Les comptes de Microsoft Entra partagés (anciennement Azure Active Directory) sur HoloLens sont des comptes d’utilisateur Microsoft Entra réguliers qui peuvent se connecter à HoloLens sans nécessiter d’informations d’identification. Cette configuration est idéale pour les scénarios où les conditions suivantes sont remplies :
Plusieurs personnes partagent le même ensemble d’appareils HoloLens
L’accès aux ressources Microsoft Entra, telles que le contenu Dynamics 365 Guides, est requis
Il n’est pas nécessaire de suivre qui a utilisé l’appareil.
Principaux avantages de l’utilisation de comptes de Microsoft Entra partagés
Déploiement simplifié. Auparavant, la configuration de comptes Microsoft Entra partagés entre plusieurs personnes nécessitait la configuration manuelle de chaque appareil. Les comptes de Microsoft Entra partagés vous permettent de configurer votre environnement une seule fois et de le déployer automatiquement sur l’un de vos appareils dans le cadre d’Autopilot.
Excellente expérience utilisateur. Les utilisateurs de comptes Microsoft Entra partagés n’ont pas besoin d’entrer d’informations d’identification pour commencer à utiliser l’appareil. Appuyez et allez !
Accès aux ressources Microsoft Entra. Les utilisateurs de comptes de Microsoft Entra partagés ont un accès facile aux ressources Microsoft Entra, ce qui vous permet de démarrer un appel d’assistance à distance ou d’ouvrir un guide sans authentification supplémentaire.
Important
Étant donné que les comptes de Microsoft Entra partagés sont accessibles sur l’appareil HoloLens sans entrer d’informations d’identification, vous devez sécuriser physiquement ces appareils HoloLens afin que seul le personnel autorisé ait accès. Vous pouvez également verrouiller ces comptes en appliquant des stratégies d’accès conditionnel, en désactivant la réinitialisation de mot de passe en libre-service et en configurant des profils d’accès attribués aux appareils sur lesquels ces comptes sont utilisés.
Notes
Étant donné qu’il s’agit de comptes partagés, les utilisateurs qui utilisent ces comptes ne voient pas les écrans classiques de configuration de la première connexion, y compris les inscriptions au code confidentiel et iris, les avis de collecte de données biométriques et les différents écrans de consentement. Vous devez vous assurer que les valeurs par défaut appropriées sont configurées pour ces comptes via une stratégie (voir Configurer rapidement des utilisateurs sur HoloLens 2) et que vos utilisateurs connaissent ces valeurs par défaut.
Limitations connues des comptes de Microsoft Entra partagés
Les comptes de Microsoft Entra partagés ne peuvent pas utiliser le code confidentiel ou iris pour se connecter à la version actuelle, même s’ils ont été inscrits.
Vue d’ensemble conceptuelle des comptes de Microsoft Entra partagés
Ce processus permet à un appareil HoloLens de se faire attribuer un compte d’utilisateur et de se connecter à ce compte d’utilisateur avec des informations d’identification liées à l’appareil et à l’appareil seul. L’image décrit le processus :
Intune dispose d’un profil de configuration SCEP pour le service SCEP.
L’appareil rejoint Intune et reçoit les informations de profil.
L’appareil contacte le service SCEP et reçoit un certificat d’appareil, avec un UPN de HL-{Serial}@contoso.com.
L’appareil se connecte au compte d’utilisateur corrosponding dans l’ID Entra, en utilisant le certificat en tant qu’authentification multifacteur, pour fournir une expérience d’authentification transparente.
Le certificat ne peut pas être supprimé/exporté de l’appareil, et le compte d’utilisateur n’est configuré sans aucune autre forme d’authentification multifacteur. Cette configuration garantit que le compte partagé ne peut être connecté que par l’appareil HoloLens.
Vue d’ensemble des étapes de configuration des comptes de Microsoft Entra partagés
Enfin, vous devez accéder à Microsoft Intune afin de déployer des configurations d’appareil et des certificats clients. Pour connaître l’infrastructure requise pour déployer des certificats clients via Intune, consultez En savoir plus sur les types de certificats pris en charge par Microsoft Intune. Dans cet exemple, nous utilisons des certificats SCEP.
