İngilizce dilinde oku

Aracılığıyla paylaş


HoloLens'te paylaşılan Microsoft Entra hesapları

HoloLens'teki paylaşılan Microsoft Entra (eski adıyla Azure Active Directory) hesapları, kimlik bilgilerine gerek kalmadan HoloLens'te oturum açabilen normal Microsoft Entra kullanıcı hesaplarıdır. Bu kurulum, aşağıdaki koşulların doğru olduğu senaryolar için idealdir:

  • Birden çok kişi aynı HoloLens cihazları kümesini paylaşır
  • Dynamics 365 Kılavuzları içeriği gibi Microsoft Entra kaynaklarına erişim gereklidir
  • Cihazı kimin kullandığını izlemek gerekli değildir.

Paylaşılan Microsoft Entra hesaplarını kullanmanın temel avantajları

  • Basitleştirilmiş dağıtım. Daha önce, birden çok kişi arasında paylaşılan Microsoft Entra hesaplarını ayarlamak için her cihazı el ile ayarlamak gerekiyordu. Paylaşılan Microsoft Entra hesapları, ortamınızı bir kez yapılandırmanıza ve Autopilot'ın bir parçası olarak cihazlarınızdan herhangi birine otomatik olarak dağıtmanıza olanak tanır.
  • Harika bir kullanıcı deneyimi. Paylaşılan Microsoft Entra hesaplarının kullanıcılarının cihazı kullanmaya başlamak için herhangi bir kimlik bilgisi girmesi gerekmez. Dokun ve git!
  • Microsoft Entra kaynaklarına erişim. Paylaşılan Microsoft Entra hesaplarının kullanıcıları Microsoft Entra kaynaklarına kolay erişim elde eder, böylece ek kimlik doğrulaması olmadan Uzaktan Yardım araması başlatabilir veya Bir Kılavuz açabilirsiniz.

Önemli

Paylaşılan Microsoft Entra hesaplarına kimlik bilgileri girilmeden HoloLens cihazından erişilebildiği için, yalnızca yetkili personelin erişimi olması için bu HoloLens cihazlarını fiziksel olarak güvenli bir şekilde korumanız gerekir. Koşullu erişim ilkeleri uygulayarak, self servis parola sıfırlamayı devre dışı bırakarak ve bu hesapların kullanıldığı cihazlara atanmış erişim profillerini yapılandırarak da bu hesapları kilitlemek isteyebilirsiniz.

Not

Bunlar paylaşılan hesaplar olduğundan, bu hesapları kullanan kullanıcılar PIN ve iris kayıtları, biyometrik veri toplama bildirimi ve çeşitli onay ekranları gibi tipik ilk oturum açma kurulum ekranları gösterilmez. İlke aracılığıyla bu hesaplar için uygun varsayılan değerlerin yapılandırıldığından emin olmanız (bkz. HoloLens 2'da kullanıcıları hızlı bir şekilde ayarlama) ve kullanıcılarınızın bu varsayılanların farkında olduğundan emin olmanız gerekir.

Paylaşılan Microsoft Entra hesaplarının bilinen sınırlamaları

  • Paylaşılan Microsoft Entra hesapları, kayıtlı olsalar bile geçerli sürümde oturum açmak için PIN veya iris kullanamaz.

Paylaşılan Microsoft Entra Hesaplarına Kavramsal Genel Bakış

Bu işlem, bir HoloLens cihazının bir kullanıcı hesabı ayırmasına ve cihaza ve cihaza bağlı kimlik bilgileriyle bu kullanıcı hesabında oturum açmasına olanak tanır. Görüntüde şu işlem açıklanmaktadır:

Paylaşılan Hesap Diyagramı

  1. Intune,SCEP Hizmeti için bir SCEP Yapılandırma profiline sahiptir.
  2. Cihaz Intune'a katılır ve profil bilgilerini alır.
  3. Cihaz SCEP Hizmeti ile iletişim kurar ve UPN ile bir cihaz sertifikası alır HL-{Serial}@contoso.com.
  4. Cihaz, sorunsuz bir oturum açma deneyimi sağlamak için sertifikayı MFA olarak kullanarak Entra ID'deki corrosponding kullanıcı hesabında oturum açar.

