Развертывание удаленной помощи с помощью общего удостоверения для нескольких пользователей

• Применяется к:

  HoloLens 2

В этой статье содержатся высокоуровневые шаги, связанные с развертыванием удаленной помощи с помощью общего удостоверения Microsoft Entra для нескольких пользователей. В этом документе основное внимание уделяется подготовке учетных записей пользователей Microsoft Entra, назначению необходимых лицензий и конфигурации устройства HoloLens 2 для общей среды устройств. Дополнительные инструкции по развертыванию на основе сценариев см. в распространенных сценариях развертывания.

Важный

В этой статье описывается процесс настройки общих учетных записей Microsoft Entra вручную для каждого устройства. С тех пор мы ввели улучшенный процесс, который гораздо проще развертывать в масштабе, не требует ручной настройки для каждого устройства и удаляет необходимость управления ПИН-кодом и MFA. Дополнительные сведения см. в разделе Общие учетные записи Microsoft Entra в HoloLens. Процесс, приведенный в этой статье, сохраняется для небольших развертываний (менее 10 устройств) без инфраструктуры, необходимой для улучшенного процесса.

Задачи развертывания

1. Учетные записи Microsoft Entra

Создайте группы безопасности Microsoft Entra и общие учетные записи пользователей Microsoft Entra для входа на устройства HoloLens 2.

1. Войдите в центр администрирования Microsoft Entra как минимум администратор групп и администратор пользователей.
2. Перейдите к Центр администрирования новой группы и создайте идентификатор Microsoft Entra ID Security Group для управления учетными записями общего пользователя HoloLens 2. Пошаговые инструкции см. в статье Создание базовой группы и добавление участников.
3. Перейдите к Новый пользователь — Центр администрирования Microsoft Entra и создайте новые учетные записи пользователей, которыми поделились несколько пользователей для входа на устройство HoloLens 2. Рекомендуется использовать одну учетную запись пользователя Microsoft Entra на устройство HoloLens 2. Пошаговые инструкции см. в разделе Добавление или удаление пользователей.
4. Перейдите к группам — Центр администрирования Microsoft Entra, выберите имя группы безопасности Microsoft Entra ->участников -> + Добавить участников и добавить в группу безопасности указанные выше учетные записи пользователей. Пошаговые инструкции см. в разделе Добавление или удаление членов группы.

2. Назначения лицензий

Назначьте необходимые лицензии учетным записям пользователей Microsoft Entra.

1. Лицензии, необходимые для использования Dynamics 365 Remote Assist в HoloLens 2, можно назначить пользователю или группе пользователей. Чтобы назначить лицензии группе пользователей, следуйте Назначьте лицензии группе пошаговые инструкции, чтобы назначить следующие лицензии. Чтобы назначить лицензии пользователю, следуйте Назначьте лицензии пользователям, пошаговые инструкции, чтобы назначить следующие лицензии.

   • Удаленная помощь Dynamics 365
   • Microsoft Teams
   • Common Data Service for Remote Assist

   Дополнительные сведения см. в разделе Требования для Dynamics 365 Remote Assist.

2. Чтобы управлять HoloLens 2 с помощью Microsoft Endpoint Manager (Intune), следуйте Назначьте лицензии Microsoft Intune пошаговые инструкции, чтобы назначить следующие лицензии.

   • Microsoft Intune

3. Для использования расширенных возможностей удаленной помощи, таких как доступ к файлам OneDrive, планирование однократного вызова и интеграция с Dynamics 365 Field Service, необходимо назначить другим лицензиям учетные записи пользователей HoloLens 2. Дополнительные сведения см. в разделе Требования для Dynamics 365 Remote Assist.

Заметка

Дополнительные сведения см. в сценариях, ограничениях и известных проблемах, использующих группы для управления лицензированием видентификатора Microsoft Entra.

3. Конфигурация устройства

Чтобы совместно использовать устройства HoloLens 2 с несколькими пользователями, использующими общие учетные записи пользователей Microsoft Entra, настройте следующие параметры, чтобы защитить учетные данные пользователей и ограничить использование приложений пользователями HoloLens 2. Следуйте Настройте HoloLens 2, чтобы настроить устройства HoloLens 2 впервые, используя общие учетные записи пользователей Microsoft Entra, созданные в предыдущем разделе "Учетные записи Microsoft Entra". Используйте одну учетную запись пользователя Microsoft Entra на устройство HoloLens 2. Во время начальной настройки HoloLens 2 пропустите регистрацию проверки подлинности Iris и настройте ПИН-код Windows Hello для входа на устройство.

ПИН-код для входа

Используйте ПИН-код Windows Hello для входа на устройства HoloLens 2. Не делитесь паролями общих учетных записей с конечными пользователями. Настройка ПИН-кода Windows Hello позволяет не совместно использовать пароль учетной записи пользователя с конечными пользователями и позволяет конечным пользователям входить на устройства HoloLens 2 с помощью ПИН-кода Windows Hello, настроенного для учетной записи пользователя на определенном устройстве HoloLens 2. Настроенный ПИН-код Windows Hello криптографически привязан к устройству HoloLens 2 и не может использоваться на другом устройстве.

