Nasazení vzdáleného pomocníka s využitím sdílené identity mezi více uživateli

• Platí pro:

  HoloLens 2

Tento článek obsahuje základní postup nasazení vzdáleného pomocníka s využitím sdílené Microsoft Entra identity mezi více uživateli. Pokyny uvedené v tomto dokumentu se zaměřují na zřizování Microsoft Entra uživatelských účtů, přiřazování požadovaných licencí a HoloLens 2 konfigurace zařízení pro prostředí sdíleného zařízení. Podrobnější pokyny k nasazení na základě scénáře najdete v tématu Běžné scénáře nasazení.

Úlohy nasazení

1. Microsoft Entra účtů

Vytvořte skupiny zabezpečení Microsoft Entra a sdílené Microsoft Entra uživatelské účty pro přihlášení k HoloLens 2 zařízení.

1. Přihlaste se do centra pro správu Microsoft Entra jako globální správce Microsoft Entra.
2. Přejděte do okna Nové centrum pro správu skupiny a vytvořte skupinu zabezpečení Microsoft Entra ID pro správu HoloLens 2 sdílených uživatelských účtů. Podrobné pokyny najdete v tématu Vytvoření základní skupiny a přidání členů .
3. Přejděte do okna Nový uživatel – Microsoft Entra centrum pro správu a vytvořte nové uživatelské účty, které budou sdíleny více lidmi, aby se mohli přihlásit k HoloLens 2 zařízení. Doporučuje se jeden Microsoft Entra uživatelský účet na HoloLens 2 zařízení. Podrobné pokyny najdete v tématu Přidání nebo odstranění uživatelů.
4. Přejděte na Skupiny – Microsoft Entra Centru pro správu, vyberte Microsoft Entra název skupiny zabezpečeníČlenové> –> + Přidat členy a přidejte do skupiny zabezpečení výše uvedené uživatelské účty. Podrobné pokyny najdete v tématu Přidání nebo odebrání členů skupiny.

2. Přiřazení licencí

Přiřaďte požadované licence Microsoft Entra uživatelským účtům.

1. Licence potřebné k používání Dynamics 365 Remote Assist na HoloLens 2 můžete přiřadit uživateli nebo skupině uživatelů. Pokud chcete přiřadit licence ke skupině uživatelů, postupujte podle podrobného průvodce Přiřazením licencí ke skupině a přiřaďte následující licence. Pokud chcete přiřadit licence uživateli, postupujte podle podrobného průvodce Přiřazením licencí uživatelům a přiřaďte následující licence.

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service for Remote Assist

   Další informace najdete v tématu Požadavky na Dynamics 365 Remote Assist.

2. Pokud chcete spravovat HoloLens 2 pomocí Microsoft Endpoint Manageru (Intune), postupujte podle podrobného průvodce přiřazením Microsoft Intune licencí a přiřaďte následující licence.

   • Microsoft Intune

3. Pokud chcete používat pokročilé funkce Vzdáleného pomocníka, jako je přístup k souborům na OneDrivu, plánování jednorázových hovorů a integrace se službou Dynamics 365 Field Service, musíte HoloLens 2 uživatelským účtům přiřadit další licence. Další informace najdete v tématu Požadavky na Dynamics 365 Remote Assist.

Poznámka

Další informace najdete v tématu Scénáře, omezení a známé problémy s používáním skupin ke správě licencování ve Microsoft Entra ID.

3. Konfigurace zařízení

Pokud chcete sdílet HoloLens 2 zařízení s více lidmi pomocí sdílených Microsoft Entra uživatelských účtů, nakonfigurujte následující nastavení tak, aby se zabezpečily přihlašovací údaje uživatelů a omezily aplikace, které budou uživatelé HoloLens 2 používat. Postupujte podle pokynů v tématu Nastavení HoloLens 2 a nastavte HoloLens 2 zařízení poprvé pomocí sdílených uživatelských účtů Microsoft Entra vytvořených v části účty Microsoft Entra výše. Pro každé HoloLens 2 zařízení použijte jeden uživatelský účet Microsoft Entra. Během počátečního nastavení HoloLens 2 přeskočte konfiguraci přihlášení IRIS a nakonfigurujte Windows Hello PIN kód pro přihlášení k zařízení (další podrobnosti najdete níže).

Přihlašovací PIN kód

Přihlaste se k HoloLens 2 zařízení pomocí Windows Hello PIN kódu. Nesdílejte hesla ke sdíleným účtům s koncovými uživateli. Konfigurace Windows Hello PIN kódu umožňuje nesdílet heslo uživatelského účtu s koncovými uživateli a umožňuje koncovým uživatelům přihlašovat se k HoloLens 2 zařízení pomocí Windows Hello PIN kódu nakonfigurovaného pro uživatelský účet na konkrétním HoloLens 2 zařízení. Nakonfigurovaný pin kód Windows Hello je kryptograficky svázán s HoloLens 2 zařízením a nedá se použít k přihlášení k uživatelskému účtu pomocí prohlížeče na počítači nebo na jiném HoloLens 2 zařízení.

Další informace najdete v tématu Sdílení HoloLensu s více lidmi.