Sertifika cihazdan kaldırılamaz/dışarı aktarılamaz ve kullanıcı hesabı başka bir MFA kullanılabilir biçimi olmadan yapılandırılır. Bu yapılandırma, paylaşılan hesabın yalnızca HoloLens cihazı tarafından oturum açılabilmesini sağlar.

Paylaşılan Microsoft Entra hesaplarını yapılandırma adımlarına genel bakış

HoloLens'te paylaşılan Microsoft Entra hesapları, Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA) için yapılandırılmış normal Microsoft Entra kullanıcı hesapları olarak uygulanır.

Paylaşılan Microsoft Entra hesaplarının yapılandırılması üst düzeyde aşağıdaki adımları içerir:

  1. (Önerilen) Autopilot kullanarak hedef cihazlarınızı Microsoft Entra katılacak ve Intune'a kaydedilecek şekilde yapılandırın.
  2. Microsoft Entra kiracınızı, belirli bir hesap grubu için Microsoft Entra CBA'yı etkinleştirecek şekilde yapılandırın.
  3. Cihaz yapılandırmalarını aşağıdakilerden oluşan belirli bir cihaz grubuna uygulamak için Microsoft Intune yapılandırın:
    1. Microsoft Entra CBA için kullanılan istemci sertifikalarını Intune'un SCEP sertifika profilleri aracılığıyla cihazlara dağıtın.
    2. Cihazların istemci sertifikalarını verene güvenmesi için CA sertifikası dağıtın.
    3. Cihaza Microsoft Entra CBA için hangi sertifikaların geçerli olduğunu belirten paylaşılan hesap yapılandırmasını dağıtın.
  4. Paylaşılan Microsoft Entra hesapları için tek tek cihazları hazırlar.

Önkoşullar

Paylaşılan Microsoft Entra hesabı desteği, Microsoft HoloLens derleme 10.0.22621.1217 için Insider önizleme sürümünden itibaren kullanılabilir.

HoloLens'inizde gerekli işletim sistemi derlemesinin yanı sıra, Microsoft Entra CBA (Sertifika tabanlı kimlik doğrulaması Microsoft Entra yapılandırma) önkoşullarını da karşılamanız gerekir.

Son olarak, cihaz yapılandırmalarını ve istemci sertifikalarını dağıtmak için Microsoft Intune erişiminiz olmalıdır. İstemci sertifikalarını Intune aracılığıyla dağıtmak için gerekli altyapı için bkz. Microsoft Intune tarafından desteklenen sertifika türleri hakkında bilgi edinin. Bu örnekte SCEP sertifikalarını kullanırız.

Not

SCEP sertifikalarını dağıtmak için Microsoft NDES ve PKI dahil olmak üzere birden çok seçenek sağlanır. HoloLens için, sertifika kaydını işlemek için bir Azure hizmeti kullanmak daha basit olabilir. (Azure Market içinde, HoloLens paylaşılan Microsft Entra hesaplarının yapılandırmalarının kurumsal PKI'nızdan yalıtılmasını sağlayan birden çok seçenek mevcuttur.

SCEP hizmetinin temel gereksinimleri şunlardır:

  1. Hizmet, Microsoft Intune cihaz sertifikası isteklerini kabul edebilir.
  2. Hizmet, tanımlı EKU'lar (İstemci Kimlik Doğrulaması ve Akıllı KartLa Oturum Açma) ile sertifika oluşturabilir.

Cihazlarınızı Autopilot için yapılandırmanız kesinlikle önerilir. Autopilot, son kullanıcılar için cihaz kurulum deneyimini basitleştirir.

Microsoft Entra CBA'yı etkinleştirmek için Microsoft Entra kiracınızı yapılandırma

Microsoft Entra kiracınız, belirli bir kullanıcı grubu için Microsoft Entra CBA'yı etkinleştirecek şekilde yapılandırılmalıdır.

