Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Udostępnione konta Microsoft Entra na urządzeniu HoloLens

Konta udostępnione Microsoft Entra (dawniej Azure Active Directory) na urządzeniu HoloLens to zwykłe konta użytkowników Microsoft Entra, które mogą logować się do urządzenia HoloLens bez konieczności poświadczeń. Ta konfiguracja jest idealna w przypadku scenariuszy, w których spełnione są następujące warunki:

  • Wiele osób ma ten sam zestaw urządzeń HoloLens
  • Wymagany jest dostęp do zasobów Microsoft Entra, takich jak zawartość przewodników Dynamics 365
  • Śledzenie, kto używał urządzenia, nie jest wymagane.

Najważniejsze korzyści wynikające z używania udostępnionych kont Microsoft Entra

  • Uproszczone wdrażanie. Wcześniej konfigurowanie kont Microsoft Entra współużytkowanych przez wiele osób wymagało ręcznego skonfigurowania każdego urządzenia. Udostępnione konta Microsoft Entra umożliwiają skonfigurowanie środowiska raz i automatycznie wdróż je na dowolnych urządzeniach w ramach rozwiązania Autopilot.
  • Doskonałe środowisko użytkownika. Użytkownicy udostępnionych kont Microsoft Entra nie muszą wprowadzać żadnych poświadczeń, aby rozpocząć korzystanie z urządzenia. Naciśnij i przejdź!
  • Dostęp do Microsoft Entra zasobów. Użytkownicy udostępnionych kont Microsoft Entra mają łatwy dostęp do Microsoft Entra zasobów, dzięki czemu można uruchomić połączenie z pomocą zdalną lub otworzyć przewodnik bez dodatkowego uwierzytelniania.

Ważne

Ponieważ dostęp do udostępnionych kont Microsoft Entra można uzyskać na urządzeniu HoloLens bez wprowadzania poświadczeń, należy fizycznie zabezpieczyć te urządzenia HoloLens, aby tylko autoryzowani pracownicy mieli dostęp. Możesz również zablokować te konta, stosując zasady dostępu warunkowego, wyłączając samoobsługowe resetowanie haseł i konfigurując przypisane profile dostępu do urządzeń, na których są używane te konta.

Uwaga

Ponieważ są to konta udostępnione, użytkownicy korzystający z tych kont nie są wyświetlani typowych ekranów konfiguracji pierwszego logowania, w tym numerów PIN i irysów, powiadomień o zbieraniu danych biometrycznych i różnych ekranach zgody. Upewnij się, że odpowiednie ustawienia domyślne są skonfigurowane dla tych kont za pośrednictwem zasad (zobacz Konfigurowanie użytkowników na HoloLens 2 szybko) i że użytkownicy wiedzą o tych wartościach domyślnych.

Znane ograniczenia kont Microsoft Entra udostępnionych

  • Konta udostępnione Microsoft Entra nie mogą używać numeru PIN lub tęczówki do logowania się w bieżącej wersji, nawet jeśli zostały zarejestrowane.

Koncepcyjne omówienie udostępnionych kont Microsoft Entra

Ten proces umożliwia przydzielenie konta użytkownika urządzenia HoloLens i zalogowanie się do tego konta użytkownika przy użyciu poświadczeń połączonych z urządzeniem i samego urządzenia. Obraz opisuje proces:

Diagram współużytkowanego konta

  1. Usługa Intune ma profil konfiguracji protokołu SCEP dla usługi SCEP.
  2. Urządzenie dołącza do usługi Intune i odbiera informacje o profilu.
  3. Urządzenie kontaktuje się z usługą SCEP i odbiera certyfikat urządzenia z nazwą UPN .HL-{Serial}@contoso.com
  4. Urządzenie loguje się do konta użytkownika korospondowania w usłudze Entra ID przy użyciu certyfikatu jako uwierzytelniania wieloskładnikowego, aby zapewnić bezproblemowe logowanie.

