Sdílené účty Microsoft Entra (dříve Azure Active Directory) na HoloLensu jsou běžnými Microsoft Entra uživatelskými účty, které se můžou k HoloLensu přihlašovat bez nutnosti jakýchkoli přihlašovacích údajů. Toto nastavení je ideální pro scénáře, ve kterých platí následující podmínky:
Více lidí sdílí stejnou sadu zařízení HoloLens
Vyžaduje se přístup k Microsoft Entra prostředkům, jako je obsah Dynamics 365 Guides.
Sledování, kdo zařízení použil, se nevyžaduje.
Klíčové výhody používání sdílených Microsoft Entra účtů
Zjednodušené nasazení. Nastavení Microsoft Entra účtů sdílených mezi více lidmi dříve vyžadovalo ruční nastavení jednotlivých zařízení. Sdílené Microsoft Entra účty umožňují nakonfigurovat prostředí jednou a automaticky je nasadit do libovolného zařízení jako součást Autopilotu.
Skvělé uživatelské prostředí. Uživatelé sdílených Microsoft Entra účtů nemusí zadávat žádné přihlašovací údaje, aby mohli zařízení začít používat. Klepněte a běžte!
Přístup k Microsoft Entra prostředkům. Uživatelé sdílených účtů Microsoft Entra získají snadný přístup k Microsoft Entra prostředkům, takže můžete zahájit hovor vzdáleného pomocníka nebo otevřít průvodce bez dalšího ověřování.
Důležité
Vzhledem k tomu, že sdílené Microsoft Entra účty jsou přístupné na zařízení HoloLens bez zadávání přihlašovacích údajů, měli byste tato zařízení HoloLens fyzicky zabezpečit, aby k tomu měli přístup jenom autorizovaní pracovníci. Můžete také chtít tyto účty uzamknout použitím zásad podmíněného přístupu, zakázáním samoobslužného resetování hesla a konfigurací přiřazených přístupových profilů pro zařízení, ve kterých se tyto účty používají.
Poznámka
Vzhledem k tomu, že se jedná o sdílené účty, uživatelům, kteří tyto účty používají, se nezobrazují typické první přihlašovací obrazovky, včetně registrace PIN kódu a duhovky, oznámení o shromažďování biometrických dat a různých obrazovek souhlasu. Měli byste se ujistit, že jsou pro tyto účty nakonfigurované odpovídající výchozí hodnoty prostřednictvím zásad (viz Rychlé nastavení uživatelů na HoloLens 2) a že uživatelé o těchto výchozích nastaveních vědí.
Známá omezení sdílených Microsoft Entra účtů
Sdílené účty Microsoft Entra nemůžou k přihlášení k aktuální verzi použít PIN kód nebo iris, a to ani v případě, že jsou zaregistrované.
Koncepční přehled sdílených Microsoft Entra účtů
Tento proces umožňuje zařízení HoloLens přidělit uživatelský účet a přihlásit se k tomuto uživatelskému účtu pomocí přihlašovacích údajů propojených se zařízením a samotným zařízením. Obrázek popisuje proces:
Intune má konfigurační profil SCEP pro službu SCEP.
Zařízení se připojí k Intune a obdrží informace o profilu.
Zařízení kontaktuje službu SCEP a obdrží certifikát zařízení s hlavním název uživatele (UPN) HL-{Serial}@contoso.com.
Zařízení se přihlásí k uživatelskému účtu corrospondingu v Id Entra a použije certifikát jako MFA, aby zajistilo bezproblémové přihlašování.
Certifikát nelze odebrat nebo exportovat ze zařízení a uživatelský účet je nakonfigurovaný bez jiné formy MFA avaialable. Tato konfigurace zajišťuje, že sdílený účet může být přihlášen pouze zařízením HoloLens.
