Udostępnij za pośrednictwem

Wdrażanie pomocy zdalnej przy użyciu tożsamości udostępnionej dla wielu użytkowników

  • Artykuł
  • Dotyczy:
    HoloLens 2

Ten artykuł zawiera ogólne kroki związane z wdrażaniem pomocy zdalnej przy użyciu udostępnionej tożsamości firmy Microsoft Entra dla wielu użytkowników. Wskazówki przedstawione w tym dokumencie koncentrują się na aprowizacji kont użytkowników firmy Microsoft Entra, przypisywaniu wymaganych licencji i konfiguracji urządzenia HoloLens 2 dla środowiska udostępnionego urządzenia. Aby uzyskać bardziej szczegółowe wskazówki dotyczące wdrażania opartego na scenariuszach, zobacz typowe scenariusze wdrażania.

Ważny

W tym artykule opisano proces ręcznego konfigurowania udostępnionych kont Microsoft Entra dla każdego urządzenia. Od tego czasu wprowadziliśmy ulepszony proces, który jest znacznie łatwiejszy do wdrożenia na dużą skalę, nie wymaga ręcznej konfiguracji dla każdego urządzenia i eliminuje konieczność zarządzania numerami PIN i uwierzytelnianiem wieloskładnikowym. Aby uzyskać ulepszony proces, zobacz shared Microsoft Entra accounts in HoloLens. Proces opisany w tym artykule jest zachowywany w przypadku małych wdrożeń (mniej niż 10 urządzeń) bez infrastruktury niezbędnej do ulepszonego procesu.

Zadania wdrażania

1. Konta Microsoft Entra

Utwórz grupy zabezpieczeń firmy Microsoft Entra i udostępnione konta użytkowników usługi Microsoft Entra, które będą używane do logowania się na urządzeniach HoloLens 2.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej administrator grup i administrator użytkowników.
  2. Przejdź do centrum administracyjnego nowej grupy i utwórz grupę microsoft Entra ID Security Group w celu zarządzania kontami użytkowników udostępnionych urządzenia HoloLens 2. Zobacz Tworzenie podstawowej grupy i dodawanie członków, aby uzyskać instrukcje krok po kroku.
  3. Przejdź do Nowy użytkownik — Centrum administracyjne firmy Microsoft Entra i utwórz nowe konta użytkowników udostępnione przez wiele osób, aby zalogować się na urządzeniu HoloLens 2. Zalecane jest jedno konto użytkownika microsoft Entra na urządzenie HoloLens 2. Aby uzyskać instrukcje krok po kroku, zobacz Dodawanie lub usuwanie użytkowników.
  4. Przejdź do pozycji Grupy — Centrum administracyjne firmy Microsoft entra, wybierz nazwę grupy zabezpieczeń Microsoft Entra —Członkowie + Dodaj członków i dodaj powyższe konta użytkowników do grupy zabezpieczeń. Aby uzyskać instrukcje krok po kroku, zobacz Dodawanie lub usuwanie członków grupy.

2. Przypisania licencji

Przypisz wymagane licencje do kont użytkowników usługi Microsoft Entra.

  1. Licencje wymagane do korzystania z usługi Dynamics 365 Remote Assist na urządzeniu HoloLens 2 można przypisać do użytkownika lub grupy użytkowników. Aby przypisać licencje do grupy użytkowników, postępuj zgodnie z instrukcjami Przypisywanie licencji do grupy przewodnik krok po kroku, aby przypisać następujące licencje. Aby przypisać licencje do użytkownika, postępuj zgodnie z instrukcjami Przypisywanie licencji do użytkowników przewodnik krok po kroku, aby przypisać następujące licencje.

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service for Remote Assist

    Aby uzyskać więcej informacji, zobacz Requirements for Dynamics 365 Remote Assist.

  2. Aby zarządzać urządzeniem HoloLens 2 przy użyciu programu Microsoft Endpoint Manager (Intune), postępuj Przypisywanie licencji usługi Microsoft Intune przewodnik krok po kroku, aby przypisać następujące licencje.

