HoloLens'teki paylaşılan Microsoft Entra (eski adıyla Azure Active Directory) hesapları, kimlik bilgilerine gerek kalmadan HoloLens'te oturum açabilen normal Microsoft Entra kullanıcı hesaplarıdır. Bu kurulum, aşağıdaki koşulların doğru olduğu senaryolar için idealdir:
Birden çok kişi aynı HoloLens cihazları kümesini paylaşır
Dynamics 365 Kılavuzları içeriği gibi Microsoft Entra kaynaklarına erişim gereklidir
Cihazı kimin kullandığını izlemek gerekli değildir.
Paylaşılan Microsoft Entra hesaplarını kullanmanın temel avantajları
Basitleştirilmiş dağıtım. Daha önce, birden çok kişi arasında paylaşılan Microsoft Entra hesaplarını ayarlamak için her cihazı el ile ayarlamak gerekiyordu. Paylaşılan Microsoft Entra hesapları, ortamınızı bir kez yapılandırmanıza ve Autopilot'ın bir parçası olarak cihazlarınızdan herhangi birine otomatik olarak dağıtmanıza olanak tanır.
Harika bir kullanıcı deneyimi. Paylaşılan Microsoft Entra hesaplarının kullanıcılarının cihazı kullanmaya başlamak için herhangi bir kimlik bilgisi girmesi gerekmez. Dokun ve git!
Microsoft Entra kaynaklarına erişim. Paylaşılan Microsoft Entra hesaplarının kullanıcıları Microsoft Entra kaynaklarına kolay erişim elde eder, böylece ek kimlik doğrulaması olmadan Uzaktan Yardım araması başlatabilir veya Bir Kılavuz açabilirsiniz.
Önemli
Paylaşılan Microsoft Entra hesaplarına kimlik bilgileri girilmeden HoloLens cihazından erişilebildiği için, yalnızca yetkili personelin erişimi olması için bu HoloLens cihazlarını fiziksel olarak güvenli bir şekilde korumanız gerekir. Koşullu erişim ilkeleri uygulayarak, self servis parola sıfırlamayı devre dışı bırakarak ve bu hesapların kullanıldığı cihazlara atanmış erişim profillerini yapılandırarak da bu hesapları kilitlemek isteyebilirsiniz.
Not
Bunlar paylaşılan hesaplar olduğundan, bu hesapları kullanan kullanıcılar PIN ve iris kayıtları, biyometrik veri toplama bildirimi ve çeşitli onay ekranları gibi tipik ilk oturum açma kurulum ekranları gösterilmez. İlke aracılığıyla bu hesaplar için uygun varsayılan değerlerin yapılandırıldığından emin olmanız (bkz. HoloLens 2'da kullanıcıları hızlı bir şekilde ayarlama) ve kullanıcılarınızın bu varsayılanların farkında olduğundan emin olmanız gerekir.
Paylaşılan Microsoft Entra hesaplarının bilinen sınırlamaları
Paylaşılan Microsoft Entra hesapları, kayıtlı olsalar bile geçerli sürümde oturum açmak için PIN veya iris kullanamaz.
Paylaşılan Microsoft Entra Hesaplarına Kavramsal Genel Bakış
Bu işlem, bir HoloLens cihazının bir kullanıcı hesabı ayırmasına ve cihaza ve cihaza bağlı kimlik bilgileriyle bu kullanıcı hesabında oturum açmasına olanak tanır. Görüntüde şu işlem açıklanmaktadır:
Intune,SCEP Hizmeti için bir SCEP Yapılandırma profiline sahiptir.
Cihaz Intune'a katılır ve profil bilgilerini alır.
Cihaz SCEP Hizmeti ile iletişim kurar ve UPN ile bir cihaz sertifikası alır HL-{Serial}@contoso.com.
Cihaz, sorunsuz bir oturum açma deneyimi sağlamak için sertifikayı MFA olarak kullanarak Entra ID'deki corrosponding kullanıcı hesabında oturum açar.
Sertifika cihazdan kaldırılamaz/dışarı aktarılamaz ve kullanıcı hesabı başka bir MFA kullanılabilir biçimi olmadan yapılandırılır. Bu yapılandırma, paylaşılan hesabın yalnızca HoloLens cihazı tarafından oturum açılabilmesini sağlar.
Paylaşılan Microsoft Entra hesaplarını yapılandırma adımlarına genel bakış
Son olarak, cihaz yapılandırmalarını ve istemci sertifikalarını dağıtmak için Microsoft Intune erişiminiz olmalıdır. İstemci sertifikalarını Intune aracılığıyla dağıtmak için gerekli altyapı için bkz. Microsoft Intune tarafından desteklenen sertifika türleri hakkında bilgi edinin. Bu örnekte SCEP sertifikalarını kullanırız.
