Gedeelde Microsoft Entra -accounts (voorheen Azure Active Directory) op HoloLens zijn normale Microsoft Entra gebruikersaccounts die zich kunnen aanmelden bij de HoloLens zonder referenties. Deze installatie is ideaal voor scenario's waarin aan de volgende voorwaarden wordt voldaan:
Meerdere personen delen dezelfde set HoloLens-apparaten
Toegang tot Microsoft Entra resources, zoals Dynamics 365 Guides inhoud, is vereist
Bijhouden wie het apparaat heeft gebruikt, is niet vereist.
Belangrijkste voordelen van het gebruik van gedeelde Microsoft Entra-accounts
Vereenvoudigde implementatie. Voorheen moest elk apparaat handmatig worden ingesteld voor het instellen van Microsoft Entra accounts die door meerdere personen waren gedeeld. Met gedeelde Microsoft Entra-accounts kunt u uw omgeving eenmaal configureren en automatisch implementeren op al uw apparaten als onderdeel van Autopilot.
Geweldige gebruikerservaring. Gebruikers van gedeelde Microsoft Entra-accounts hoeven geen referenties in te voeren om het apparaat te kunnen gebruiken. Tikken en wegwezen!
Toegang tot Microsoft Entra resources. Gebruikers van gedeelde Microsoft Entra-accounts krijgen eenvoudig toegang tot Microsoft Entra resources, zodat u een Remote Assist-oproep kunt starten of een Guide kunt openen zonder extra verificatie.
Belangrijk
Omdat gedeelde Microsoft Entra-accounts toegankelijk zijn op het HoloLens-apparaat zonder referenties in te voeren, moet u deze HoloLens-apparaten fysiek beveiligen, zodat alleen geautoriseerd personeel toegang heeft. U kunt deze accounts ook vergrendelen door beleid voor voorwaardelijke toegang toe te passen, selfservice voor wachtwoordherstel uit te schakelen en toegewezen toegangsprofielen te configureren voor de apparaten waarop deze accounts worden gebruikt.
Notitie
Omdat dit gedeelde accounts zijn, krijgen gebruikers die deze accounts gebruiken niet de gebruikelijke eerste aanmeldingsschermen te zien, waaronder pincode- en irisinschrijvingen, kennisgeving over het verzamelen van biometrische gegevens en verschillende toestemmingsschermen. U moet ervoor zorgen dat de juiste standaardinstellingen voor deze accounts zijn geconfigureerd via beleid (zie Gebruikers op HoloLens 2 snel instellen) en dat uw gebruikers op de hoogte zijn van deze standaardwaarden.
Bekende beperkingen van gedeelde Microsoft Entra-accounts
Gedeelde Microsoft Entra-accounts kunnen geen pincode of iris gebruiken om zich aan te melden bij de huidige release, zelfs niet als ze zijn ingeschreven.
Conceptueel overzicht van gedeelde Microsoft Entra-accounts
Met dit proces kan een HoloLens-apparaat worden toegewezen aan een gebruikersaccount en zich aanmelden bij dat gebruikersaccount met referenties die zijn gekoppeld aan het apparaat en het apparaat alleen. In de afbeelding wordt het proces beschreven:
Intune heeft een SCEP-configuratieprofiel voor de SCEP-service.
Het apparaat wordt lid van Intune en ontvangt de profielgegevens.
Het apparaat neemt contact op met de SCEP-service en ontvangt een apparaatcertificaat met een UPN van HL-{Serial}@contoso.com.
Het apparaat meldt zich aan bij het corrosponding-gebruikersaccount in Entra ID, met behulp van het certificaat als MFA, om een naadloze aanmeldingservaring te bieden.
Het certificaat kan niet worden verwijderd/geëxporteerd van het apparaat en het gebruikersaccount is geconfigureerd zonder dat er een andere vorm van MFA beschikbaar is. Deze configuratie zorgt ervoor dat het gedeelde account alleen kan worden aangemeld door het HoloLens-apparaat.