    • Microsoft Intune

  3. Aby korzystać z zaawansowanych funkcji usługi Remote Assist, takich jak uzyskiwanie dostępu do plików usługi OneDrive, planowanie jednorazowego wywołania i integracja z usługą Dynamics 365 Field Service, musisz przypisać kolejne licencje do kont użytkowników urządzenia HoloLens 2. Aby uzyskać więcej informacji, zobacz Requirements for Dynamics 365 Remote Assist.

Nuta

Aby uzyskać więcej informacji, zobacz scenariusze , ograniczenia i znane problemy z używaniem grup do zarządzania licencjonowaniem w usłudze Microsoft Entra ID.

3. Konfiguracja urządzenia

Aby udostępnić urządzenia HoloLens 2 wielu osobom korzystającym z udostępnionych kont użytkowników firmy Microsoft Entra, skonfiguruj następujące ustawienia, aby zabezpieczyć poświadczenia użytkownika i ograniczyć używanie aplikacji przez użytkowników urządzenia HoloLens 2. Postępuj zgodnie z Skonfiguruj urządzenie HoloLens 2, aby skonfigurować urządzenia HoloLens 2 po raz pierwszy przy użyciu udostępnionych kont użytkowników microsoft Entra utworzonych w poprzedniej sekcji "Konta Microsoft Entra". Użyj jednego konta użytkownika Microsoft Entra na urządzenie HoloLens 2. Podczas początkowej konfiguracji urządzenia HoloLens 2 pomiń rejestrację uwierzytelniania i skonfiguruj numer PIN funkcji Windows Hello, aby zalogować się na urządzeniu.

Numer PIN logowania

Użyj numeru PIN funkcji Windows Hello, aby zalogować się na urządzeniach HoloLens 2. Nie udostępniaj haseł konta udostępnionego użytkownikom końcowym. Konfigurowanie numeru PIN funkcji Windows Hello umożliwia nieudzielenie hasła konta użytkownika użytkownikom końcowym i umożliwia użytkownikom końcowym logowanie się na urządzeniach HoloLens 2 przy użyciu numeru PIN funkcji Windows Hello skonfigurowanego dla konta użytkownika na określonym urządzeniu HoloLens 2. Skonfigurowany numer PIN funkcji Windows Hello jest kryptograficznie powiązany z urządzeniem HoloLens 2 i nie może być używany na innym urządzeniu.

Aby uzyskać więcej informacji, zobacz Udostępnianie urządzenia HoloLens wielu osobom.

Automatyczne logowanie

Możesz również użyć zasad AutoLogonUser, aby automatycznie zalogować się na urządzeniu przy użyciu tożsamości powiązanej z tym urządzeniem. Spowoduje to obejście środowiska logowania urządzenia HoloLens 2, a użytkownik może od razu pobrać urządzenie i rozpocząć korzystanie z urządzenia. Aby uzyskać więcej informacji, zobacz zasady automatycznego logowania kontrolowane przez dostawcę CSP.

Tryb kiosku

W przypadku udostępnionych urządzeń HoloLens 2 tryb kiosku zaleca się kontrolowanie, które aplikacje są wyświetlane w menu Start, gdy użytkownik loguje się do urządzenia HoloLens. Zezwalając tylko na wymagane aplikacje, takie jak Remote Assist, można ograniczyć użytkownikom logowanie się do strony ustawień konta użytkownika przy użyciu przeglądarki Microsoft Edge przez logowanie jednokrotne i uzyskać dostęp do szczegółów konta użytkownika na urządzeniu HoloLens 2.

Windows Defender Application Control (WDAC)

Usługa WDAC umożliwia skonfigurowanie urządzenia HoloLens w celu zablokowania uruchamiania aplikacji. Różni się on od trybu kiosku, w którym interfejs użytkownika ukrywa aplikacje, ale nadal można je uruchamiać. Za pomocą usługi WDAC można wyświetlić kafelek aplikacji, ale nie można ich uruchomić. Aby uzyskać więcej informacji, zobacz Windows Defender Application Control (WDAC).

