Távsegítség üzembe helyezése megosztott identitás használatával több felhasználó között

• A következőre érvényes::

  HoloLens 2

Ez a cikk a Távoli segítségnyújtás megosztott Microsoft Entra-identitással való üzembe helyezésének magas szintű lépéseit tartalmazza több felhasználó között. A dokumentumban található útmutató a Microsoft Entra felhasználói fiókok kiépítésére, a szükséges licencek hozzárendelésére és a HoloLens 2 eszközkonfigurációra összpontosít egy megosztott eszközkörnyezethez. Részletesebb forgatókönyvalapú üzembe helyezési útmutatásért tekintse meg gyakori üzembe helyezési forgatókönyveket.

Fontos

Ez a cikk a megosztott Microsoft Entra-fiókok manuális beállításának folyamatát ismerteti az egyes eszközökhöz. Azóta egy továbbfejlesztett folyamatot vezettünk be, amely nagy méretekben sokkal egyszerűbben telepíthető, nem igényel manuális beállítást az egyes eszközökhöz, és megszünteti a PIN-kód és az MFA kezelésének szükségességét. A továbbfejlesztett folyamatért tekintse meg Megosztott Microsoft Entra-fiókokat a HoloLens. A cikkben szereplő folyamat megmarad a kisebb (10-nél kevesebb) üzemelő példányok esetében, a továbbfejlesztett folyamathoz szükséges infrastruktúra nélkül.

Üzembe helyezési feladatok

1. Microsoft Entra-fiókok

Hozzon létre Microsoft Entra biztonsági csoportokat és megosztott Microsoft Entra felhasználói fiókokat a HoloLens 2-eszközökre való bejelentkezéshez.

1. Jelentkezzen be Microsoft Entra felügyeleti központba, legalább csoportadminisztrátorként és felhasználói rendszergazdaként.
2. Lépjen Új csoport felügyeleti központ, és hozzon létre egy Microsoft Entra-azonosítót Biztonsági csoportot a HoloLens 2 megosztott felhasználói fiókok kezeléséhez. Részletes útmutatásért lásd: Alapszintű csoport létrehozása és tagok hozzáadása.
3. Lépjen Új felhasználó – Microsoft Entra felügyeleti központ, és hozzon létre új felhasználói fiókokat, amelyeket több személy osztott meg a HoloLens 2 eszközre való bejelentkezéshez. HoloLens 2-eszközönként egy Microsoft Entra felhasználói fiók használata ajánlott. Részletes útmutatásért tekintse meg Felhasználók hozzáadása vagy törlésecímű témakört.
4. Lépjen Csoportok – Microsoft Entra felügyeleti központ, válassza ki a Microsoft Entra biztonsági csoport nevét –>Tagok -> + Tagok hozzáadása, és adja hozzá a fenti felhasználói fiókokat a biztonsági csoporthoz. Részletes útmutatásért tekintse meg Csoporttagok hozzáadása vagy eltávolításacímű témakört.

2. Licenc-hozzárendelések

Rendelje hozzá a szükséges licenceket a Microsoft Entra felhasználói fiókokhoz.

1. A Dynamics 365 Remote Assist to HoloLens 2 használatához szükséges licenceket hozzárendelheti egy felhasználóhoz vagy felhasználói csoporthoz. Ha licenceket szeretne hozzárendelni egy felhasználói csoporthoz, kövesse Licencek hozzárendelése csoporthoz részletes útmutatót a következő licencek hozzárendeléséhez. Ha licenceket szeretne hozzárendelni egy felhasználóhoz, kövesse Licencek hozzárendelése felhasználókhoz részletes útmutatót a következő licencek hozzárendeléséhez.

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service távsegítséghez

   További információ: Dynamics 365 Remote Assistkövetelményei.

2. A HoloLens 2 Microsoft Endpoint Managerrel (Intune) való kezeléséhez kövesse Microsoft Intune-licencek hozzárendelése részletes útmutatót a következő licencek hozzárendeléséhez.

