複数のユーザー間で共有 ID を使用して Remote Assist を展開する

  • [アーティクル]
  • 適用対象:
    HoloLens 2

この記事では、複数のユーザー間で共有Microsoft Entra ID を使用して Remote Assist を展開する手順の概要について説明します。 このドキュメントで説明するガイダンスでは、ユーザー アカウントMicrosoft Entraプロビジョニング、必要なライセンスの割り当て、共有デバイス環境のデバイス構成HoloLens 2に焦点を当てています。 詳細なシナリオ ベースの展開ガイダンスについては、「一般的な展開シナリオ」を参照してください。

配置タスク

1. アカウントのMicrosoft Entra

HoloLens 2 デバイスへのログインに使用するMicrosoft Entraセキュリティ グループと共有Microsoft Entraユーザー アカウントを作成します。

  1. グローバル管理者としてMicrosoft Entra管理センター Microsoft Entraログインします。
  2. [新しいグループ管理センター] ブレードに移動し、Microsoft Entra ID セキュリティ グループを作成して、HoloLens 2共有ユーザー アカウントを管理します。 ステップ バイ ステップの手順については、基本グループの作成とメンバーの追加に関するページを参照してください。
  3. [新しいユーザー - Microsoft Entra管理センター] ブレードに移動し、複数のユーザーが共有する新しいユーザー アカウントを作成して、HoloLens 2 デバイスにログインします。 デバイスごとに 1 つのMicrosoft Entra ユーザー アカウントHoloLens 2使用することをお勧めします。 ステップ バイ ステップの手順については、ユーザーの追加または削除に関するページを参照してください。
  4. [グループ ] - [管理センター Microsoft Entra] に移動し、Microsoft Entraセキュリティ グループ名 ->Members -> + Add members を選択し、上記のユーザー アカウントをセキュリティ グループに追加します。 ステップ バイ ステップの手順については、グループ メンバーの追加または削除に関するページを参照してください。

2. ライセンスの割り当て

必要なライセンスをMicrosoft Entraユーザー アカウントに割り当てます。

  1. HoloLens 2 で Dynamics 365 Remote Assist を使用するために必要なライセンスをユーザーまたはユーザー グループに割り当てることができます。 ユーザー グループにライセンスを割り当てるには、グループへのライセンスの割り当てに関するページのステップ バイ ステップ ガイドに従い、次のライセンスを割り当てます。 ユーザーにライセンスを割り当てるには、ユーザーへのライセンスの割り当てに関するページのステップ バイ ステップ ガイドに従い、次のライセンスを割り当てます。

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service for Remote Assist

    詳しくは、Dynamics 365 Remote Assist の要件に関するページを参照してください。

  2. Microsoft Endpoint Manager (Intune) を使用して HoloLens 2 を管理するには、Microsoft Intune ライセンスの割り当てに関するページのステップ バイ ステップ ガイドに従い、次のライセンスを割り当てます。

    • Microsoft Intune

  3. OneDrive ファイルへのアクセス、1 回限りの呼び出しのスケジュール設定、Dynamics 365 Field Service との統合など、Remote Assist の高度な機能を使用するには、HoloLens 2 ユーザー アカウントに別のライセンスを割り当てる必要があります。 詳しくは、Dynamics 365 Remote Assist の要件に関するページを参照してください。

Note

詳細については、「Microsoft Entra ID でライセンスを管理するためにグループを使用するシナリオ、制限事項、既知の問題」を参照してください。

3. デバイスの構成

共有Microsoft Entraユーザー アカウントを使用している複数のユーザーとHoloLens 2デバイスを共有するには、ユーザー資格情報をセキュリティで保護し、HoloLens 2 ユーザーが使用するアプリを制限するように次の構成を行います。 [HoloLens 2の設定] に従って、上の「Microsoft Entra アカウント」セクションで作成した共有Microsoft Entra ユーザー アカウントを使用して、HoloLens 2 デバイスを初めて設定します。 HoloLens 2 デバイスごとに 1 つのMicrosoft Entra ユーザー アカウントを使用します。 HoloLens 2 初期セットアップ中、IRIS ログイン構成をスキップし、デバイスにログインするための Windows Hello PIN を構成します (詳しくは、以下を参照してください)。

ログイン PIN

HoloLens 2 デバイスにログインするために Windows Hello PIN を使用します。 共有アカウントのパスワードをエンド ユーザーと共有しないでください。 Windows Hello PIN を構成して、ユーザー アカウントのパスワードをエンド ユーザーと共有できないようにし、エンド ユーザーが、特定の HoloLens 2 デバイスのユーザー アカウント用に構成された Windows Hello PIN を使用して HoloLens 2 デバイスにログインできるようにします。 構成された Windows Hello PIN は、暗号によって HoloLens 2 デバイスと関連付けられます。この Windows Hello PIN を使用して、PC のブラウザーを使用してユーザー アカウントにログインすることや、異なる HoloLens 2 デバイスにログインすることはできません。

