Delen via

Remote Assist implementeren met behulp van een gedeelde identiteit voor meerdere gebruikers

  • Artikel
  • Van toepassing op:
    HoloLens 2

Dit artikel bevat algemene stappen voor het implementeren van Remote Assist met behulp van een gedeelde Microsoft Entra-identiteit voor meerdere gebruikers. De richtlijnen in dit document zijn gericht op het inrichten van Microsoft Entra-gebruikersaccounts, het toewijzen van vereiste licenties en de configuratie van holoLens 2-apparaten voor een gedeelde apparaatomgeving. Raadpleeg Algemene implementatiescenario'svoor gedetailleerdere implementatierichtlijnen op basis van scenario's.

Belangrijk

In dit artikel wordt een proces beschreven voor het handmatig instellen van gedeelde Microsoft Entra-accounts voor elk apparaat. We hebben sindsdien een verbeterd proces geïntroduceerd dat veel eenvoudiger te implementeren op schaal is, geen handmatige installatie voor elk apparaat vereist en de noodzaak om pincode en MFA te beheren. Zie Gedeelde Microsoft Entra-accounts in HoloLensvoor het verbeterde proces. Het proces in dit artikel blijft behouden voor kleine implementaties (minder dan 10 apparaten) zonder de infrastructuur die nodig is voor het verbeterde proces.

Implementatietaken

1. Microsoft Entra-accounts

Maak Microsoft Entra-beveiligingsgroepen en gedeelde Microsoft Entra-gebruikersaccounts om u aan te melden bij HoloLens 2-apparaten.

  1. Meld u aan bij Microsoft Entra-beheercentrum als ten minste een groepsbeheerder en gebruikersbeheerder.
  2. Ga naar nieuwe groepsbeheercentrum en maak een Microsoft Entra-id Security-groep om de gedeelde HoloLens 2-gebruikersaccounts te beheren. Zie Een basisgroep maken en leden toevoegen voor stapsgewijze instructies.
  3. Navigeer naar Nieuwe gebruiker - Microsoft Entra-beheercentrum en maak nieuwe gebruikersaccounts die door meerdere personen worden gedeeld om u aan te melden bij het HoloLens 2-apparaat. Eén Microsoft Entra-gebruikersaccount per HoloLens 2-apparaat wordt aanbevolen. Zie Gebruikers toevoegen of verwijderenvoor stapsgewijze instructies.
  4. Navigeer naar Groepen - Microsoft Entra-beheercentrum, selecteer de naam van de Microsoft Entra-beveiligingsgroep ->leden -> + Leden toevoegen en voeg de bovenstaande gebruikersaccounts toe aan de beveiligingsgroep. Zie Groepsleden toevoegen of verwijderenvoor stapsgewijze instructies.

2. Licentietoewijzingen

Wijs de vereiste licenties toe aan de Microsoft Entra-gebruikersaccounts.

  1. U kunt licenties toewijzen die vereist zijn voor het gebruik van Dynamics 365 Remote Assist op HoloLens 2 aan een gebruiker of gebruikersgroep. Als u licenties wilt toewijzen aan een gebruikersgroep, volgt u Licenties toewijzen aan een groep stapsgewijze handleiding voor het toewijzen van de volgende licenties. Als u licenties aan een gebruiker wilt toewijzen, volgt u Licenties toewijzen aan gebruikers stapsgewijze handleiding voor het toewijzen van de volgende licenties.

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service voor Remote Assist

    Zie Vereisten voor Dynamics 365 Remote Assistvoor meer informatie.

  2. Als u HoloLens 2 wilt beheren met Microsoft Endpoint Manager (Intune), volgt u Microsoft Intune-licenties toewijzen stapsgewijze handleiding voor het toewijzen van de volgende licenties.

    • Microsoft Intune

  3. Als u geavanceerde mogelijkheden van Remote Assist wilt gebruiken, zoals het openen van OneDrive-bestanden, het plannen van eenmalige aanroep en integratie met Dynamics 365 Field Service, moet u nog een licentie toewijzen aan de HoloLens 2-gebruikersaccounts. Zie Vereisten voor Dynamics 365 Remote Assistvoor meer informatie.

Notitie

Zie Scenario's, beperkingen en bekende problemen met het gebruik van groepen voor het beheren van licenties in Microsoft Entra IDvoor meer informatie.

3. Apparaatconfiguratie

Als u HoloLens 2-apparaten wilt delen met meerdere personen die gebruikmaken van gedeelde Microsoft Entra-gebruikersaccounts, configureert u het volgende om gebruikersreferenties te beveiligen en apps te beperken voor gebruik door de HoloLens 2-gebruikers. Volg Uw HoloLens 2- instellen om de HoloLens 2-apparaten voor het eerst in te stellen met behulp van de gedeelde Microsoft Entra-gebruikersaccounts die zijn gemaakt in de vorige sectie 'Microsoft Entra-accounts'. Gebruik één Microsoft Entra-gebruikersaccount per HoloLens 2-apparaat. Sla tijdens de eerste installatie van HoloLens 2 de inschrijving van Iris-verificatie over en configureer windows Hello-pincode om u aan te melden bij het apparaat.

Pincode voor aanmelden

Gebruik de pincode van Windows Hello om u aan te melden bij HoloLens 2-apparaten. Deel geen wachtwoorden voor gedeelde accounts met eindgebruikers. Als u windows Hello-pincode configureert, kunt u het wachtwoord van het gebruikersaccount niet delen met eindgebruikers en kunnen eindgebruikers zich aanmelden bij HoloLens 2-apparaten met behulp van de Windows Hello-pincode die is geconfigureerd voor het gebruikersaccount op een specifiek HoloLens 2-apparaat. De geconfigureerde Pincode voor Windows Hello is cryptografisch gekoppeld aan het HoloLens 2-apparaat en kan niet worden gebruikt op een ander apparaat.