Notes
Plusieurs options sont disponibles pour déployer des certificats SCEP, notamment Microsoft NDES et PKI. Pour HoloLens, il peut être plus simple d’utiliser un service Azure pour gérer l’inscription des certificats. Plusieurs options sont disponibles dans (Place de marché Azure, ce qui permet d’isoler les configurations des comptes HoloLens Microsft Entra partagés de votre infrastructure à clé publique d’entreprise.
Les principales exigences pour le service SCEP sont les suivantes :
Le service peut accepter les demandes de certificat d’appareil provenant de Microsoft Intune.
Le service peut générer des certificats avec des références EKU définies (Authentification client et Ouverture de session par carte à puce).
Il est vivement recommandé de configurer vos appareils pour Autopilot. Autopilot simplifie l’expérience de configuration de l’appareil pour les utilisateurs finaux.
Configurer votre locataire Microsoft Entra pour activer Microsoft Entra CBA
Votre locataire Microsoft Entra doit être configuré pour activer Microsoft Entra CBA pour un groupe d’utilisateurs sélectionné.
Créez un groupe Microsoft Entra qui contient les comptes Microsoft Entra partagés. Par exemple, nous utilisons le nom « SharedAccounts » pour ce groupe.
Créez un groupe Microsoft Entra qui contient les appareils HoloLens partagés. Par exemple, nous utilisons le nom « SharedDevices » pour ce groupe. Ce groupe se voit attribuer ultérieurement des profils de configuration Intune basés sur l’appareil.
Activez Microsoft Entra l’authentification basée sur les certificats (CBA) pour le groupe SharedAccounts. Pour obtenir un guide pas à pas complet, consultez Comment configurer Microsoft Entra l’authentification basée sur les certificats. Les étapes générales suivantes sont nécessaires pour configurer ce paramètre :
Ajoutez votre certificat d’autorité de certification (autorité de certification) à Microsoft Entra. Microsoft Entra ID permet aux certificats clients émis par cette autorité de certification d’effectuer l’authentification CBA.
Activez l’authentification CBA pour le groupe « SharedAccounts ».
Configurez l’authentification CBA de sorte que le certificat émis par votre autorité de certification utilise l’authentification multifacteur. Cette étape permet de s’assurer que les utilisateurs peuvent accéder aux ressources qui nécessitent l’authentification multifacteur sans configurer un autre facteur.
Activez la liaison de certificat via UserPrincipalName.
Configuration Intune
Intune doit être configuré pour déployer les certificats nécessaires pour Microsoft Entra L’authentification CBA. Intune doit également déployer une configuration pour indiquer aux appareils quels certificats sont valides pour Microsoft Entra CBA.
Déploiement de certificat client via SCEP
Les appareils doivent avoir le certificat client approprié pour effectuer Microsoft Entra L’authentification CBA. Créez une configuration SCEP et affectez-la à « SharedDevices » :
Type de certificat : Appareil
Ajoutez un nom d’utilisateur principal (UPN) Autre nom d’objet (SAN) où la valeur est l’UPN du compte partagé affecté à l’appareil. L’UPN doit contenir le numéro de série de l’appareil pour l’associer à un appareil. Vous pouvez utiliser la variable Intune {{Device_Serial}} pour faire référence au numéro de série de l’appareil. Par exemple, entrez la valeur HL-{{Device_Serial}}@contoso.com si les comptes partagés ont un format de nom .HL-123456789@contoso.com
Fournisseur de stockage de clés (KSP) : sélectionnez « Exiger le module TPM, sinon échoue » pour vous assurer que le certificat ne peut pas être exporté à partir de l’appareil pour être utilisé ailleurs.
Vérifiez que le certificat a au moins les utilisations de clés étendues (EKU) suivantes :
Connexion par carte à puce : 1.3.6.1.4.1.311.20.2.2
Authentification du client : 1.3.6.1.5.5.7.3.2
Vous pouvez ajouter d’autres EKU à cette liste pour restreindre davantage les certificats autorisés pour Microsoft Entra CBA. Vous devez ajouter ces EKU au xml pour la stratégie ConfigureSharedAccount.
Déploiement de certificats d’autorité de certification
Les appareils doivent également approuver l’autorité de certification qui a émis son certificat client. Créez une configuration de certificat approuvé et affectez-la au groupe « SharedDevices ». Cette affectation déploie votre certificat d’autorité de certification sur les appareils. Consultez la documentation : Créer des profils de certificat approuvés dans Microsoft Intune.