Дополнительные сведения см. в статье Совместное использование HoloLens с несколькими людьми.

Автоматическое вход

Вы также можете использовать политику AutoLogonUser для автоматического входа на устройство с удостоверением, привязанным к устройству. Это обходит интерфейс входа HoloLens 2, и пользователь может забрать устройство и начать использовать устройство сразу. Дополнительные сведения см. в разделе политика автоматического входа, контролируемаяCSP.

Режим киоска

Для общих устройств HoloLens 2 рекомендуется контролировать, какие приложения отображаются в меню "Пуск" при входе пользователя в HoloLens. Просто разрешая только необходимые приложения, такие как Remote Assist, вы можете ограничить вход пользователей на страницу параметров учетной записи пользователя с помощью браузера Microsoft Edge с помощью единого входа и получить доступ к сведениям об учетной записи пользователя на устройстве HoloLens 2.

• Если вы используете Microsoft Endpoint Manager (Intune) для управления устройствами

  Перейдите к Центр администрирования Microsoft Endpoint Managerи создайте конфигурацию режима киоска с одним приложением или несколькими приложениями в устройствах | Профили конфигурации.

• Если вы используете пакеты подготовки для управления устройствами

  Используйте конструктор конфигураций Windows для настройки и развертывания пакетов подготовки в режиме киоска одного или нескольких приложений. Дополнительные сведения см. в разделе Настройка HoloLens в качестве киоска.

Управление приложениями в Защитнике Windows (WDAC)

WDAC позволяет настроить HoloLens для блокировки запуска приложений. Это отличается от режима киоска, где пользовательский интерфейс скрывает приложения, но они по-прежнему могут быть запущены. С помощью WDAC можно увидеть плитку приложений, но ее нельзя запустить. Дополнительные сведения см. в элементе управления приложениями Защитника Windows (WDAC).

Ограничения

Использование общей учетной записи Microsoft Entra имеет следующие ограничения (включая, но не ограничено):

1. Удостоверение. Пользователи не могут использовать проверку подлинности Iris для входа на устройство HoloLens 2 и не могут получить доступ к содержимому, связанному с рабочей учетной записью в Microsoft 365.
2. Идентификатор вызывающего абонента / контакты— доступ к списку личных контактов пользователя / последнее название контактов невозможно, и идентификатор вызывающего пользователя будет отображать имя общей учетной записи, а не имя пользователя.
3. User-Based рабочих процессов. Невозможно использовать расширенные интеграции со службой полей, так как пользователь "назначает" рабочие элементы, не является пользователем, вошедшего в remote Assist.
4. Общий доступ к ПИН-кодам. Так как проверка подлинности Iris невозможна, пин-код Windows Hello должен быть предоставлен пользователям.

Вопросы

Использование общей учетной записи Microsoft Entra создает следующие проблемы, которые необходимо устранить (включая, но не ограничено):

1. Отсутствие подотчетности — с общей учетной записью нет способа доказать, кто использовал устройство, и что было сделано с устройством.
2. Отсутствие аудита — записи аудита будут неполными, и в случае инцидента может быть невозможно определить пользователя.
3. Не хватает отдельного отслеживания или аналитики.
4. Разрешения. Дополнительные разрешения невозможно выполнить на основе общей учетной записи.
5. Владение MFA — многофакторная проверка подлинности (MFA) должна принадлежать центральному центру для общих учетных записей.
6. Сброс ПИН-кода— если необходимо сбросить ПИН-код и знания о том, кто владеет MFA на устройствах, сложно.

Соображения

Необходимо просмотреть и внести изменения в следующие параметры Microsoft Entra (включая, но не ограничено), если вы хотите использовать общие учетные записи пользователей Microsoft Entra. При включении и отключении следующих параметров Microsoft Entra следует соблюдать крайнее внимание, чтобы убедиться, что изменение этих параметров не вызывает никаких проблем для существующих и новых учетных записей пользователей.

1. Просмотр параметра доступа на портале администрирования в Users | Параметры пользователя.
2. Просмотр параметров регистрации приложений в Users | Параметры пользователя.
3. Просмотр параметра подключений к связанной учетной записи в Users | Параметры пользователя.
4. Просмотр параметров функций пользователей в Users | Пользовательские функции.
5. Просмотрите параметр самостоятельного сброса пароля в сброс пароля | Свойства.
6. Проверка параметров "Присоединение устройств к Microsoft Entra" в устройства | Параметры устройства.
7. Просмотр параметра Enterprise State Roaming на устройствах |корпоративного состояния.

Предупреждение

Не делитесь общими паролями учетных записей с конечными пользователями. Конечные пользователи всегда должны использовать имя учетной записи Microsoft Entra и связанный ПИН-код Windows Hello или использовать функцию автоматического входа для входа на устройства HoloLens 2 в общей среде.