Sdílené účty Microsoft Entra v HoloLensu

Sdílené účty Microsoft Entra (dříve Azure Active Directory) na HoloLensu jsou běžnými Microsoft Entra uživatelskými účty, které se můžou k HoloLensu přihlašovat bez nutnosti jakýchkoli přihlašovacích údajů. Toto nastavení je ideální pro scénáře, ve kterých platí následující podmínky:

• Více lidí sdílí stejnou sadu zařízení HoloLens
• Vyžaduje se přístup k Microsoft Entra prostředkům, jako je obsah Dynamics 365 Guides.
• Sledování, kdo zařízení použil, se nevyžaduje.

Klíčové výhody používání sdílených Microsoft Entra účtů

• Zjednodušené nasazení. Nastavení Microsoft Entra účtů sdílených mezi více lidmi dříve vyžadovalo ruční nastavení jednotlivých zařízení. Sdílené Microsoft Entra účty umožňují nakonfigurovat prostředí jednou a automaticky je nasadit do libovolného zařízení jako součást Autopilotu.
• Skvělé uživatelské prostředí. Uživatelé sdílených Microsoft Entra účtů nemusí zadávat žádné přihlašovací údaje, aby mohli zařízení začít používat. Klepněte a běžte!
• Přístup k Microsoft Entra prostředkům. Uživatelé sdílených účtů Microsoft Entra získají snadný přístup k Microsoft Entra prostředkům, takže můžete zahájit hovor vzdáleného pomocníka nebo otevřít průvodce bez dalšího ověřování.

Důležité

Vzhledem k tomu, že sdílené Microsoft Entra účty jsou přístupné na zařízení HoloLens bez zadávání přihlašovacích údajů, měli byste tato zařízení HoloLens fyzicky zabezpečit, aby k tomu měli přístup jenom autorizovaní pracovníci. Můžete také chtít tyto účty uzamknout použitím zásad podmíněného přístupu, zakázáním samoobslužného resetování hesla a konfigurací přiřazených přístupových profilů pro zařízení, ve kterých se tyto účty používají.

Poznámka

Vzhledem k tomu, že se jedná o sdílené účty, uživatelům, kteří tyto účty používají, se nezobrazují typické první přihlašovací obrazovky, včetně registrace PIN kódu a duhovky, oznámení o shromažďování biometrických dat a různých obrazovek souhlasu. Měli byste se ujistit, že jsou pro tyto účty nakonfigurované odpovídající výchozí hodnoty prostřednictvím zásad (viz Rychlé nastavení uživatelů na HoloLens 2) a že uživatelé o těchto výchozích nastaveních vědí.

Známá omezení sdílených Microsoft Entra účtů

• Sdílené účty Microsoft Entra nemůžou k přihlášení k aktuální verzi použít PIN kód nebo iris, a to ani v případě, že jsou zaregistrované.

Koncepční přehled sdílených Microsoft Entra účtů

Tento proces umožňuje zařízení HoloLens přidělit uživatelský účet a přihlásit se k tomuto uživatelskému účtu pomocí přihlašovacích údajů propojených se zařízením a samotným zařízením. Obrázek popisuje proces:

1. Intune má konfigurační profil SCEP pro službu SCEP.
2. Zařízení se připojí k Intune a obdrží informace o profilu.
3. Zařízení kontaktuje službu SCEP a obdrží certifikát zařízení s hlavním název uživatele (UPN) HL-{Serial}@contoso.com.
4. Zařízení se přihlásí k uživatelskému účtu corrospondingu v Id Entra a použije certifikát jako MFA, aby zajistilo bezproblémové přihlašování.

Certifikát nelze odebrat nebo exportovat ze zařízení a uživatelský účet je nakonfigurovaný bez jiné formy MFA avaialable. Tato konfigurace zajišťuje, že sdílený účet může být přihlášen pouze zařízením HoloLens.

Přehled kroků konfigurace sdílených účtů Microsoft Entra

Sdílené účty Microsoft Entra v HoloLensu se implementují jako běžné Microsoft Entra uživatelské účty, které jsou nakonfigurované pro ověřování Microsoft Entra na základě certifikátů (CBA).