Automatické přihlášení

Můžete také použít zásady AutoLogonUser a automaticky se přihlásit k zařízení pomocí identity svázané s tímto zařízením. Tím obcházíte prostředí HoloLens 2 přihlášení a uživatel bude moct zařízení okamžitě vyzvednout a začít ho používat. Další informace najdete v tématu Zásady automatického přihlášení řízené CSP.

Celoobrazovkový režim

U sdílených HoloLens 2 zařízení se doporučuje beznabídkový režim, který určuje, které aplikace se zobrazí v nabídce Start, když se uživatel přihlásí k HoloLensu. Když povolíte jenom požadované aplikace, jako je Remote Assist, můžete uživatelům omezit přihlašování na stránku nastavení uživatelského účtu pomocí prohlížeče Edge pomocí jednotného přihlašování a přistupovat k podrobnostem o uživatelských účtech v HoloLens 2 zařízení.

• Pokud ke správě zařízení používáte Microsoft Endpoint Manager (Intune)

  Přejděte do Centra pro správu Microsoft Endpoint Manageru a vytvořte jednu nebo více konfigurací beznabídkového režimu aplikace v části Zařízení | Okno Konfigurační profily

• Pokud ke správě zařízení používáte zřizovací balíčky

  Pomocí Designer konfigurace Windows nakonfigurujte a nasaďte zřizovací balíčky s jedním nebo více aplikacemi v beznabídkovém režimu. Další informace najdete v tématu Nastavení HoloLensu jako veřejného terminálu.

řízení aplikací Windows Defender (WDAC)

WDAC umožňuje nakonfigurovat HoloLens tak, aby blokoval spouštění aplikací. Liší se od celoobrazovkového režimu, kde uživatelské rozhraní aplikace skryje, ale přesto je možné je spustit. S WDAC můžete zobrazit dlaždici aplikací, ale nejde je spustit. Další informace najdete v tématu Windows Defender Application Control (WDAC).

Omezení

Používání sdíleného Microsoft Entra účtu má následující omezení (mimo jiné včetně):

1. Identita – Uživatelé se nemůžou pomocí IRIS přihlásit k HoloLens 2 zařízení a nemůžou získat přístup k obsahu Microsoftu 365 souvisejícímu s jejich pracovním účtem.
2. ID volajícího / Kontakty – Přístup k seznamu osobních kontaktů uživatele / naposledy volaným kontaktům není možný a ID volajícího zobrazí název sdíleného účtu místo jména uživatele.
3. pracovní postupy User-Based – rozšířené integrace se službou Field Service není možné použít, protože uživatel, kterému se přiřazují pracovní položky, není přihlášený k aplikaci Remote Assist.
4. Sdílení PIN kódu – vzhledem k tomu, že přihlášení pomocí IRIS není možné, musí se mezi uživateli sdílet Windows Hello PIN kód.

Problémy

Použití sdíleného Microsoft Entra účtu představuje následující problémy, které je potřeba vyřešit (mimo jiné včetně):

1. Nedostatečná odpovědnost – u sdíleného účtu neexistuje způsob, jak prokázat, kdo zařízení použil a co se zařízením provedlo.
2. Chybějící auditování – záznamy auditu budou neúplné a v případě incidentu může být nemožné identifikovat uživatele.
3. Chybí individuální sledování / analýza.
4. Oprávnění – Rozšířená oprávnění nelze provádět na základě sdíleného účtu.
5. Vlastnictví vícefaktorového ověřování – vícefaktorové ověřování (MFA) by měla vlastnit centrální autorita pro sdílené účty.
6. Resetování PIN kódu – když je potřeba resetovat PIN kód a znalost toho, kdo vlastní vícefaktorové ověřování na zařízeních, je náročné.

Požadavky

Pokud chcete používat sdílené Microsoft Entra uživatelské účty, musíte zkontrolovat a změnit následující nastavení Microsoft Entra (mimo jiné). Při povolování a zakazování následujících nastavení Microsoft Entra byste měli věnovat mimořádnou pozornost tomu, aby změna těchto nastavení nezpůsobí žádné problémy u stávajících a nových uživatelských účtů.

1. Kontrola nastavení přístupu k portálu správce v části Uživatelé | Okno Uživatelská nastavení .
2. Kontrola nastavení Registrace aplikací v části Uživatelé | Okno Uživatelská nastavení .
3. Zkontrolujte nastavení Propojení účtů v části Uživatelé | Okno Uživatelská nastavení .
4. Zkontrolovat nastavení Funkce uživatele v části Uživatelé | Okno Funkce uživatele .
5. Přečtěte si téma Nastavení samoobslužného resetování hesla v tématu Resetování hesla | Okno Vlastnosti
6. Projděte si nastavení Připojení zařízení k Microsoft Entra v části Zařízení | Okno Nastavení zařízení.
7. Kontrola nastavení Enterprise State Roaming v části Zařízení | Okno Enterprise State Roaming

Upozornění

Nesdílejte hesla účtů s koncovými uživateli. Koncoví uživatelé by měli vždy používat Microsoft Entra název účtu a přidružený Windows Hello PIN kód nebo používat funkci automatického přihlášení k přihlášení k HoloLens 2 zařízení ve sdíleném prostředí.