Freigeben über

Bereitstellen von Remote Assist mithilfe einer freigegebenen Identität für mehrere Benutzer

  • Artikel
  • Gilt für::
    HoloLens 2

Dieser Artikel enthält allgemeine Schritte zur Bereitstellung von Remote Assist mithilfe der gemeinsamen Microsoft Entra-Identität für mehrere Benutzer. Der Leitfaden in diesem Dokument konzentriert sich auf die Bereitstellung von Microsoft Entra-Benutzerkonten, das Zuweisen erforderlicher Lizenzen und die HoloLens 2-Gerätekonfiguration für eine freigegebene Geräteumgebung. Ausführlichere szenariobasierte Bereitstellungsanleitungen finden Sie unter allgemeinen Bereitstellungsszenarien.

Wichtig

In diesem Artikel wird ein Prozess zum manuellen Einrichten freigegebener Microsoft Entra-Konten für jedes Gerät beschrieben. Wir haben seitdem einen verbesserten Prozess eingeführt, der wesentlich einfacher bereitgestellt werden kann, erfordert keine manuelle Einrichtung für jedes Gerät und entfernt die Notwendigkeit, PIN und MFA zu verwalten. Informationen zum verbesserten Prozess finden Sie unter Freigegebenen Microsoft Entra-Konten in HoloLens. Der Prozess in diesem Artikel wird für kleine Bereitstellungen (weniger als 10 Geräte) ohne die für den verbesserten Prozess erforderliche Infrastruktur beibehalten.

Bereitstellungsaufgaben

1. Microsoft Entra-Konten

Erstellen Sie Microsoft Entra-Sicherheitsgruppen und freigegebene Microsoft Entra-Benutzerkonten, die für die Anmeldung bei HoloLens 2-Geräten verwendet werden sollen.

  1. Melden Sie sich bei Microsoft Entra Admin Center als Gruppenadministrator und Benutzeradministrator an.
  2. Navigieren Sie zu New Group Admin Center, und erstellen Sie eine Microsoft Entra ID Security Group, um die freigegebenen HoloLens 2-Benutzerkonten zu verwalten. Schrittweise Anleitungen finden Sie unter Erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern.
  3. Navigieren Sie zu Neuen Benutzer – Microsoft Entra Admin Center, und erstellen Sie neue Benutzerkonten, die von mehreren Personen freigegeben wurden, um sich beim HoloLens 2-Gerät anzumelden. Ein Microsoft Entra-Benutzerkonto pro HoloLens 2-Gerät wird empfohlen. Schrittweise Anleitungen finden Sie unter Hinzufügen oder Löschen von Benutzern.
  4. Navigieren Sie zu Gruppen – Microsoft Entra Admin Center, wählen Sie den namen der Microsoft Entra-Sicherheitsgruppe aus –>Mitglieder –> + Mitglieder hinzufügen und die oben genannten Benutzerkonten zur Sicherheitsgruppe hinzufügen. Schrittweise Anleitungen finden Sie unter Hinzufügen oder Entfernen von Gruppenmitgliedern.

2. Lizenzzuweisungen

Weisen Sie den Microsoft Entra-Benutzerkonten erforderliche Lizenzen zu.

  1. Sie können lizenzen zuweisen, die erforderlich sind, um Dynamics 365 Remote Assist auf HoloLens 2 einem Benutzer oder einer Benutzergruppe zu verwenden. Um einer Benutzergruppe Lizenzen zuzuweisen, befolgen Sie Zuweisen von Lizenzen zu einer Gruppe schrittweise Anleitung zum Zuweisen der folgenden Lizenzen. Wenn Sie einem Benutzer Lizenzen zuweisen möchten, folgen Sie Zuweisen von Lizenzen zu Benutzern schrittweise Anleitung zum Zuweisen der folgenden Lizenzen.

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service for Remote Assist

    Weitere Informationen finden Sie unter Anforderungen für Dynamics 365 Remote Assist.

  2. Um HoloLens 2 mit Microsoft Endpoint Manager (Intune) zu verwalten, folgen Sie Zuweisen von Microsoft Intune-Lizenzen schrittweise Anleitung zum Zuweisen der folgenden Lizenzen.