Nie można usunąć/wyeksportować certyfikatu z urządzenia, a konto użytkownika jest skonfigurowane bez innej formy avaialable uwierzytelniania wieloskładnikowego. Ta konfiguracja gwarantuje, że konto udostępnione może być rejestrowane tylko przez urządzenie HoloLens.

Omówienie kroków konfigurowania udostępnionych kont Microsoft Entra

Współużytkowane konta Microsoft Entra na urządzeniu HoloLens są implementowane jako zwykłe konta użytkowników Microsoft Entra skonfigurowane do uwierzytelniania opartego na certyfikatach (CBA) Microsoft Entra.

Na wysokim poziomie konfigurowanie udostępnionych kont Microsoft Entra obejmuje następujące kroki:

  1. (Zalecane) Skonfiguruj urządzenia docelowe, aby dołączały Microsoft Entra i rejestrowały się w usłudze Intune przy użyciu rozwiązania Autopilot.
  2. Skonfiguruj dzierżawę Microsoft Entra, aby włączyć Microsoft Entra CBA dla wybranej grupy kont.
  3. Skonfiguruj Microsoft Intune, aby zastosować konfiguracje urządzeń do wybranej grupy urządzeń, które:
    1. Wdróż certyfikaty klienta używane do Microsoft Entra CBA na urządzeniach za pośrednictwem profilów certyfikatów SCEP usługi Intune.
    2. Wdróż certyfikat urzędu certyfikacji , aby urządzenia ufały wystawcy certyfikatów klienta.
    3. Wdróż konfigurację konta udostępnionego instruując urządzenie, które certyfikaty są prawidłowe dla Microsoft Entra CBA.
  4. Przygotowuje poszczególne urządzenia do współużytkowanych kont Microsoft Entra.

Wymagania wstępne

Udostępniona obsługa konta Microsoft Entra jest dostępna od wersji zapoznawczej niejawnego programu testów dla Microsoft HoloLens kompilacji 10.0.22621.1217.

Oprócz posiadania wymaganego systemu operacyjnego opartego na urządzeniu HoloLens należy również spełnić wymagania wstępne dotyczące Microsoft Entra CBA (Jak skonfigurować uwierzytelnianie oparte na certyfikatach Microsoft Entra).

Na koniec musisz mieć dostęp do Microsoft Intune, aby wdrożyć konfiguracje urządzeń i certyfikaty klienta. Aby uzyskać informacje o typach certyfikatów obsługiwanych przez usługę Microsoft Intune, zobacz Informacje o typach certyfikatów obsługiwanych przez usługę Intune. W tym przykładzie używamy certyfikatów SCEP.

Uwaga

Dostępnych jest wiele opcji wdrażania certyfikatów SCEP, w tym usługi Microsoft NDES i PKI. W przypadku urządzenia HoloLens łatwiej jest użyć usługi platformy Azure do obsługi rejestracji certyfikatów. W programie (Azure Marketplace dostępnych jest wiele opcji, dzięki czemu konfiguracje udostępnionych kont mikrosft Entra dla urządzenia HoloLens mogą być odizolowane od firmowej infrastruktury kluczy publicznych.

Najważniejsze wymagania dotyczące usługi SCEP to:

  1. Usługa może akceptować żądania certyfikatów urządzeń z Microsoft Intune.
  2. Usługa może generować certyfikaty ze zdefiniowanymi kluczami EKU (uwierzytelnianie klienta i logowanie karty inteligentnej).

Zdecydowanie zaleca się skonfigurowanie urządzeń na potrzeby rozwiązania Autopilot. Rozwiązanie Autopilot upraszcza konfigurowanie urządzeń dla użytkowników końcowych.

Konfigurowanie dzierżawy Microsoft Entra w celu włączenia Microsoft Entra CBA

Dzierżawa Microsoft Entra musi być skonfigurowana w celu włączenia Microsoft Entra CBA dla wybranej grupy użytkowników.

