Bereitstellen von Remote Assist mithilfe einer freigegebenen Identität über mehrere Benutzer hinweg

  • Artikel
  • Gilt für::
    HoloLens 2

Dieser Artikel enthält allgemeine Schritte zur Bereitstellung der Remotehilfe mithilfe von freigegebenen Microsoft Entra Identitäten über mehrere Benutzer hinweg. Der Leitfaden in diesem Dokument konzentriert sich auf die Bereitstellung Microsoft Entra Benutzerkonten, das Zuweisen erforderlicher Lizenzen und HoloLens 2 Gerätekonfiguration für eine freigegebene Geräteumgebung. Ausführlichere anleitungen zur szenariobasierten Bereitstellung finden Sie unter Allgemeine Bereitstellungsszenarien.

Bereitstellungsaufgaben

1. Microsoft Entra Konten

Erstellen Sie Microsoft Entra Sicherheitsgruppen und freigegebenen Microsoft Entra Benutzerkonten, die für die Anmeldung bei HoloLens 2 Geräten verwendet werden sollen.

  1. Melden Sie sich bei Microsoft Entra Admin Center als globaler Administrator Microsoft Entra an.
  2. Navigieren Sie zum Blatt Neue Gruppe Admin Center, und erstellen Sie eine Microsoft Entra ID-Sicherheitsgruppe, um die HoloLens 2 freigegebenen Benutzerkonten zu verwalten. Schritt-für-Schritt-Anweisungen finden Sie unter Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern .
  3. Navigieren Sie zum Blatt Neuer Benutzer Microsoft Entra Admin Center, und erstellen Sie neue Benutzerkonten, die von mehreren Personen freigegeben werden, um sich beim HoloLens 2 Gerät anzumelden. Es wird ein Microsoft Entra Benutzerkonto pro HoloLens 2 Gerät empfohlen. Schritt-für-Schritt-Anweisungen finden Sie unter Hinzufügen oder Löschen von Benutzern.
  4. Navigieren Sie zu Gruppen – Microsoft Entra Admin Center, wählen Sie den namen der Microsoft Entra Sicherheitsgruppe ->Mitglieder -> + Mitglieder hinzufügen aus, und fügen Sie der Sicherheitsgruppe die oben genannten Benutzerkonten hinzu. Schritt-für-Schritt-Anweisungen finden Sie unter Hinzufügen oder Entfernen von Gruppenmitgliedern.

2. Lizenzzuweisungen

Weisen Sie den Microsoft Entra Benutzerkonten erforderliche Lizenzen zu.

  1. Sie können einem Benutzer oder einer Benutzergruppe lizenzen zuweisen, die für die Verwendung von Dynamics 365 Remote Assist auf HoloLens 2 erforderlich sind. Wenn Sie einer Benutzergruppe Lizenzen zuweisen möchten, befolgen Sie die schrittweise Anleitung Zuweisen von Lizenzen zu einer Gruppe , um die folgenden Lizenzen zuzuweisen. Um einem Benutzer Lizenzen zuzuweisen, folgen Sie der schrittweisen Anleitung Zuweisen von Lizenzen zu Benutzern , um die folgenden Lizenzen zuzuweisen.

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service für Remote assist

    Weitere Informationen finden Sie unter Anforderungen für Dynamics 365 Remote Assist.

  2. Um HoloLens 2 mit Microsoft Endpoint Manager (Intune) zu verwalten, befolgen Sie die schrittweise Anleitung Zuweisen Microsoft Intune Lizenzen, um die folgenden Lizenzen zuzuweisen.

    • Microsoft Intune

  3. Um die erweiterten Funktionen der Remotehilfe wie den Zugriff auf OneDrive-Dateien, das Planen eines einmaligen Anrufs und die Integration in Dynamics 365 Außendienst nutzen zu können, müssen Sie dem HoloLens 2 Benutzerkonten weitere Lizenzen zuweisen. Weitere Informationen finden Sie unter Anforderungen für Dynamics 365 Remote Assist.

Hinweis

Weitere Informationen finden Sie unter Szenarien, Einschränkungen und bekannte Probleme bei der Verwendung von Gruppen zum Verwalten der Lizenzierung in Microsoft Entra ID.

