Compartir a través de

Implementación de Remote Assist mediante una identidad compartida entre varios usuarios

  • Artículo
  • Se aplica a:
    HoloLens 2

Este artículo contiene los pasos de alto nivel implicados en la implementación de Remote Assist mediante la identidad compartida de Microsoft Entra en varios usuarios. La guía proporcionada en este documento se centra en el aprovisionamiento de cuentas de usuario de Microsoft Entra, la asignación de licencias necesarias y la configuración de dispositivos HoloLens 2 para un entorno de dispositivo compartido. Para obtener instrucciones de implementación basadas en escenarios más detalladas, consulte Escenarios de implementación comunes.

Importante

En este artículo se describe un proceso para configurar manualmente cuentas compartidas de Microsoft Entra para cada dispositivo. Desde que hemos introducido un proceso mejorado que es mucho más fácil de implementar a escala, no requiere configuración manual para cada dispositivo y elimina la necesidad de administrar PIN y MFA. Para obtener el proceso mejorado, consulte cuentas de Microsoft Entra compartidas en HoloLens. El proceso de este artículo se conserva para implementaciones pequeñas (menos de 10 dispositivos) sin la infraestructura necesaria para el proceso mejorado.

Tareas de implementación

1. Cuentas de Microsoft Entra

Cree grupos de seguridad de Microsoft Entra y cuentas de usuario compartidas de Microsoft Entra que se usarán para iniciar sesión en dispositivos HoloLens 2.

  1. Inicie sesión en Centro de administración de Microsoft Entra como mínimo un administrador de grupos y un administrador de usuarios.
  2. Vaya a nuevo centro de administración de grupos y cree un identificador de Microsoft Entra Grupo de seguridad para administrar las cuentas de usuario compartidas de HoloLens 2. Consulte Crear un grupo básico y agregar miembros para obtener instrucciones paso a paso.
  3. Vaya a Nuevo usuario: centro de administración de Microsoft Entra y cree nuevas cuentas de usuario compartidas por varias personas para iniciar sesión en el dispositivo HoloLens 2. Se recomienda una cuenta de usuario de Microsoft Entra por dispositivo HoloLens 2. Para obtener instrucciones paso a paso, consulte Agregar o eliminar usuarios.
  4. Vaya a Grupos: Centro de administración de Microsoft Entra, seleccione el nombre del grupo de seguridad de Microsoft Entra ->Miembros -> + Agregar miembros y agregue las cuentas de usuario anteriores al grupo de seguridad. Para obtener instrucciones paso a paso, consulte Agregar o quitar miembros del grupo.

2. Asignaciones de licencias

Asigne licencias necesarias a las cuentas de usuario de Microsoft Entra.

  1. Puede asignar licencias necesarias para usar Dynamics 365 Remote Assist en HoloLens 2 a un usuario o grupo de usuarios. Para asignar licencias a un grupo de usuarios, siga Asignar licencias a un grupo guía paso a paso para asignar las siguientes licencias. Para asignar licencias a un usuario, siga Asignar licencias a los usuarios guía paso a paso para asignar las siguientes licencias.

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service for Remote Assist

    Para obtener más información, consulte Requirements for Dynamics 365 Remote Assist.

  2. Para administrar HoloLens 2 con Microsoft Endpoint Manager (Intune), siga Asignación de licencias de Microsoft Intune guía paso a paso para asignar las siguientes licencias.

    • Microsoft Intune

  3. Para usar funcionalidades avanzadas de Remote Assist, como el acceso a archivos de OneDrive, la programación de llamadas únicas y la integración con Dynamics 365 Field Service, debe asignar otras licencias a las cuentas de usuario de HoloLens 2. Para obtener más información, consulte Requirements for Dynamics 365 Remote Assist.

Nota

Para obtener más información, consulte escenarios, limitaciones y problemas conocidos de con grupos para administrar licencias en microsoft Entra ID.

3. Configuración del dispositivo

Para compartir dispositivos HoloLens 2 con varias personas que usan cuentas de usuario compartidas de Microsoft Entra, configure lo siguiente para proteger las credenciales de usuario y restringir las aplicaciones que usen los usuarios de HoloLens 2. Siga Configurar el holoLens 2 para configurar los dispositivos HoloLens 2 por primera vez, con las cuentas de usuario compartidas de Microsoft Entra creadas en la sección anterior "Cuentas de Microsoft Entra". Use una cuenta de usuario de Microsoft Entra por dispositivo HoloLens 2. Durante la configuración inicial de HoloLens 2, omita la inscripción de autenticación iris y configure el PIN de Windows Hello para iniciar sesión en el dispositivo.

PIN de inicio de sesión

Use el PIN de Windows Hello para iniciar sesión en dispositivos HoloLens 2. No comparta contraseñas de cuenta compartida con usuarios finales. La configuración del PIN de Windows Hello permite no compartir la contraseña de la cuenta de usuario con los usuarios finales y permite a los usuarios finales iniciar sesión en dispositivos HoloLens 2 mediante el PIN de Windows Hello configurado para la cuenta de usuario en un dispositivo HoloLens 2 específico. El PIN de Windows Hello configurado está vinculado criptográficamente al dispositivo HoloLens 2 y no se puede usar en otro dispositivo.