詳しくは、「複数のユーザーとの HoloLens の共有」を参照してください。

自動ログイン

また AutoLogonUser ポリシーを使用すると、デバイスに関連付けられた ID を使用して、そのデバイスに自動的にログインできます。 これにより、HoloLens 2 のログイン操作がバイパスされ、ユーザーはデバイスを選び、ただちにそのデバイスの使用を開始できます。 詳しくは、「CSP によって制御される自動ログイン ポリシー」を参照してください。

キオスク モード

共有 HoloLens 2 デバイスでは、ユーザーが HoloLens にサインインしたときに [スタート] メニューにどのアプリケーションを表示するか制御するために、キオスク モードを使用することをお勧めします。 Remote Assist など、必要なアプリのみ許可するだけで、ユーザーが Edge ブラウザーを使用して SSO によってユーザー アカウント設定ページにサインインするのを制限することや、HoloLens 2 デバイス内のユーザー アカウントの詳細にアクセスするのを制限することができます。

  • Microsoft Endpoint Manager (Intune) を使用してデバイスを管理する場合

    Microsoft Endpoint Manager admin center に移動し、[デバイス | 構成プロファイル] ブレードで、シングルアプリまたはマルチアプリ キオスク モード構成を作成します。

  • プロビジョニング パッケージを使用してデバイスを管理する場合

    Windows 構成デザイナーを使用して、シングルアプリまたはマルチアプリ キオスク モード プロビジョニング パッケージを構成して展開します。 詳しくは、「HoloLens をキオスクとしてセットアップする」を参照してください。

Windows Defender アプリケーション制御 (WDAC)

WDAC を使用すると、アプリの起動をブロックするように HoloLens を構成できます。 これはキオスク モードとは異なります。キオスク モードの場合、アプリは UI では非表示になりますが、引き続き起動できます。 WDAC では、アプリのタイルを表示できますが、それらのアプリを起動することはできません。 詳しくは、「Windows Defender アプリケーション制御 (WDAC)」を参照してください。

制限事項

共有Microsoft Entra アカウントの使用には、次の制限があります (これらに限定されません)。

  1. ID – ユーザーは IRIS を使用して HoloLens 2 デバイスにサインインできません。また、Microsoft 365 で職場アカウント関連のコンテンツにアクセスできません。
  2. 発信者 ID/連絡先 – ユーザーの個人用連絡先リスト/最近呼び出した連絡先にアクセスすることはできません。また発信者 ID では、ユーザーの名前ではなく共有アカウント名が表示されます。
  3. ユーザー ベースのワークフロー – フィールド サービスとの高度な統合を使用することはできません。これは、作業項目が "割り当てられる" ユーザーは、Remote Assist にサインインするユーザーではないためです。
  4. PIN 共有 – IRIS サインインを使用できないため、Windows Hello PIN 番号をユーザー間で共有する必要があります。

発行

共有Microsoft Entra アカウントを使用すると、次の問題に対処する必要があります (これらに限定されません)。

  1. アカウンタビリティの欠如 – 共有アカウントでは、誰がデバイスを使用したか、デバイスで何が行われたかを証明する方法がありません。
  2. 監査の欠如 – 監査レコードが不完全であり、インシデントが発生した場合、ユーザーを特定できない可能性があります。
  3. 個々の追跡/分析の欠如。
  4. アクセス許可 – 共有アカウントに基づいて、高度なアクセス許可を実行することはできません。
  5. MFA 所有権 – 多要素認証 (MFA) は、共有アカウントの中央認証機関が所有する必要があります。
  6. PIN のリセット – PIN をリセットする必要がある場合、デバイスで MFA を所有するユーザーが誰か識別するのが困難です。

考慮事項

共有Microsoft Entraユーザー アカウントを使用する場合は、次のMicrosoft Entra設定を確認して変更する必要があります (これらに限定されません)。 次のMicrosoft Entra設定を有効または無効にする場合は、これらの設定を変更しても既存のユーザー アカウントと新しいユーザー アカウントに問題が発生しないように細心の注意を払う必要があります。

  1. [ユーザー | ユーザー設定] ブレードで、管理者ポータルのアクセス設定を確認します。
  2. [ユーザー | ユーザー設定] ブレードで、アプリ登録の設定を確認します。
  3. [ユーザー | ユーザー設定] ブレードで、リンク対象アカウントの接続設定を確認します。
  4. [ユーザー | ユーザー機能] ブレードで、ユーザー機能の設定を確認します。
  5. [パスワード リセット | プロパティ] ブレードで、セルフサービスのパスワード リセット設定を確認します。
  6. 「デバイスをMicrosoft Entraに参加させる」の設定を確認する |[デバイス設定] ブレード。
  7. [デバイス | エンタープライズ状態ローミング] ブレードで、エンタープライズ状態ローミングの設定を確認します。

警告

共有アカウントのパスワードをエンド ユーザーと共有しないでください。 エンド ユーザーは常に、Microsoft Entraアカウント名と関連付けられたWindows Hello PIN を使用するか、自動ログイン機能を使用して共有環境内のデバイスHoloLens 2ログインする必要があります。