Delen via

Gedeelde Microsoft Entra-accounts in HoloLens

  • Artikel

Gedeelde Microsoft Entra -accounts (voorheen Azure Active Directory) op HoloLens zijn normale Microsoft Entra gebruikersaccounts die zich kunnen aanmelden bij de HoloLens zonder referenties. Deze installatie is ideaal voor scenario's waarin aan de volgende voorwaarden wordt voldaan:

  • Meerdere personen delen dezelfde set HoloLens-apparaten
  • Toegang tot Microsoft Entra resources, zoals Dynamics 365 Guides inhoud, is vereist
  • Bijhouden wie het apparaat heeft gebruikt, is niet vereist.

Belangrijkste voordelen van het gebruik van gedeelde Microsoft Entra-accounts

  • Vereenvoudigde implementatie. Voorheen moest elk apparaat handmatig worden ingesteld voor het instellen van Microsoft Entra accounts die door meerdere personen waren gedeeld. Met gedeelde Microsoft Entra-accounts kunt u uw omgeving eenmaal configureren en automatisch implementeren op al uw apparaten als onderdeel van Autopilot.
  • Geweldige gebruikerservaring. Gebruikers van gedeelde Microsoft Entra-accounts hoeven geen referenties in te voeren om het apparaat te kunnen gebruiken. Tikken en wegwezen!
  • Toegang tot Microsoft Entra resources. Gebruikers van gedeelde Microsoft Entra-accounts krijgen eenvoudig toegang tot Microsoft Entra resources, zodat u een Remote Assist-oproep kunt starten of een Guide kunt openen zonder extra verificatie.

Belangrijk

Omdat gedeelde Microsoft Entra-accounts toegankelijk zijn op het HoloLens-apparaat zonder referenties in te voeren, moet u deze HoloLens-apparaten fysiek beveiligen, zodat alleen geautoriseerd personeel toegang heeft. U kunt deze accounts ook vergrendelen door beleid voor voorwaardelijke toegang toe te passen, selfservice voor wachtwoordherstel uit te schakelen en toegewezen toegangsprofielen te configureren voor de apparaten waarop deze accounts worden gebruikt.

Notitie

Omdat dit gedeelde accounts zijn, krijgen gebruikers die deze accounts gebruiken niet de gebruikelijke eerste aanmeldingsschermen te zien, waaronder pincode- en irisinschrijvingen, kennisgeving over het verzamelen van biometrische gegevens en verschillende toestemmingsschermen. U moet ervoor zorgen dat de juiste standaardinstellingen voor deze accounts zijn geconfigureerd via beleid (zie Gebruikers op HoloLens 2 snel instellen) en dat uw gebruikers op de hoogte zijn van deze standaardwaarden.

Bekende beperkingen van gedeelde Microsoft Entra-accounts

  • Gedeelde Microsoft Entra-accounts kunnen geen pincode of iris gebruiken om zich aan te melden bij de huidige release, zelfs niet als ze zijn ingeschreven.

Conceptueel overzicht van gedeelde Microsoft Entra-accounts

Met dit proces kan een HoloLens-apparaat worden toegewezen aan een gebruikersaccount en zich aanmelden bij dat gebruikersaccount met referenties die zijn gekoppeld aan het apparaat en het apparaat alleen. In de afbeelding wordt het proces beschreven:

Diagram van gedeeld account

  1. Intune heeft een SCEP-configuratieprofiel voor de SCEP-service.
  2. Het apparaat wordt lid van Intune en ontvangt de profielgegevens.
  3. Het apparaat neemt contact op met de SCEP-service en ontvangt een apparaatcertificaat met een UPN van HL-{Serial}@contoso.com.
  4. Het apparaat meldt zich aan bij het corrosponding-gebruikersaccount in Entra ID, met behulp van het certificaat als MFA, om een naadloze aanmeldingservaring te bieden.

Het certificaat kan niet worden verwijderd/geëxporteerd van het apparaat en het gebruikersaccount is geconfigureerd zonder dat er een andere vorm van MFA beschikbaar is. Deze configuratie zorgt ervoor dat het gedeelde account alleen kan worden aangemeld door het HoloLens-apparaat.

Overzicht van de stappen voor het configureren van gedeelde Microsoft Entra-accounts

Gedeelde Microsoft Entra-accounts op HoloLens worden geïmplementeerd als gewone Microsoft Entra gebruikersaccounts die zijn geconfigureerd voor Microsoft Entra verificatie op basis van certificaten (CBA).