Přehled kroků konfigurace sdílených účtů Microsoft Entra
Nakonec potřebujete přístup k Microsoft Intune, abyste mohli nasadit konfigurace zařízení a klientské certifikáty. Informace o požadované infrastruktuře pro nasazení klientských certifikátů přes Intune najdete v tématu Informace o typech certifikátů podporovaných Microsoft Intune. V tomto příkladu používáme certifikáty SCEP.
Poznámka
Pro nasazení certifikátů SCEP je k dispozici několik možností, včetně Microsoft NDES a PKI. Pro HoloLens může být jednodušší použít službu Azure ke zpracování registrace certifikátů. V rámci (Azure Marketplace) je k dispozici několik možností, které umožňují izolaci konfigurací sdílených účtů HoloLens Microsft Entra od podnikové infrastruktury veřejných klíčů.
Klíčové požadavky pro službu SCEP jsou:
Služba může přijímat žádosti o certifikáty zařízení z Microsoft Intune.
Služba může generovat certifikáty s definovanými EKU (Ověřování klienta a Přihlášení pomocí čipové karty).
Důrazně doporučujeme nakonfigurovat zařízení pro Autopilot. Autopilot zjednodušuje nastavení zařízení pro koncové uživatele.
Konfigurace tenanta Microsoft Entra pro povolení Microsoft Entra CBA
Váš tenant Microsoft Entra musí být nakonfigurovaný tak, aby povoloval Microsoft Entra CBA pro vybranou skupinu uživatelů.
Vytvořte skupinu Microsoft Entra, která obsahuje sdílené účty Microsoft Entra. Jako příklad použijeme název SharedAccounts pro tuto skupinu.
Vytvořte skupinu Microsoft Entra, která obsahuje sdílená zařízení HoloLens. Jako příklad použijeme název SharedDevices pro tuto skupinu. Této skupině se později přiřadí konfigurační profily Intune založené na zařízení.
Povolte Microsoft Entra ověřování na základě certifikátů (CBA) pro skupinu SharedAccounts. Podrobný průvodce najdete v tématu Konfigurace ověřování Microsoft Entra pomocí certifikátů. K nastavení je potřeba provést následující základní kroky:
Přidejte certifikát certifikační autority (certifikační autority) do Microsoft Entra. Microsoft Entra ID umožňuje klientským certifikátům vydaným touto certifikační autoritou provádět CBA.
Povolte CBA pro skupinu SharedAccounts.
Nakonfigurujte CBA tak, aby certifikát vydaný vaší certifikační autoritou používal vícefaktorové ověřování. Tento krok má zajistit, aby uživatelé měli přístup k prostředkům, které vyžadují vícefaktorové ověřování, bez nastavení dalšího faktoru.
Povolte vazbu certifikátu přes UserPrincipalName.
Konfigurace Intune
Intune musí být nakonfigurovaný tak, aby nasazoval certifikáty potřebné pro Microsoft Entra CBA. Intune musí také nasadit konfiguraci, která zařízení instruuje, které certifikáty jsou platné pro Microsoft Entra CBA.
Nasazení klientského certifikátu prostřednictvím SCEP
Aby zařízení Microsoft Entra CBA prováděla, musí mít příslušný klientský certifikát. Vytvořte konfiguraci SCEP a přiřaďte ji k SharedDevices:
Typ certifikátu: Zařízení
Přidejte alternativní název subjektu hlavního názvu uživatele (UPN), kde hodnota je hlavní název uživatele (UPN) sdíleného účtu přiřazeného k zařízení. Hlavní název uživatele (UPN) musí obsahovat sériové číslo zařízení, aby bylo možné ho přidružit k zařízení. K odkazování na sériové číslo zařízení můžete použít proměnnou Intune {{Device_Serial}} . Zadejte například hodnotu, HL-{{Device_Serial}}@contoso.com pokud mají sdílené účty formát HL-123456789@contoso.comnázvu .
