跨多个用户使用共享标识部署远程协助

• 适用于:

  HoloLens 2

本文包含跨多个用户使用共享Microsoft Entra 标识部署远程协助所涉及的高级步骤。 本文档中提供的指南侧重于预配 Microsoft Entra 用户帐户、为共享设备环境分配所需的许可证和 HoloLens 2 设备配置。 有关更详细的基于方案的部署指南，请参阅 常见部署方案。

重要

本文介绍为每个设备手动设置共享Microsoft Entra 帐户的过程。 此后，我们引入了一个改进的过程，可以更轻松地大规模部署，不需要为每个设备手动设置，并不需要管理 PIN 和 MFA。 有关改进的过程，请参阅 HoloLens中的 共享Microsoft Entra 帐户。 本文中的过程对于小型部署（少于 10 台设备）保留，而无需为改进过程所需的基础结构。

部署任务

1. Microsoft Entra 帐户

创建 Microsoft Entra 安全组和共享Microsoft Entra 用户帐户，用于登录到 HoloLens 2 设备。

1. 以至少组管理员和用户管理员身份登录到 Microsoft Entra 管理中心。
2. 导航到 新组管理中心 并创建Microsoft Entra ID Security 组来管理 HoloLens 2 共享用户帐户。 有关分步说明，请参阅 创建基本组并添加成员。
3. 导航到 新用户 - Microsoft Entra 管理中心 并创建多人共享的新用户帐户以登录到 HoloLens 2 设备。 建议为每个 HoloLens 2 设备使用一个Microsoft Entra 用户帐户。 有关分步说明，请参阅 添加或删除用户。
4. 导航到 组 - Microsoft Entra 管理中心，选择 Microsoft Entra 安全组名称 ->成员 -> + 添加成员 并将上述用户帐户添加到安全组。 有关分步说明，请参阅 添加或删除组成员。

2. 许可证分配

将所需的许可证分配给 Microsoft Entra 用户帐户。

1. 可以将 HoloLens 2 上的 Dynamics 365 Remote Assist 所需的许可证分配给用户或用户组。 若要向用户组分配许可证，请按照 向组分配许可证 分步指南分配以下许可证。 若要向用户分配许可证，请按照 向用户分配许可证 分步指南分配以下许可证。

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service for Remote Assist

   有关详细信息，请参阅 Dynamics 365 Remote Assist要求。

2. 若要使用 Microsoft Endpoint Manager（Intune）管理 HoloLens 2，请按照 分配 Microsoft Intune 许可证 分步指南分配以下许可证。

   • Microsoft Intune

3. 若要使用远程协助的高级功能（例如访问 OneDrive 文件、计划一次性呼叫并与 Dynamics 365 Field Service 集成），必须将其他许可证分配给 HoloLens 2 用户帐户。 有关详细信息，请参阅 Dynamics 365 Remote Assist要求。

注意

有关详细信息，请参阅 方案、限制和已知问题，使用组管理Microsoft Entra ID中的许可。

3. 设备配置

若要使用共享Microsoft Entra 用户帐户与多人共享 HoloLens 2 设备，请将以下内容配置为保护用户凭据并限制 HoloLens 2 用户使用的应用。 按照 设置 HoloLens 2，使用在上一节“Microsoft Entra 帐户”中创建的共享Microsoft Entra 用户帐户设置 HoloLens 2 设备。为每个 HoloLens 2 设备使用一个Microsoft Entra 用户帐户。 在 HoloLens 2 初始设置期间，跳过 Iris 身份验证注册并配置 Windows Hello PIN 以登录到设备。

登录 PIN

使用 Windows Hello PIN 登录到 HoloLens 2 设备。 不要与最终用户共享共享帐户密码。 配置 Windows Hello PIN 允许你不与最终用户共享用户帐户密码，并允许最终用户使用为特定 HoloLens 2 设备上的用户帐户配置的 Windows Hello PIN 登录到 HoloLens 2 设备。 配置的 Windows Hello PIN 以加密方式绑定到 HoloLens 2 设备，不能在不同的设备上使用。

