Udostępnione konta Microsoft Entra na urządzeniu HoloLens
Artykuł
Konta udostępnione Microsoft Entra (dawniej Azure Active Directory) na urządzeniu HoloLens to zwykłe konta użytkowników Microsoft Entra, które mogą logować się do urządzenia HoloLens bez konieczności poświadczeń. Ta konfiguracja jest idealna w przypadku scenariuszy, w których spełnione są następujące warunki:
Wiele osób ma ten sam zestaw urządzeń HoloLens
Wymagany jest dostęp do zasobów Microsoft Entra, takich jak zawartość przewodników Dynamics 365
Śledzenie, kto używał urządzenia, nie jest wymagane.
Najważniejsze korzyści wynikające z używania udostępnionych kont Microsoft Entra
Uproszczone wdrażanie. Wcześniej konfigurowanie kont Microsoft Entra współużytkowanych przez wiele osób wymagało ręcznego skonfigurowania każdego urządzenia. Udostępnione konta Microsoft Entra umożliwiają skonfigurowanie środowiska raz i automatycznie wdróż je na dowolnych urządzeniach w ramach rozwiązania Autopilot.
Doskonałe środowisko użytkownika. Użytkownicy udostępnionych kont Microsoft Entra nie muszą wprowadzać żadnych poświadczeń, aby rozpocząć korzystanie z urządzenia. Naciśnij i przejdź!
Dostęp do Microsoft Entra zasobów. Użytkownicy udostępnionych kont Microsoft Entra mają łatwy dostęp do Microsoft Entra zasobów, dzięki czemu można uruchomić połączenie z pomocą zdalną lub otworzyć przewodnik bez dodatkowego uwierzytelniania.
Ważne
Ponieważ dostęp do udostępnionych kont Microsoft Entra można uzyskać na urządzeniu HoloLens bez wprowadzania poświadczeń, należy fizycznie zabezpieczyć te urządzenia HoloLens, aby tylko autoryzowani pracownicy mieli dostęp. Możesz również zablokować te konta, stosując zasady dostępu warunkowego, wyłączając samoobsługowe resetowanie haseł i konfigurując przypisane profile dostępu do urządzeń, na których są używane te konta.
Uwaga
Ponieważ są to konta udostępnione, użytkownicy korzystający z tych kont nie są wyświetlani typowych ekranów konfiguracji pierwszego logowania, w tym numerów PIN i irysów, powiadomień o zbieraniu danych biometrycznych i różnych ekranach zgody. Upewnij się, że odpowiednie ustawienia domyślne są skonfigurowane dla tych kont za pośrednictwem zasad (zobacz Konfigurowanie użytkowników na HoloLens 2 szybko) i że użytkownicy wiedzą o tych wartościach domyślnych.
Znane ograniczenia kont Microsoft Entra udostępnionych
Konta udostępnione Microsoft Entra nie mogą używać numeru PIN lub tęczówki do logowania się w bieżącej wersji, nawet jeśli zostały zarejestrowane.
Koncepcyjne omówienie udostępnionych kont Microsoft Entra
Ten proces umożliwia przydzielenie konta użytkownika urządzenia HoloLens i zalogowanie się do tego konta użytkownika przy użyciu poświadczeń połączonych z urządzeniem i samego urządzenia. Obraz opisuje proces:
Usługa Intune ma profil konfiguracji protokołu SCEP dla usługi SCEP.
Urządzenie dołącza do usługi Intune i odbiera informacje o profilu.
Urządzenie kontaktuje się z usługą SCEP i odbiera certyfikat urządzenia z nazwą UPN .HL-{Serial}@contoso.com
Urządzenie loguje się do konta użytkownika korospondowania w usłudze Entra ID przy użyciu certyfikatu jako uwierzytelniania wieloskładnikowego, aby zapewnić bezproblemowe logowanie.
Nie można usunąć/wyeksportować certyfikatu z urządzenia, a konto użytkownika jest skonfigurowane bez innej formy avaialable uwierzytelniania wieloskładnikowego. Ta konfiguracja gwarantuje, że konto udostępnione może być rejestrowane tylko przez urządzenie HoloLens.