Konfigurace sdílených účtů Microsoft Entra zahrnuje následující kroky:

1. (Doporučeno) Nakonfigurujte cílová zařízení tak, aby se připojila k Microsoft Entra a zaregistrovala se do Intune pomocí Autopilotu.
2. Nakonfigurujte tenanta Microsoft Entra tak, aby umožňoval Microsoft Entra CBA pro vybranou skupinu účtů.
3. Nakonfigurujte Microsoft Intune pro použití konfigurací zařízení na vybranou skupinu zařízení, která:
   1. Nasaďte klientské certifikáty používané pro Microsoft Entra CBA na zařízení prostřednictvím profilů certifikátů SCEP v Intune.
   2. Nasaďte certifikát certifikační autority , aby zařízení důvěřovala vystaviteli klientských certifikátů.
   3. Nasaďte konfiguraci sdíleného účtu s pokynem zařízení, které certifikáty jsou platné pro Microsoft Entra CBA.
4. Připraví jednotlivá zařízení na sdílené účty Microsoft Entra.

Požadavky

Podpora sdíleného účtu Microsoft Entra je dostupná od verze Insider Preview pro Microsoft HoloLens build 10.0.22621.1217.

Kromě sestavení požadovaného operačního systému v HoloLensu musíte také splnit požadavky pro Microsoft Entra CBA (Jak nakonfigurovat Microsoft Entra ověřování na základě certifikátů).

Nakonec potřebujete přístup k Microsoft Intune, abyste mohli nasadit konfigurace zařízení a klientské certifikáty. Informace o požadované infrastruktuře pro nasazení klientských certifikátů přes Intune najdete v tématu Informace o typech certifikátů podporovaných Microsoft Intune. V tomto příkladu používáme certifikáty SCEP.

Poznámka

Pro nasazení certifikátů SCEP je k dispozici několik možností, včetně Microsoft NDES a PKI. Pro HoloLens může být jednodušší použít službu Azure ke zpracování registrace certifikátů. V rámci (Azure Marketplace) je k dispozici několik možností, které umožňují izolaci konfigurací sdílených účtů HoloLens Microsft Entra od podnikové infrastruktury veřejných klíčů.

Klíčové požadavky pro službu SCEP jsou:

1. Služba může přijímat žádosti o certifikáty zařízení z Microsoft Intune.
2. Služba může generovat certifikáty s definovanými EKU (Ověřování klienta a Přihlášení pomocí čipové karty).

Důrazně doporučujeme nakonfigurovat zařízení pro Autopilot. Autopilot zjednodušuje nastavení zařízení pro koncové uživatele.

Konfigurace tenanta Microsoft Entra pro povolení Microsoft Entra CBA

Váš tenant Microsoft Entra musí být nakonfigurovaný tak, aby povoloval Microsoft Entra CBA pro vybranou skupinu uživatelů.

1. Vytvořte skupinu Microsoft Entra, která obsahuje sdílené účty Microsoft Entra. Jako příklad použijeme název SharedAccounts pro tuto skupinu.
2. Vytvořte skupinu Microsoft Entra, která obsahuje sdílená zařízení HoloLens. Jako příklad použijeme název SharedDevices pro tuto skupinu. Této skupině se později přiřadí konfigurační profily Intune založené na zařízení.
3. Povolte Microsoft Entra ověřování na základě certifikátů (CBA) pro skupinu SharedAccounts. Podrobný průvodce najdete v tématu Konfigurace ověřování Microsoft Entra pomocí certifikátů. K nastavení je potřeba provést následující základní kroky:
   1. Přidejte certifikát certifikační autority (certifikační autority) do Microsoft Entra. Microsoft Entra ID umožňuje klientským certifikátům vydaným touto certifikační autoritou provádět CBA.
   2. Povolte CBA pro skupinu SharedAccounts.
   3. Nakonfigurujte CBA tak, aby certifikát vydaný vaší certifikační autoritou používal vícefaktorové ověřování. Tento krok má zajistit, aby uživatelé měli přístup k prostředkům, které vyžadují vícefaktorové ověřování, bez nastavení dalšího faktoru.
   4. Povolte vazbu certifikátu přes UserPrincipalName.