Para obtener más información, consulte Compartir holoLens con varias personas.

Inicio de sesión automático

También puede usar la directiva AutoLogonUser para iniciar sesión automáticamente en el dispositivo con una identidad vinculada a ese dispositivo. Esto omite la experiencia de inicio de sesión de HoloLens 2 y el usuario puede recoger el dispositivo y empezar a usar el dispositivo inmediatamente. Para obtener más información, consulte directiva de inicio de sesión automático controlada por CSP.

Pantalla completa

Para dispositivos HoloLens 2 compartidos, se recomienda el modo de pantalla completa para controlar qué aplicaciones se muestran en el menú Inicio cuando un usuario inicia sesión en HoloLens. Al permitir solo las aplicaciones necesarias como Remote Assist, puedes restringir el inicio de sesión de los usuarios en la página de configuración de la cuenta de usuario mediante el explorador Microsoft Edge mediante el inicio de sesión único y acceder a los detalles de la cuenta de usuario dentro del dispositivo HoloLens 2.

Control de aplicaciones de Windows Defender (WDAC)

WDAC permite configurar HoloLens para bloquear el inicio de aplicaciones. Es diferente del modo quiosco, donde la interfaz de usuario oculta las aplicaciones, pero todavía se pueden iniciar. Con WDAC, puede ver el icono de aplicaciones, pero no se pueden iniciar. Para obtener más información, consulta control de aplicaciones de Windows Defender (WDAC).

Limitaciones

El uso de una cuenta compartida de Microsoft Entra tiene las siguientes limitaciones (incluidas, entre otras:

  1. Identidad: los usuarios no pueden usar la autenticación iris para iniciar sesión en el dispositivo HoloLens 2 y no pueden acceder a su contenido relacionado con la cuenta profesional en Microsoft 365.
  2. Id. del autor de la llamada o contactos: el acceso a la lista de contactos personales de un usuario o los contactos que se han llamado más recientemente no es posible, y el identificador del autor de la llamada mostrará el nombre de la cuenta compartida en lugar del nombre del usuario.
  3. User-Based flujos de trabajo: no es posible usar las integraciones avanzadas con el servicio de campo, ya que el usuario que está "asignado" elementos de trabajo, no es el usuario que inició sesión en Remote Assist.
  4. Uso compartido de PIN: como la autenticación iris no es posible, el número de PIN de Windows Hello debe compartirse entre los usuarios.

Cuestiones

El uso de una cuenta compartida de Microsoft Entra plantea los siguientes problemas que se deben solucionar (incluidos, entre otros):

  1. Falta de responsabilidad: con una cuenta compartida, no hay forma de demostrar quién ha usado el dispositivo y qué se ha hecho con el dispositivo.
  2. Falta de auditoría: los registros de auditoría estarán incompletos y, en caso de incidente, podría ser imposible identificar al usuario.
  3. Carece de seguimiento o análisis individuales.
  4. Permisos: los permisos avanzados no se pueden realizar en una cuenta compartida.
  5. Propiedad de MFA: la autenticación multifactor (MFA) debe ser propiedad de una entidad central para las cuentas compartidas.
  6. Restablecimiento del PIN: cuando es necesario restablecer el PIN y saber sobre quién es el propietario de MFA en los dispositivos es difícil.

Consideraciones

Debe revisar y realizar cambios en la siguiente configuración de Microsoft Entra (incluida, entre otras) cuando quiera usar cuentas de usuario compartidas de Microsoft Entra. Al habilitar y deshabilitar la siguiente configuración de Microsoft Entra, se debe tener cuidado extremo para asegurarse de que cambiar esta configuración no causa ningún problema para las cuentas de usuario existentes y nuevas.

  1. Revisar la configuración de acceso del Portal de administrador en Usuarios | Configuración de usuario.
  2. Revisar la configuración Registros de aplicaciones en Usuarios | Configuración de usuario.
  3. Revise la configuración conexiones de cuentas vinculadas en Usuarios | Configuración de usuario.
  4. Revisar la configuración Características del usuario en Usuarios | Características del usuario.
  5. Revise la configuración de autoservicio de restablecimiento de contraseña en Restablecimiento de contraseña | Propiedades.
  6. Revisar la configuración Unir dispositivos a Microsoft Entra en dispositivos | Configuración del dispositivo.
  7. Revise la configuración Enterprise State Roaming en dispositivos | Enterprise State Roaming.

Advertencia

No comparta contraseñas de cuenta compartidas con los usuarios finales. Los usuarios finales siempre deben usar el nombre de la cuenta de Microsoft Entra y el PIN de Windows Hello asociado o usar la característica de inicio de sesión automático para iniciar sesión en dispositivos HoloLens 2 en un entorno compartido.