Surface Hub作系统(Windows 10 协同版)源自Windows 10 企业版,为企业管理、安全性和其他功能提供丰富的支持。 但是,二者之间存在着重要差异。 企业版针对电脑设计,而 Windows 10 协同版针对大屏幕和会议室进行全新设计。 评估 Surface Hub 的安全和管理要求时,建议将其视为新的作系统。 本文重点介绍 Surface Hub 上的Windows 10 协同版与Windows 10或Windows 11企业版之间的主要区别。
重要提示
对运行 Windows 10 协同版 版本的 Surface Hub 2S 设备的支持将于 2025 年 10 月 14 日终止。 为了避免服务中断,我们建议在支持结束之前随时使用无缝软件迁移选项移动到 Windows 上的Microsoft Teams 会议室。
与 Windows 10 的标准版本不同,在支持结束时,Windows 10 协同版版本没有扩展支持选项。
将 Surface Hub 转换为运行专业版或企业版桌面版
可以通过迁移到 Windows 10 或 Windows 11 专业版/企业版来更改 Surface Hub 2S 上的作系统。 若要了解详细信息,请参阅以下资源:
用户界面
Shell(操作系统用户界面)
Surface Hub 的 Shell 针对大屏幕进行了全新设计,并优化了触摸功能。 它不使用与 Windows 10 或 Windows 11 企业版 相同的 shell。
对组织策略的潜在影响:
- 与 Windows 10 或 Windows 11 企业版 shell 中的控件相关的设置不适用于 Surface Hub。
锁屏界面和屏幕保护程序
Surface Hub 没有锁屏界面或屏幕保护程序,但它有一个类似功能(称为欢迎屏幕)。 欢迎屏幕显示设备帐户日历中的计划会议和访问 Surface Hub 常用应用(Skype for Business、白板和 Connect)的简单入口点。
对组织策略的潜在影响:
- 锁屏界面、屏幕超时和屏幕保护程序的设置不适用于 Surface Hub。
用户登录
与 Windows 电脑不同,任何人都可以访问和使用 Surface Hub,无需用户登录。 若要启用此公用功能,Surface Hub 不支持与 Windows 10 或 Windows 11 企业版 (相同的方式登录 Windows,例如,将用户登录到 OS 并在作系统) 中使用这些凭据。 相反,始终有本地自动登录的低特权用户登录到 Surface Hub。 它不支持登录任何其他用户,包括管理员用户 (例如,当管理员登录时,他们不会登录到 OS) 。
用户可以登录到 Surface Hub,但不会登录到 OS。 例如,当用户登录到“应用”或“我的会议和文件”时,该用户仅登录到应用或服务,而不登录到 OS。 因此,登录用户可以检索其云文件和存储在云中的个人会议,并且这些凭据将会在结束会话激活时被丢弃。 会议和文件登录过程不支持 EWSAllowList 或 EWSBlockList 策略。
对组织策略的潜在影响:
- 通常情况下,Surface Hub 使用锁定功能(而不是用户访问控制)以强制实施安全性。 与密码要求、交互式登录、用户帐户和访问控制相关的策略不适用于 Surface Hub。
保存和浏览文件
用户有权访问 Surface Hub 上的一组受限目录:
- 音乐
- 视频
- 文档
- 图片
- 下载
当用户按下结束会话时,以本地方式保存在这些目录中的文件会删除。 若要保存在会议期间创建的内容,用户应将文件保存到 U 盘或 OneDrive。
对组织策略的潜在影响: - 与文件和文件夹的访问权限和所有权相关的策略不适用于 Surface Hub。 用户不能浏览文件,也不能将文件保存到系统目录和网络文件夹。
应用程序
默认应用程序
除了少数例外,Surface Hub 上的默认 UWP) 应用通用 Windows 平台 (也可在Windows 10或Windows 11电脑上使用。
在 Surface Hub 上预安装的 UWP 应用:
- 闹钟和时钟
- 计算器
- Connect
- Excel Mobile
- 反馈中心
- 文件资源管理器
- 入门
- 地图
- Microsoft Edge
- Microsoft Power BI
- Microsoft Teams
- Microsoft Whiteboard
- OneDrive
- 照片
- PowerPoint Mobile
- “设置”
- 应用商店
- 提示
- Word Mobile
对组织策略的潜在影响:
- 使用Windows 10或Windows 11 企业版指南来确定 Surface Hub 上默认应用的功能和网络要求。
安装应用、驱动程序和服务
为了帮助保留设备的类似设备的性质,Surface Hub 仅支持安装通用 Windows 平台 (UWP) 应用,不支持安装经典 Win32 应用、服务和驱动程序。 此外,只有管理员有权安装 UWP 应用。