Overzicht van de stappen voor het configureren van gedeelde Microsoft Entra-accounts
Er zijn meerdere opties beschikbaar voor het implementeren van SCEP-certificaten, waaronder Microsoft NDES en PKI. Voor HoloLens kan het eenvoudiger zijn om een Azure-service te gebruiken voor het afhandelen van certificaatinschrijving. Er zijn meerdere opties beschikbaar in de (Azure Marketplace, waarmee de configuraties voor gedeelde Microsft Entra-accounts van HoloLens kunnen worden geïsoleerd van uw zakelijke PKI.
De belangrijkste vereisten voor de SCEP-service zijn:
De service kan apparaatcertificaataanvragen van Microsoft Intune accepteren.
De service kan certificaten genereren met gedefinieerde EKU's (clientverificatie en smartcardaanmelding).
Het wordt ten zeerste aanbevolen om uw apparaten te configureren voor Autopilot. Autopilot vereenvoudigt de installatie van het apparaat voor eindgebruikers.
Uw Microsoft Entra-tenant configureren om Microsoft Entra CBA in te schakelen
Uw Microsoft Entra-tenant moet worden geconfigureerd om Microsoft Entra CBA in te schakelen voor een geselecteerde groep gebruikers.
Maak een Microsoft Entra groep die de gedeelde Microsoft Entra-accounts bevat. Als voorbeeld gebruiken we de naam 'SharedAccounts' voor deze groep.
Maak een Microsoft Entra groep die de gedeelde HoloLens-apparaten bevat. Als voorbeeld gebruiken we de naam SharedDevices voor deze groep. Aan deze groep worden later op apparaten gebaseerde Intune-configuratieprofielen toegewezen.
Voeg uw CA-certificaat (certificeringsinstantie) toe aan Microsoft Entra. Microsoft Entra ID staat clientcertificaten die zijn uitgegeven door deze CA toe om CBA uit te voeren.
Schakel CBA in voor de groep 'SharedAccounts'.
Configureer CBA zodanig dat het certificaat dat is uitgegeven door uw CA MFA gebruikt. Deze stap is om ervoor te zorgen dat gebruikers toegang hebben tot resources waarvoor MFA is vereist zonder een andere factor in te stellen.
Schakel certificaatbinding in via UserPrincipalName.
Intune-configuratie
Intune moet worden geconfigureerd voor het implementeren van de certificaten die nodig zijn voor Microsoft Entra CBA. Intune moet ook een configuratie implementeren om de apparaten te instrueren welke certificaten geldig zijn voor Microsoft Entra CBA.
Implementatie van clientcertificaten via SCEP
De apparaten moeten het juiste clientcertificaat hebben om Microsoft Entra CBA uit te voeren. Maak een SCEP-configuratie en wijs deze toe aan 'SharedDevices':
Certificaattype: Apparaat
Voeg een UPN (User Principal Name) Alternatieve onderwerpnaam (SAN) toe, waarbij de waarde de UPN is van het gedeelde account dat aan het apparaat is toegewezen. De UPN moet het serienummer van het apparaat bevatten om het aan een apparaat te koppelen. U kunt de Intune-variabele {{Device_Serial}} gebruiken om te verwijzen naar het serienummer van het apparaat. Voer bijvoorbeeld de waarde in van HL-{{Device_Serial}}@contoso.com als de gedeelde accounts een naamnotatie hebben van HL-123456789@contoso.com.
Sleutelopslagprovider (KSP): selecteer TPM vereisen, anders mislukt om ervoor te zorgen dat het certificaat niet kan worden geëxporteerd van het apparaat om ergens anders te worden gebruikt.
Zorg ervoor dat het certificaat ten minste de volgende EKU's (Extended Key Usages) heeft:
Smartcardaanmelding: 1.3.6.1.4.1.311.20.2.2
Clientverificatie: 1.3.6.1.5.5.7.3.2
U kunt andere EKU's aan deze lijst toevoegen om de certificaten die zijn toegestaan voor Microsoft Entra CBA verder te beperken. U moet deze EKU's toevoegen aan de XML voor het beleid ConfigureSharedAccount.
De apparaten moeten ook de CA vertrouwen die het clientcertificaat heeft uitgegeven. Maak een vertrouwde certificaatconfiguratie en wijs deze toe aan de groep SharedDevices. Met deze toewijzing wordt uw CA-certificaat geïmplementeerd op de apparaten. Zie documentatie: Vertrouwde certificaatprofielen maken in Microsoft Intune.