Op hoog niveau omvat het configureren van gedeelde Microsoft Entra-accounts de volgende stappen:

  1. (Aanbevolen) Configureer uw doelapparaten om deel te nemen aan Microsoft Entra en in te schrijven bij Intune met behulp van Autopilot.
  2. Configureer uw Microsoft Entra-tenant om Microsoft Entra CBA in te schakelen voor een geselecteerde groep accounts.
  3. Configureer Microsoft Intune om apparaatconfiguraties toe te passen op een geselecteerde groep apparaten die:
    1. Implementeer clientcertificaten die worden gebruikt voor Microsoft Entra CBA op de apparaten via de SCEP-certificaatprofielen van Intune.
    2. Ca-certificaat implementeren zodat de apparaten de verlener van de clientcertificaten vertrouwen.
    3. Implementeer de configuratie van een gedeeld account en geef aan het apparaat welke certificaten geldig zijn voor Microsoft Entra CBA.
  4. Bereidt afzonderlijke apparaten voor op gedeelde Microsoft Entra-accounts.

Vereisten

Ondersteuning voor gedeelde Microsoft Entra-accounts is beschikbaar vanaf Insider Preview voor Microsoft HoloLens build 10.0.22621.1217.

Naast dat het vereiste besturingssysteem op uw HoloLens moet worden gebouwd, moet u ook voldoen aan de vereisten voor Microsoft Entra CBA (Microsoft Entra verificatie op basis van certificaten configureren).

Ten slotte hebt u toegang nodig tot Microsoft Intune om apparaatconfiguraties en clientcertificaten te implementeren. Zie Meer informatie over de typen certificaten die worden ondersteund door Microsoft Intune voor de vereiste infrastructuur voor het implementeren van clientcertificaten via Intune. In dit voorbeeld gebruiken we SCEP-certificaten.

Notitie

Er zijn meerdere opties beschikbaar voor het implementeren van SCEP-certificaten, waaronder Microsoft NDES en PKI. Voor HoloLens kan het eenvoudiger zijn om een Azure-service te gebruiken voor het afhandelen van certificaatinschrijving. Er zijn meerdere opties beschikbaar in de (Azure Marketplace, waarmee de configuraties voor gedeelde Microsft Entra-accounts van HoloLens kunnen worden geïsoleerd van uw zakelijke PKI.

De belangrijkste vereisten voor de SCEP-service zijn:

  1. De service kan apparaatcertificaataanvragen van Microsoft Intune accepteren.
  2. De service kan certificaten genereren met gedefinieerde EKU's (clientverificatie en smartcardaanmelding).

Het wordt ten zeerste aanbevolen om uw apparaten te configureren voor Autopilot. Autopilot vereenvoudigt de installatie van het apparaat voor eindgebruikers.

Uw Microsoft Entra-tenant configureren om Microsoft Entra CBA in te schakelen

Uw Microsoft Entra-tenant moet worden geconfigureerd om Microsoft Entra CBA in te schakelen voor een geselecteerde groep gebruikers.

  1. Maak een Microsoft Entra groep die de gedeelde Microsoft Entra-accounts bevat. Als voorbeeld gebruiken we de naam 'SharedAccounts' voor deze groep.
  2. Maak een Microsoft Entra groep die de gedeelde HoloLens-apparaten bevat. Als voorbeeld gebruiken we de naam SharedDevices voor deze groep. Aan deze groep worden later op apparaten gebaseerde Intune-configuratieprofielen toegewezen.
  3. Schakel Microsoft Entra verificatie op basis van certificaten (CBA) in voor de groep SharedAccounts. Zie How to configure Microsoft Entra certificate-based authentication (Verificatie op basis van certificaten configureren) voor een volledige stapsgewijze handleiding. De volgende stappen op hoog niveau zijn nodig om dit in te stellen:
    1. Voeg uw CA-certificaat (certificeringsinstantie) toe aan Microsoft Entra. Microsoft Entra ID staat clientcertificaten die zijn uitgegeven door deze CA toe om CBA uit te voeren.
    2. Schakel CBA in voor de groep 'SharedAccounts'.
    3. Configureer CBA zodanig dat het certificaat dat is uitgegeven door uw CA MFA gebruikt. Deze stap is om ervoor te zorgen dat gebruikers toegang hebben tot resources waarvoor MFA is vereist zonder een andere factor in te stellen.
    4. Schakel certificaatbinding in via UserPrincipalName.