Omówienie kroków konfigurowania udostępnionych kont Microsoft Entra
Dostępnych jest wiele opcji wdrażania certyfikatów SCEP, w tym usługi Microsoft NDES i PKI. W przypadku urządzenia HoloLens łatwiej jest użyć usługi platformy Azure do obsługi rejestracji certyfikatów. W programie (Azure Marketplace dostępnych jest wiele opcji, dzięki czemu konfiguracje udostępnionych kont mikrosft Entra dla urządzenia HoloLens mogą być odizolowane od firmowej infrastruktury kluczy publicznych.
Najważniejsze wymagania dotyczące usługi SCEP to:
Usługa może akceptować żądania certyfikatów urządzeń z Microsoft Intune.
Usługa może generować certyfikaty ze zdefiniowanymi kluczami EKU (uwierzytelnianie klienta i logowanie karty inteligentnej).
Zdecydowanie zaleca się skonfigurowanie urządzeń na potrzeby rozwiązania Autopilot. Rozwiązanie Autopilot upraszcza konfigurowanie urządzeń dla użytkowników końcowych.
Konfigurowanie dzierżawy Microsoft Entra w celu włączenia Microsoft Entra CBA
Dzierżawa Microsoft Entra musi być skonfigurowana w celu włączenia Microsoft Entra CBA dla wybranej grupy użytkowników.
Utwórz grupę Microsoft Entra zawierającą udostępnione konta Microsoft Entra. Na przykład używamy nazwy "SharedAccounts" dla tej grupy.
Utwórz grupę Microsoft Entra zawierającą udostępnione urządzenia HoloLens. Na przykład używamy nazwy "SharedDevices" dla tej grupy. Ta grupa zostanie później przypisana do profilów konfiguracji usługi Intune opartych na urządzeniach.
Dodaj certyfikat urzędu certyfikacji (urząd certyfikacji) do Microsoft Entra. Tożsamość Microsoft Entra umożliwia certyfikaty klienta wystawione przez ten urząd certyfikacji do wykonywania cba.
Włącz cba dla grupy "SharedAccounts".
Skonfiguruj usługę CBA tak, aby certyfikat wystawiony przez urząd certyfikacji używał uwierzytelniania wieloskładnikowego. Ten krok polega na upewnieniu się, że użytkownicy mogą uzyskiwać dostęp do zasobów wymagających uwierzytelniania wieloskładnikowego bez konfigurowania innego czynnika.
Włącz powiązanie certyfikatu za pomocą atrybutu UserPrincipalName.
Konfiguracja usługi Intune
Usługa Intune musi być skonfigurowana do wdrażania certyfikatów niezbędnych do Microsoft Entra CBA. Usługa Intune musi również wdrożyć konfigurację, aby poinstruować urządzenia, które certyfikaty są prawidłowe dla Microsoft Entra CBA.
Wdrażanie certyfikatu klienta za pośrednictwem protokołu SCEP
Urządzenia muszą mieć odpowiedni certyfikat klienta do wykonania Microsoft Entra CBA. Utwórz konfigurację protokołu SCEP i przypisz ją do "SharedDevices":
Typ certyfikatu: Urządzenie
Dodaj główną nazwę użytkownika (UPN) alternatywną nazwę podmiotu (SAN), w której wartość jest nazwą UPN udostępnionego konta przypisanego do urządzenia. Nazwa UPN musi zawierać numer seryjny urządzenia, aby skojarzyć go z urządzeniem. Aby odwołać się do numeru seryjnego urządzenia, możesz użyć zmiennej usługi Intune {{Device_Serial}} . Na przykład wprowadź wartość HL-{{Device_Serial}}@contoso.com , jeśli konta udostępnione mają format HL-123456789@contoso.comnazwy .
Dostawca magazynu kluczy (KSP): wybierz pozycję "Wymagaj modułu TPM, w przeciwnym razie nie powiedzie się", aby upewnić się, że nie można wyeksportować certyfikatu z urządzenia do użycia w innym miejscu.