Zie Uw HoloLens delen met meerdere personenvoor meer informatie.

Automatisch aanmelden

U kunt het AutoLogonUser-beleid ook gebruiken om automatisch aan te melden bij het apparaat met een identiteit die is gekoppeld aan dat apparaat. Hierdoor wordt de aanmeldingservaring van HoloLens 2 overgeslagen en kan de gebruiker het apparaat ophalen en het apparaat meteen gaan gebruiken. Zie Beleid voor automatische aanmelding beheerd door CSPvoor meer informatie.

Kioskmodus

Voor gedeelde HoloLens 2-apparaten wordt de kioskmodus aanbevolen om te bepalen welke toepassingen worden weergegeven in het menu Start wanneer een gebruiker zich aanmeldt bij HoloLens. Door alleen vereiste apps zoals Remote Assist toe te staan, kunt u gebruikers beperken die zich aanmelden bij de pagina met gebruikersaccountinstellingen met behulp van de Microsoft Edge-browser door eenmalige aanmelding en toegang te krijgen tot gebruikersaccountgegevens in HoloLens 2-apparaat.

Windows Defender Application Control (WDAC)

Met WDAC kunt u HoloLens configureren om het starten van apps te blokkeren. Het verschilt van de kioskmodus, waarbij de gebruikersinterface de apps verbergt, maar ze kunnen nog steeds worden gestart. Met WDAC kunt u de tegel apps zien, maar deze kunnen niet worden gestart. Zie Windows Defender Application Control (WDAC)voor meer informatie.

Beperkingen

Het gebruik van een gedeeld Microsoft Entra-account heeft de volgende beperkingen (inclusief maar niet beperkt tot):

  1. Identiteit: gebruikers kunnen Iris-verificatie niet gebruiken om zich aan te melden op het HoloLens 2-apparaat en hebben geen toegang tot hun werkaccountgerelateerde inhoud in Microsoft 365.
  2. Nummerweergave/contactpersonen: het openen van de persoonlijke contactenlijst van een gebruiker /meest recent aangeroepen contactpersonen is niet mogelijk en de nummerweergave geeft de naam van het gedeelde account weer in plaats van de naam van de gebruiker.
  3. User-Based werkstromen: het is niet mogelijk om de geavanceerde integraties met field service te gebruiken, omdat de gebruiker 'toegewezen' werkitems is, niet de gebruiker die is aangemeld bij Remote Assist.
  4. Pincode delen: omdat Iris-verificatie niet mogelijk is, moet het pincodenummer van Windows Hello worden gedeeld tussen de gebruikers.

Kwesties

Het gebruik van een gedeeld Microsoft Entra-account vormt de volgende problemen die moeten worden opgelost (inclusief maar niet beperkt tot):

  1. Gebrek aan verantwoordelijkheid: met een gedeeld account is er geen manier om te bewijzen wie het apparaat heeft gebruikt en wat er met het apparaat is gedaan.
  2. Gebrek aan controle: controlerecords zijn onvolledig en in het geval van een incident kan het onmogelijk zijn om de gebruiker te identificeren.
  3. Ontbreekt afzonderlijke tracering/analyses.
  4. Machtigingen: geavanceerde machtigingen kunnen niet worden uitgevoerd op basis van een gedeeld account.
  5. MFA-eigendom: meervoudige verificatie (MFA) moet eigendom zijn van een centrale instantie voor gedeelde accounts.
  6. Pincode opnieuw instellen: wanneer de pincode opnieuw moet worden ingesteld en kennis moet worden over wie eigenaar is van de MFA op de apparaten, is het lastig om te weten wie eigenaar is van de MFA.

Overwegingen

U moet de volgende Microsoft Entra-instellingen controleren en wijzigen (inclusief maar niet beperkt tot) wanneer u gedeelde Microsoft Entra-gebruikersaccounts wilt gebruiken. Wanneer u de volgende Microsoft Entra-instellingen inschakelt en uitschakelt, moet u er uiterst zorgvuldig voor zorgen dat het wijzigen van deze instellingen geen problemen veroorzaakt voor bestaande en nieuwe gebruikersaccounts.

  1. Toegangsinstelling voor beheerdersportal controleren in Gebruikers | Gebruikersinstellingen.
  2. Instelling app-registraties controleren in gebruikers | Gebruikersinstellingen.
  3. Instelling voor gekoppelde accountverbindingen controleren in Gebruikers | Gebruikersinstellingen.
  4. De instelling Gebruikersfuncties controleren in Gebruikers | Gebruikersfuncties.
  5. De instelling voor selfservice voor wachtwoordherstel controleren in Wachtwoord opnieuw instellen | Eigenschappen.
  6. De instelling Apparaten toevoegen aan Microsoft Entra controleren in Apparaten | Apparaatinstellingen.
  7. De instelling Enterprise State Roaming controleren in Apparaten | Enterprise State Roaming.

Waarschuwing

Deel geen wachtwoorden voor gedeelde accounts met eindgebruikers. Eindgebruikers moeten altijd de microsoft Entra-accountnaam en de bijbehorende Windows Hello-pincode gebruiken of de functie voor automatisch aanmelden gebruiken om u aan te melden bij HoloLens 2-apparaten in een gedeelde omgeving.