Déploiement d’Assistance à distance à l’aide d’une identité partagée entre plusieurs utilisateurs

• S’applique à:

  HoloLens 2

Cet article contient des étapes générales liées au déploiement de Remote Assist à l’aide d’une identité Microsoft Entra partagée sur plusieurs utilisateurs. Les conseils fournis dans ce document se concentrent sur l’approvisionnement des comptes d’utilisateur Microsoft Entra, l’attribution de licences requises et la configuration d’appareil HoloLens 2 pour un environnement d’appareil partagé. Pour obtenir des conseils de déploiement basés sur des scénarios plus détaillés, reportez-vous à scénarios de déploiement courants.

Important

Cet article décrit un processus de configuration manuelle des comptes Microsoft Entra partagés pour chaque appareil. Depuis, nous avons introduit un processus amélioré qui est beaucoup plus facile à déployer à grande échelle, ne nécessite pas de configuration manuelle pour chaque appareil et supprime la nécessité de gérer le code confidentiel et l’authentification multifacteur. Pour le processus amélioré, consultez comptes Microsoft Entra partagés dans HoloLens. Le processus de cet article est conservé pour les petits déploiements (moins de 10 appareils) sans l’infrastructure nécessaire pour le processus amélioré.

Tâches de déploiement

1. Comptes Microsoft Entra

Créez des groupes de sécurité Microsoft Entra et partagez des comptes d’utilisateur Microsoft Entra à utiliser pour vous connecter aux appareils HoloLens 2.

1. Connectez-vous à Centre d’administration Microsoft Entra en tant qu’administrateur de groupes et administrateur d’utilisateurs.
2. Accédez à nouveau centre d’administration de groupe et créez un ID Microsoft Entra Security Group pour gérer les comptes d’utilisateur partagés HoloLens 2. Consultez Créer un groupe de base et ajouter des membres pour obtenir des instructions pas à pas.
3. Accédez à Nouvel utilisateur - Centre d’administration Microsoft Entra et créez de nouveaux comptes d’utilisateur partagés par plusieurs personnes pour vous connecter à l’appareil HoloLens 2. Un compte d’utilisateur Microsoft Entra par appareil HoloLens 2 est recommandé. Pour obtenir des instructions pas à pas, consultez Ajouter ou supprimer des utilisateurs.
4. Accédez aux groupes - Centre d’administration Microsoft Entra, sélectionnez le nom du groupe de sécurité Microsoft Entra ->Membres -> + Ajouter des membres et ajoutez les comptes d’utilisateur ci-dessus au groupe de sécurité. Pour obtenir des instructions pas à pas, consultez Ajouter ou supprimer des membres de groupe.

2. Affectations de licences

Attribuez des licences requises aux comptes d’utilisateur Microsoft Entra.

1. Vous pouvez attribuer des licences requises pour utiliser Dynamics 365 Remote Assist sur HoloLens 2 à un utilisateur ou un groupe d’utilisateurs. Pour affecter des licences à un groupe d’utilisateurs, suivez Affecter des licences à un groupe guide pas à pas pour attribuer les licences suivantes. Pour affecter des licences à un utilisateur, suivez Affecter des licences aux utilisateurs guide pas à pas pour attribuer les licences suivantes.

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service for Remote Assist

   Pour plus d’informations, consultez Requirements for Dynamics 365 Remote Assist.

2. Pour gérer HoloLens 2 à l’aide de Microsoft Endpoint Manager (Intune), suivez Affecter des licences Microsoft Intune guide pas à pas pour attribuer les licences suivantes.

   • Microsoft Intune

3. Pour utiliser des fonctionnalités avancées d’Assistance à distance, telles que l’accès aux fichiers OneDrive, la planification d’un appel unique et l’intégration à Dynamics 365 Field Service, vous devez attribuer une autre licence aux comptes d’utilisateur HoloLens 2. Pour plus d’informations, consultez Requirements for Dynamics 365 Remote Assist.

Note

Pour plus d’informations, consultez Scénarios, limitations et problèmes connus à l’aide de groupes pour gérer les licences dans Microsoft Entra ID.

3. Configuration de l’appareil

Pour partager des appareils HoloLens 2 avec plusieurs personnes à l’aide de comptes d’utilisateur Microsoft Entra partagés, configurez les éléments suivants pour sécuriser les informations d’identification de l’utilisateur et restreindre les applications à utiliser par les utilisateurs HoloLens 2. Suivez configurer votre HoloLens 2 pour configurer les appareils HoloLens 2 pour la première fois, à l’aide des comptes d’utilisateur Microsoft Entra partagés créés dans la section précédente « Comptes Microsoft Entra ». Utilisez un compte d’utilisateur Microsoft Entra par appareil HoloLens 2. Pendant la configuration initiale de HoloLens 2, ignorez l’inscription de l’authentification Iris et configurez le code confidentiel Windows Hello pour vous connecter à l’appareil.

Code confidentiel de connexion

Utilisez le code confidentiel Windows Hello pour vous connecter aux appareils HoloLens 2. Ne partagez pas les mots de passe de compte partagés avec les utilisateurs finaux. La configuration du code confidentiel Windows Hello vous permet de ne pas partager le mot de passe du compte d’utilisateur avec les utilisateurs finaux et permet aux utilisateurs finaux de se connecter à des appareils HoloLens 2 à l’aide du code confidentiel Windows Hello configuré pour le compte d’utilisateur sur un appareil HoloLens 2 spécifique. Le code pin Windows Hello configuré est lié par chiffrement à l’appareil HoloLens 2 et ne peut pas être utilisé sur un autre appareil.