  1. Paylaşılan Microsoft Entra hesaplarını içeren bir Microsoft Entra grubu oluşturun. Örneğin, bu grup için "SharedAccounts" adını kullanırız.
  2. Paylaşılan HoloLens cihazlarını içeren bir Microsoft Entra grubu oluşturun. Örneğin, bu grup için "SharedDevices" adını kullanırız. Bu gruba daha sonra cihaz tabanlı Intune yapılandırma profilleri atanır.
  3. SharedAccounts grubu için Microsoft Entra sertifika tabanlı kimlik doğrulamasını (CBA) etkinleştirin. Eksiksiz bir adım adım kılavuz için bkz. Sertifika tabanlı Microsoft Entra kimlik doğrulamasını yapılandırma. Bunu ayarlamak için aşağıdaki üst düzey adımlar gereklidir:
    1. (Sertifika Yetkilisi) CA sertifikanızı Microsoft Entra ekleyin. Microsoft Entra ID, bu CA tarafından verilen istemci sertifikalarının CBA gerçekleştirmesine izin verir.
    2. "SharedAccounts" grubu için CBA'yı etkinleştirin.
    3. CBA'yi, CA'nız tarafından verilen sertifikanın MFA kullanması için yapılandırın. Bu adım, kullanıcıların başka bir faktör ayarlamadan MFA gerektiren kaynaklara erişebildiğinden emin olmaktır.
    4. UserPrincipalName aracılığıyla sertifika bağlamayı etkinleştirin.

Intune yapılandırması

Intune, Microsoft Entra CBA için gerekli sertifikaları dağıtacak şekilde yapılandırılmalıdır. Intune ayrıca cihazlara Microsoft Entra CBA için hangi sertifikaların geçerli olduğunu bildirmek için bir yapılandırma dağıtmalıdır.

SCEP aracılığıyla istemci sertifikası dağıtımı

Cihazların CBA Microsoft Entra gerçekleştirmek için uygun istemci sertifikasına sahip olması gerekir. Bir SCEP yapılandırması oluşturun ve bunu "SharedDevices" olarak atayın:

  1. Sertifika türü: Cihaz

  2. Kullanıcı asıl adı (UPN) Konu alternatif adı (SAN) ekleyin; burada değer, cihaza atanan paylaşılan hesabın UPN'sini oluşturur. UPN, bir cihazla ilişkilendirmek için cihaz seri numarasını içermelidir. Cihaz seri numarasına başvurmak için {{Device_Serial}} Intune değişkenini kullanabilirsiniz. Örneğin, paylaşılan hesapların HL-{{Device_Serial}}@contoso.com ad biçimi HL-123456789@contoso.comise değerini girin.

  3. Anahtar depolama sağlayıcısı (KSP): Sertifikanın başka bir yerde kullanılmak üzere cihazdan dışarı aktarılamadığından emin olmak için "TPM gerektir, aksi takdirde başarısız ol" seçeneğini belirleyin.

  4. Sertifikanın en az aşağıdaki Genişletilmiş anahtar kullanımlarına (EKU) sahip olduğundan emin olun:

    • Akıllı Kart Oturumu Açma: 1.3.6.1.4.1.311.20.2.2
    • İstemci Kimlik Doğrulaması: 1.3.6.1.5.5.7.3.2

    Microsoft Entra CBA için izin verilen sertifikaları daha fazla kısıtlamak için bu listeye başka EKU'lar ekleyebilirsiniz. Bu EKU'ları ConfigureSharedAccount için XML ilkesine eklemeniz gerekir.

Örnek SCEP yapılandırması

Intune'da SCEP'i yapılandırma hakkında ayrıntılı adımlar için bkz. Microsoft Intune ile SCEP sertifika profillerini kullanma.

