Microsoft Entra ID。 需要提供能够加入所选Microsoft Entra 租户的凭据。 成功Microsoft Entra 加入后，将向相应人员授予设备上的管理员权限。

默认情况下，所有 全局管理员 都被授予对已加入 Microsoft Entra 的 Surface Hub 的管理员权限。

可以添加其他管理员，详 见此页。

Microsoft Entra 加入 Surface Hub 时会发生什么情况？

Surface Hub 使用 Microsoft Entra 联接来：

• 向 Microsoft Entra 租户中的相应用户授予管理员权限。
• 通过将设备的 BitLocker 恢复密钥存储在用于Microsoft Entra 加入设备的帐户下来备份该设备的 BitLocker 恢复密钥。 有关详细信息，请参阅保存 BitLocker 密钥。

通过 Microsoft Entra 联接自动注册

Surface Hub 现在支持通过将设备加入到 Microsoft Entra ID 来自动注册 Intune。

有关详细信息，请参阅 设置 Windows 设备的注册。

我应该选择哪一个？

如果你的组织正在使用 Active Directory 或 Microsoft Entra ID，我们建议你加入域或Microsoft Entra 联接，这主要是出于安全原因。 用户可以使用自己的凭据进行身份验证和解锁设置，并且可以移入或移出与域关联的安全组。

在已加入 entra Microsoft 的设备上配置非全局管理员帐户

对于已加入 Microsoft Entra ID 的 Surface Hub v1 和 Surface Hub 2S 设备，Windows 10 Team 2020 更新允许你将管理员权限限制为管理 Surface Hub 上的“设置”应用。 这使你能够将管理员权限限定为仅 Surface Hub 的范围，并防止可能不需要的管理员访问整个 Microsoft Entra 域。 若要了解详细信息，请参阅 在 Surface Hub 上配置非全局管理员帐户。