3. Gerätekonfiguration

Um HoloLens 2 Geräte mit mehreren Personen zu teilen, die freigegebene Microsoft Entra Benutzerkonten verwenden, konfigurieren Sie folgendes, um Benutzeranmeldeinformationen zu schützen und Apps für die Verwendung durch die HoloLens 2 Benutzer einzuschränken. Befolgen Sie Einrichten Ihrer HoloLens 2, um die HoloLens 2 Geräte zum ersten Mal einzurichten, indem Sie die freigegebenen Microsoft Entra Benutzerkonten verwenden, die oben im Abschnitt Microsoft Entra Konten erstellt wurden. Verwenden Sie ein Microsoft Entra Benutzerkonto pro HoloLens 2 Gerät. Überspringen Sie während HoloLens 2 Ersteinrichtung die IRIS-Anmeldekonfiguration, und konfigurieren Sie Windows Hello PIN, um sich beim Gerät anzumelden (weitere Details finden Sie weiter unten).

Anmelde-PIN

Verwenden Sie Windows Hello PIN, um sich bei HoloLens 2 Geräten anzumelden. Geben Sie kennwörter für freigegebene Konten nicht für Endbenutzer weiter. Wenn Sie Windows Hello PIN konfigurieren, können Sie das Benutzerkontokennwort nicht für Endbenutzer freigeben, und Endbenutzer können sich bei HoloLens 2 Geräten anmelden, indem sie Windows Hello PIN verwenden, die für das Benutzerkonto auf einem bestimmten HoloLens 2 Gerät konfiguriert ist. Die konfigurierte Windows Hello PIN ist kryptografisch an das HoloLens 2 Gerät gebunden und kann nicht verwendet werden, um sich mit einem Browser auf einem PC oder einem anderen HoloLens 2 Gerät beim Benutzerkonto anzumelden.

Weitere Informationen finden Sie unter Freigeben Ihrer HoloLens für mehrere Personen.

Automatische Anmeldung

Sie können auch die AutoLogonUser-Richtlinie verwenden, um sich automatisch beim Gerät anzumelden, wobei eine Identität an dieses Gerät gebunden ist. Dadurch wird die HoloLens 2 Anmeldeerfahrung umgangen, und der Benutzer kann das Gerät abholen und sofort mit der Verwendung des Geräts beginnen. Weitere Informationen finden Sie unter Richtlinie für die automatische Anmeldung, die von CSP gesteuert wird.

Kioskmodus

Für freigegebene HoloLens 2-Geräte wird der Kioskmodus empfohlen, um zu steuern, welche Anwendungen im Startmenü angezeigt werden, wenn sich ein Benutzer bei HoloLens anmeldet. Indem Sie nur erforderliche Apps wie Remote Assist zulassen, können Sie die Anmeldung von Benutzern bei der Seite mit den Benutzerkontoeinstellungen über den Edge-Browser per SSO einschränken und auf Benutzerkontodetails auf HoloLens 2 Gerät zugreifen.

  • Wenn Sie Microsoft Endpoint Manager (Intune) zum Verwalten der Geräte verwenden

    Navigieren Sie zum Microsoft Endpoint Manager Admin Center, und erstellen Sie eine Einzelne oder mehrere App-Kioskmoduskonfigurationen in Geräte | Blatt "Konfigurationsprofile ".

  • Wenn Sie Bereitstellungspakete zum Verwalten der Geräte verwenden

    Verwenden Sie windows Configuration Designer, um Bereitstellungspakete im Kioskmodus für einzelne oder mehrere Apps zu konfigurieren und bereitzustellen. Weitere Informationen finden Sie unter Einrichten von HoloLens als Kiosk.

Windows Defender Application Control (WDAC)

Mit WDAC können Sie HoloLens so konfigurieren, dass der Start von Apps blockiert wird. Dies unterscheidet sich vom Kioskmodus, in dem die Benutzeroberfläche die Apps ausblendet, sie aber trotzdem gestartet werden können. Mit WDAC können Sie die Kachel "Apps" sehen, aber sie können nicht gestartet werden. Weitere Informationen finden Sie unter Windows Defender Application Control (WDAC).