Intune-configuratie

Intune moet worden geconfigureerd voor het implementeren van de certificaten die nodig zijn voor Microsoft Entra CBA. Intune moet ook een configuratie implementeren om de apparaten te instrueren welke certificaten geldig zijn voor Microsoft Entra CBA.

Implementatie van clientcertificaten via SCEP

De apparaten moeten het juiste clientcertificaat hebben om Microsoft Entra CBA uit te voeren. Maak een SCEP-configuratie en wijs deze toe aan 'SharedDevices':

  1. Certificaattype: Apparaat

  2. Voeg een UPN (User Principal Name) Alternatieve onderwerpnaam (SAN) toe, waarbij de waarde de UPN is van het gedeelde account dat aan het apparaat is toegewezen. De UPN moet het serienummer van het apparaat bevatten om het aan een apparaat te koppelen. U kunt de Intune-variabele {{Device_Serial}} gebruiken om te verwijzen naar het serienummer van het apparaat. Voer bijvoorbeeld de waarde in van HL-{{Device_Serial}}@contoso.com als de gedeelde accounts een naamnotatie hebben van HL-123456789@contoso.com.

  3. Sleutelopslagprovider (KSP): selecteer TPM vereisen, anders mislukt om ervoor te zorgen dat het certificaat niet kan worden geëxporteerd van het apparaat om ergens anders te worden gebruikt.

  4. Zorg ervoor dat het certificaat ten minste de volgende EKU's (Extended Key Usages) heeft:

    • Smartcardaanmelding: 1.3.6.1.4.1.311.20.2.2
    • Clientverificatie: 1.3.6.1.5.5.7.3.2

    U kunt andere EKU's aan deze lijst toevoegen om de certificaten die zijn toegestaan voor Microsoft Entra CBA verder te beperken. U moet deze EKU's toevoegen aan de XML voor het beleid ConfigureSharedAccount.

Voorbeeld van SCEP-configuratie

Zie SCEP-certificaatprofielen gebruiken met Microsoft Intune voor gedetailleerde stappen voor het configureren van SCEP in Intune.

CA-certificaatimplementatie

De apparaten moeten ook de CA vertrouwen die het clientcertificaat heeft uitgegeven. Maak een vertrouwde certificaatconfiguratie en wijs deze toe aan de groep SharedDevices. Met deze toewijzing wordt uw CA-certificaat geïmplementeerd op de apparaten. Zie documentatie: Vertrouwde certificaatprofielen maken in Microsoft Intune.

Beleid voorSharedAccount configureren

Dit beleid vertelt de apparaten welke certificaten geldig zijn om te worden gebruikt voor Microsoft Entra CBA. Maak een aangepast apparaatconfiguratiebeleid en wijs dit toe aan 'SharedDevices':

Beleid Gegevenstype
./Vendor/MSFT/Policy/Config/MixedReality/ConfigureSharedAccount Tekenreeks of tekenreeks (XML-bestand)

Voorbeeldconfiguratie:

<SharedAccountConfiguration>
    <SharedAccount>
        <!--
          TODO: Replace the example value below with your issuer certificate's thumbprint.
          You may customize the restrictions for which certificates are displayed. See below.
        -->
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

U kunt de beperkingen aanpassen waarvoor certificaten worden weergegeven voor Microsoft Entra CBA. In het bovenstaande voorbeeld moet de vingerafdruk van het certificaat van de verlener overeenkomen met de opgegeven waarde. Het is ook mogelijk om de beperking toe te passen op basis van de naam van de verlener of meer beperkingen toe te passen op basis van EKU's (Extended Key Usages) op het certificaat. Zie ConfigureSharedAccount XML Examples (Xml-voorbeelden van ConfigureSharedAccount ) voor voorbeelden van het configureren van de XML.

Voordat u deze apparaatconfiguratie opslaat, valideert u de XML aan de hand van het schema dat is opgegeven in ConfigureSharedAccount XML Schema om ervoor te zorgen dat het goed is opgemaakt.

Configuratie van afzonderlijke apparaten

Voer de volgende stappen uit voor elk HoloLens-apparaat dat u wilt configureren voor gedeelde Microsoft Entra-accounts:

  1. Maak een Microsoft Entra gebruiker in de indeling die is opgegeven in stap 2 van clientcertificaatimplementatie via SCEP. Bijvoorbeeld: HL-123456789@contoso.com.
  2. Voeg die gebruiker toe aan de groep 'SharedAccounts'.
  3. Zorg ervoor dat het apparaat is toegevoegd aan de groep SharedDevices. U moet uw apparaten eerst configureren voor Autopilot, zodat ze al aanwezig zijn in Microsoft Entra.

