Distribuera fjärrhjälp med hjälp av en delad identitet mellan flera användare

• Gäller för:

  HoloLens 2

Den här artikeln innehåller övergripande steg som ingår i distributionen av Fjärrhjälp med delad Microsoft Entra-identitet för flera användare. Vägledningen i det här dokumentet fokuserar på etablering av Microsoft Entra-användarkonton, tilldelning av nödvändiga licenser och HoloLens 2-enhetskonfiguration för en delad enhetsmiljö. Mer detaljerad scenariobaserad distributionsvägledning finns i Vanliga distributionsscenarier.

Viktig

I den här artikeln beskrivs en process för att manuellt konfigurera delade Microsoft Entra-konton för varje enhet. Vi har sedan dess introducerat en förbättrad process som är mycket enklare att distribuera i stor skala, inte kräver manuell installation för varje enhet och tar bort behovet av att hantera PIN-kod och MFA. Den förbättrade processen finns i Delade Microsoft Entra-konton i HoloLens. Processen i den här artikeln bevaras för små distributioner (färre än 10 enheter) utan den infrastruktur som krävs för den förbättrade processen.

Distributionsuppgifter

1. Microsoft Entra-konton

Skapa Microsoft Entra-säkerhetsgrupper och delade Microsoft Entra-användarkonton som ska användas för att logga in på HoloLens 2-enheter.

1. Logga in på Administrationscenter för Microsoft Entra som minst gruppadministratör och användaradministratör.
2. Gå till Administrationscenter för ny grupp och skapa ett Microsoft Entra-ID Security Group för att hantera holoLens 2-delade användarkonton. Se Skapa en grundläggande grupp och lägg till medlemmar för stegvisa instruktioner.
3. Gå till Ny användare – Administrationscenter för Microsoft Entra och skapa nya användarkonton som delas av flera personer för att logga in på HoloLens 2-enheten. Ett Microsoft Entra-användarkonto per HoloLens 2-enhet rekommenderas. Stegvisa instruktioner finns i Lägg till eller ta bort användare.
4. Gå till Grupper – Microsoft Entra administrationscenter, välj Microsoft Entra-säkerhetsgruppnamnet –>Medlemmar –> + Lägg till medlemmar och lägg till ovanstående användarkonton i säkerhetsgruppen. Stegvisa instruktioner finns i Lägg till eller ta bort gruppmedlemmar.

2. Licenstilldelningar

Tilldela nödvändiga licenser till Microsoft Entra-användarkontona.

1. Du kan tilldela licenser som krävs för att använda Dynamics 365 Remote Assist på HoloLens 2 till en användare eller användargrupp. Om du vill tilldela licenser till en användargrupp följer du Tilldela licenser till en grupp stegvis guide för att tilldela följande licenser. Om du vill tilldela licenser till en användare följer du Tilldela licenser till användare stegvis guide för att tilldela följande licenser.

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service för Fjärrhjälp

   Mer information finns i Krav för Dynamics 365 Remote Assist.

2. Om du vill hantera HoloLens 2 med Microsoft Endpoint Manager (Intune) följer du Tilldela Microsoft Intune-licenser stegvis guide för att tilldela följande licenser.

   • Microsoft Intune

3. Om du vill använda avancerade funktioner i Fjärrhjälp, till exempel åtkomst till OneDrive-filer, schemaläggning av engångssamtal och integrering med Dynamics 365 Field Service måste du tilldela ytterligare licenser till HoloLens 2-användarkontona. Mer information finns i Krav för Dynamics 365 Remote Assist.

Not

Mer information finns i Scenarier, begränsningar och kända problem med att använda grupper för att hantera licensiering i Microsoft Entra-ID.

3. Enhetskonfiguration

Om du vill dela HoloLens 2-enheter med flera personer som använder delade Microsoft Entra-användarkonton konfigurerar du följande för att skydda användarautentiseringsuppgifter och begränsa appar som ska användas av HoloLens 2-användare. Följ Konfigurera dina HoloLens 2- för att konfigurera HoloLens 2-enheterna för första gången med hjälp av de delade Microsoft Entra-användarkonton som skapades i föregående avsnitt "Microsoft Entra-konton". Använd ett Microsoft Entra-användarkonto per HoloLens 2-enhet. Under den första installationen av HoloLens 2 hoppar du över Iris-autentiseringsregistreringen och konfigurerar Windows Hello PIN för att logga in på enheten.

Logga in PIN-kod

Använd Windows Hello PIN för att logga in på HoloLens 2-enheter. Dela inte lösenord för delat konto med slutanvändare. När du konfigurerar En Pin-kod för Windows Hello kan du inte dela lösenordet för användarkontot med slutanvändarna och slutanvändarna kan logga in på HoloLens 2-enheter med Windows Hello PIN-kod som konfigurerats för användarkontot på en specifik HoloLens 2-enhet. Den konfigurerade Windows Hello-PIN-koden är kryptografiskt kopplad till HoloLens 2-enheten och kan inte användas på en annan enhet.

