Sdílet prostřednictvím

Nasazení vzdáleného pomocníka pomocí sdílené identity napříč více uživateli

  • Článek
  • Platí pro:
    HoloLens 2

Tento článek obsahuje základní kroky spojené s nasazením vzdáleného pomocníka pomocí sdílené identity Microsoft Entra napříč více uživateli. Pokyny uvedené v tomto dokumentu se zaměřují na zřizování uživatelských účtů Microsoft Entra a přiřazování požadovaných licencí a konfigurace zařízení HoloLens 2 pro prostředí sdíleného zařízení. Podrobnější pokyny k nasazení založené na scénářích najdete v tématu běžné scénáře nasazení.

Důležitý

Tento článek popisuje proces ručního nastavení sdílených účtů Microsoft Entra pro každé zařízení. Od té doby jsme zavedli vylepšený proces, který je mnohem jednodušší nasadit ve velkém měřítku, nevyžaduje ruční nastavení pro každé zařízení a eliminuje potřebu správy PIN kódu a vícefaktorového ověřování. Vylepšený proces najdete v tématu Sdílené účty Microsoft Entra v HoloLens. Proces v tomto článku se zachová pro malá nasazení (méně než 10 zařízení) bez infrastruktury potřebné pro vylepšený proces.

Úlohy nasazení

1. Účty Microsoft Entra

Vytvořte skupiny zabezpečení Microsoft Entra a sdílené uživatelské účty Microsoft Entra, které se použijí k přihlášení k zařízením HoloLens 2.

  1. Přihlaste se k Centru pro správu Microsoft Entra jako alespoň správce skupin a správce uživatelů.
  2. Přejděte do Nové centrum pro správu skupiny a vytvořte skupinu Zabezpečení Zabezpečení Microsoftu pro správu sdílených uživatelských účtů HoloLens 2. Podrobné pokyny najdete v tématu Vytvoření základní skupiny a přidání členů.
  3. Přejděte na Nový uživatel – Centrum pro správu Microsoft Entra a vytvořte nové uživatelské účty sdílené více lidmi, kteří se přihlásí k zařízení HoloLens 2. Doporučuje se jeden uživatelský účet Microsoft Entra na zařízení HoloLens 2. Podrobné pokyny najdete v tématu Přidání nebo odstranění uživatelů.
  4. Přejděte na Skupiny – Centrum pro správu Microsoft Entra, vyberte název skupiny zabezpečení Microsoft Entra –>Členové -> + Přidat členy a přidat výše uvedené uživatelské účty do skupiny zabezpečení. Podrobné pokyny najdete v tématu Přidání nebo odebrání členů skupiny.

2. Přiřazení licencí

Přiřaďte požadované licence uživatelským účtům Microsoft Entra.

  1. Licence potřebné k používání Dynamics 365 Remote Assist v HoloLensu 2 můžete přiřadit uživateli nebo skupině uživatelů. Pokud chcete přiřadit licence ke skupině uživatelů, postupujte podle Přiřazení licencí skupině podrobného průvodce přiřazením následujících licencí. Pokud chcete přiřadit licence uživateli, postupujte podle Přiřazení licencí uživatelům podrobného průvodce přiřazením následujících licencí.

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service for Remote Assist

    Další informace naleznete v tématu Požadavky pro Dynamics 365 Remote Assist.

  2. Pokud chcete spravovat HoloLens 2 pomocí Microsoft Endpoint Manageru (Intune), postupujte podle Přiřazení licencí Microsoft Intune podrobného průvodce přiřazením následujících licencí.

    • Microsoft Intune

  3. Pokud chcete používat pokročilé funkce Vzdáleného pomocníka, jako je přístup k souborům OneDrivu, plánování jednorázového volání a integrace s Dynamics 365 Field Service, musíte přiřadit další licence k uživatelským účtům HoloLens 2. Další informace naleznete v tématu Požadavky pro Dynamics 365 Remote Assist.

Poznámka

Další informace najdete v tématu Scénáře, omezení a známé problémy s používáním skupin ke správě licencování vMicrosoft Entra ID .

3. Konfigurace zařízení

Pokud chcete sdílet zařízení HoloLens 2 s více lidmi používajícími sdílené uživatelské účty Microsoft Entra, nakonfigurujte následující nastavení pro zabezpečení přihlašovacích údajů uživatelů a omezení aplikací, které budou používat uživatelé HoloLens 2. Postupujte podle Nastavení holoLens 2 k prvnímu nastavení zařízení HoloLens 2 pomocí sdílených uživatelských účtů Microsoft Entra vytvořených v předchozí části Účty Microsoft Entra. Použijte jeden uživatelský účet Microsoft Entra na zařízení HoloLens 2. Během počátečního nastavení HoloLens 2 přeskočte registraci ověřování Iris a nakonfigurujte PIN kód Windows Hello pro přihlášení k zařízení.

Přihlašovací PIN kód

K přihlášení k zařízením HoloLens 2 použijte PIN kód Windows Hello. Nesdílejte sdílená hesla k účtům s koncovými uživateli. Konfigurace PIN kódu Windows Hello umožňuje nesdílet heslo uživatelského účtu s koncovými uživateli a umožňuje koncovým uživatelům přihlásit se k zařízením HoloLens 2 pomocí PIN kódu Windows Hello nakonfigurovaného pro uživatelský účet na konkrétním zařízení HoloLens 2. Nakonfigurovaný PIN kód Windows Hello je kryptograficky svázaný se zařízením HoloLens 2 a nedá se použít na jiném zařízení.

