在多个用户之间使用共享标识部署 Remote Assist

本文包含跨多个用户使用共享Microsoft Entra标识部署 Remote Assist 所涉及的高级步骤。 本文档中提供的指南重点介绍如何预配Microsoft Entra用户帐户、为共享设备环境分配所需的许可证和HoloLens 2设备配置。 有关基于场景的更详细部署指南,请参阅常见部署场景

部署任务

1. Microsoft Entra帐户

创建Microsoft Entra安全组和用于登录HoloLens 2设备的共享Microsoft Entra用户帐户。

  1. 以Microsoft Entra全局管理员身份登录到 Microsoft Entra 管理中心
  2. 导航到“新建组管理中心”边栏选项卡,创建Microsoft Entra ID 安全组来管理HoloLens 2共享用户帐户。 有关分步说明,请参阅创建基本组并添加成员
  3. 导航到“新建用户 - Microsoft Entra管理中心”边栏选项卡,创建由多人共享的新用户帐户,以登录到HoloLens 2设备。 建议为每个HoloLens 2设备一个Microsoft Entra用户帐户。 有关逐步说明,请参阅添加或删除用户
  4. 导航到“组 - Microsoft Entra管理中心”,选择Microsoft Entra安全组名称 ->“成员” -> + “添加成员”,并将上述用户帐户添加到安全组。 有关逐步说明,请参阅添加或删除组成员

2. 许可证分配

将所需的许可证分配给Microsoft Entra用户帐户。

  1. 可以将在 HoloLens 2 上使用 Dynamics 365 Remote Assist 所需的许可证分配给用户或用户组。 若要将许可证分配给用户组,请按照将许可证分配给组分步指南分配以下许可证。 若要将许可证分配给用户,请按照将许可证分配给用户分步指南分配以下许可证。

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • Common Data Service for Remote Assist

    有关详细信息,请参阅 Dynamics 365 Remote Assist 的要求

  2. 若要使用 Microsoft Endpoint Manager (Intune) 管理 HoloLens 2,请按照分配 Microsoft Intune 许可证分步指南分配以下许可证。

    • Microsoft Intune
  3. 若要使用 Remote Assist 的高级功能,例如访问 OneDrive 文件、安排一次性通话以及与 Dynamics 365 Field Service 集成,必须为 HoloLens 2 用户帐户分配另一个许可证。 有关详细信息,请参阅 Dynamics 365 Remote Assist 的要求

3. 设备配置

若要使用共享Microsoft Entra用户帐户与多人共享HoloLens 2设备,请配置以下内容以保护用户凭据并限制HoloLens 2用户使用的应用。 按照设置HoloLens 2,使用上述Microsoft Entra帐户部分创建的共享Microsoft Entra用户帐户,首次设置HoloLens 2设备。 每个HoloLens 2设备使用一个Microsoft Entra用户帐户。 在 HoloLens 2 初始设置期间,跳过虹膜登录配置并配置 Windows Hello PIN 以登录设备(请参阅下面的详细信息)。

登录 PIN

使用 Windows Hello PIN 登录 HoloLens 2 设备。 不要与最终用户共享共享帐户密码。 配置 Windows Hello PIN 让你可以不用与最终用户共享用户帐户密码,并允许最终用户使用为特定 HoloLens 2 设备上的用户帐户配置的 Windows Hello PIN 登录到 HoloLens 2 设备。 配置的 Windows Hello PIN 以加密方式绑定到 HoloLens 2 设备,不能用于使用电脑或其他 HoloLens 2 设备上的浏览器登录用户帐户。

有关详细信息,请参阅与多人共享 HoloLens

自动登录

还可使用 AutoLogonUser 策略,使用与该设备绑定的标识自动登录到设备。 这将绕过 HoloLens 2 登录体验,用户将能够拿起设备并立即开始使用设备。 有关详细信息,请参阅由 CSP 控制的自动登录策略

展台模式

对于共享 HoloLens 2 设备,建议使用 Kiosk 模式来控制用户登录 HoloLens 时在“开始”菜单中显示哪些应用程序。 通过仅允许 Remote Assist 等必需的应用,可以通过 SSO 限制用户使用 Microsoft Edge 浏览器登录用户帐户设置页面,并访问 HoloLens 2 设备内的用户帐户详细信息。

Windows Defender 应用程序控制 (WDAC)

利用 WDAC,你可以配置 HoloLens 以阻止应用启动。 这不同于展台模式,在该模式下,UI 隐藏了应用,但你仍可启动这些应用。 而借助 WDAC,你可以看到这些应用磁贴,但无法启动它们。 有关详细信息,请参阅 Windows Defender 应用程序控制 (WDAC)

限制

使用共享Microsoft Entra帐户具有以下限制 (包括但不限于) :

  1. 标识 - 用户无法使用虹膜登录 HoloLens 2 设备,也无法访问他们在 Microsoft 365 中的工作帐户相关内容。
  2. 来电显示/联系人 - 无法访问用户的个人联系人列表/最近呼叫的联系人,并且来电显示将显示共享帐户名称而不是用户名。
  3. 基于用户的工作流 - 无法使用与现场服务的高级集成,因为“分配”工作项的用户不是登录 Remote Assist 的用户。
  4. PIN 共享 - 由于无法进行虹膜登录,Windows Hello PIN 号码必须在用户之间共享。

问题

使用共享Microsoft Entra帐户 (存在以下问题,包括但不限于) :

  1. 缺乏问责 - 使用共享帐户时,无法证明谁使用了该设备,以及设备已执行哪些操作。
  2. 缺少审核 - 审核记录不完整,发生事件时,可能无法识别用户。
  3. 缺少单个跟踪/分析。
  4. 权限 - 高级权限不能基于共享帐户完成。
  5. MFA 所有权 - 多重身份验证 (MFA) 应由共享帐户的中心颁发机构拥有。
  6. PIN 重置 - 何时需要重置 PIN 以及了解谁拥有设备上的 MFA 是一项挑战。

注意事项

必须查看并更改以下Microsoft Entra设置, (包括但不限于) ,如果要使用共享Microsoft Entra用户帐户。 启用和禁用以下Microsoft Entra设置时,应格外小心,确保更改这些设置不会对现有和新用户帐户造成任何问题。

  1. 查看用户 | 用户设置边栏选项卡中的管理员门户访问设置。
  2. 查看用户 | 用户设置边栏选项卡中的应用注册设置。
  3. 查看用户 | 用户设置边栏选项卡中的关联帐户连接设置。
  4. 查看用户 | 用户设置边栏选项卡中的用户功能设置。
  5. 查看密码重置 | 属性边栏选项卡中的自助密码重置设置。
  6. 查看设备 | 中的将设备加入Microsoft Entra设置“设备设置”边栏选项卡。
  7. 设备 | 企业状态漫游边栏选项卡中查看企业状态漫游设置。

警告

不要与最终用户共享共享帐户密码。 最终用户应始终使用Microsoft Entra帐户名和关联的Windows Hello PIN,或使用自动登录功能登录到共享环境中的HoloLens 2设备。