    • Microsoft Intune

  3. Um erweiterte Funktionen von Remote Assist zu verwenden, z. B. den Zugriff auf OneDrive-Dateien, das Planen eines einmaligen Anrufs und die Integration in Dynamics 365 Field Service, müssen Sie den HoloLens 2-Benutzerkonten weitere Lizenzen zuweisen. Weitere Informationen finden Sie unter Anforderungen für Dynamics 365 Remote Assist.

Anmerkung

Weitere Informationen finden Sie unter Szenarien, Einschränkungen und bekannten Problemen mithilfe von Gruppen zum Verwalten der Lizenzierung in Microsoft Entra ID.

3. Gerätekonfiguration

Um HoloLens 2-Geräte für mehrere Personen freizugeben, die freigegebene Microsoft Entra-Benutzerkonten verwenden, konfigurieren Sie Folgendes, um Benutzeranmeldeinformationen zu sichern und Apps einzuschränken, die von den HoloLens 2-Benutzern verwendet werden. Folgen Sie Richten Sie Ihre HoloLens 2- ein, um die HoloLens 2-Geräte zum ersten Mal einzurichten, indem Sie die freigegebenen Microsoft Entra-Benutzerkonten verwenden, die im vorherigen Abschnitt "Microsoft Entra-Konten" erstellt wurden. Verwenden Sie ein Microsoft Entra-Benutzerkonto pro HoloLens 2-Gerät. Überspringen Sie während der ersteinrichtung von HoloLens 2 die Irisauthentifizierung, und konfigurieren Sie die Windows Hello-PIN, um sich beim Gerät anzumelden.

Anmelde-PIN

Verwenden Sie die Windows Hello-PIN, um sich bei HoloLens 2-Geräten anzumelden. Geben Sie keine Kennwörter für freigegebene Konten für Endbenutzer frei. Durch das Konfigurieren der Windows Hello-PIN können Sie das Benutzerkontokennwort nicht für Endbenutzer freigeben und Endbenutzern die Anmeldung bei HoloLens 2-Geräten mithilfe der Windows Hello-PIN ermöglichen, die für das Benutzerkonto auf einem bestimmten HoloLens 2-Gerät konfiguriert ist. Die konfigurierte Windows Hello-PIN ist kryptografisch an das HoloLens 2-Gerät gebunden und kann nicht auf einem anderen Gerät verwendet werden.

Weitere Informationen finden Sie unter Freigeben Ihrer HoloLens für mehrere Personen.

Automatische Anmeldung

Sie können die AutoLogonUser-Richtlinie auch verwenden, um sich automatisch mit einer Identität anzumelden, die an dieses Gerät gebunden ist. Dadurch wird die HoloLens 2-Anmeldeumgebung umgangen, und der Benutzer kann das Gerät abholen und sofort mit der Verwendung des Geräts beginnen. Weitere Informationen finden Sie unter richtlinie für die automatische Anmeldung, die von CSP-gesteuert wird.

Kioskmodus

Für freigegebene HoloLens 2-Geräte wird der Kioskmodus empfohlen, zu steuern, welche Anwendungen im Startmenü angezeigt werden, wenn sich ein Benutzer bei HoloLens anmeldet. Indem Sie nur erforderliche Apps wie Remote Assist zulassen, können Sie benutzer einschränken, die sich mit dem Microsoft Edge-Browser über den Microsoft Edge-Browser anmelden und auf Details zu Benutzerkonten innerhalb von HoloLens 2 zugreifen.

  • Wenn Sie Microsoft Endpoint Manager (Intune) zum Verwalten der Geräte

    Navigieren Sie zu Microsoft Endpoint Manager Admin Center, und erstellen Sie eine Konfiguration für den Kioskmodus mit einer App oder mehreren Apps in -Geräten | Konfigurationsprofile.

  • Wenn Sie Bereitstellungspakete zum Verwalten der Geräte

    Verwenden Sie Den Windows-Konfigurations-Designer, um Bereitstellungspakete für den einzelnen oder mehrere App-Kioskmodus zu konfigurieren und bereitzustellen. Weitere Informationen finden Sie unter Einrichten von HoloLens als Kiosk-.