Konfigurace Intune

Intune musí být nakonfigurovaný tak, aby nasazoval certifikáty potřebné pro Microsoft Entra CBA. Intune musí také nasadit konfiguraci, která zařízení instruuje, které certifikáty jsou platné pro Microsoft Entra CBA.

Nasazení klientského certifikátu prostřednictvím SCEP

Aby zařízení Microsoft Entra CBA prováděla, musí mít příslušný klientský certifikát. Vytvořte konfiguraci SCEP a přiřaďte ji k SharedDevices:

1. Typ certifikátu: Zařízení

2. Přidejte alternativní název subjektu hlavního názvu uživatele (UPN), kde hodnota je hlavní název uživatele (UPN) sdíleného účtu přiřazeného k zařízení. Hlavní název uživatele (UPN) musí obsahovat sériové číslo zařízení, aby bylo možné ho přidružit k zařízení. K odkazování na sériové číslo zařízení můžete použít proměnnou Intune {{Device_Serial}} . Zadejte například hodnotu, HL-{{Device_Serial}}@contoso.com pokud mají sdílené účty formát HL-123456789@contoso.comnázvu .

3. Zprostředkovatel úložiště klíčů (KSP): Vyberte Možnost Vyžadovat čip TPM, jinak selže, aby se zajistilo, že certifikát nebude možné exportovat ze zařízení a použít ho jinde.

4. Ujistěte se, že certifikát obsahuje alespoň následující rozšířené použití klíčů (EKU):

   • Přihlášení pomocí čipové karty: 1.3.6.1.4.1.311.20.2.2
   • Ověřování klienta: 1.3.6.1.5.5.7.3.2

   Do tohoto seznamu můžete přidat další EKU, abyste dále omezili certifikáty povolené pro Microsoft Entra CBA. Tyto EKU musíte přidat do xml zásady ConfigureSharedAccount.

Podrobný postup konfigurace SCEP v Intune najdete v tématu Použití profilů certifikátů SCEP s Microsoft Intune.

Nasazení certifikátu certifikační autority

Zařízení musí také důvěřovat certifikační autoritě, která vydala klientský certifikát. Vytvořte konfiguraci důvěryhodného certifikátu a přiřaďte ji ke skupině SharedDevices. Toto přiřazení nasadí certifikát certifikační autority do zařízení. Viz dokumentace: Vytvoření profilů důvěryhodných certifikátů v Microsoft Intune.

Konfigurovat zásadySharedAccount

Tato zásada říká zařízením, které certifikáty jsou platné pro Microsoft Entra CBA. Vytvořte vlastní zásadu konfigurace zařízení a přiřaďte ji k "SharedDevices":

Zásady	Typ dat
./Vendor/MSFT/Policy/Config/MixedReality/ConfigureSharedAccount	Řetězec nebo Řetězec (soubor XML)

Příklad konfigurace:

<SharedAccountConfiguration>
    <SharedAccount>
        <!--
          TODO: Replace the example value below with your issuer certificate's thumbprint.
          You may customize the restrictions for which certificates are displayed. See below.
        -->
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Omezení, pro která se budou zobrazovat certifikáty pro Microsoft Entra CBA, můžete přizpůsobit. Výše uvedený příklad vyžaduje, aby kryptografický otisk certifikátu vystavitele odpovídal zadané hodnotě. Omezení je také možné použít na základě názvu vystavitele nebo použít další omezení založená na rozšířených použitích klíčů (EKU) na certifikátu. Příklady konfigurace XML najdete v tématu ConfigureSharedAccount XML Příklady .

Před uložením této konfigurace zařízení ověřte kód XML podle schématu uvedeného v části Konfigurace schématu XML účtuSharedAccount , abyste měli jistotu, že je ve správném formátu.

Konfigurace jednotlivých zařízení

Pro každé zařízení HoloLens, které chcete nakonfigurovat pro sdílené účty Microsoft Entra, proveďte následující kroky:

1. Vytvořte uživatele Microsoft Entra ve formátu určeném v kroku 2 nasazení klientského certifikátu přes SCEP. Příklad: HL-123456789@contoso.com.
2. Přidejte uživatele do skupiny SharedAccounts.
3. Ujistěte se, že je zařízení přidané do skupiny SharedDevices. Zařízení byste měli nejprve nakonfigurovat pro Autopilot, aby už byla v Microsoft Entra.