Pour plus d’informations, consultez Partager votre HoloLens avec plusieurs personnes.

Connexion automatique

Vous pouvez également utiliser la stratégie AutoLogonUser pour vous connecter automatiquement à l’appareil avec une identité liée à cet appareil. Cela contourne l’expérience de connexion HoloLens 2, et l’utilisateur peut récupérer l’appareil et commencer à utiliser l’appareil immédiatement. Pour plus d’informations, consultez stratégie de connexion automatique contrôlée par csp.

Mode plein écran

Pour les appareils HoloLens 2 partagés, le mode plein écran est recommandé de contrôler les applications affichées dans le menu Démarrer lorsqu’un utilisateur se connecte à HoloLens. En autorisant uniquement les applications requises comme Remote Assist, vous pouvez restreindre la connexion des utilisateurs à la page des paramètres du compte d’utilisateur à l’aide du navigateur Microsoft Edge par l’authentification unique et accéder aux détails du compte d’utilisateur dans l’appareil HoloLens 2.

• Si vous utilisez Microsoft Endpoint Manager (Intune) pour gérer les appareils

  Accédez à centre d’administration Microsoft Endpoint Manager, puis créez une configuration en mode kiosque à application unique ou multi-application dans Appareils | Profils de configuration.

• Si vous utilisez des packages d’approvisionnement pour gérer les appareils

  Utilisez le Concepteur de configuration Windows pour configurer et déployer des packages d’approvisionnement en mode kiosque d’application unique ou multiple. Pour plus d’informations, consultez Configurer HoloLens en tant que kiosque.

Windows Defender Application Control (WDAC)

WDAC vous permet de configurer HoloLens pour bloquer le lancement des applications. Il est différent du mode kiosque, où l’interface utilisateur masque les applications, mais elles peuvent toujours être lancées. Avec WDAC, vous pouvez voir la vignette des applications, mais elles ne peuvent pas être lancées. Pour plus d’informations, consultez Windows Defender Application Control (WDAC).

Limitations

L’utilisation du compte Microsoft Entra partagé présente les limitations suivantes (y compris, mais pas limitée) :

1. Identité : les utilisateurs ne peuvent pas utiliser l’authentification Iris pour se connecter à l’appareil HoloLens 2 et ne peuvent pas accéder au contenu associé à leur compte professionnel dans Microsoft 365.
2. ID d’appelant / Contacts : l’accès à la liste des contacts personnels d’un utilisateur / le plus récemment appelé contacts n’est pas possible, et l’ID de l’appelant affiche le nom du compte partagé plutôt que le nom de l’utilisateur.
3. User-Based flux de travail : il n’est pas possible d’utiliser les intégrations avancées avec le service de champ, car l’utilisateur étant « affecté » aux éléments de travail, n’est pas l’utilisateur connecté à Remote Assist.
4. Partage de code confidentiel : comme l’authentification Iris n’est pas possible, le numéro de code confidentiel Windows Hello doit être partagé entre les utilisateurs.

Questions

L’utilisation d’un compte Microsoft Entra partagé pose les problèmes suivants à résoudre (y compris, mais pas limité à) :

1. Manque de responsabilité : avec un compte partagé, il n’existe aucun moyen de prouver qui a utilisé l’appareil et ce qui a été fait avec l’appareil.
2. Absence d’audit : les enregistrements d’audit sont incomplets et, en cas d’incident, il peut être impossible d’identifier l’utilisateur.
3. Manque de suivi/analytique individuels.
4. Autorisations : les autorisations avancées ne peuvent pas être effectuées sur une base de compte partagé.
5. Propriété MFA : l’authentification multifacteur (MFA) doit être détenue par une autorité centrale pour les comptes partagés.
6. Réinitialisation du code confidentiel : lorsque le code confidentiel doit être réinitialisé et que les connaissances relatives à la personne propriétaire de l’authentification multifacteur sur les appareils sont difficiles.

Considérations

Vous devez passer en revue et apporter des modifications aux paramètres Microsoft Entra suivants (y compris, mais pas limités) lorsque vous souhaitez utiliser des comptes d’utilisateur Microsoft Entra partagés. Lors de l’activation et de la désactivation des paramètres Microsoft Entra suivants, vous devez veiller à ce que la modification de ces paramètres ne provoque aucun problème pour les comptes d’utilisateur existants et nouveaux.

1. Passer en revue le paramètre d’accès du portail d’administration dans Utilisateurs | Paramètres utilisateur.
2. Passer en revue le paramètre Inscriptions d’applications dans Utilisateurs | Paramètres utilisateur.
3. Passer en revue le paramètre de connexions de compte lié dans Utilisateurs | Paramètres utilisateur.
4. Passer en revue le paramètre des fonctionnalités utilisateur dans Utilisateurs | Fonctionnalités utilisateur.
5. Passer en revue le paramètre de réinitialisation de mot de passe en libre-service dans Réinitialisation du mot de passe | Propriétés.
6. Passer en revue le paramètre Joindre des appareils à Microsoft Entra dans les appareils | Paramètres de l’appareil.
7. Passer en revue le paramètre Enterprise State Roaming dans les appareils | Enterprise State Roaming.

Avertissement

Ne partagez pas les mots de passe de compte partagés avec les utilisateurs finaux. Les utilisateurs finaux doivent toujours utiliser le nom du compte Microsoft Entra et le code pin Windows Hello associé ou utiliser la fonctionnalité de connexion automatique pour se connecter à des appareils HoloLens 2 dans un environnement partagé.