   • Microsoft Intune

3. A Távoli segítségnyújtás speciális képességeinek használatához, például a OneDrive-fájlok eléréséhez, az egyszeri hívások ütemezéséhez és a Dynamics 365 Field Service-hez való integráláshoz további licenceket kell hozzárendelnie a HoloLens 2 felhasználói fiókokhoz. További információ: Dynamics 365 Remote Assistkövetelményei.

Jegyzet

További információ: Forgatókönyvek, korlátozások és ismert problémák, amelyek csoportok használatával kezelik a licencelést a Microsoft Entra-azonosító.

3. Eszközkonfiguráció

A HoloLens 2-eszközök megosztott Microsoft Entra felhasználói fiókok használatával történő megosztásához konfigurálja az alábbiakat a felhasználói hitelesítő adatok védelmére és a HoloLens 2-felhasználók által használandó alkalmazások korlátozására. Kövesse A HoloLens 2 beállítása a HoloLens 2-es eszközök első alkalommal történő beállításához a Microsoft Entra előző szakaszában létrehozott megosztott Microsoft Entra-felhasználói fiókok használatával. HoloLens 2-eszközönként egy Microsoft Entra felhasználói fiókot használjon. A HoloLens 2 kezdeti beállítása során hagyja ki az Írisz-hitelesítés regisztrációt, és konfigurálja a Windows Hello PIN-kódot az eszközre való bejelentkezéshez.

Bejelentkezési PIN-kód

A Windows Hello PIN-kód használatával jelentkezzen be a HoloLens 2-eszközökre. Ne ossza meg a megosztott fiókjelszavakat a végfelhasználókkal. A Windows Hello PIN-kódjának konfigurálása lehetővé teszi, hogy ne ossza meg a felhasználói fiók jelszavát a végfelhasználókkal, és lehetővé teszi a végfelhasználók számára, hogy egy adott HoloLens 2-eszközön a felhasználói fiókhoz konfigurált Windows Hello PIN-kód használatával jelentkezzenek be a HoloLens 2-eszközökre. A konfigurált Windows Hello PIN-kód kriptográfiailag a HoloLens 2 eszközhöz van kötve, és nem használható egy másik eszközön.

További információ: HoloLens megosztása több személyrel.

Automatikus bejelentkezés

Az AutoLogonUser-szabályzattal automatikusan bejelentkezhet az eszközre az adott eszközhöz kapcsolódó identitással. Ez átadja a HoloLens 2 bejelentkezési felületét, és a felhasználó azonnal átveheti az eszközt, és megkezdheti az eszköz használatát. További információ: CSPáltal felügyelt automatikus bejelentkezési szabályzat.

Kioszk mód

Megosztott HoloLens 2-eszközök esetén a Kioszk mód használata ajánlott annak szabályozásához, hogy mely alkalmazások jelenjenek meg a Start menüben, amikor egy felhasználó bejelentkezik a HoloLensbe. Ha csak a szükséges alkalmazásokat, például a Remote Assistt engedélyezi, korlátozhatja a felhasználói fiók beállításainak lapjára bejelentkező felhasználókat a Microsoft Edge böngésző SSO-val történő használatával, és hozzáférhet a Felhasználói fiókok adataihoz a HoloLens 2 eszközön belül.

• Ha a Microsoft Endpoint Managert (Intune) használja az eszközök

  Lépjen Microsoft Endpoint Manager felügyeleti központ, és hozzon létre egy egyalkalmazásos vagy többalkalmazásos kioszk módú konfigurációt Eszközök | Konfigurációs profilok.

• Ha kiépítési csomagokkal kezeli az eszközöket

  A Windows Configuration Designer használatával konfigurálhatja és helyezheti üzembe az egy vagy több alkalmazáskioszk módú kioszk módú kiépítési csomagokat. További információ: HoloLens beállítása kioszk.

