Implantando o Remote Assist usando uma identidade compartilhada entre vários usuários

• Aplica-se a:

  HoloLens 2

Este artigo contém etapas de alto nível envolvidas na implantação da Assistência Remota usando a identidade compartilhada do Microsoft Entra em vários usuários. As diretrizes fornecidas neste documento se concentram no provisionamento de contas de usuário do Microsoft Entra, atribuição de licenças necessárias e configuração de dispositivo do HoloLens 2 para um ambiente de dispositivo compartilhado. Para obter diretrizes de implantação mais detalhadas baseadas em cenários, consulte Cenários comuns de implantação.

Importante

Este artigo descreve um processo para configurar manualmente contas compartilhadas do Microsoft Entra para cada dispositivo. Desde então, introduzimos um processo aprimorado que é muito mais fácil de implantar em escala, não requer configuração manual para cada dispositivo e remove a necessidade de gerenciar PIN e MFA. Para obter o processo aprimorado, consulte contas compartilhadas do Microsoft Entra no HoloLens. O processo neste artigo é preservado para pequenas implantações (menos de 10 dispositivos) sem a infraestrutura necessária para o processo aprimorado.

Tarefas de implantação

1. Contas do Microsoft Entra

Crie grupos de segurança do Microsoft Entra e contas de usuário compartilhadas do Microsoft Entra a serem usadas para entrar em dispositivos HoloLens 2.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos e Administrador de Usuários.
2. Navegue até novo centro de administração do Grupo e crie uma ID do Microsoft Entra Security Group para gerenciar as contas de usuário compartilhadas do HoloLens 2. Consulte Criar um grupo básico e adicionar membros para obter instruções passo a passo.
3. Navegue até Novo usuário – Centro de administração do Microsoft Entra e crie novas contas de usuário compartilhadas por várias pessoas para entrar no dispositivo HoloLens 2. Uma conta de usuário do Microsoft Entra por dispositivo HoloLens 2 é recomendada. Para obter instruções passo a passo, consulte Adicionar ou excluir usuários.
4. Navegue até grupos de – centro de administração do Microsoft Entra, selecione o nome do grupo de segurança do Microsoft Entra ->Membros -> + Adicionar membros e adicione as contas de usuário acima ao grupo de segurança. Para obter instruções passo a passo, consulte Adicionar ou remover membros do grupo.

2. Atribuições de licença

Atribua licenças necessárias às contas de usuário do Microsoft Entra.

1. Você pode atribuir licenças necessárias para usar o Dynamics 365 Remote Assist no HoloLens 2 a um usuário ou grupo de usuários. Para atribuir licenças a um grupo de usuários, siga Atribuir licenças a um grupo guia passo a passo para atribuir as licenças a seguir. Para atribuir licenças a um usuário, siga Atribuir licenças aos usuários guia passo a passo para atribuir as licenças a seguir.

   • Assistência Remota do Dynamics 365
   • Microsoft Teams
   • Common Data Service for Remote Assist

   Para obter mais informações, consulte Requirements for Dynamics 365 Remote Assist.

2. Para gerenciar o HoloLens 2 usando o Microsoft Endpoint Manager (Intune), siga Atribuir licenças do Microsoft Intune guia passo a passo para atribuir as licenças a seguir.

   • Microsoft Intune

3. Para usar recursos avançados de Assistência Remota, como acessar arquivos do OneDrive, agendar uma chamada única e integrar-se ao Dynamics 365 Field Service, você deve atribuir outras licenças às contas de usuário do HoloLens 2. Para obter mais informações, consulte Requirements for Dynamics 365 Remote Assist.

Nota

Para obter mais informações, consulte Cenários, limitações e problemas conhecidos usando grupos para gerenciar o licenciamento no Microsoft Entra ID.

3. Configuração do dispositivo

Para compartilhar dispositivos HoloLens 2 com várias pessoas usando contas de usuário compartilhadas do Microsoft Entra, configure o seguinte para proteger as credenciais do usuário e restringir os aplicativos a serem usados pelos usuários do HoloLens 2. Siga Configure seu holoLens 2 para configurar os dispositivos HoloLens 2 pela primeira vez, usando as contas de usuário compartilhadas do Microsoft Entra criadas na seção anterior "Contas do Microsoft Entra". Use uma conta de usuário do Microsoft Entra por dispositivo HoloLens 2. Durante a configuração inicial do HoloLens 2, ignore o registro de autenticação do Iris e configure o PIN do Windows Hello para entrar no dispositivo.

PIN de entrada

Use o PIN do Windows Hello para entrar em dispositivos HoloLens 2. Não compartilhe senhas de conta compartilhada com usuários finais. A configuração do PIN do Windows Hello permite que você não compartilhe a senha da conta de usuário com usuários finais e permite que os usuários finais entrem em dispositivos HoloLens 2 usando o PIN do Windows Hello configurado para a conta de usuário em um dispositivo HoloLens 2 específico. O PIN do Windows Hello configurado está vinculado criptograficamente ao dispositivo HoloLens 2 e não pode ser usado em um dispositivo diferente.