Configurer la stratégie SharedAccount
Cette stratégie indique aux appareils quels certificats sont valides à utiliser pour Microsoft Entra DBA. Créez une stratégie de configuration d’appareil personnalisée et affectez-la à « SharedDevices » :
<SharedAccountConfiguration><SharedAccount><!--
TODO: Replace the example value below with your issuer certificate's thumbprint.
You may customize the restrictions for which certificates are displayed. See below.
--><IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint></SharedAccount></SharedAccountConfiguration>
Vous pouvez personnaliser les restrictions pour lesquelles les certificats sont affichés pour Microsoft Entra DBA. L’exemple ci-dessus exige que l’empreinte du certificat de l’émetteur corresponde à la valeur fournie. Il est également possible d’appliquer la restriction en fonction du nom de l’émetteur ou d’appliquer d’autres restrictions basées sur les utilisations de clés étendues (EKU) sur le certificat. Consultez ConfigurerSharedAccount XML Examples pour obtenir des exemples sur la configuration du XML.
Avant d’enregistrer cette configuration d’appareil, validez le code XML par rapport au schéma spécifié dans ConfigureSharedAccount XML Schema pour vous assurer qu’il est bien formé.
Configuration d’appareil individuel
Pour chaque appareil HoloLens que vous souhaitez configurer pour les comptes Microsoft Entra partagés, effectuez les étapes suivantes :
Ajoutez cet utilisateur au groupe « SharedAccounts ».
Vérifiez que l’appareil est ajouté au groupe « SharedDevices ». Vous devez d’abord configurer vos appareils pour Autopilot afin qu’ils soient déjà présents dans Microsoft Entra.
Une fois que vous avez terminé la configuration ci-dessus, vous êtes prêt à essayer des comptes Microsoft Entra partagés sur HoloLens !
Si votre appareil est déjà configuré pour Autopilot, prenez l’appareil via son flux Autopilot normal. Les configurations d’appareil nécessaires sont appliquées pendant Autopilot. Une fois le flux Autopilot terminé, l’écran suivant s’affiche :
Appuyez sur le bouton « Se connecter » pour commencer à utiliser le compte Microsoft Entra partagé.
Dépannage
Problème : le compte Microsoft Entra partagé ne s’affiche pas sur l’écran de connexion !
Solution: Tout d’abord, case activée que l’appareil reçoit les certificats appropriés. Ouvrez le gestionnaire de certificats (Gestionnaire de certificats) et assurez-vous que le certificat client et les certificats d’autorité de certification sont correctement déployés sur l’appareil.
Pour le certificat client, vérifiez qu’il est installé dans le magasin « Mon » sur « Ordinateur local ».
Si le certificat est présent, vérifiez que le certificat se trouve dans les dates de validité avec l’émetteur attendu et les EKU :
Vérifiez ensuite que la valeur de stratégie XML que vous avez appliquée à MixedReality/ConfigureSharedAccount est bien formée. Vous pouvez utiliser l’un des nombreux validateurs de schéma XML (XSD) en ligne pour case activée que votre XML est conforme au schéma décrit dans ConfigureSharedAccount XML Schema.
Exigez que le certificat émetteur ait une empreinte numérique spécifiée et que le certificat client possède des EKU avec les OID 1.2.3.4.5.6 et 1.2.3.4.5.7 :
Les EKUs 1.3.6.1.4.1.311.20.2.2 (ouverture de session par carte à puce) et 1.3.6.1.5.5.7.3.2 (Authentification client) sont toujours nécessaires, qu’ils figurent dans cette liste ou non.
Exemple de script de configuration d’appareil
Avant d’utiliser cet exemple de script de configuration d’appareil, vous devez remplacer les références de « contoso » par votre nom de domaine.
PowerShell
<#
.Synopsis
Configures a device for shared account
.Description
This script configures a device for shared account.
Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.