Ograniczenia

Korzystanie z udostępnionego konta Microsoft Entra ma następujące ograniczenia (w tym, ale nie tylko):

  1. Tożsamość — użytkownicy nie mogą zalogować się na urządzeniu HoloLens 2 przy użyciu uwierzytelniania i nie mogą uzyskać dostępu do zawartości powiązanej z kontem służbowym na platformie Microsoft 365.
  2. Identyfikator osoby wywołującej/kontakty — uzyskiwanie dostępu do osobistej listy kontaktów użytkownika / ostatnio nazywanych kontaktami nie jest możliwe, a identyfikator osoby wywołującej wyświetli nazwę konta udostępnionego, a nie nazwę użytkownika.
  3. User-Based Przepływy pracy — nie można używać zaawansowanych integracji z usługą field, ponieważ użytkownik jest "przypisany" elementami roboczymi, nie jest użytkownikiem zalogowanym do usługi Remote Assist.
  4. Udostępnianie numeru PIN — ponieważ uwierzytelnianie irysów nie jest możliwe, numer PIN funkcji Windows Hello musi być współużytkowany przez użytkowników.

Problemy

Korzystanie z udostępnionego konta microsoft Entra stanowi następujące problemy, które należy rozwiązać (w tym nie tylko):

  1. Brak odpowiedzialności — w przypadku konta udostępnionego nie ma możliwości udowodnienia, kto użył urządzenia i co zostało zrobione z urządzeniem.
  2. Brak inspekcji — rekordy inspekcji będą niekompletne, a w przypadku zdarzenia nie można zidentyfikować użytkownika.
  3. Brak indywidualnego śledzenia/analizy.
  4. Uprawnienia — uprawnienia zaawansowane nie mogą być wykonywane na podstawie konta udostępnionego.
  5. Własność uwierzytelniania wieloskładnikowego — uwierzytelnianie wieloskładnikowe (MFA) powinno być własnością urzędu centralnego dla kont udostępnionych.
  6. Resetowanie numeru PIN — jeśli numer PIN musi zostać zresetowany i wiedza na temat tego, kto jest właścicielem uwierzytelniania wieloskładnikowego na urządzeniach, jest trudne.

Zagadnienia dotyczące

Należy przejrzeć i wprowadzić zmiany w następujących ustawieniach firmy Microsoft Entra (w tym, ale nie tylko), jeśli chcesz używać udostępnionych kont użytkowników microsoft Entra. Podczas włączania i wyłączania następujących ustawień firmy Microsoft Entra należy zadbać o to, aby upewnić się, że zmiana tych ustawień nie powoduje żadnych problemów z istniejącymi i nowymi kontami użytkowników.

  1. Przeglądanie ustawienia dostępu portalu administratora w Użytkownicy | Ustawienia użytkownika.
  2. Przejrzyj ustawienie Rejestracje aplikacji w Użytkownicy | Ustawienia użytkownika.
  3. Przejrzyj ustawienie Połączenia połączonego konta w Użytkownicy | Ustawienia użytkownika.
  4. Przejrzyj ustawienie Funkcje użytkownika w Użytkownicy | Funkcje użytkownika.
  5. Zapoznaj się z ustawieniem samoobsługowego resetowania hasła w Resetowanie hasła | Właściwości.
  6. Zapoznaj się z ustawieniem Dołączanie urządzeń do firmy Microsoft w usłudze Urządzenia | Ustawienia urządzenia.
  7. Przeglądanie ustawień usługi Enterprise State Roaming na urządzeniach | Usługa Enterprise State Roaming.

Ostrzeżenie

Nie udostępniaj haseł konta udostępnionego użytkownikom końcowym. Użytkownicy końcowi powinni zawsze używać nazwy konta Microsoft Entra i skojarzonego numeru PIN usługi Windows Hello lub użyć funkcji automatycznego logowania, aby zalogować się do urządzeń HoloLens 2 w środowisku udostępnionym.