Not
SCEP sertifikalarını dağıtmak için Microsoft NDES ve PKI dahil olmak üzere birden çok seçenek sağlanır. HoloLens için, sertifika kaydını işlemek için bir Azure hizmeti kullanmak daha basit olabilir. (Azure Market içinde, HoloLens paylaşılan Microsft Entra hesaplarının yapılandırmalarının kurumsal PKI'nızdan yalıtılmasını sağlayan birden çok seçenek mevcuttur.
SCEP hizmetinin temel gereksinimleri şunlardır:
Hizmet, Microsoft Intune cihaz sertifikası isteklerini kabul edebilir.
Hizmet, tanımlı EKU'lar (İstemci Kimlik Doğrulaması ve Akıllı KartLa Oturum Açma) ile sertifika oluşturabilir.
Cihazlarınızı Autopilot için yapılandırmanız kesinlikle önerilir. Autopilot, son kullanıcılar için cihaz kurulum deneyimini basitleştirir.
Microsoft Entra CBA'yı etkinleştirmek için Microsoft Entra kiracınızı yapılandırma
Microsoft Entra kiracınız, belirli bir kullanıcı grubu için Microsoft Entra CBA'yı etkinleştirecek şekilde yapılandırılmalıdır.
Paylaşılan Microsoft Entra hesaplarını içeren bir Microsoft Entra grubu oluşturun. Örneğin, bu grup için "SharedAccounts" adını kullanırız.
Paylaşılan HoloLens cihazlarını içeren bir Microsoft Entra grubu oluşturun. Örneğin, bu grup için "SharedDevices" adını kullanırız. Bu gruba daha sonra cihaz tabanlı Intune yapılandırma profilleri atanır.
SharedAccounts grubu için Microsoft Entra sertifika tabanlı kimlik doğrulamasını (CBA) etkinleştirin. Eksiksiz bir adım adım kılavuz için bkz. Sertifika tabanlı Microsoft Entra kimlik doğrulamasını yapılandırma. Bunu ayarlamak için aşağıdaki üst düzey adımlar gereklidir:
(Sertifika Yetkilisi) CA sertifikanızı Microsoft Entra ekleyin. Microsoft Entra ID, bu CA tarafından verilen istemci sertifikalarının CBA gerçekleştirmesine izin verir.
"SharedAccounts" grubu için CBA'yı etkinleştirin.
CBA'yi, CA'nız tarafından verilen sertifikanın MFA kullanması için yapılandırın. Bu adım, kullanıcıların başka bir faktör ayarlamadan MFA gerektiren kaynaklara erişebildiğinden emin olmaktır.
UserPrincipalName aracılığıyla sertifika bağlamayı etkinleştirin.
Intune yapılandırması
Intune, Microsoft Entra CBA için gerekli sertifikaları dağıtacak şekilde yapılandırılmalıdır. Intune ayrıca cihazlara Microsoft Entra CBA için hangi sertifikaların geçerli olduğunu bildirmek için bir yapılandırma dağıtmalıdır.
SCEP aracılığıyla istemci sertifikası dağıtımı
Cihazların CBA Microsoft Entra gerçekleştirmek için uygun istemci sertifikasına sahip olması gerekir. Bir SCEP yapılandırması oluşturun ve bunu "SharedDevices" olarak atayın:
Sertifika türü: Cihaz
Kullanıcı asıl adı (UPN) Konu alternatif adı (SAN) ekleyin; burada değer, cihaza atanan paylaşılan hesabın UPN'sini oluşturur. UPN, bir cihazla ilişkilendirmek için cihaz seri numarasını içermelidir. Cihaz seri numarasına başvurmak için {{Device_Serial}} Intune değişkenini kullanabilirsiniz. Örneğin, paylaşılan hesapların HL-{{Device_Serial}}@contoso.com ad biçimi HL-123456789@contoso.comise değerini girin.
Anahtar depolama sağlayıcısı (KSP): Sertifikanın başka bir yerde kullanılmak üzere cihazdan dışarı aktarılamadığından emin olmak için "TPM gerektir, aksi takdirde başarısız ol" seçeneğini belirleyin.
