在多个用户之间使用共享标识部署 Remote Assist
本文包含跨多个用户使用共享Microsoft Entra标识部署 Remote Assist 所涉及的高级步骤。 本文档中提供的指南重点介绍如何预配Microsoft Entra用户帐户、为共享设备环境分配所需的许可证和HoloLens 2设备配置。 有关基于场景的更详细部署指南,请参阅常见部署场景。
部署任务
1. Microsoft Entra帐户
创建Microsoft Entra安全组和用于登录HoloLens 2设备的共享Microsoft Entra用户帐户。
- 以Microsoft Entra全局管理员身份登录到 Microsoft Entra 管理中心。
- 导航到“新建组管理中心”边栏选项卡,创建Microsoft Entra ID 安全组来管理HoloLens 2共享用户帐户。 有关分步说明,请参阅创建基本组并添加成员。
- 导航到“新建用户 - Microsoft Entra管理中心”边栏选项卡,创建由多人共享的新用户帐户,以登录到HoloLens 2设备。 建议为每个HoloLens 2设备一个Microsoft Entra用户帐户。 有关逐步说明,请参阅添加或删除用户。
- 导航到“组 - Microsoft Entra管理中心”,选择Microsoft Entra安全组名称 ->“成员” -> + “添加成员”,并将上述用户帐户添加到安全组。 有关逐步说明,请参阅添加或删除组成员。
2. 许可证分配
将所需的许可证分配给Microsoft Entra用户帐户。
可以将在 HoloLens 2 上使用 Dynamics 365 Remote Assist 所需的许可证分配给用户或用户组。 若要将许可证分配给用户组,请按照将许可证分配给组分步指南分配以下许可证。 若要将许可证分配给用户,请按照将许可证分配给用户分步指南分配以下许可证。
- Dynamics 365 Remote Assist
- Microsoft Teams
- Common Data Service for Remote Assist
有关详细信息,请参阅 Dynamics 365 Remote Assist 的要求。
若要使用 Microsoft Endpoint Manager (Intune) 管理 HoloLens 2,请按照分配 Microsoft Intune 许可证分步指南分配以下许可证。
- Microsoft Intune
若要使用 Remote Assist 的高级功能,例如访问 OneDrive 文件、安排一次性通话以及与 Dynamics 365 Field Service 集成,必须为 HoloLens 2 用户帐户分配另一个许可证。 有关详细信息,请参阅 Dynamics 365 Remote Assist 的要求。
注意
有关详细信息,请参阅使用组管理Microsoft Entra ID 中的许可的方案、限制和已知问题。
3. 设备配置
若要使用共享Microsoft Entra用户帐户与多人共享HoloLens 2设备,请配置以下内容以保护用户凭据并限制HoloLens 2用户使用的应用。 按照设置HoloLens 2,使用上述Microsoft Entra帐户部分创建的共享Microsoft Entra用户帐户,首次设置HoloLens 2设备。 每个HoloLens 2设备使用一个Microsoft Entra用户帐户。 在 HoloLens 2 初始设置期间,跳过虹膜登录配置并配置 Windows Hello PIN 以登录设备(请参阅下面的详细信息)。
登录 PIN
使用 Windows Hello PIN 登录 HoloLens 2 设备。 不要与最终用户共享共享帐户密码。 配置 Windows Hello PIN 让你可以不用与最终用户共享用户帐户密码,并允许最终用户使用为特定 HoloLens 2 设备上的用户帐户配置的 Windows Hello PIN 登录到 HoloLens 2 设备。 配置的 Windows Hello PIN 以加密方式绑定到 HoloLens 2 设备,不能用于使用电脑或其他 HoloLens 2 设备上的浏览器登录用户帐户。
有关详细信息,请参阅与多人共享 HoloLens。
自动登录
还可使用 AutoLogonUser 策略,使用与该设备绑定的标识自动登录到设备。 这将绕过 HoloLens 2 登录体验,用户将能够拿起设备并立即开始使用设备。 有关详细信息,请参阅由 CSP 控制的自动登录策略。
展台模式
对于共享 HoloLens 2 设备,建议使用 Kiosk 模式来控制用户登录 HoloLens 时在“开始”菜单中显示哪些应用程序。 通过仅允许 Remote Assist 等必需的应用,可以通过 SSO 限制用户使用 Microsoft Edge 浏览器登录用户帐户设置页面,并访问 HoloLens 2 设备内的用户帐户详细信息。
如果使用 Microsoft Endpoint Manager (Intune) 管理设备
导航到 Microsoft Endpoint Manager 管理中心,然后在设备 | 配置文件边栏选项卡中创建单个或多个应用展台模式配置。
如果使用预配程序包来管理设备
使用 Windows 配置设计器配置和部署单个或多个应用展台模式预配程序包。 有关详细信息,请参阅将 HoloLens 设置为展台。
Windows Defender 应用程序控制 (WDAC)
利用 WDAC,你可以配置 HoloLens 以阻止应用启动。 这不同于展台模式,在该模式下,UI 隐藏了应用,但你仍可启动这些应用。 而借助 WDAC,你可以看到这些应用磁贴,但无法启动它们。 有关详细信息,请参阅 Windows Defender 应用程序控制 (WDAC)。
限制
使用共享Microsoft Entra帐户具有以下限制 (包括但不限于) :
- 标识 - 用户无法使用虹膜登录 HoloLens 2 设备,也无法访问他们在 Microsoft 365 中的工作帐户相关内容。
- 来电显示/联系人 - 无法访问用户的个人联系人列表/最近呼叫的联系人,并且来电显示将显示共享帐户名称而不是用户名。
- 基于用户的工作流 - 无法使用与现场服务的高级集成,因为“分配”工作项的用户不是登录 Remote Assist 的用户。
- PIN 共享 - 由于无法进行虹膜登录,Windows Hello PIN 号码必须在用户之间共享。
问题
使用共享Microsoft Entra帐户 (存在以下问题,包括但不限于) :
- 缺乏问责 - 使用共享帐户时,无法证明谁使用了该设备,以及设备已执行哪些操作。
- 缺少审核 - 审核记录不完整,发生事件时,可能无法识别用户。
- 缺少单个跟踪/分析。
- 权限 - 高级权限不能基于共享帐户完成。
- MFA 所有权 - 多重身份验证 (MFA) 应由共享帐户的中心颁发机构拥有。
- PIN 重置 - 何时需要重置 PIN 以及了解谁拥有设备上的 MFA 是一项挑战。
注意事项
必须查看并更改以下Microsoft Entra设置, (包括但不限于) ,如果要使用共享Microsoft Entra用户帐户。 启用和禁用以下Microsoft Entra设置时,应格外小心,确保更改这些设置不会对现有和新用户帐户造成任何问题。
- 查看用户 | 用户设置边栏选项卡中的管理员门户访问设置。
- 查看用户 | 用户设置边栏选项卡中的应用注册设置。
- 查看用户 | 用户设置边栏选项卡中的关联帐户连接设置。
- 查看用户 | 用户设置边栏选项卡中的用户功能设置。
- 查看密码重置 | 属性边栏选项卡中的自助密码重置设置。
- 查看设备 | 中的将设备加入Microsoft Entra设置“设备设置”边栏选项卡。
- 在设备 | 企业状态漫游边栏选项卡中查看企业状态漫游设置。
警告
不要与最终用户共享共享帐户密码。 最终用户应始终使用Microsoft Entra帐户名和关联的Windows Hello PIN,或使用自动登录功能登录到共享环境中的HoloLens 2设备。
反馈
https://aka.ms/ContentUserFeedback。
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