Další informace najdete v tématu Sdílení HoloLens s více lidmi.

Automatické přihlášení

Zásady AutoLogonUser můžete také použít k automatickému přihlášení k zařízení s identitou svázanou s tímto zařízením. To obchází přihlašovací prostředí HoloLens 2 a uživatel může zařízení vyzvednout a začít zařízení hned používat. Další informace najdete v tématu zásady automatického přihlášení řízenéCSP .

Beznabídkový režim

U sdílených zařízení HoloLens 2 se doporučuje celoobrazovkový režim řídit, které aplikace se zobrazují v nabídce Start, když se uživatel přihlásí k HoloLensu. Když povolíte jenom požadované aplikace, jako je Remote Assist, můžete omezit přihlašování uživatelů na stránku nastavení uživatelského účtu pomocí prohlížeče Microsoft Edge jednotným přihlašováním a získat přístup k podrobnostem uživatelského účtu v zařízení HoloLens 2.

  • Pokud ke správě zařízení používáte Microsoft Endpoint Manager (Intune),

    Přejděte do centra pro správu Microsoft Endpoint Managerua vytvořte konfiguraci režimu veřejného terminálu s jednou aplikací nebo více aplikacemi v zařízeních | Konfigurační profily.

  • Pokud ke správě zařízení používáte zřizovací balíčky

    Pomocí Nástroje Windows Configuration Designer nakonfigurujte a nasaďte balíčky zřizování v režimu veřejného terminálu s jednou nebo více aplikacemi. Další informace najdete v tématu Nastavení HoloLens jako celoobrazovkového.

Řízení aplikací v programu Windows Defender (WDAC)

WDAC umožňuje nakonfigurovat HoloLens tak, aby blokoval spouštění aplikací. Liší se od celoobrazovkového režimu, kde uživatelské rozhraní skryje aplikace, ale stále je možné je spustit. V nástroji WDAC uvidíte dlaždici aplikací, ale nedají se spustit. Další informace naleznete v tématu Řízení aplikací v programu Windows Defender (WDAC).

Omezení

Použití sdíleného účtu Microsoft Entra má následující omezení (včetně mimo jiné):

  1. Identita – Uživatelé nemůžou použít ověřování Iris k přihlášení na zařízení HoloLens 2 a nemůžou získat přístup k obsahu souvisejícímu s pracovním účtem v Microsoftu 365.
  2. ID volajícího / Kontakty – Přístup k seznamu osobních kontaktů uživatele / naposledy volaný kontakty není možné a ID volajícího místo jména uživatele zobrazí název sdíleného účtu.
  3. User-Based Pracovní postupy – Pokročilé integrace s field service není možné použít, protože uživatel, který má přiřazené pracovní položky, není přihlášený ke vzdálenému pomocníkovi.
  4. Sdílení PIN kódu – Protože ověřování Iris není možné, musí být číslo PIN kódu Windows Hello sdíleno mezi uživateli.

Vydává

Použití sdíleného účtu Microsoft Entra představuje následující problémy, které je potřeba vyřešit (včetně mimo jiné):

  1. Nedostatek odpovědnosti – se sdíleným účtem neexistuje způsob, jak prokázat, kdo zařízení použil a co se s ním udělalo.
  2. Nedostatek auditování – Záznamy auditu budou neúplné a v případě incidentu by nebylo možné identifikovat uživatele.
  3. Chybí individuální sledování / analýza.
  4. Oprávnění – Rozšířená oprávnění nelze provádět na základě sdíleného účtu.
  5. Vlastnictví vícefaktorového ověřování – vícefaktorové ověřování (MFA) by mělo vlastnit centrální autorita pro sdílené účty.
  6. Resetování KÓDU PIN – Když je potřeba resetovat PIN kód a zjistit, kdo vlastní MFA na zařízeních, je náročné.

Úvahy

Pokud chcete používat sdílené uživatelské účty Microsoft Entra, musíte zkontrolovat a provést změny v následujících nastaveních Microsoft Entra (včetně mimo jiné). Při povolování a zakazování následujících nastavení Microsoft Entra je potřeba věnovat extrémní pozornost tomu, aby změna těchto nastavení nezpůsobí žádné problémy u stávajících a nových uživatelských účtů.

  1. Kontrola nastavení přístupu na portálu pro správu v Uživatelé |uživatelských nastavení .
  2. Kontrola nastavení Registrace aplikací v Uživatelé |uživatelských nastavení .
  3. Kontrola nastavení připojení propojených účtů v Uživatelé |uživatelských nastavení .
  4. Kontrola nastavení uživatelských funkcí v Uživatelé | Uživatelské funkce.
  5. Kontrola nastavení samoobslužného resetování hesla v Resetování hesla | Vlastnosti.
  6. Kontrola nastavení Připojit zařízení k Microsoft Entra v Zařízení | Nastavení zařízení.
  7. Kontrola nastavení Enterprise State Roaming v zařízeních |Enterprise State Roaming .

Varování

Nesdílejte, nesdílejte hesla ke sdíleným účtům s koncovými uživateli. Koncoví uživatelé by měli vždy používat název účtu Microsoft Entra a přidružený PIN kód Windows Hello nebo používat funkci automatického přihlášení pro přihlášení k zařízením HoloLens 2 ve sdíleném prostředí.