Distribuzione di Remote Assist usando un'identità condivisa tra più utenti

• Si applica a:

  HoloLens 2

Questo articolo contiene passaggi generali relativi alla distribuzione di Remote Assist usando l'identità Condivisa di Microsoft Entra tra più utenti. Le indicazioni fornite in questo documento sono incentrate sul provisioning degli account utente di Microsoft Entra, sull'assegnazione delle licenze necessarie e sulla configurazione del dispositivo HoloLens 2 per un ambiente di dispositivo condiviso. Per indicazioni più dettagliate sulla distribuzione basata su scenari, vedere Scenari di distribuzione comuni.

Importante

Questo articolo descrive un processo per configurare manualmente gli account Microsoft Entra condivisi per ogni dispositivo. Da allora è stato introdotto un processo migliorato che è molto più semplice da distribuire su larga scala, non richiede la configurazione manuale per ogni dispositivo e rimuove la necessità di gestire PIN e MFA. Per il processo migliorato, vedere Account Microsoft Entra condivisi in HoloLens. Il processo in questo articolo viene mantenuto per distribuzioni di piccole dimensioni (meno di 10 dispositivi) senza l'infrastruttura necessaria per il processo migliorato.

Attività di distribuzione

1. Account Microsoft Entra

Creare gruppi di sicurezza Di Microsoft Entra e account utente Microsoft Entra condivisi da usare per accedere ai dispositivi HoloLens 2.

1. Accedere a interfaccia di amministrazione di Microsoft Entra almeno un amministratore di gruppi e un amministratore utenti.
2. Passare a nuova interfaccia di amministrazione del gruppo e creare un ID Microsoft Entra Security Group per gestire gli account utente condivisi di HoloLens 2. Vedere Creare un gruppo di base e aggiungere membri per istruzioni dettagliate.
3. Passare a Nuovo utente - Interfaccia di amministrazione di Microsoft Entra e creare nuovi account utente condivisi da più persone per accedere al dispositivo HoloLens 2. È consigliabile un account utente Microsoft Entra per ogni dispositivo HoloLens 2. Per istruzioni dettagliate, vedere Aggiungere o eliminare utenti.
4. Passare a Gruppi di - Interfaccia di amministrazione di Microsoft Entra, selezionare il nome del gruppo di sicurezza Microsoft Entra ->Membri -> + Aggiungi membri e aggiungere gli account utente precedenti al gruppo di sicurezza. Per istruzioni dettagliate, vedere Aggiungere o rimuovere membri del gruppo.

2. Assegnazioni di licenze

Assegnare le licenze necessarie agli account utente di Microsoft Entra.

1. È possibile assegnare licenze necessarie per usare Dynamics 365 Remote Assist in HoloLens 2 a un utente o a un gruppo di utenti. Per assegnare licenze a un gruppo di utenti, seguire Assegnare licenze a un gruppo guida dettagliata per assegnare le licenze seguenti. Per assegnare licenze a un utente, seguire Assegnare licenze agli utenti guida dettagliata per assegnare le licenze seguenti.

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service per Remote Assist

   Per altre informazioni, vedere Requisiti di per Dynamics 365 Remote Assist.

2. Per gestire HoloLens 2 con Microsoft Endpoint Manager (Intune), seguire Assegnare licenze di Microsoft Intune guida dettagliata per assegnare le licenze seguenti.

   • Microsoft Intune

3. Per usare funzionalità avanzate di Remote Assist, ad esempio l'accesso ai file di OneDrive, la pianificazione di una chiamata monouso e l'integrazione con Dynamics 365 Field Service, è necessario assegnare altre licenze agli account utente holoLens 2. Per altre informazioni, vedere Requisiti di per Dynamics 365 Remote Assist.

Nota

Per altre informazioni, vedere Scenari, limitazioni e problemi noti usando i gruppi per gestire le licenze in Microsoft Entra ID.

3. Configurazione del dispositivo

Per condividere i dispositivi HoloLens 2 con più persone che usano account utente Microsoft Entra condivisi, configurare quanto segue per proteggere le credenziali utente e limitare l'uso delle app da parte degli utenti di HoloLens 2. Seguire Configurare il HoloLens 2 per configurare i dispositivi HoloLens 2 per la prima volta, usando gli account utente Microsoft Entra condivisi creati nella sezione precedente "Account Microsoft Entra". Usa un account utente Microsoft Entra per dispositivo HoloLens 2. Durante la configurazione iniziale di HoloLens 2, ignorare la registrazione dell'autenticazione Iris e configurare il PIN di Windows Hello per accedere al dispositivo.

PIN di accesso

Usare il PIN di Windows Hello per accedere ai dispositivi HoloLens 2. Non condividere le password dell'account condiviso con gli utenti finali. La configurazione del PIN di Windows Hello consente di non condividere la password dell'account utente con gli utenti finali e consente agli utenti finali di accedere ai dispositivi HoloLens 2 usando il PIN windows Hello configurato per l'account utente in un dispositivo HoloLens 2 specifico. Il PIN di Windows Hello configurato è collegato crittograficamente al dispositivo HoloLens 2 e non può essere usato in un dispositivo diverso.