Para obter mais informações, consulte Compartilhar seu HoloLens com várias pessoas.

Logon Automático

Você também pode usar a política do AutoLogonUser para entrar automaticamente no dispositivo com uma identidade vinculada a esse dispositivo. Isso ignora a experiência de entrada do HoloLens 2 e o usuário pode pegar o dispositivo e começar a usar o dispositivo imediatamente. Para obter mais informações, consulte política de logon automático controlada pelo CSP.

Modo de quiosque

Para dispositivos compartilhados do HoloLens 2, é recomendável controlar quais aplicativos são mostrados no menu Iniciar quando um usuário entra no HoloLens. Ao permitir apenas aplicativos necessários, como o Remote Assist, você pode restringir a entrada de usuários na página de configurações da conta de usuário usando o navegador Microsoft Edge por SSO e acessar os detalhes da conta de usuário dentro do dispositivo HoloLens 2.

• Se você usar o Microsoft Endpoint Manager (Intune) para gerenciar os dispositivos

  Navegue até centro de administração do Microsoft Endpoint Managere crie uma configuração de modo de quiosque de aplicativo único ou de vários aplicativos em dispositivos | Perfis de configuração.

• Se você usar pacotes de provisionamento para gerenciar os dispositivos

  Use o Designer de Configuração do Windows para configurar e implantar pacotes de provisionamento de modo de quiosque de aplicativo único ou múltiplo. Para obter mais informações, consulte Configurar o HoloLens como um quiosque.

WDAC (Controle de Aplicativos do Windows Defender)

O WDAC permite que você configure o HoloLens para bloquear a inicialização de aplicativos. É diferente do modo quiosque, em que a interface do usuário oculta os aplicativos, mas eles ainda podem ser iniciados. Com o WDAC, você pode ver o bloco de aplicativos, mas eles não podem ser iniciados. Para obter mais informações, consulte do Windows Defender Application Control (WDAC).

Limitações

O uso da conta compartilhada do Microsoft Entra tem as seguintes limitações (incluindo, mas não se limitando a):

1. Identidade – Os usuários não podem usar a autenticação iris para entrar no dispositivo HoloLens 2 e não conseguem acessar o conteúdo relacionado à conta de trabalho no Microsoft 365.
2. ID/Contatos do Chamador – Não é possível acessar a lista de contatos pessoais de um usuário/ mais recentemente chamados contatos, e a ID do chamador mostrará o nome da conta compartilhada em vez do nome do usuário.
3. User-Based Fluxos de Trabalho – não é possível usar as integrações avançadas com o serviço de campo, pois o usuário que está sendo "atribuído" aos itens de trabalho, não é o usuário conectado ao Remote Assist.
4. Compartilhamento de PIN – Como a autenticação iris não é possível, o número de PIN do Windows Hello deve ser compartilhado entre os usuários.

Questões

O uso da conta compartilhada do Microsoft Entra apresenta os seguintes problemas a serem resolvidos (incluindo, mas não limitados a):

1. Falta de responsabilidade – com uma conta compartilhada, não há como provar quem usou o dispositivo e o que foi feito com o dispositivo.
2. Falta de auditoria – os registros de auditoria estarão incompletos e, no caso de um incidente, pode ser impossível identificar o usuário.
3. Falta acompanhamento/análise individual.
4. Permissões – Permissões avançadas não podem ser feitas em uma conta compartilhada.
5. A propriedade MFA – MFA (autenticação multifator) deve ser de propriedade de uma autoridade central para contas compartilhadas.
6. Redefinição de PIN – quando o PIN precisa ser redefinido e o conhecimento sobre quem possui a MFA nos dispositivos é desafiador.

Considerações

Você deve examinar e fazer alterações nas seguintes configurações do Microsoft Entra (incluindo, mas não limitadas a) quando quiser usar contas de usuário compartilhadas do Microsoft Entra. Ao habilitar e desabilitar as seguintes configurações do Microsoft Entra, deve-se tomar cuidado extremo para garantir que a alteração das configurações dessas configurações não cause problemas para contas de usuário existentes e novas.

1. Examinar a configuração de acesso do Portal do Administrador no Usuários | Configurações do usuário.
2. Examinar a configuração de Registros de Aplicativo no Usuários | Configurações do usuário.
3. Examinar a configuração de conexões de conta vinculada no Usuários | Configurações do usuário.
4. Examinar a configuração de recursos do usuário em Usuários | Recursos do usuário.
5. Examinar a configuração de redefinição de senha de autoatendimento no Redefinição de senha | Propriedades.
6. Examinar dispositivos de junção à configuração do Microsoft Entra em dispositivos | Configurações do dispositivo.
7. Examinar a configuração do Enterprise State Roaming em dispositivos | Enterprise State Roaming.

Aviso

Não compartilhe senhas de conta compartilhada com usuários finais. Os usuários finais sempre devem usar o nome da conta do Microsoft Entra e o PIN associado do Windows Hello ou usar o recurso de logon automático para fazer logon em dispositivos HoloLens 2 em um ambiente compartilhado.