Windows Defender-Anwendungssteuerung (WDAC)

Mit WDAC können Sie HoloLens so konfigurieren, dass das Starten von Apps blockiert wird. Es unterscheidet sich vom Kioskmodus, in dem die Benutzeroberfläche die Apps ausblendet, aber sie können trotzdem gestartet werden. Mit WDAC können Sie die Kachel der Apps sehen, aber sie können nicht gestartet werden. Weitere Informationen finden Sie unter Windows Defender Application Control (WDAC).

Begrenzungen

Die Verwendung eines freigegebenen Microsoft Entra-Kontos hat die folgenden Einschränkungen (einschließlich, aber nicht beschränkt auf):

  1. Identität – Benutzer können die Irisauthentifizierung nicht verwenden, um sich auf dem HoloLens 2-Gerät anzumelden und können nicht auf ihre geschäftskontobezogenen Inhalte in Microsoft 365 zugreifen.
  2. Anrufer-ID /Kontakte – Zugriff auf die persönliche Kontaktliste eines Benutzers/ zuletzt genannte Kontakte ist nicht möglich, und die Anrufer-ID zeigt den Namen des freigegebenen Kontos anstelle des Benutzernamens an.
  3. User-Based Workflows – Es ist nicht möglich, die erweiterten Integrationen mit Felddienst zu verwenden, da der Benutzer Arbeitsaufgaben zugewiesen hat, nicht der Benutzer bei Remote Assist angemeldet ist.
  4. PIN-Freigabe – Da die Irisauthentifizierung nicht möglich ist, muss die Windows Hello-PIN-Nummer für die Benutzer freigegeben werden.

Probleme

Die Verwendung des freigegebenen Microsoft Entra-Kontos stellt die folgenden Probleme dar, die behoben werden müssen (einschließlich, aber nicht beschränkt auf):

  1. Fehlende Verantwortlichkeit – Mit einem freigegebenen Konto gibt es keine Möglichkeit, zu beweisen, wer das Gerät verwendet hat und was mit dem Gerät getan wurde.
  2. Fehlende Überwachung – Überwachungsdatensätze sind unvollständig, und im Falle eines Vorfalls kann es unmöglich sein, den Benutzer zu identifizieren.
  3. Es fehlt an individueller Nachverfolgung /Analyse.
  4. Berechtigungen – Erweiterte Berechtigungen können nicht auf einer freigegebenen Kontobasis ausgeführt werden.
  5. MFA-Besitz – mehrstufige Authentifizierung (MFA) sollte einer zentralen Behörde für freigegebene Konten gehören.
  6. ZURÜCKSETZEN der PIN – Wenn die PIN zurückgesetzt werden muss und wissen muss, wer die MFA auf den Geräten besitzt, ist eine Herausforderung.

Betrachtungen

Sie müssen die folgenden Microsoft Entra-Einstellungen (einschließlich, aber nicht beschränkt auf) überprüfen und vornehmen, wenn Sie freigegebene Microsoft Entra-Benutzerkonten verwenden möchten. Wenn Sie die folgenden Microsoft Entra-Einstellungen aktivieren und deaktivieren, sollten Sie unbedingt sicherstellen, dass das Ändern dieser Einstellungen keine Probleme für vorhandene und neue Benutzerkonten verursacht.

  1. Zugriffseinstellung des Administratorportals in Benutzern überprüfen | Benutzereinstellungen.
  2. Überprüfen der Einstellung "App-Registrierungen" in Benutzern | Benutzereinstellungen.
  3. Einstellungen für verknüpfte Kontoverbindungen in Benutzern überprüfen | Benutzereinstellungen.
  4. Überprüfen der Einstellung von Benutzerfeatures in Benutzer | Benutzerfeatures.
  5. Überprüfen der Einstellung für die Self-Service-Kennwortzurücksetzung in Kennwortzurücksetzung | Eigenschaften.
  6. Überprüfen der Einstellung "Geräte mit Microsoft Entra verbinden" in -Geräten | Geräteeinstellungen.
  7. Überprüfen der Enterprise State Roaming-Einstellung in Geräten | Enterprise State Roaming.

Warnung

Geben Sie keine Kennwörter für freigegebene Konten für Endbenutzer frei. Endbenutzer sollten immer den Namen des Microsoft Entra-Kontos und die zugehörige Windows Hello-PIN verwenden oder die automatische Anmeldung bei HoloLens 2-Geräten in einer freigegebenen Umgebung verwenden.