Per altre informazioni, vedere Condividere HoloLens con più persone.

Accesso automatico

È anche possibile usare i criteri AutoLogonUser per accedere automaticamente al dispositivo con un'identità associata al dispositivo. Ciò ignora l'esperienza di accesso di HoloLens 2 e l'utente può prelevare il dispositivo e iniziare subito a usare il dispositivo. Per altre informazioni, vedere Criteri di accesso automatico controllati da CSP.

Modalità tutto schermo

Per i dispositivi HoloLens 2 condivisi, è consigliabile controllare quali applicazioni vengono visualizzate nel menu Start quando un utente accede a HoloLens. Consentendo solo le app necessarie come Remote Assist, è possibile limitare gli utenti che accedono alla pagina delle impostazioni dell'account utente usando il browser Microsoft Edge tramite SSO e accedere ai dettagli dell'account utente all'interno del dispositivo HoloLens 2.

• Se si usa Microsoft Endpoint Manager (Intune) per gestire i dispositivi

  Passare a interfaccia di amministrazione di Microsoft Endpoint Managere creare una configurazione in modalità tutto schermo a app singola o a più app in dispositivi | I profili di configurazione.

• Se si usano pacchetti di provisioning per gestire i dispositivi

  Usa Progettazione configurazione di Windows per configurare e distribuire pacchetti di provisioning in modalità tutto schermo con una o più app. Per altre informazioni, vedere Configurare HoloLens come chiosco multimediale.

Controllo delle applicazioni di Windows Defender (WDAC)

WDAC consente di configurare HoloLens per bloccare l'avvio delle app. È diverso dalla modalità tutto schermo, in cui l'interfaccia utente nasconde le app, ma possono comunque essere avviate. Con WDAC è possibile visualizzare il riquadro delle app, ma non possono essere avviate. Per altre informazioni, vedere Windows Defender Application Control (WDAC).

Limitazioni

L'uso dell'account Microsoft Entra condiviso presenta le limitazioni seguenti (incluso, ma non limitato a):

1. Identità: gli utenti non possono usare l'autenticazione Iris per accedere al dispositivo HoloLens 2 e non possono accedere al contenuto correlato all'account aziendale in Microsoft 365.
2. ID chiamante/Contatti: l'accesso all'elenco contatti personali di un utente/contatti chiamati più di recente non è possibile e l'ID chiamante mostrerà il nome dell'account condiviso anziché il nome dell'utente.
3. User-Based flussi di lavoro: non è possibile usare le integrazioni avanzate con il servizio sul campo, perché l'utente viene "assegnato" elementi di lavoro, non è l'utente che ha eseguito l'accesso a Remote Assist.
4. Condivisione PIN: poiché l'autenticazione Iris non è possibile, il numero pin di Windows Hello deve essere condiviso tra gli utenti.

Problemi

L'uso dell'account Microsoft Entra condiviso pone i problemi seguenti da risolvere (incluso, ma non limitato a):

1. Mancanza di responsabilità: con un account condiviso non è possibile dimostrare chi ha usato il dispositivo e cosa è stato fatto con il dispositivo.
2. Mancanza di controllo: i record di controllo saranno incompleti e, in caso di evento imprevisto, potrebbe essere impossibile identificare l'utente.
3. Manca il rilevamento individuale o l'analisi.
4. Autorizzazioni: le autorizzazioni avanzate non possono essere eseguite su base account condiviso.
5. Proprietà MFA: l'autenticazione a più fattori (MFA) deve essere di proprietà di un'autorità centrale per gli account condivisi.
6. Reimpostazione del PIN: quando è necessario reimpostare il PIN e conoscere chi possiede l'autenticazione a più fattori nei dispositivi è difficile.

Considerazioni

È necessario rivedere e apportare modifiche alle seguenti impostazioni di Microsoft Entra (incluso, ma non limitato a) quando si desidera utilizzare account utente Microsoft Entra condivisi. Quando si abilitano e disabilitano le seguenti impostazioni di Microsoft Entra, è necessario prestare attenzione per assicurarsi che la modifica di queste impostazioni non causi problemi per gli account utente esistenti e nuovi.

1. Esaminare l'impostazione di accesso al portale di amministrazione in utenti di | Impostazioni utente.
2. Esaminare l'impostazione Registrazioni app in utenti di | Impostazioni utente.
3. Esaminare l'impostazione Connessioni all'account collegato in utenti di | Impostazioni utente.
4. Esaminare l'impostazione Delle funzionalità utente in utenti di | Le funzionalità utente.
5. Esaminare l'impostazione di reimpostazione della password self-service in reimpostazione della password | Proprietà.
6. Rivedere l'impostazione Aggiungi dispositivi a Microsoft Entra in dispositivi | Le impostazioni del dispositivo.
7. Esaminare l'impostazione Enterprise State Roaming nei dispositivi | Enterprise State Roaming.

Avvertimento

Non condividere password dell'account condiviso con gli utenti finali. Gli utenti finali devono usare sempre il nome dell'account Microsoft Entra e il PIN di Windows Hello associato oppure usare la funzionalità di accesso automatico per accedere ai dispositivi HoloLens 2 in un ambiente condiviso.