Upewnij się, że certyfikat ma co najmniej następujące rozszerzone użycie kluczy (EKU):
Logowanie za pomocą karty inteligentnej: 1.3.6.1.4.1.311.20.2.2
Uwierzytelnianie klienta: 1.3.6.1.5.5.7.3.2
Możesz dodać inne EKU do tej listy, aby dodatkowo ograniczyć certyfikaty dozwolone dla Microsoft Entra CBA. Należy dodać te EKU do pliku XML dla zasad ConfigureSharedAccount.
Urządzenia muszą również ufać urzędowi certyfikacji, który wystawił certyfikat klienta. Utwórz konfigurację zaufanego certyfikatu i przypisz ją do grupy "SharedDevices". To przypisanie służy do wdrażania certyfikatu urzędu certyfikacji na urządzeniach. Zobacz dokumentację: Tworzenie profilów zaufanych certyfikatów w Microsoft Intune.
Konfigurowanie zasadSharedAccount
Te zasady informują urządzenia, które certyfikaty są prawidłowe do użycia w usłudze Microsoft Entra CBA. Utwórz niestandardowe zasady konfiguracji urządzenia i przypisz je do "SharedDevices":
<SharedAccountConfiguration><SharedAccount><!--
TODO: Replace the example value below with your issuer certificate's thumbprint.
You may customize the restrictions for which certificates are displayed. See below.
--><IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint></SharedAccount></SharedAccountConfiguration>
Możesz dostosować ograniczenia dotyczące certyfikatów wyświetlanych dla Microsoft Entra CBA. Powyższy przykład wymaga, aby odcisk palca certyfikatu wystawcy był zgodny z podaną wartością. Istnieje również możliwość zastosowania ograniczenia na podstawie nazwy wystawcy lub zastosowania większej liczby ograniczeń w oparciu o rozszerzone użycie klucza (EKU) w certyfikacie. Zobacz ConfigureSharedAccount XML Examples (Przykłady kodu XML ConfigureSharedAccount ), aby zapoznać się z przykładami konfigurowania kodu XML.
Upewnij się, że urządzenie zostało dodane do grupy "SharedDevices". Najpierw należy skonfigurować urządzenia na potrzeby rozwiązania Autopilot, aby były już obecne w Microsoft Entra.
Po zakończeniu powyższej konfiguracji możesz wypróbować udostępnione konta Microsoft Entra na urządzeniu HoloLens!
Jeśli urządzenie jest już skonfigurowane dla rozwiązania Autopilot, przejmij je za pomocą normalnego przepływu rozwiązania Autopilot. Podczas korzystania z rozwiązania Autopilot są stosowane niezbędne konfiguracje urządzeń. Po zakończeniu przepływu rozwiązania Autopilot zostanie wyświetlony następujący ekran:
Naciśnij przycisk "Zaloguj się", aby rozpocząć korzystanie z udostępnionego konta Microsoft Entra.
Rozwiązywanie problemów
Problem: Konto udostępnione Microsoft Entra nie jest wyświetlane na ekranie logowania!
Rozwiązanie: Najpierw sprawdź, czy urządzenie otrzymuje prawidłowe certyfikaty. Otwórz menedżera certyfikatów (Menedżera certyfikatów) i upewnij się, że zarówno certyfikat klienta, jak i certyfikaty urzędu certyfikacji zostały pomyślnie wdrożone na urządzeniu.
W przypadku certyfikatu klienta upewnij się, że jest on zainstalowany w magazynie "Mój" na maszynie lokalnej.
Jeśli certyfikat jest obecny, upewnij się, że certyfikat mieści się w datach ważności ma oczekiwanego wystawcę i EKU:
Następnie upewnij się, że wartość zasad XML zastosowana do elementu MixedReality/ConfigureSharedAccount jest poprawnie sformułowana. Możesz użyć jednego z wielu modułów sprawdzania poprawności schematu XML (XSD) w trybie online, aby sprawdzić, czy kod XML jest zgodny ze schematem opisanym w temacie ConfigureSharedAccount XML Schema (ConfigureSharedAccount XML Schema).
Problem: Próba logowania kończy się niepowodzeniem!