CA sertifikası dağıtımı

Cihazların istemci sertifikasını veren CA'ya da güvenmesi gerekir. Güvenilen bir sertifika yapılandırması oluşturun ve bunu "SharedDevices" grubuna atayın. Bu atama CA sertifikanızı cihazlara dağıtır. Belgelere bakın: Microsoft Intune'da güvenilen sertifika profilleri oluşturma.

ConfigureSharedAccount ilkesi

Bu ilke, cihazlara Microsoft Entra CBA için hangi sertifikaların geçerli olduğunu bildirir. Özel bir cihaz yapılandırma ilkesi oluşturun ve bunu "SharedDevices" bölümüne atayın:

İlke Veri Türü
./Vendor/MSFT/Policy/Config/MixedReality/ConfigureSharedAccount Dize veya Dize (XML dosyası)

Örnek yapılandırma:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <!--
          TODO: Replace the example value below with your issuer certificate's thumbprint.
          You may customize the restrictions for which certificates are displayed. See below.
        -->
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Microsoft Entra CBA için sertifikaların görüntüleneceği kısıtlamaları özelleştirebilirsiniz. Yukarıdaki örnek, verenin sertifika parmak izinin sağlanan değerle eşleşmesini gerektirir. Sertifikayı verenin adına göre kısıtlamayı uygulamak veya sertifikadaki Genişletilmiş Anahtar Kullanımlarına (EKU) göre daha fazla kısıtlama uygulamak da mümkündür. XML'nin nasıl yapılandırıldığına ilişkin örnekler için bkz . ConfigureSharedAccount XML Örnekleri .

Bu cihaz yapılandırmasını kaydetmeden önce, iyi biçimlendirilmiş olduğundan emin olmak için XML'yi ConfigureSharedAccount XML Şeması'nda belirtilen şemaya göre doğrulayın.

Tek tek cihaz yapılandırması

Paylaşılan Microsoft Entra hesapları için yapılandırmak istediğiniz her HoloLens cihazı için aşağıdaki adımları uygulayın:

  1. SCEP aracılığıyla İstemci sertifikası dağıtımının 2. adımında belirtilen biçimde Microsoft Entra bir kullanıcı oluşturun. Örneğin: HL-123456789@contoso.com.
  2. Bu kullanıcıyı "SharedAccounts" grubuna ekleyin.
  3. Cihazın "SharedDevices" grubuna eklendiğinden emin olun. Cihazlarınızı Microsoft Entra'da zaten mevcut olacak şekilde önce Autopilot için yapılandırmanız gerekir.

Bu işlemi otomatikleştirmek için kullanılabilecek bir PowerShell betiği örneği için bkz. Örnek cihaz kurulum betiği.

Yapılandırmanızı test etme

Yukarıdaki yapılandırmayı tamamladıktan sonra HoloLens'te paylaşılan Microsoft Entra hesaplarını denemeye hazır olursunuz!

Cihazınız zaten Autopilot için yapılandırılmışsa, cihazı normal Autopilot akışından geçirin. Autopilot sırasında gerekli cihaz yapılandırmaları uygulanır. Autopilot akışı tamamlandıktan sonra aşağıdaki ekranı görürsünüz:

Paylaşılan hesabı gösteren oturum açma ekranı

Paylaşılan Microsoft Entra hesabını kullanmaya başlamak için "Oturum aç" düğmesine dokunun.

Sorun giderme

Sorun: Paylaşılan Microsoft Entra hesabı oturum açma ekranında gösterilmiyor!

Çözüm: İlk olarak, cihazın doğru sertifikaları alıp almadığını denetleyin. Sertifika yöneticisini (Sertifika Yöneticisi) açın ve hem istemci sertifikasının hem de CA sertifikalarının cihaza başarıyla dağıtıldığından emin olun.

İstemci sertifikası için, "Yerel Makine" üzerindeki "My" deposuna yüklendiğinden emin olun.

Sertifikanın konumunu gösteren sertifika yöneticisi

Sertifika yoksa Intune SCEP profilleri için sorun giderme adımlarını izleyin.