Zie Voorbeeld van apparaatinstallatiescript voor een voorbeeld van een PowerShell-script dat kan worden gebruikt om dit proces te automatiseren.

Uw configuratie testen

Zodra u de bovenstaande configuratie hebt voltooid, kunt u gedeelde Microsoft Entra-accounts uitproberen op HoloLens.

Als uw apparaat al is geconfigureerd voor Autopilot, neemt u het apparaat door de normale Autopilot-stroom. De benodigde apparaatconfiguraties worden toegepast tijdens Autopilot. Zodra de Autopilot-stroom is voltooid, ziet u het volgende scherm:

Aanmeldingsscherm met gedeeld account

Tik op de knop Aanmelden om het gedeelde Microsoft Entra-account te gebruiken.

Problemen oplossen

Probleem: Het gedeelde Microsoft Entra-account wordt niet weergegeven op het aanmeldingsscherm.

Oplossing: Controleer eerst of het apparaat de juiste certificaten ontvangt. Open de certificaatbeheerder (Certificaatbeheer) en zorg ervoor dat zowel het clientcertificaat als de CA-certificaten zijn geïmplementeerd op het apparaat.

Zorg ervoor dat het clientcertificaat is geïnstalleerd in het archief 'Mijn' op 'Lokale computer'.

Certificaatbeheerder met de locatie van het certificaat

Als het certificaat niet aanwezig is, volgt u de stappen voor probleemoplossing voor Intune SCEP-profielen.

Als het certificaat aanwezig is, moet u ervoor zorgen dat het certificaat binnen de geldigheidsdatums de verwachte verlener en EKU's heeft:

Certificaatbeheer met eigenschappen van certificaat

Controleer vervolgens of de XML-beleidswaarde die u hebt toegepast op MixedReality/ConfigureSharedAccount, goed is opgemaakt. U kunt een van de vele XML-schemavalidators (XSD) online gebruiken om te controleren of uw XML voldoet aan het schema dat wordt beschreven in ConfigureSharedAccount XML Schema.

Probleem: de aanmeldingspoging mislukt.

Oplossing: Controleer of u CBA correct hebt geconfigureerd volgens de instructies in Microsoft Entra verificatie op basis van certificaten configureren. Bekijk ook de veelgestelde vragen over Microsoft Entra veelgestelde vragen over verificatie op basis van certificaten (CBA). Soms kan het handig zijn om eerst deze stappen voor foutopsporing uit te voeren op een Windows-desktopapparaat: Aanmelden met Windows-smartcard met behulp van Microsoft Entra verificatie op basis van certificaten.

Referenties

ConfigureSharedAccount XML Schema

<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <xsd:element name="SharedAccountConfiguration">
    <xsd:complexType mixed="true">
      <xsd:sequence>
        <xsd:element minOccurs="1" maxOccurs="1" name="SharedAccount">
          <xsd:complexType>
            <xsd:sequence>
              <xsd:choice>
                <xsd:element name="IssuerThumbprint">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="40" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
                <xsd:element name="IssuerName">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="512" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
              </xsd:choice>
              <xsd:element minOccurs="0" maxOccurs="1" name="EkuOidRequirements">
                <xsd:complexType>
                  <xsd:sequence>
                    <xsd:element maxOccurs="5" name="Oid">
                      <xsd:simpleType>
                        <xsd:restriction base="xsd:string">
                          <xsd:maxLength value="100" />
                        </xsd:restriction>
                      </xsd:simpleType>
                    </xsd:element>
                  </xsd:sequence>
                </xsd:complexType>
              </xsd:element>
            </xsd:sequence>
          </xsd:complexType>
        </xsd:element>
      </xsd:sequence>
    </xsd:complexType>
  </xsd:element>
</xsd:schema>

Xml-voorbeelden van ConfigureSharedAccount

Vereisen dat het certificaat van de verlener het onderwerp CN=yourCA, DC=Test heeft:

<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerName>CN=yourCA, DC=Test</IssuerName>
    </SharedAccount>
</SharedAccountConfiguration>

Vereisen dat het certificaat van de verlener een opgegeven vingerafdruk heeft:

<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Vereisen dat het certificaat van de verlener een opgegeven vingerafdruk heeft en dat het clientcertificaat EKU's heeft met OID's 1.2.3.4.5.6 en 1.2.3.4.5.7:

<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
        <EkuOidRequirements>
            <Oid>1.2.3.4.5.6</Oid>
            <Oid>1.2.3.4.5.7</Oid>
        </EkuOidRequirements>
    </SharedAccount>
</SharedAccountConfiguration>

EKU's 1.3.6.1.4.1.311.20.2.2 (Smartcardaanmelding) en 1.3.6.1.5.5.7.3.2 (clientverificatie) zijn altijd vereist, ongeacht of ze in deze lijst staan.