Sertifikanın en az aşağıdaki Genişletilmiş anahtar kullanımlarına (EKU) sahip olduğundan emin olun:
Akıllı Kart Oturumu Açma: 1.3.6.1.4.1.311.20.2.2
İstemci Kimlik Doğrulaması: 1.3.6.1.5.5.7.3.2
Microsoft Entra CBA için izin verilen sertifikaları daha fazla kısıtlamak için bu listeye başka EKU'lar ekleyebilirsiniz. Bu EKU'ları ConfigureSharedAccount için XML ilkesine eklemeniz gerekir.
Cihazların istemci sertifikasını veren CA'ya da güvenmesi gerekir. Güvenilen bir sertifika yapılandırması oluşturun ve bunu "SharedDevices" grubuna atayın. Bu atama CA sertifikanızı cihazlara dağıtır. Belgelere bakın: Microsoft Intune'da güvenilen sertifika profilleri oluşturma.
ConfigureSharedAccount ilkesi
Bu ilke, cihazlara Microsoft Entra CBA için hangi sertifikaların geçerli olduğunu bildirir. Özel bir cihaz yapılandırma ilkesi oluşturun ve bunu "SharedDevices" bölümüne atayın:
<SharedAccountConfiguration><SharedAccount><!--
TODO: Replace the example value below with your issuer certificate's thumbprint.
You may customize the restrictions for which certificates are displayed. See below.
--><IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint></SharedAccount></SharedAccountConfiguration>
Microsoft Entra CBA için sertifikaların görüntüleneceği kısıtlamaları özelleştirebilirsiniz. Yukarıdaki örnek, verenin sertifika parmak izinin sağlanan değerle eşleşmesini gerektirir. Sertifikayı verenin adına göre kısıtlamayı uygulamak veya sertifikadaki Genişletilmiş Anahtar Kullanımlarına (EKU) göre daha fazla kısıtlama uygulamak da mümkündür. XML'nin nasıl yapılandırıldığına ilişkin örnekler için bkz . ConfigureSharedAccount XML Örnekleri .
Cihazın "SharedDevices" grubuna eklendiğinden emin olun. Cihazlarınızı Microsoft Entra'da zaten mevcut olacak şekilde önce Autopilot için yapılandırmanız gerekir.
Bu işlemi otomatikleştirmek için kullanılabilecek bir PowerShell betiği örneği için bkz. Örnek cihaz kurulum betiği.
Yapılandırmanızı test etme
Yukarıdaki yapılandırmayı tamamladıktan sonra HoloLens'te paylaşılan Microsoft Entra hesaplarını denemeye hazır olursunuz!
Cihazınız zaten Autopilot için yapılandırılmışsa, cihazı normal Autopilot akışından geçirin. Autopilot sırasında gerekli cihaz yapılandırmaları uygulanır. Autopilot akışı tamamlandıktan sonra aşağıdaki ekranı görürsünüz:
Paylaşılan Microsoft Entra hesabını kullanmaya başlamak için "Oturum aç" düğmesine dokunun.
Sorun giderme
Sorun: Paylaşılan Microsoft Entra hesabı oturum açma ekranında gösterilmiyor!
Çözüm: İlk olarak, cihazın doğru sertifikaları alıp almadığını denetleyin. Sertifika yöneticisini (Sertifika Yöneticisi) açın ve hem istemci sertifikasının hem de CA sertifikalarının cihaza başarıyla dağıtıldığından emin olun.
İstemci sertifikası için, "Yerel Makine" üzerindeki "My" deposuna yüklendiğinden emin olun.
Sertifika varsa, sertifikanın geçerlilik tarihleri içinde olduğundan ve beklenen verene ve EKU'lara sahip olduğundan emin olun:
Ardından, MixedReality/ConfigureSharedAccount'a uyguladığınız XML ilkesi değerinin iyi biçimlendirilmiş olduğundan emin olun. XML'nizin ConfigureSharedAccount XML Şeması'nda açıklanan şemaya uygun olup olmadığını denetlemek için çevrimiçi olarak birçok XML şeması (XSD) doğrulayıcıdan birini kullanabilirsiniz.
Veren sertifikanın belirli bir parmak izine sahip olmasını ve istemci sertifikasının OID'leri 1.2.3.4.5.6 ve 1.2.3.4.5.7 olan EKU'lara sahip olmasını gerektir:
EkUs 1.3.6.1.4.1.311.20.2.2 (Smartcard Logon) ve 1.3.6.1.5.5.7.3.2 (İstemci Kimlik Doğrulaması) her zaman bu listede olup olmadıklarına bakılmaksızın gereklidir.
Örnek cihaz kurulum betiği
Bu örnek cihaz kurulum betiğini kullanmadan önce başvuruları "contoso" yerine etki alanı adı olarak değiştirmelisiniz.