  1. Utwórz grupę Microsoft Entra zawierającą udostępnione konta Microsoft Entra. Na przykład używamy nazwy "SharedAccounts" dla tej grupy.
  2. Utwórz grupę Microsoft Entra zawierającą udostępnione urządzenia HoloLens. Na przykład używamy nazwy "SharedDevices" dla tej grupy. Ta grupa zostanie później przypisana do profilów konfiguracji usługi Intune opartych na urządzeniach.
  3. Włącz Microsoft Entra uwierzytelnianie oparte na certyfikatach (CBA) dla grupy SharedAccounts. Aby zapoznać się z pełnym przewodnikiem krok po kroku, zobacz Jak skonfigurować uwierzytelnianie oparte na certyfikatach Microsoft Entra. Aby to skonfigurować, należy wykonać następujące ogólne kroki:
    1. Dodaj certyfikat urzędu certyfikacji (urząd certyfikacji) do Microsoft Entra. Tożsamość Microsoft Entra umożliwia certyfikaty klienta wystawione przez ten urząd certyfikacji do wykonywania cba.
    2. Włącz cba dla grupy "SharedAccounts".
    3. Skonfiguruj usługę CBA tak, aby certyfikat wystawiony przez urząd certyfikacji używał uwierzytelniania wieloskładnikowego. Ten krok polega na upewnieniu się, że użytkownicy mogą uzyskiwać dostęp do zasobów wymagających uwierzytelniania wieloskładnikowego bez konfigurowania innego czynnika.
    4. Włącz powiązanie certyfikatu za pomocą atrybutu UserPrincipalName.

Konfiguracja usługi Intune

Usługa Intune musi być skonfigurowana do wdrażania certyfikatów niezbędnych do Microsoft Entra CBA. Usługa Intune musi również wdrożyć konfigurację, aby poinstruować urządzenia, które certyfikaty są prawidłowe dla Microsoft Entra CBA.

Wdrażanie certyfikatu klienta za pośrednictwem protokołu SCEP

Urządzenia muszą mieć odpowiedni certyfikat klienta do wykonania Microsoft Entra CBA. Utwórz konfigurację protokołu SCEP i przypisz ją do "SharedDevices":

  1. Typ certyfikatu: Urządzenie

  2. Dodaj główną nazwę użytkownika (UPN) alternatywną nazwę podmiotu (SAN), w której wartość jest nazwą UPN udostępnionego konta przypisanego do urządzenia. Nazwa UPN musi zawierać numer seryjny urządzenia, aby skojarzyć go z urządzeniem. Aby odwołać się do numeru seryjnego urządzenia, możesz użyć zmiennej usługi Intune {{Device_Serial}} . Na przykład wprowadź wartość HL-{{Device_Serial}}@contoso.com , jeśli konta udostępnione mają format HL-123456789@contoso.comnazwy .

  3. Dostawca magazynu kluczy (KSP): wybierz pozycję "Wymagaj modułu TPM, w przeciwnym razie nie powiedzie się", aby upewnić się, że nie można wyeksportować certyfikatu z urządzenia do użycia w innym miejscu.

  4. Upewnij się, że certyfikat ma co najmniej następujące rozszerzone użycie kluczy (EKU):

    • Logowanie za pomocą karty inteligentnej: 1.3.6.1.4.1.311.20.2.2
    • Uwierzytelnianie klienta: 1.3.6.1.5.5.7.3.2

    Możesz dodać inne EKU do tej listy, aby dodatkowo ograniczyć certyfikaty dozwolone dla Microsoft Entra CBA. Należy dodać te EKU do pliku XML dla zasad ConfigureSharedAccount.

Przykładowa konfiguracja protokołu SCEP

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania protokołu SCEP w usłudze Intune, zobacz Używanie profilów certyfikatów SCEP z Microsoft Intune.