Sertifika varsa, sertifikanın geçerlilik tarihleri içinde olduğundan ve beklenen verene ve EKU'lara sahip olduğundan emin olun:

Sertifika özelliklerini gösteren sertifika yöneticisi

Ardından, MixedReality/ConfigureSharedAccount'a uyguladığınız XML ilkesi değerinin iyi biçimlendirilmiş olduğundan emin olun. XML'nizin ConfigureSharedAccount XML Şeması'nda açıklanan şemaya uygun olup olmadığını denetlemek için çevrimiçi olarak birçok XML şeması (XSD) doğrulayıcıdan birini kullanabilirsiniz.

Sorun: Oturum açma girişimi başarısız oluyor!

Çözüm:Sertifika tabanlı kimlik doğrulaması Microsoft Entra yapılandırma yönergelerini izleyerek CBA'nın düzgün yapılandırıldığından emin olun. Ayrıca sertifika tabanlı kimlik doğrulaması (CBA) SSS Microsoft Entra hakkında SSS bölümüne göz atın. Bazen önce bir Windows masaüstü cihazında şu hata ayıklama adımlarını denemek yararlı olabilir: Sertifika tabanlı kimlik doğrulaması Microsoft Entra kullanarak Windows akıllı kart oturumu açma.

Başvurular

ConfigureSharedAccount XML Şeması

XML
<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <xsd:element name="SharedAccountConfiguration">
    <xsd:complexType mixed="true">
      <xsd:sequence>
        <xsd:element minOccurs="1" maxOccurs="1" name="SharedAccount">
          <xsd:complexType>
            <xsd:sequence>
              <xsd:choice>
                <xsd:element name="IssuerThumbprint">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="40" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
                <xsd:element name="IssuerName">
                  <xsd:simpleType>
                    <xsd:restriction base="xsd:string">
                      <xsd:maxLength value="512" />
                    </xsd:restriction>
                  </xsd:simpleType>
                </xsd:element>
              </xsd:choice>
              <xsd:element minOccurs="0" maxOccurs="1" name="EkuOidRequirements">
                <xsd:complexType>
                  <xsd:sequence>
                    <xsd:element maxOccurs="5" name="Oid">
                      <xsd:simpleType>
                        <xsd:restriction base="xsd:string">
                          <xsd:maxLength value="100" />
                        </xsd:restriction>
                      </xsd:simpleType>
                    </xsd:element>
                  </xsd:sequence>
                </xsd:complexType>
              </xsd:element>
            </xsd:sequence>
          </xsd:complexType>
        </xsd:element>
      </xsd:sequence>
    </xsd:complexType>
  </xsd:element>
</xsd:schema>

ConfigureSharedAccount XML Örnekleri

Veren sertifikanın CN=yourCA, DC=Test konusuna sahip olmasını gerekli hale getirin:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerName>CN=yourCA, DC=Test</IssuerName>
    </SharedAccount>
</SharedAccountConfiguration>

Veren sertifikanın belirtilen parmak izine sahip olmasını iste:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
    </SharedAccount>
</SharedAccountConfiguration>

Veren sertifikanın belirli bir parmak izine sahip olmasını ve istemci sertifikasının OID'leri 1.2.3.4.5.6 ve 1.2.3.4.5.7 olan EKU'lara sahip olmasını gerektir:

XML
<SharedAccountConfiguration>
    <SharedAccount>
        <IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
        <EkuOidRequirements>
            <Oid>1.2.3.4.5.6</Oid>
            <Oid>1.2.3.4.5.7</Oid>
        </EkuOidRequirements>
    </SharedAccount>
</SharedAccountConfiguration>

EkUs 1.3.6.1.4.1.311.20.2.2 (Smartcard Logon) ve 1.3.6.1.5.5.7.3.2 (İstemci Kimlik Doğrulaması) her zaman bu listede olup olmadıklarına bakılmaksızın gereklidir.