PowerShell
<#
.Synopsis
Configures a device for shared account
.Description
This script configures a device for shared account.
Note that you'll need to have the necessary permissions in your tenant to manage
user and device memberships and query Intune devices.
.Example
.\ConfigureSharedDevice.ps1 400064793157
#>param (
[Parameter(Mandatory = $true)]
[string]
# Serial number of the device. Typically a 12-digit numeric string.$DeviceSerialNumber,
[string]
# Group ID of the group that contains the shared accounts such as HL-123456789@contoso.com$SharedAccountGroupId,
[string]
# Group ID of the group that contains the shared devices$SharedDeviceGroupId
)
functionInstall-Dependencies {
Write-Host -Foreground Cyan "Installing Dependencies..."if (!(Get-InstalledModule Microsoft.Graph -ErrorAction SilentlyContinue)) {
Write-Host -Foreground Cyan "Installing Microsoft.Graph"Install-Module Microsoft.Graph -Scope CurrentUser -Repository'PSGallery'
}
Write-Host -Foreground Cyan "Installing Dependencies... Done"
}
functionNew-PasswordString {
$alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_-=+[]{}|;:,.<>/?'$length = 40$password = ""for ($i = 0; $i -lt$length; $i++) {
$password += $alphabet[(Get-Random -Minimum0 -Maximum$alphabet.Length)]
}
return$password
}
functionNew-SharedUser {
param (
$UserName,
$DisplayName
)
# Does user already exist?$searchResult = Get-MgUser -Count1 -ConsistencyLevel eventual -Search"`"UserPrincipalName:$UserName`""if ($searchResult.Count -gt0) {
Write-Host -Foreground Cyan "$UserName exists, using existing user."return$searchResult
}
$mailNickName = $UserName.Split('@')[0];
Write-Host -Foreground Cyan "Creating $UserName"$passwordProfile = @{
Password = New-PasswordString
}
returnNew-MgUser -AccountEnabled -DisplayName$DisplayName -Country US -UsageLocation US -MailNickname$mailNickName -UserPrincipalName$UserName -PasswordProfile$passwordProfile
}
functionNew-SharedUserForDevice {
param (
$DeviceSerialNumber
)
$userName = "HL-$DeviceSerialNumber@contoso.onmicrosoft.com"$displayName = "Shared HoloLens"returnNew-SharedUser -UserName$userName -DisplayName$displayName
}
functionAdd-UserToGroup {
param (
$UserId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find user group"
}
Write-Host -Foreground Cyan "Adding user ($UserId) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$UserId
}
functionGet-DeviceAADId {
param (
$DeviceSerialNumber
)
$deviceResult = Get-MgDeviceManagementManagedDevice | Where-Object { $_.SerialNumber -eq$DeviceSerialNumber }
if ($deviceResult.Count -eq0) {
throw"Cannot find device with serial number $DeviceSerialNumber in Intune"
}
$result = ($deviceResult | Select-Object -First1).AzureAdDeviceId
Write-Host"Found device: $result"return$result
}
functionAdd-DeviceToGroup {
param (
$DeviceAADId,
$GroupId
)
$groupResult = Get-MgGroup -GroupId$GroupIdif ($groupResult.Count -eq0) {
throw"Failed to find device group"
}
$deviceResult = Get-MgDevice -Count1 -ConsistencyLevel eventual -Search"`"DeviceId:$DeviceAADId`""if ($deviceResult.Count -eq0) {
throw"Failed to find device $DeviceAADId"
}
Write-Host -Foreground Cyan "Adding device $($deviceResult.Id) to group"New-MgGroupMember -GroupId$GroupId -DirectoryObjectId$deviceResult.Id
}
functionRegister-SharedDevice {
param (
$DeviceSerialNumber
)
Install-DependenciesConnect-MgGraph -Scopes"User.ReadWrite.All", "Group.Read.All", "GroupMember.ReadWrite.All", "DeviceManagementManagedDevices.Read.All", "Device.ReadWrite.All"$deviceAADId = Get-DeviceAADId$DeviceSerialNumberAdd-DeviceToGroup$deviceAADId$SharedDeviceGroupId$user = New-SharedUserForDevice$DeviceSerialNumberAdd-UserToGroup$user.Id $SharedAccountGroupId
}
Register-SharedDevice$DeviceSerialNumber
Microsoft Entra Dış Kimlik tüketicilerinize ve iş müşterilerinize nasıl güvenli ve sorunsuz oturum açma deneyimleri sunabileceğini keşfedin. Kiracı oluşturmayı, uygulama kaydını, akış özelleştirmesini ve hesap güvenliğini keşfedin.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.