Einschränkungen

Die Verwendung freigegebener Microsoft Entra Kontos hat die folgenden Einschränkungen (einschließlich, aber nicht beschränkt auf):

  1. Identität: Benutzer können IRIS nicht verwenden, um sich auf dem HoloLens 2-Gerät anzumelden und können nicht auf ihre Geschäftskontoinhalte in Microsoft 365 zugreifen.
  2. Anrufer-ID/Kontakte : Der Zugriff auf die persönliche Kontaktliste eines Benutzers/ die zuletzt aufgerufenen Kontakte ist nicht möglich, und die Anrufer-ID zeigt den Namen des freigegebenen Kontos anstelle des Benutzernamens an.
  3. User-Based Workflows: Es ist nicht möglich, die erweiterten Integrationen mit dem Felddienst zu verwenden, da der Benutzer, dem Arbeitselemente zugewiesen werden, nicht der Bei remote assist angemeldete Benutzer ist.
  4. PIN-Freigabe: Da die IRIS-Anmeldung nicht möglich ist, muss Windows Hello PIN-Nummer zwischen den Benutzern freigegeben werden.

Probleme

Die Verwendung von freigegebenen Microsoft Entra Kontos stellt die folgenden Probleme dar, die behoben werden müssen (einschließlich, aber nicht beschränkt auf):

  1. Fehlende Verantwortlichkeit: Mit einem freigegebenen Konto gibt es keine Möglichkeit zu beweisen, wer das Gerät verwendet hat und was mit dem Gerät gemacht wurde.
  2. Fehlende Überwachung: Überwachungsdatensätze sind unvollständig, und im Falle eines Incidents kann es unmöglich sein, den Benutzer zu identifizieren.
  3. Es fehlt an individueller Nachverfolgung/Analyse.
  4. Berechtigungen: Erweiterte Berechtigungen können nicht auf der Basis eines freigegebenen Kontos ausgeführt werden.
  5. MFA-Besitz: Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) sollte im Besitz einer zentralen Autorität für freigegebene Konten sein.
  6. PIN-Zurücksetzung: Wenn die PIN zurückgesetzt werden muss und wissen, wer die MFA auf den Geräten besitzt, ist eine Herausforderung.

Überlegungen

Sie müssen die folgenden Microsoft Entra-Einstellungen (einschließlich, aber nicht beschränkt auf) überprüfen und ändern, wenn Sie freigegebene Microsoft Entra Benutzerkonten verwenden möchten. Beim Aktivieren und Deaktivieren der folgenden Microsoft Entra-Einstellungen sollte mit äußerster Sorgfalt sichergestellt werden, dass das Ändern dieser Einstellungen keine Probleme mit vorhandenen und neuen Benutzerkonten verursacht.

  1. Überprüfen der Zugriffseinstellung des Administratorportals in Benutzer | Blatt "Benutzereinstellungen" .
  2. Überprüfen der Einstellung "App-Registrierungen" in "Benutzer" | Blatt "Benutzereinstellungen" .
  3. Überprüfen der Verbindungseinstellung "Verknüpftes Konto" in "Benutzer" | Blatt "Benutzereinstellungen" .
  4. Überprüfen der Einstellung "Benutzerfeatures" in "Benutzer" | Blatt "Benutzerfeatures ".
  5. Überprüfen Sie die Einstellung für die Self-Service-Kennwortzurücksetzung in der Kennwortzurücksetzung | Blatt "Eigenschaften ".
  6. Überprüfen Sie die Einstellung Geräte an Microsoft Entra hinzufügen in Geräte | Blatt "Geräteeinstellungen".
  7. Überprüfen der Enterprise State Roaming-Einstellung in Geräten | Blatt "Enterprise State Roaming ".

Warnung

Freigegebene Kontokennwörter nicht für Endbenutzer freigeben. Endbenutzer sollten immer Microsoft Entra Kontonamen und zugeordnete Windows Hello PIN oder die Funktion für die automatische Anmeldung verwenden, um sich bei HoloLens 2 Geräten in einer freigegebenen Umgebung anzumelden.