对组织策略的潜在影响:
- 员工只能使用管理员已经安装的应用,这有助于缓解意外使用风险。 Surface Hub 不支持安装大多数传统电脑管理和监视工具所需的 Win32 代理。
安全和锁定
对于在公用空间(如会议室)中使用的 Surface Hub,其自定义 OS 实现了Windows 10或Windows 11中可用的许多安全和锁定功能。 若要了解详细信息,请参阅 Surface Hub 安全性概述
Surface Hub 实现以下 Windows 安全功能:
- 安全启动
- 启用基于虚拟化的代码完整性保护
- 使用 AppLocker 的应用程序限制策略
- BitLocker 驱动器加密
- 受信任的平台模块 (TPM)
- 在 Windows 中Microsoft Defender防病毒
- 对“设置”应用的访问权限的用户帐户控制 (UAC)
以下 Surface Hub 功能提供更高的安全性:
- 自定义 UEFI 固件
- 自定义 Shell 和“开始”菜单限制设备使用会议功能
- 自定义文件资源管理器仅授予对“我的文档”下的文件和文件夹的访问权限
- 自定义设置应用仅允许管理员修改设备设置
- 下载高级即插即用驱动程序处于禁用状态
对组织策略的潜在影响:
- 在对 Surface Hub 执行安全评估时,考虑以下功能。
管理
设备设置
设备设置可通过“设置”应用进行配置。 “设置”应用是针对 Surface Hub 自定义的,但也包含许多来自 Windows 10 或 Windows 11 Desktop 的熟悉设置。 打开“设置”应用以验证管理员凭据时,会显示“用户帐户控制 (UAC) 提示,但这不会登录管理员。
对组织策略的潜在影响:
- 员工可以使用 Surface Hub 进行会议,但不能修改任何设备设置。 这可确保员工仅使用设备中的会议功能(锁定功能除外)。
管理功能
Surface Hub 不支持Windows 10或Windows 11 企业版中的管理功能,例如Microsoft管理控制台、运行、命令提示符、PowerShell、注册表编辑器和任务管理器。 “设置”应用包含在 Surface Hub 上本地提供的所有管理功能。
事件查看器
Windows 10 协同版 2020 Update 2 添加了对 Windows 事件查看器的支持,这与安装在 Windows 10 专业版 或 Windows 10 企业版 上的事件查看器相同。
打开事件查看器:
- 使用管理员凭据登录到 “设置” 应用。
- 选择“更新 & 安全>日志”,然后在“事件查看器”下选择“打开”。
若要了解详细信息,请参阅 Windows 事件查看器。
远程管理和监视
Surface Hub 支持通过移动设备管理 (MDM) 解决方案(例如通过 Azure Monitor进行Microsoft Intune和监视)进行远程管理。
对组织策略的潜在影响:
- Surface Hub 不支持安装大多数传统电脑管理和监视工具(例如 System Center Operations Manager)所需的 Win32 代理。
组策略
Surface Hub 不支持 Windows 组策略,包括审核。 改用 MDM 将策略应用到 Surface Hub。 有关 MDM 的详细信息,请参阅使用 MDM 提供程序管理设置。
对组织策略的潜在影响:
- 使用 MDM(而非组策略)管理 Surface Hub。
远程协助
Surface Hub 不支持远程协助。
对组织策略的潜在影响:
- 与远程协助相关的策略不适用于 Surface Hub。
网络
域加入和Microsoft Entra加入
Surface Hub 主要使用域加入和Microsoft Entra加入来提供目录支持的管理员组。 不支持混合联接。 用户不能使用域帐户登录。 有关详细信息,请参阅管理员组管理。
对组织策略的潜在影响:
- 将 Surface Hub 加入域时,不会应用组策略设置。 与域成员身份相关的策略设置不适用于 Surface Hub。
访问域资源
用户可以登录到 Microsoft Edge 以访问 Intranet 站点和联机资源 (,例如 Microsoft 365) 。 如果你的 Surface Hub 配置了设备帐户,系统会使用它来访问 Exchange、Microsoft Teams 会议室或Skype for Business。 但是,Surface Hub 不支持访问文件共享和打印机等域资源。
对组织策略的潜在影响:
- 与访问域对象相关的策略不适用于 Surface Hub。
诊断数据
Surface Hub OS 使用 Windows 连接用户体验来收集和传输诊断数据。 有关详细信息,请参阅在组织中配置 Windows 诊断数据。
对组织策略的潜在影响:
- 为 Surface Hub 配置诊断数据级别的方式与为 Windows 10 或 Windows 11 企业版 配置诊断数据级别的方式相同。