Wdrażanie certyfikatu urzędu certyfikacji

Urządzenia muszą również ufać urzędowi certyfikacji, który wystawił certyfikat klienta. Utwórz konfigurację zaufanego certyfikatu i przypisz ją do grupy "SharedDevices". To przypisanie służy do wdrażania certyfikatu urzędu certyfikacji na urządzeniach. Zobacz dokumentację: Tworzenie profilów zaufanych certyfikatów w Microsoft Intune.

Konfigurowanie zasadSharedAccount

Te zasady informują urządzenia, które certyfikaty są prawidłowe do użycia w usłudze Microsoft Entra CBA. Utwórz niestandardowe zasady konfiguracji urządzenia i przypisz je do "SharedDevices":

Zasady Typ danych
./Vendor/MSFT/Policy/Config/MixedReality/ConfigureSharedAccount Ciąg lub ciąg (plik XML)

Przykładowa konfiguracja:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <!--
          TODO: Replace the example value below with your issuer certificate's thumbprint.
          You may customize the restrictions for which certificates are displayed. See below.
        -->
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Możesz dostosować ograniczenia dotyczące certyfikatów wyświetlanych dla Microsoft Entra CBA. Powyższy przykład wymaga, aby odcisk palca certyfikatu wystawcy był zgodny z podaną wartością. Istnieje również możliwość zastosowania ograniczenia na podstawie nazwy wystawcy lub zastosowania większej liczby ograniczeń w oparciu o rozszerzone użycie klucza (EKU) w certyfikacie. Zobacz ConfigureSharedAccount XML Examples (Przykłady kodu XML ConfigureSharedAccount ), aby zapoznać się z przykładami konfigurowania kodu XML.

Przed zapisaniem tej konfiguracji urządzenia zweryfikuj kod XML względem schematu określonego w temacie ConfigureSharedAccount XML Schema (KonfigurujujUdostępnionekonto schematu XML ), aby upewnić się, że jest on poprawnie sformułowany.

Konfiguracja poszczególnych urządzeń

Dla każdego urządzenia HoloLens, które chcesz skonfigurować dla udostępnionych kont Microsoft Entra, wykonaj następujące kroki:

  1. Utwórz użytkownika Microsoft Entra w formacie określonym w kroku 2 wdrożenia certyfikatu klienta za pośrednictwem protokołu SCEP. Na przykład: HL-123456789@contoso.com.
  2. Dodaj tego użytkownika do grupy "SharedAccounts".
  3. Upewnij się, że urządzenie zostało dodane do grupy "SharedDevices". Najpierw należy skonfigurować urządzenia na potrzeby rozwiązania Autopilot, aby były już obecne w Microsoft Entra.

Zobacz Przykładowy skrypt konfiguracji urządzenia , aby zapoznać się z przykładem skryptu programu PowerShell, który może służyć do automatyzacji tego procesu.

Testowanie konfiguracji

Po zakończeniu powyższej konfiguracji możesz wypróbować udostępnione konta Microsoft Entra na urządzeniu HoloLens!

Jeśli urządzenie jest już skonfigurowane dla rozwiązania Autopilot, przejmij je za pomocą normalnego przepływu rozwiązania Autopilot. Podczas korzystania z rozwiązania Autopilot są stosowane niezbędne konfiguracje urządzeń. Po zakończeniu przepływu rozwiązania Autopilot zostanie wyświetlony następujący ekran:

Ekran logowania przedstawiający konto udostępnione

Naciśnij przycisk "Zaloguj się", aby rozpocząć korzystanie z udostępnionego konta Microsoft Entra.

Rozwiązywanie problemów

Problem: Konto udostępnione Microsoft Entra nie jest wyświetlane na ekranie logowania!

Rozwiązanie: Najpierw sprawdź, czy urządzenie otrzymuje prawidłowe certyfikaty. Otwórz menedżera certyfikatów (Menedżera certyfikatów) i upewnij się, że zarówno certyfikat klienta, jak i certyfikaty urzędu certyfikacji zostały pomyślnie wdrożone na urządzeniu.