Windows Defender alkalmazásvezérlő (WDAC)

A WDAC lehetővé teszi a HoloLens konfigurálását az alkalmazások indításának letiltásához. Ez eltér a Kioszk módtól, ahol a felhasználói felület elrejti az alkalmazásokat, de továbbra is elindíthatók. A WDAC-vel láthatja az alkalmazások csempét, de nem indíthatók el. További információ: Windows Defender alkalmazásvezérlő (WDAC).

Korlátozások

A megosztott Microsoft Entra-fiók használata a következő korlátozásokkal rendelkezik (beleértve, de nem kizárólagosan):

1. Identitás – A felhasználók nem használhatják az Írisz-hitelesítést a HoloLens 2 eszközre való bejelentkezéshez, és nem tudják elérni a munkahelyi fiókjukkal kapcsolatos tartalmakat a Microsoft 365-ben.
2. Hívóazonosító / Névjegyek – A felhasználó személyes partnerlistájának elérése / a legutóbb hívott partnerek nem érhetők el, és a hívóazonosító a felhasználó neve helyett a megosztott fiók nevét jeleníti meg.
3. User-Based munkafolyamatok – A helyszíni szolgáltatással való speciális integráció nem használható, mivel a "hozzárendelt" munkaelemek nem a távoli segédbe bejelentkezett felhasználó.
4. PIN-kód megosztása – Mivel az Írisz-hitelesítés nem lehetséges, a Windows Hello PIN-kódszámát meg kell osztani a felhasználók között.

Kérdések

A megosztott Microsoft Entra-fiók használata a következő megoldandó problémákat jelenti (beleértve, de nem kizárólagosan):

1. Az elszámoltathatóság hiánya – Megosztott fiókkal nem lehet bizonyítani, hogy ki használta az eszközt, és hogy mi történt az eszközzel.
2. A naplózás hiánya – A naplózási rekordok hiányosak lesznek, és incidens esetén lehetetlen lehet azonosítani a felhasználót.
3. Hiányzik az egyéni nyomon követés / elemzés.
4. Engedélyek – A speciális engedélyek nem végezhetők el megosztott fiók alapján.
5. MFA-tulajdonjog – A többtényezős hitelesítésnek (MFA) egy központi szolgáltatónak kell lennie a megosztott fiókokhoz.
6. PIN-kód alaphelyzetbe állítása – Ha a PIN-kódot alaphelyzetbe kell állítani, és tudnia kell, hogy ki birtokolja az MFA-t az eszközökön, kihívást jelent.

Megfontolások

Ha megosztott Microsoft Entra-felhasználói fiókokat szeretne használni, át kell tekintenie és módosítania kell az alábbi Microsoft Entra-beállításokat (beleértve, de nem kizárólagosan). Az alábbi Microsoft Entra-beállítások engedélyezésekor és letiltásakor különös figyelmet kell fordítva arra, hogy a beállítások módosítása ne okozzon problémát a meglévő és az új felhasználói fiókok esetében.

1. A Rendszergazdai portál hozzáférési beállításainak áttekintése Felhasználók | Felhasználói beállítások.
2. Alkalmazásregisztrációk áttekintése Felhasználók | Felhasználói beállítások.
3. A csatolt fiókkapcsolatok beállításának áttekintése Felhasználók | Felhasználói beállítások.
4. Felhasználói funkciók beállításainak áttekintése Felhasználók | Felhasználói funkciók.
5. Tekintse át az önkiszolgáló jelszó-visszaállítási beállítást Jelszó-visszaállítás | Tulajdonságok.
6. Tekintse át az Eszközök csatlakoztatása a Microsoft Entra beállításhoz Eszközök | Eszközbeállítások.
7. Vállalati állapotroaming-beállítás áttekintése -eszközökön | Enterprise State Roaming.

Figyelmeztetés

Ne ossza meg a megosztott fiókjelszavakat a végfelhasználókkal. A végfelhasználóknak mindig a Microsoft Entra-fiók nevét és a társított Windows Hello PIN-kódot kell használniuk, vagy az automatikus bejelentkezési funkcióval kell bejelentkezni a HoloLens 2-eszközökre egy megosztott környezetben.