有关详细信息，请参阅 与多人共享 HoloLens。

自动登录

还可以使用 AutoLogonUser 策略通过绑定到该设备的标识自动登录到设备。 这会绕过 HoloLens 2 登录体验，用户可以立即选取设备并开始使用设备。 有关详细信息，请参阅 由 CSP控制的自动登录策略。

展台模式

对于共享 HoloLens 2 设备，建议在用户登录到 HoloLens 时控制在“开始”菜单中显示哪些应用程序。 通过仅允许所需的应用（如 Remote Assist），可以通过 SSO 限制用户使用 Microsoft Edge 浏览器登录到用户帐户设置页面，并访问 HoloLens 2 设备中的用户帐户详细信息。

• 如果使用 Microsoft Endpoint Manager （Intune） 管理设备

  导航到 Microsoft Endpoint Manager 管理中心，并在 设备中创建单应用或多应用展台模式配置 |配置文件。

• 如果使用预配包来管理设备

  使用 Windows 配置设计器配置和部署单个或多个应用展台模式预配包。 有关详细信息，请参阅 将 HoloLens 设置为展台。

Windows Defender 应用程序控制 （WDAC）

WDAC 允许配置 HoloLens 以阻止应用启动。 这与展台模式不同，UI 隐藏应用，但仍可以启动它们。 使用 WDAC，可以看到应用磁贴，但无法启动它们。 有关详细信息，请参阅 Windows Defender 应用程序控制（WDAC）。

局限性

使用共享Microsoft Entra 帐户具有以下限制（包括但不限于）：

1. 标识 – 用户无法使用鸢尾花身份验证在 HoloLens 2 设备上登录，并且无法在 Microsoft 365 中访问其工作帐户相关内容。
2. 呼叫者 ID/联系人 – 无法访问用户的个人联系人列表/最近呼叫的联系人，并且呼叫者 ID 将显示共享帐户名称，而不是用户名。
3. User-Based 工作流 - 无法将高级集成与现场服务配合使用，因为用户被“分配”工作项不是登录到 Remote Assist 的用户。
4. PIN 共享 - 由于鸢尾花身份验证是不可能的，必须在用户之间共享 Windows Hello PIN 编号。

问题

使用共享Microsoft Entra 帐户可解决以下问题（包括但不限于）：

1. 缺乏责任 – 使用共享帐户，无法证明谁使用了该设备，以及设备执行的操作。
2. 缺少审核 – 审核记录将不完整，如果发生事件，则无法识别用户。
3. 缺少单个跟踪/分析。
4. 权限 - 高级权限不能基于共享帐户完成。
5. MFA 所有权 – 多重身份验证（MFA）应由共享帐户的中央机构拥有。
6. PIN 重置 – 需要重置 PIN 并了解设备上拥有 MFA 的人员是具有挑战性的。

考虑

如果要使用共享Microsoft Entra 用户帐户，则必须查看并更改以下Microsoft Entra 设置（包括但不限于）。 启用和禁用以下Microsoft Entra 设置时，应格外小心，以确保更改这些设置不会对现有和新用户帐户造成任何问题。

1. 在 用户中查看管理员门户访问设置 |用户设置。
2. 查看 用户中的应用注册设置 |用户设置。
3. 查看 用户中的链接帐户连接设置 |用户设置。
4. 在 用户中查看用户功能设置 |用户功能。
5. 查看 密码重置中的自助密码重置设置 |属性。
6. 在 设备中查看将设备加入到 Microsoft Entra 设置 |设备设置。
7. 查看 设备中的企业状态漫游设置 |企业状态漫游。

警告

请勿与最终用户共享共享帐户密码。 最终用户应始终使用 Microsoft Entra 帐户名称和关联的 Windows Hello PIN，或使用自动登录功能登录到共享环境中的 HoloLens 2 设备。