Voorbeeld van een installatiescript voor apparaten

Voordat u dit voorbeeldscript voor het instellen van een apparaat gebruikt, moet u verwijzingen wijzigen van 'contoso' in uw domeinnaam.

<#
.Synopsis
Configures a device for shared account

.Description
This script configures a device for shared account.

Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.

.Example
.\ConfigureSharedDevice.ps1 400064793157
#>


param (
    [Parameter(Mandatory = $true)]
    [string]
    # Serial number of the device. Typically a 12-digit numeric string.
    $DeviceSerialNumber,
    [string]
    # Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com
    $SharedAccountGroupId,
    [string]
    # Group ID of the group that contains the shared devices
    $SharedDeviceGroupId
)

function Install-Dependencies {
    Write-Host -Foreground Cyan "Installing Dependencies..."

    if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
        Write-Host -Foreground Cyan "Installing Microsoft.Graph"
        Install-Module Microsoft.Graph -Scope CurrentUser -Repository 'PSGallery'
    }

    Write-Host -Foreground Cyan "Installing Dependencies... Done"
}

function New-PasswordString {
    $alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'
    $length = 40
    $password = ""
    for ($i = 0; $i -lt $length; $i++) {
        $password += $alphabet[(Get-Random -Minimum 0 -Maximum $alphabet.Length)]
    }

    return $password
}

function New-SharedUser {
    param (
        $UserName,
        $DisplayName
    )

    # Does user already exist?
    $searchResult = Get-MgUser -Count 1 -ConsistencyLevel eventual -Search "`"UserPrincipalName:$UserName`""

    if ($searchResult.Count -gt 0) {
        Write-Host -Foreground Cyan "$UserName exists, using existing user."
        return $searchResult
    }

    $mailNickName = $UserName.Split('@')[0];

    Write-Host -Foreground Cyan "Creating $UserName"

    $passwordProfile = @{
        Password = New-PasswordString
    }

    return New-MgUser -AccountEnabled -DisplayName $DisplayName -Country US -UsageLocation US -MailNickname $mailNickName -UserPrincipalName $UserName -PasswordProfile $passwordProfile
}

function New-SharedUserForDevice {
    param (
        $DeviceSerialNumber
    )

    $userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"
    $displayName = "Shared HoloLens"

    return New-SharedUser -UserName $userName -DisplayName $displayName
}

function Add-UserToGroup {
    param (
        $UserId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find user group"
    }

    Write-Host -Foreground Cyan "Adding user ($UserId) to group"
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $UserId
}

function Get-DeviceAADId {
    param (
        $DeviceSerialNumber
    )

    $deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq $DeviceSerialNumber }

    if ($deviceResult.Count -eq 0) {
        throw "Cannot find device with serial number $DeviceSerialNumber in Intune"
    }

    $result = ($deviceResult | Select-Object -First 1).AzureAdDeviceId

    Write-Host "Found device: $result"

    return $result
}

function Add-DeviceToGroup {
    param (
        $DeviceAADId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find device group"
    }

    $deviceResult = Get-MgDevice -Count 1 -ConsistencyLevel eventual -Search "`"DeviceId:$DeviceAADId`""
    if ($deviceResult.Count -eq 0) {
        throw "Failed to find device $DeviceAADId"
    }

    Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"
    
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $deviceResult.Id
}

function Register-SharedDevice {
    param (
        $DeviceSerialNumber
    )

    Install-Dependencies

    Connect-MgGraph -Scopes "User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"

    $deviceAADId = Get-DeviceAADId $DeviceSerialNumber
    Add-DeviceToGroup $deviceAADId $SharedDeviceGroupId

    $user = New-SharedUserForDevice $DeviceSerialNumber
    Add-UserToGroup $user.Id $SharedAccountGroupId
}

Register-SharedDevice $DeviceSerialNumber