W przypadku certyfikatu klienta upewnij się, że jest on zainstalowany w magazynie "Mój" na maszynie lokalnej.

Menedżer certyfikatów przedstawiający lokalizację certyfikatu

Jeśli certyfikat nie jest obecny, wykonaj kroki rozwiązywania problemów dla profilów SCEP usługi Intune.

Jeśli certyfikat jest obecny, upewnij się, że certyfikat mieści się w datach ważności ma oczekiwanego wystawcę i EKU:

Menedżer certyfikatów przedstawiający właściwości certyfikatu

Następnie upewnij się, że wartość zasad XML zastosowana do elementu MixedReality/ConfigureSharedAccount jest poprawnie sformułowana. Możesz użyć jednego z wielu modułów sprawdzania poprawności schematu XML (XSD) w trybie online, aby sprawdzić, czy kod XML jest zgodny ze schematem opisanym w temacie ConfigureSharedAccount XML Schema (ConfigureSharedAccount XML Schema).

Problem: Próba logowania kończy się niepowodzeniem!

Rozwiązanie: Sprawdź, czy prawidłowo skonfigurowano cba zgodnie z instrukcjami w temacie Jak skonfigurować uwierzytelnianie oparte na certyfikatach Microsoft Entra. Zapoznaj się również z często zadawanymi pytaniami na temat Microsoft Entra uwierzytelniania opartego na certyfikatach (CBA). Czasami pomocne może być wypróbowanie tych kroków debugowania na urządzeniu stacjonarnym z systemem Windows: logowanie się za pomocą karty inteligentnej systemu Windows przy użyciu uwierzytelniania opartego na certyfikatach Microsoft Entra.

Odwołania

ConfigureSharedAccount XML Schema

XML
<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <xsd:element name="SharedAccountConfiguration">
    <xsd:complexType mixed="true">
      <xsd:sequence>
        <xsd:element minOccurs="1" maxOccurs="1" name="SharedAccount">
          <xsd:complexType>
            <xsd:sequence>
              <xsd:choice>
                <xsd:element name="IssuerThumbprint">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="40" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
                <xsd:element name="IssuerName">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="512" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
              </xsd:choice>
              <xsd:element minOccurs="0" maxOccurs="1" name="EkuOidRequirements">
                <xsd:complexType>
                  <xsd:sequence>
                    <xsd:element maxOccurs="5" name="Oid">
                      <xsd:simpleType>
                        <xsd:restriction base="xsd:string">
                          <xsd:maxLength value="100" />
                        </xsd:restriction>
                      </xsd:simpleType>
                    </xsd:element>
                  </xsd:sequence>
                </xsd:complexType>
              </xsd:element>
            </xsd:sequence>
          </xsd:complexType>
        </xsd:element>
      </xsd:sequence>
    </xsd:complexType>
  </xsd:element>
</xsd:schema>

Przykłady kodu XML ConfigureSharedAccount

Wymagaj, aby certyfikat wystawcy miał podmiot CN=yourCA, DC=Test:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerName>CN=yourCA, DC=Test</IssuerName>
    </SharedAccount>
</SharedAccountConfiguration>

Wymagaj, aby certyfikat wystawcy miał określony odcisk palca:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Wymagaj, aby certyfikat wystawcy miał określony odcisk palca i że certyfikat klienta ma EKU z identyfikatorami OID 1.2.3.4.5.6 i 1.2.3.4.5.7:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
        <EkuOidRequirements>
            <Oid>1.2.3.4.5.6</Oid>
            <Oid>1.2.3.4.5.7</Oid>
        </EkuOidRequirements>
    </SharedAccount>
</SharedAccountConfiguration>

EKU 1.3.6.1.4.1.311.20.2.2 (logowanie za pomocą karty inteligentnej) i 1.3.6.1.5.5.7.3.2 (Uwierzytelnianie klienta) są zawsze wymagane niezależnie od tego, czy znajdują się na tej liście.