Zprostředkovatel úložiště klíčů (KSP): Vyberte Možnost Vyžadovat čip TPM, jinak selže, aby se zajistilo, že certifikát nebude možné exportovat ze zařízení a použít ho jinde.
Ujistěte se, že certifikát obsahuje alespoň následující rozšířené použití klíčů (EKU):
Přihlášení pomocí čipové karty: 1.3.6.1.4.1.311.20.2.2
Ověřování klienta: 1.3.6.1.5.5.7.3.2
Do tohoto seznamu můžete přidat další EKU, abyste dále omezili certifikáty povolené pro Microsoft Entra CBA. Tyto EKU musíte přidat do xml zásady ConfigureSharedAccount.
Zařízení musí také důvěřovat certifikační autoritě, která vydala klientský certifikát. Vytvořte konfiguraci důvěryhodného certifikátu a přiřaďte ji ke skupině SharedDevices. Toto přiřazení nasadí certifikát certifikační autority do zařízení. Viz dokumentace: Vytvoření profilů důvěryhodných certifikátů v Microsoft Intune.
Konfigurovat zásadySharedAccount
Tato zásada říká zařízením, které certifikáty jsou platné pro Microsoft Entra CBA. Vytvořte vlastní zásadu konfigurace zařízení a přiřaďte ji k "SharedDevices":
<SharedAccountConfiguration><SharedAccount><!--
TODO: Replace the example value below with your issuer certificate's thumbprint.
You may customize the restrictions for which certificates are displayed. See below.
--><IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint></SharedAccount></SharedAccountConfiguration>
Omezení, pro která se budou zobrazovat certifikáty pro Microsoft Entra CBA, můžete přizpůsobit. Výše uvedený příklad vyžaduje, aby kryptografický otisk certifikátu vystavitele odpovídal zadané hodnotě. Omezení je také možné použít na základě názvu vystavitele nebo použít další omezení založená na rozšířených použitích klíčů (EKU) na certifikátu. Příklady konfigurace XML najdete v tématu ConfigureSharedAccount XML Příklady .
Po dokončení výše uvedené konfigurace můžete vyzkoušet sdílené účty Microsoft Entra na HoloLensu.
Pokud už je vaše zařízení pro Autopilot nakonfigurované, proveďte u zařízení normální tok Autopilotu. Během autopilotu se použijí potřebné konfigurace zařízení. Po dokončení toku Autopilotu se zobrazí následující obrazovka:
Klepněte na tlačítko Přihlásit se a začněte používat sdílený účet Microsoft Entra.
Poradce při potížích
Problém: Sdílený účet Microsoft Entra se nezobrazuje na přihlašovací obrazovce!
Řešení: Nejprve zkontrolujte, že zařízení přijímá správné certifikáty. Otevřete správce certifikátů (Správce certifikátů) a ujistěte se, že jsou do zařízení úspěšně nasazené certifikáty klienta i certifikáty certifikační autority.
V případě klientského certifikátu se ujistěte, že je nainstalovaný v úložišti My na místním počítači.
Pokud certifikát existuje, ujistěte se, že certifikát spadá do data platnosti a obsahuje očekávaného vystavitele a EKU:
Dále se ujistěte, že hodnota zásad XML, kterou jste použili pro MixedReality/ConfigureSharedAccount, je ve správném formátu. Můžete použít jeden z mnoha validátorů schématu XML (XSD) online ke kontrole, že váš KÓD XML odpovídá schématu popsanému v tématu Konfigurace schématu XMLsharedAccount.
Vyžadovat, aby certifikát vystavitele dostal zadaný kryptografický otisk a aby klientský certifikát obsahuje EKU s identifikátory OID 1.2.3.4.5.6 a 1.2.3.4.5.7:
EKU 1.3.6.1.4.1.311.20.2.2 (Přihlášení pomocí čipové karty) a 1.3.6.1.5.5.7.3.2 (Ověření klienta) jsou vždy vyžadovány bez ohledu na to, jestli jsou v tomto seznamu.