Příklad skriptu PowerShellu, který se dá použít k automatizaci tohoto procesu, najdete v tématu Příklad instalačního skriptu zařízení .

Testování konfigurace

Po dokončení výše uvedené konfigurace můžete vyzkoušet sdílené účty Microsoft Entra na HoloLensu.

Pokud už je vaše zařízení pro Autopilot nakonfigurované, proveďte u zařízení normální tok Autopilotu. Během autopilotu se použijí potřebné konfigurace zařízení. Po dokončení toku Autopilotu se zobrazí následující obrazovka:

Klepněte na tlačítko Přihlásit se a začněte používat sdílený účet Microsoft Entra.

Poradce při potížích

Problém: Sdílený účet Microsoft Entra se nezobrazuje na přihlašovací obrazovce!

Řešení: Nejprve zkontrolujte, že zařízení přijímá správné certifikáty. Otevřete správce certifikátů (Správce certifikátů) a ujistěte se, že jsou do zařízení úspěšně nasazené certifikáty klienta i certifikáty certifikační autority.

V případě klientského certifikátu se ujistěte, že je nainstalovaný v úložišti My na místním počítači.

Pokud certifikát není k dispozici, postupujte podle kroků pro řešení potíží s profily Intune SCEP.

Pokud certifikát existuje, ujistěte se, že certifikát spadá do data platnosti a obsahuje očekávaného vystavitele a EKU:

Dále se ujistěte, že hodnota zásad XML, kterou jste použili pro MixedReality/ConfigureSharedAccount, je ve správném formátu. Můžete použít jeden z mnoha validátorů schématu XML (XSD) online ke kontrole, že váš KÓD XML odpovídá schématu popsanému v tématu Konfigurace schématu XMLsharedAccount.

Problém: Pokus o přihlášení se nezdaří!

Řešení: Podle pokynů v části Konfigurace Microsoft Entra ověřování pomocí certifikátů zkontrolujte, že jste správně nakonfigurovali CBA. Podívejte se také na nejčastější dotazy k Microsoft Entra ověřování pomocí certifikátů (CBA). Někdy může být užitečné vyzkoušet tento postup ladění nejprve na stolním zařízení s Windows: Přihlášení pomocí čipové karty Windows pomocí Microsoft Entra ověřování na základě certifikátů.

Reference

Konfigurace schématu XML účtuSharedAccount

<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <xsd:element name="SharedAccountConfiguration">
    <xsd:complexType mixed="true">
      <xsd:sequence>
        <xsd:element minOccurs="1" maxOccurs="1" name="SharedAccount">
          <xsd:complexType>
            <xsd:sequence>
              <xsd:choice>
                <xsd:element name="IssuerThumbprint">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="40" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
                <xsd:element name="IssuerName">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="512" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
              </xsd:choice>
              <xsd:element minOccurs="0" maxOccurs="1" name="EkuOidRequirements">
                <xsd:complexType>
                  <xsd:sequence>
                    <xsd:element maxOccurs="5" name="Oid">
                      <xsd:simpleType>
                        <xsd:restriction base="xsd:string">
                          <xsd:maxLength value="100" />
                        </xsd:restriction>
                      </xsd:simpleType>
                    </xsd:element>
                  </xsd:sequence>
                </xsd:complexType>
              </xsd:element>
            </xsd:sequence>
          </xsd:complexType>
        </xsd:element>
      </xsd:sequence>
    </xsd:complexType>
  </xsd:element>
</xsd:schema>

ConfigureSharedAccount XML – příklady

Vyžadovat, aby certifikát vystavitele má předmět CN=yourCA, DC=Test:

<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerName>CN=yourCA, DC=Test</IssuerName>
    </SharedAccount>
</SharedAccountConfiguration>

Vyžadovat, aby certifikát vystavitele má zadaný kryptografický otisk:

<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Vyžadovat, aby certifikát vystavitele dostal zadaný kryptografický otisk a aby klientský certifikát obsahuje EKU s identifikátory OID 1.2.3.4.5.6 a 1.2.3.4.5.7:

<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
        <EkuOidRequirements>
            <Oid>1.2.3.4.5.6</Oid>
            <Oid>1.2.3.4.5.7</Oid>
        </EkuOidRequirements>
    </SharedAccount>
</SharedAccountConfiguration>

EKU 1.3.6.1.4.1.311.20.2.2 (Přihlášení pomocí čipové karty) a 1.3.6.1.5.5.7.3.2 (Ověření klienta) jsou vždy vyžadovány bez ohledu na to, jestli jsou v tomto seznamu.