Przykładowy skrypt konfiguracji urządzenia

Przed użyciem tego przykładowego skryptu konfiguracji urządzenia należy zmienić odwołania z "contoso" na nazwę domeny.

PowerShell
<#
.Synopsis
Configures a device for shared account

.Description
This script configures a device for shared account.

Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.

.Example
.\ConfigureSharedDevice.ps1 400064793157
#>


param (
    [Parameter(Mandatory = $true)]
    [string]
    # Serial number of the device. Typically a 12-digit numeric string.
    $DeviceSerialNumber,
    [string]
    # Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com
    $SharedAccountGroupId,
    [string]
    # Group ID of the group that contains the shared devices
    $SharedDeviceGroupId
)

function Install-Dependencies {
    Write-Host -Foreground Cyan "Installing Dependencies..."

    if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
        Write-Host -Foreground Cyan "Installing Microsoft.Graph"
        Install-Module Microsoft.Graph -Scope CurrentUser -Repository 'PSGallery'
    }

    Write-Host -Foreground Cyan "Installing Dependencies... Done"
}

function New-PasswordString {
    $alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'
    $length = 40
    $password = ""
    for ($i = 0; $i -lt $length; $i++) {
        $password += $alphabet[(Get-Random -Minimum 0 -Maximum $alphabet.Length)]
    }

    return $password
}

function New-SharedUser {
    param (
        $UserName,
        $DisplayName
    )

    # Does user already exist?
    $searchResult = Get-MgUser -Count 1 -ConsistencyLevel eventual -Search "`"UserPrincipalName:$UserName`""

    if ($searchResult.Count -gt 0) {
        Write-Host -Foreground Cyan "$UserName exists, using existing user."
        return $searchResult
    }

    $mailNickName = $UserName.Split('@')[0];

    Write-Host -Foreground Cyan "Creating $UserName"

    $passwordProfile = @{
        Password = New-PasswordString
    }

    return New-MgUser -AccountEnabled -DisplayName $DisplayName -Country US -UsageLocation US -MailNickname $mailNickName -UserPrincipalName $UserName -PasswordProfile $passwordProfile
}

function New-SharedUserForDevice {
    param (
        $DeviceSerialNumber
    )

    $userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"
    $displayName = "Shared HoloLens"

    return New-SharedUser -UserName $userName -DisplayName $displayName
}

function Add-UserToGroup {
    param (
        $UserId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find user group"
    }

    Write-Host -Foreground Cyan "Adding user ($UserId) to group"
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $UserId
}

function Get-DeviceAADId {
    param (
        $DeviceSerialNumber
    )

    $deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq $DeviceSerialNumber }

    if ($deviceResult.Count -eq 0) {
        throw "Cannot find device with serial number $DeviceSerialNumber in Intune"
    }

    $result = ($deviceResult | Select-Object -First 1).AzureAdDeviceId

    Write-Host "Found device: $result"

    return $result
}

function Add-DeviceToGroup {
    param (
        $DeviceAADId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find device group"
    }

    $deviceResult = Get-MgDevice -Count 1 -ConsistencyLevel eventual -Search "`"DeviceId:$DeviceAADId`""
    if ($deviceResult.Count -eq 0) {
        throw "Failed to find device $DeviceAADId"
    }

    Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"
    
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $deviceResult.Id
}

function Register-SharedDevice {
    param (
        $DeviceSerialNumber
    )

    Install-Dependencies

    Connect-MgGraph -Scopes "User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"

    $deviceAADId = Get-DeviceAADId $DeviceSerialNumber
    Add-DeviceToGroup $deviceAADId $SharedDeviceGroupId

    $user = New-SharedUserForDevice $DeviceSerialNumber
    Add-UserToGroup $user.Id $SharedAccountGroupId
}

Register-SharedDevice $DeviceSerialNumber