Mer information finns i Dela dina HoloLens med flera personer.

Automatisk inloggning

Du kan också använda principen AutoLogonUser för att automatiskt logga in på enheten med en identitet som är kopplad till enheten. Detta kringgår HoloLens 2-inloggningen och användaren kan hämta enheten och börja använda enheten direkt. Mer information finns i princip för automatisk inloggning som styrs av CSP.

Helskärmsläge

För delade HoloLens 2-enheter rekommenderas helskärmsläge att styra vilka program som visas på Start-menyn när en användare loggar in på HoloLens. Genom att bara tillåta nödvändiga appar som Remote Assist kan du begränsa användare som loggar in på inställningssidan för användarkonton med microsoft Edge-webbläsare via enkel inloggning och få åtkomst till användarkontoinformation i HoloLens 2-enheten.

• Om du använder Microsoft Endpoint Manager (Intune) för att hantera enheterna

  Gå till administrationscentret för Microsoft Endpoint Manageroch skapa en konfiguration av helskärmsläge för en app eller flera appar i Enheter | Konfigurationsprofiler.

• Om du använder Etableringspaket för att hantera enheterna

  Använd Windows Configuration Designer för att konfigurera och distribuera etableringspaket för helskärmsläge för en eller flera appar. Mer information finns i Konfigurera HoloLens som helskärmsläge.

Windows Defender-programkontroll (WDAC)

Med WDAC kan du konfigurera HoloLens för att blockera lanseringen av appar. Det skiljer sig från helskärmsläget, där användargränssnittet döljer apparna, men de kan fortfarande startas. Med WDAC kan du se apppanelen, men de kan inte startas. Mer information finns i Windows Defender Application Control (WDAC).

Begränsningar

Användning av delat Microsoft Entra-konto har följande begränsningar (inklusive men inte begränsat till):

1. Identitet – Användare kan inte använda Iris-autentisering för att logga in på HoloLens 2-enheten och kan inte komma åt sitt arbetskontorelaterade innehåll i Microsoft 365.
2. Nummerpresentation/Kontakter – Åtkomst till en användares personliga kontaktlista/senast kallade kontakter är inte möjligt, och nummerpresentationen visar namnet på det delade kontot i stället för användarens namn.
3. User-Based Arbetsflöden – Det går inte att använda avancerade integreringar med fälttjänsten, eftersom användaren som "tilldelade" arbetsobjekt inte är den användare som är inloggad på Fjärrhjälp.
4. PIN-delning – Eftersom Iris-autentisering inte är möjligt måste Windows Hello PIN-nummer delas mellan användarna.

Frågor

Att använda delat Microsoft Entra-konto utgör följande problem som ska åtgärdas (inklusive men inte begränsat till):

1. Brist på ansvar – Med ett delat konto finns det inget sätt att bevisa vem som har använt enheten och vad som gjordes med enheten.
2. Brist på granskning – Granskningsposter kommer att vara ofullständiga och i händelse av en incident kan det vara omöjligt att identifiera användaren.
3. Saknar individuell spårning/analys.
4. Behörigheter – Avancerade behörigheter kan inte utföras på delad kontobasis.
5. MFA-ägarskap – multifaktorautentisering (MFA) bör ägas av en central utfärdare för delade konton.
6. PIN-återställning – När PIN-koden behöver återställas och kunskap om vem som äger MFA på enheterna är utmanande.

Överväganden

Du måste granska och göra ändringar i följande Microsoft Entra-inställningar (inklusive men inte begränsat till) när du vill använda delade Microsoft Entra-användarkonton. När du aktiverar och inaktiverar följande Microsoft Entra-inställningar bör du vara mycket noga med att se till att ändringar av dessa inställningar inte orsakar några problem för befintliga och nya användarkonton.

1. Granska åtkomstinställningen för administratörsportalen i Användare | Användarinställningar.
2. Granska inställningen Appregistreringar i Användare | Användarinställningar.
3. Granska inställningen För länkade kontoanslutningar i Användare | Användarinställningar.
4. Granska inställningen Användarfunktioner i Användare | Användarfunktioner.
5. Granska inställningen för självbetjäning av lösenordsåterställning i Lösenordsåterställning | Egenskaper.
6. Granska inställningen Anslut enheter till Microsoft Entra i Enheter | Enhetsinställningar.
7. Granska inställningen Företagstillståndsroaming i Enheter | Enterprise State Roaming.

Varning

Dela INTE, delade kontolösenord med slutanvändare. Slutanvändare bör alltid använda Microsoft Entra-kontonamn och tillhörande Windows Hello PIN-kod eller använda funktionen för automatisk inloggning för att logga in på HoloLens 2-enheter i en delad miljö.