EKU 1.3.6.1.4.1.311.20.2.2 (logowanie za pomocą karty inteligentnej) i 1.3.6.1.5.5.7.3.2 (Uwierzytelnianie klienta) są zawsze wymagane niezależnie od tego, czy znajdują się na tej liście.
Przykładowy skrypt konfiguracji urządzenia
Przed użyciem tego przykładowego skryptu konfiguracji urządzenia należy zmienić odwołania z "contoso" na nazwę domeny.
PowerShell
<#
.Synopsis
Configures a device for shared account
.Description
This script configures a device for shared account.
Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.
.Example
.\ConfigureSharedDevice.ps1 400064793157
#>param (
[Parameter(Mandatory = $true)]
[string]
# Serial number of the device. Typically a 12-digit numeric string.$DeviceSerialNumber,
[string]
# Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com$SharedAccountGroupId,
[string]
# Group ID of the group that contains the shared devices$SharedDeviceGroupId
)
functionInstall-Dependencies {
Write-Host -Foreground Cyan "Installing Dependencies..."if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
Write-Host -Foreground Cyan "Installing Microsoft.Graph"Install-Module Microsoft.Graph -Scope CurrentUser -Repository'PSGallery'
}
Write-Host -Foreground Cyan "Installing Dependencies... Done"
}
functionNew-PasswordString {
$alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'$length = 40$password = ""for ($i = 0; $i -lt$length; $i++) {
$password += $alphabet[(Get-Random -Minimum0 -Maximum$alphabet.Length)]
}
return$password
}
functionNew-SharedUser {
param (
$UserName,
$DisplayName
)
# Does user already exist?$searchResult = Get-MgUser -Count1 -ConsistencyLevel eventual -Search"`"UserPrincipalName:$UserName`""if ($searchResult.Count -gt0) {
Write-Host -Foreground Cyan "$UserName exists, using existing user."return$searchResult
}
$mailNickName = $UserName.Split('@')[0];
Write-Host -Foreground Cyan "Creating $UserName"$passwordProfile = @{
Password = New-PasswordString
}
returnNew-MgUser -AccountEnabled -DisplayName$DisplayName -Country US -UsageLocation US -MailNickname$mailNickName -UserPrincipalName$UserName -PasswordProfile$passwordProfile
}
functionNew-SharedUserForDevice {
param (
$DeviceSerialNumber
)
$userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"$displayName = "Shared HoloLens"returnNew-SharedUser -UserName$userName -DisplayName$displayName
}
functionAdd-UserToGroup {
param (
$UserId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find user group"
}
Write-Host -Foreground Cyan "Adding user ($UserId) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$UserId
}
functionGet-DeviceAADId {
param (
$DeviceSerialNumber
)
$deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq$DeviceSerialNumber }
if ($deviceResult.Count -eq0) {
throw"Cannot find device with serial number $DeviceSerialNumber in Intune"
}
$result = ($deviceResult | Select-Object -First1).AzureAdDeviceId
Write-Host"Found device: $result"return$result
}
functionAdd-DeviceToGroup {
param (
$DeviceAADId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find device group"
}
$deviceResult = Get-MgDevice -Count1 -ConsistencyLevel eventual -Search"`"DeviceId:$DeviceAADId`""if ($deviceResult.Count -eq0) {
throw"Failed to find device $DeviceAADId"
}
Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$deviceResult.Id
}
functionRegister-SharedDevice {
param (
$DeviceSerialNumber
)
Install-DependenciesConnect-MgGraph -Scopes"User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"$deviceAADId = Get-DeviceAADId$DeviceSerialNumberAdd-DeviceToGroup$deviceAADId$SharedDeviceGroupId$user = New-SharedUserForDevice$DeviceSerialNumberAdd-UserToGroup$user.Id $SharedAccountGroupId
}
Register-SharedDevice$DeviceSerialNumber
Dowiedz się, jak Tożsamość zewnętrzna Microsoft Entra zapewnia bezpieczne, bezproblemowe środowiska logowania dla klientów biznesowych i konsumentów. Zapoznaj się z tworzeniem dzierżawy, rejestracją aplikacji, dostosowywaniem przepływu i zabezpieczeniami konta.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.