Ukázkový skript pro nastavení zařízení

Před použitím tohoto ukázkového skriptu pro nastavení zařízení byste měli změnit odkazy z "contoso" na název vaší domény.

<#
.Synopsis
Configures a device for shared account

.Description
This script configures a device for shared account.

Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.

.Example
.\ConfigureSharedDevice.ps1 400064793157
#>


param (
    [Parameter(Mandatory = $true)]
    [string]
    # Serial number of the device. Typically a 12-digit numeric string.
    $DeviceSerialNumber,
    [string]
    # Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com
    $SharedAccountGroupId,
    [string]
    # Group ID of the group that contains the shared devices
    $SharedDeviceGroupId
)

function Install-Dependencies {
    Write-Host -Foreground Cyan "Installing Dependencies..."

    if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
        Write-Host -Foreground Cyan "Installing Microsoft.Graph"
        Install-Module Microsoft.Graph -Scope CurrentUser -Repository 'PSGallery'
    }

    Write-Host -Foreground Cyan "Installing Dependencies... Done"
}

function New-PasswordString {
    $alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'
    $length = 40
    $password = ""
    for ($i = 0; $i -lt $length; $i++) {
        $password += $alphabet[(Get-Random -Minimum 0 -Maximum $alphabet.Length)]
    }

    return $password
}

function New-SharedUser {
    param (
        $UserName,
        $DisplayName
    )

    # Does user already exist?
    $searchResult = Get-MgUser -Count 1 -ConsistencyLevel eventual -Search "`"UserPrincipalName:$UserName`""

    if ($searchResult.Count -gt 0) {
        Write-Host -Foreground Cyan "$UserName exists, using existing user."
        return $searchResult
    }

    $mailNickName = $UserName.Split('@')[0];

    Write-Host -Foreground Cyan "Creating $UserName"

    $passwordProfile = @{
        Password = New-PasswordString
    }

    return New-MgUser -AccountEnabled -DisplayName $DisplayName -Country US -UsageLocation US -MailNickname $mailNickName -UserPrincipalName $UserName -PasswordProfile $passwordProfile
}

function New-SharedUserForDevice {
    param (
        $DeviceSerialNumber
    )

    $userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"
    $displayName = "Shared HoloLens"

    return New-SharedUser -UserName $userName -DisplayName $displayName
}

function Add-UserToGroup {
    param (
        $UserId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find user group"
    }

    Write-Host -Foreground Cyan "Adding user ($UserId) to group"
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $UserId
}

function Get-DeviceAADId {
    param (
        $DeviceSerialNumber
    )

    $deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq $DeviceSerialNumber }

    if ($deviceResult.Count -eq 0) {
        throw "Cannot find device with serial number $DeviceSerialNumber in Intune"
    }

    $result = ($deviceResult | Select-Object -First 1).AzureAdDeviceId

    Write-Host "Found device: $result"

    return $result
}

function Add-DeviceToGroup {
    param (
        $DeviceAADId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find device group"
    }

    $deviceResult = Get-MgDevice -Count 1 -ConsistencyLevel eventual -Search "`"DeviceId:$DeviceAADId`""
    if ($deviceResult.Count -eq 0) {
        throw "Failed to find device $DeviceAADId"
    }

    Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"
    
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $deviceResult.Id
}

function Register-SharedDevice {
    param (
        $DeviceSerialNumber
    )

    Install-Dependencies

    Connect-MgGraph -Scopes "User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"

    $deviceAADId = Get-DeviceAADId $DeviceSerialNumber
    Add-DeviceToGroup $deviceAADId $SharedDeviceGroupId

    $user = New-SharedUserForDevice $DeviceSerialNumber
    Add-UserToGroup $user.Id $SharedAccountGroupId
}

Register-SharedDevice $DeviceSerialNumber