.Example
.\ConfigureSharedDevice.ps1 400064793157
#>param (
[Parameter(Mandatory = $true)]
[string]
# Serial number of the device. Typically a 12-digit numeric string.$DeviceSerialNumber,
[string]
# Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com$SharedAccountGroupId,
[string]
# Group ID of the group that contains the shared devices$SharedDeviceGroupId
)
functionInstall-Dependencies {
Write-Host -Foreground Cyan "Installing Dependencies..."if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
Write-Host -Foreground Cyan "Installing Microsoft.Graph"Install-Module Microsoft.Graph -Scope CurrentUser -Repository'PSGallery'
}
Write-Host -Foreground Cyan "Installing Dependencies... Done"
}
functionNew-PasswordString {
$alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'$length = 40$password = ""for ($i = 0; $i -lt$length; $i++) {
$password += $alphabet[(Get-Random -Minimum0 -Maximum$alphabet.Length)]
}
return$password
}
functionNew-SharedUser {
param (
$UserName,
$DisplayName
)
# Does user already exist?$searchResult = Get-MgUser -Count1 -ConsistencyLevel eventual -Search"`"UserPrincipalName:$UserName`""if ($searchResult.Count -gt0) {
Write-Host -Foreground Cyan "$UserName exists, using existing user."return$searchResult
}
$mailNickName = $UserName.Split('@')[0];
Write-Host -Foreground Cyan "Creating $UserName"$passwordProfile = @{
Password = New-PasswordString
}
returnNew-MgUser -AccountEnabled -DisplayName$DisplayName -Country US -UsageLocation US -MailNickname$mailNickName -UserPrincipalName$UserName -PasswordProfile$passwordProfile
}
functionNew-SharedUserForDevice {
param (
$DeviceSerialNumber
)
$userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"$displayName = "Shared HoloLens"returnNew-SharedUser -UserName$userName -DisplayName$displayName
}
functionAdd-UserToGroup {
param (
$UserId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find user group"
}
Write-Host -Foreground Cyan "Adding user ($UserId) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$UserId
}
functionGet-DeviceAADId {
param (
$DeviceSerialNumber
)
$deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq$DeviceSerialNumber }
if ($deviceResult.Count -eq0) {
throw"Cannot find device with serial number $DeviceSerialNumber in Intune"
}
$result = ($deviceResult | Select-Object -First1).AzureAdDeviceId
Write-Host"Found device: $result"return$result
}
functionAdd-DeviceToGroup {
param (
$DeviceAADId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find device group"
}
$deviceResult = Get-MgDevice -Count1 -ConsistencyLevel eventual -Search"`"DeviceId:$DeviceAADId`""if ($deviceResult.Count -eq0) {
throw"Failed to find device $DeviceAADId"
}
Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$deviceResult.Id
}
functionRegister-SharedDevice {
param (
$DeviceSerialNumber
)
Install-DependenciesConnect-MgGraph -Scopes"User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"$deviceAADId = Get-DeviceAADId$DeviceSerialNumberAdd-DeviceToGroup$deviceAADId$SharedDeviceGroupId$user = New-SharedUserForDevice$DeviceSerialNumberAdd-UserToGroup$user.Id $SharedAccountGroupId
}
Register-SharedDevice$DeviceSerialNumber
Découvrez comment l’ID externe Microsoft Entra peut fournir des expériences de connexion sécurisées et transparentes pour vos consommateurs et clients professionnels. Explorez la création du locataire, l’inscription d’applications, la personnalisation des flux et la sécurité des comptes.
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.
Vous pouvez configurer HoloLens pour qu’il soit partagé par plusieurs comptes Microsoft Entra ou par plusieurs utilisateurs qui utilisent un seul compte.
Cet article contient des étapes générales liées au déploiement de Remote Assist à l’aide d’une identité Microsoft Entra partagée sur plusieurs utilisateurs. Les conseils fournis dans ce document se concentrent sur l’approvisionnement des comptes d’utilisateur Microsoft Entra, l’attribution de licences requises et la configuration d’appareil HoloLens 2 pour un environnement d’appareil partagé. Pour obtenir des conseils de déploiement basés sur des scénarios plus détaillés, consultez [Scénarios de déploiement
Découvrez comment gérer l’identité de l’utilisateur, la prise en charge multi-utilisateur, la sécurité, l’authentification d’entreprise, l’authentification Iris et la connexion pour les appareils HoloLens.
Découvrez comment utiliser MDM pour configurer csp, stratégie et gérer des appareils de réalité mixte HoloLens à grande échelle à l’aide de Microsoft Intune.