Örnek cihaz kurulum betiği

Bu örnek cihaz kurulum betiğini kullanmadan önce başvuruları "contoso" yerine etki alanı adı olarak değiştirmelisiniz.

PowerShell
<#
.Synopsis
Configures a device for shared account

.Description
This script configures a device for shared account.

Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.

.Example
.\ConfigureSharedDevice.ps1 400064793157
#>


param (
    [Parameter(Mandatory = $true)]
    [string]
    # Serial number of the device. Typically a 12-digit numeric string.
    $DeviceSerialNumber,
    [string]
    # Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com
    $SharedAccountGroupId,
    [string]
    # Group ID of the group that contains the shared devices
    $SharedDeviceGroupId
)

function Install-Dependencies {
    Write-Host -Foreground Cyan "Installing Dependencies..."

    if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
        Write-Host -Foreground Cyan "Installing Microsoft.Graph"
        Install-Module Microsoft.Graph -Scope CurrentUser -Repository 'PSGallery'
    }

    Write-Host -Foreground Cyan "Installing Dependencies... Done"
}

function New-PasswordString {
    $alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'
    $length = 40
    $password = ""
    for ($i = 0; $i -lt $length; $i++) {
        $password += $alphabet[(Get-Random -Minimum 0 -Maximum $alphabet.Length)]
    }

    return $password
}

function New-SharedUser {
    param (
        $UserName,
        $DisplayName
    )

    # Does user already exist?
    $searchResult = Get-MgUser -Count 1 -ConsistencyLevel eventual -Search "`"UserPrincipalName:$UserName`""

    if ($searchResult.Count -gt 0) {
        Write-Host -Foreground Cyan "$UserName exists, using existing user."
        return $searchResult
    }

    $mailNickName = $UserName.Split('@')[0];

    Write-Host -Foreground Cyan "Creating $UserName"

    $passwordProfile = @{
        Password = New-PasswordString
    }

    return New-MgUser -AccountEnabled -DisplayName $DisplayName -Country US -UsageLocation US -MailNickname $mailNickName -UserPrincipalName $UserName -PasswordProfile $passwordProfile
}

function New-SharedUserForDevice {
    param (
        $DeviceSerialNumber
    )

    $userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"
    $displayName = "Shared HoloLens"

    return New-SharedUser -UserName $userName -DisplayName $displayName
}

function Add-UserToGroup {
    param (
        $UserId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find user group"
    }

    Write-Host -Foreground Cyan "Adding user ($UserId) to group"
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $UserId
}

function Get-DeviceAADId {
    param (
        $DeviceSerialNumber
    )

    $deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq $DeviceSerialNumber }

    if ($deviceResult.Count -eq 0) {
        throw "Cannot find device with serial number $DeviceSerialNumber in Intune"
    }

    $result = ($deviceResult | Select-Object -First 1).AzureAdDeviceId

    Write-Host "Found device: $result"

    return $result
}

function Add-DeviceToGroup {
    param (
        $DeviceAADId,
        $GroupId
    )

    $groupResult = Get-MgGroup -GroupId $GroupId
    if ($groupResult.Count -eq 0) {
        throw "Failed to find device group"
    }

    $deviceResult = Get-MgDevice -Count 1 -ConsistencyLevel eventual -Search "`"DeviceId:$DeviceAADId`""
    if ($deviceResult.Count -eq 0) {
        throw "Failed to find device $DeviceAADId"
    }

    Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"
    
    New-MgGroupMember -GroupId $GroupId -DirectoryObjectId $deviceResult.Id
}

function Register-SharedDevice {
    param (
        $DeviceSerialNumber
    )

    Install-Dependencies

    Connect-MgGraph -Scopes "User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"

    $deviceAADId = Get-DeviceAADId $DeviceSerialNumber
    Add-DeviceToGroup $deviceAADId $SharedDeviceGroupId

    $user = New-SharedUserForDevice $DeviceSerialNumber
    Add-UserToGroup $user.Id $SharedAccountGroupId
}

Register-SharedDevice $DeviceSerialNumber