Beleid voorSharedAccount configureren
Dit beleid vertelt de apparaten welke certificaten geldig zijn om te worden gebruikt voor Microsoft Entra CBA. Maak een aangepast apparaatconfiguratiebeleid en wijs dit toe aan 'SharedDevices':
<SharedAccountConfiguration><SharedAccount><!--
TODO: Replace the example value below with your issuer certificate's thumbprint.
You may customize the restrictions for which certificates are displayed. See below.
--><IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint></SharedAccount></SharedAccountConfiguration>
U kunt de beperkingen aanpassen waarvoor certificaten worden weergegeven voor Microsoft Entra CBA. In het bovenstaande voorbeeld moet de vingerafdruk van het certificaat van de verlener overeenkomen met de opgegeven waarde. Het is ook mogelijk om de beperking toe te passen op basis van de naam van de verlener of meer beperkingen toe te passen op basis van EKU's (Extended Key Usages) op het certificaat. Zie ConfigureSharedAccount XML Examples (Xml-voorbeelden van ConfigureSharedAccount ) voor voorbeelden van het configureren van de XML.
Voordat u deze apparaatconfiguratie opslaat, valideert u de XML aan de hand van het schema dat is opgegeven in ConfigureSharedAccount XML Schema om ervoor te zorgen dat het goed is opgemaakt.
Configuratie van afzonderlijke apparaten
Voer de volgende stappen uit voor elk HoloLens-apparaat dat u wilt configureren voor gedeelde Microsoft Entra-accounts:
Maak een Microsoft Entra gebruiker in de indeling die is opgegeven in stap 2 van clientcertificaatimplementatie via SCEP. Bijvoorbeeld: HL-123456789@contoso.com.
Voeg die gebruiker toe aan de groep 'SharedAccounts'.
Zorg ervoor dat het apparaat is toegevoegd aan de groep SharedDevices. U moet uw apparaten eerst configureren voor Autopilot, zodat ze al aanwezig zijn in Microsoft Entra.
Zodra u de bovenstaande configuratie hebt voltooid, kunt u gedeelde Microsoft Entra-accounts uitproberen op HoloLens.
Als uw apparaat al is geconfigureerd voor Autopilot, neemt u het apparaat door de normale Autopilot-stroom. De benodigde apparaatconfiguraties worden toegepast tijdens Autopilot. Zodra de Autopilot-stroom is voltooid, ziet u het volgende scherm:
Tik op de knop Aanmelden om het gedeelde Microsoft Entra-account te gebruiken.
Problemen oplossen
Probleem: Het gedeelde Microsoft Entra-account wordt niet weergegeven op het aanmeldingsscherm.
Oplossing: Controleer eerst of het apparaat de juiste certificaten ontvangt. Open de certificaatbeheerder (Certificaatbeheer) en zorg ervoor dat zowel het clientcertificaat als de CA-certificaten zijn geïmplementeerd op het apparaat.
Zorg ervoor dat het clientcertificaat is geïnstalleerd in het archief 'Mijn' op 'Lokale computer'.
Als het certificaat aanwezig is, moet u ervoor zorgen dat het certificaat binnen de geldigheidsdatums de verwachte verlener en EKU's heeft:
Controleer vervolgens of de XML-beleidswaarde die u hebt toegepast op MixedReality/ConfigureSharedAccount, goed is opgemaakt. U kunt een van de vele XML-schemavalidators (XSD) online gebruiken om te controleren of uw XML voldoet aan het schema dat wordt beschreven in ConfigureSharedAccount XML Schema.
Vereisen dat het certificaat van de verlener een opgegeven vingerafdruk heeft en dat het clientcertificaat EKU's heeft met OID's 1.2.3.4.5.6 en 1.2.3.4.5.7:
Ontdek hoe Microsoft Entra Externe ID veilige, naadloze aanmeldingservaringen voor uw consumenten en zakelijke klanten kan bieden. Verken het maken van tenants, app-registratie, stroomaanpassing en accountbeveiliging.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.