Ukázkový skript pro nastavení zařízení
Před použitím tohoto ukázkového skriptu pro nastavení zařízení byste měli změnit odkazy z "contoso" na název vaší domény.
PowerShell
<#
.Synopsis
Configures a device for shared account
.Description
This script configures a device for shared account.
Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.
.Example
.\ConfigureSharedDevice.ps1 400064793157
#>param (
[Parameter(Mandatory = $true)]
[string]
# Serial number of the device. Typically a 12-digit numeric string.$DeviceSerialNumber,
[string]
# Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com$SharedAccountGroupId,
[string]
# Group ID of the group that contains the shared devices$SharedDeviceGroupId
)
functionInstall-Dependencies {
Write-Host -Foreground Cyan "Installing Dependencies..."if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
Write-Host -Foreground Cyan "Installing Microsoft.Graph"Install-Module Microsoft.Graph -Scope CurrentUser -Repository'PSGallery'
}
Write-Host -Foreground Cyan "Installing Dependencies... Done"
}
functionNew-PasswordString {
$alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'$length = 40$password = ""for ($i = 0; $i -lt$length; $i++) {
$password += $alphabet[(Get-Random -Minimum0 -Maximum$alphabet.Length)]
}
return$password
}
functionNew-SharedUser {
param (
$UserName,
$DisplayName
)
# Does user already exist?$searchResult = Get-MgUser -Count1 -ConsistencyLevel eventual -Search"`"UserPrincipalName:$UserName`""if ($searchResult.Count -gt0) {
Write-Host -Foreground Cyan "$UserName exists, using existing user."return$searchResult
}
$mailNickName = $UserName.Split('@')[0];
Write-Host -Foreground Cyan "Creating $UserName"$passwordProfile = @{
Password = New-PasswordString
}
returnNew-MgUser -AccountEnabled -DisplayName$DisplayName -Country US -UsageLocation US -MailNickname$mailNickName -UserPrincipalName$UserName -PasswordProfile$passwordProfile
}
functionNew-SharedUserForDevice {
param (
$DeviceSerialNumber
)
$userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"$displayName = "Shared HoloLens"returnNew-SharedUser -UserName$userName -DisplayName$displayName
}
functionAdd-UserToGroup {
param (
$UserId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find user group"
}
Write-Host -Foreground Cyan "Adding user ($UserId) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$UserId
}
functionGet-DeviceAADId {
param (
$DeviceSerialNumber
)
$deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq$DeviceSerialNumber }
if ($deviceResult.Count -eq0) {
throw"Cannot find device with serial number $DeviceSerialNumber in Intune"
}
$result = ($deviceResult | Select-Object -First1).AzureAdDeviceId
Write-Host"Found device: $result"return$result
}
functionAdd-DeviceToGroup {
param (
$DeviceAADId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find device group"
}
$deviceResult = Get-MgDevice -Count1 -ConsistencyLevel eventual -Search"`"DeviceId:$DeviceAADId`""if ($deviceResult.Count -eq0) {
throw"Failed to find device $DeviceAADId"
}
Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$deviceResult.Id
}
functionRegister-SharedDevice {
param (
$DeviceSerialNumber
)
Install-DependenciesConnect-MgGraph -Scopes"User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"$deviceAADId = Get-DeviceAADId$DeviceSerialNumberAdd-DeviceToGroup$deviceAADId$SharedDeviceGroupId$user = New-SharedUserForDevice$DeviceSerialNumberAdd-UserToGroup$user.Id $SharedAccountGroupId
}
Register-SharedDevice$DeviceSerialNumber
Zjistěte, jak Microsoft Entra Externí ID poskytovat zabezpečené a bezproblémové přihlašování pro vaše zákazníky a firemní zákazníky. Prozkoumejte vytváření tenanta, registraci aplikace, přizpůsobení toku a zabezpečení účtu.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.