使用多個用戶的共用身分識別部署遠端協助

• 適用於:

  HoloLens 2

本文包含跨多個使用者使用共用Microsoft Entra 身分識別部署遠端協助所涉及的高階步驟。 本檔中提供的指引著重於布建 Microsoft Entra 使用者帳戶、指派共用裝置環境所需的授權和 HoloLens 2 裝置設定。 如需更詳細的案例型部署指引，請參閱 常見部署案例。

重要

本文說明手動設定每個裝置的共用Microsoft Entra 帳戶的程式。 此後，我們引進了較容易大規模部署的改良程式，不需要針對每個裝置手動設定，並移除管理 PIN 和 MFA 的需求。 如需改善的程式，請參閱 HoloLens中 共用Microsoft Entra 帳戶。 本文中的程式會保留給小型部署（少於10部裝置），而不需要改善程式所需的基礎結構。

部署工作

1. Microsoft Entra 帳戶

建立 Microsoft Entra 安全組和共用Microsoft Entra 用戶帳戶，以用來登入 HoloLens 2 裝置。

1. 以至少群組管理員和使用者管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 [新增群組系統管理中心]，然後建立 Microsoft Entra ID Security Group 來管理 HoloLens 2 共用使用者帳戶。 如需逐步指示，請參閱 建立基本群組並新增成員。
3. 流覽至 [新增使用者 - Microsoft Entra 系統管理中心 並建立多人共用的新用戶帳戶，以登入 HoloLens 2 裝置。 建議每個 HoloLens 2 裝置有一個Microsoft Entra 用戶帳戶。 如需逐步指示，請參閱 新增或刪除使用者。
4. 流覽至 群組 - Microsoft Entra 系統管理中心，選取 Microsoft Entra 安全組名稱 ->成員 -> + 新增成員，並將上述用戶帳戶新增至安全組。 如需逐步指示，請參閱 新增或移除群組成員。

2.授權指派

將必要的授權指派給 Microsoft Entra 用戶帳戶。

1. 您可以將 HoloLens 2 上的 Dynamics 365 Remote Assist 所需的授權指派給使用者或使用者群組。 若要將授權指派給使用者群組，請遵循 將授權指派給群組 逐步指南，以指派下列授權。 若要將授權指派給使用者，請遵循 將授權指派給使用者 逐步指南，以指派下列授權。

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service for Remote Assist

   如需詳細資訊，請參閱 Dynamics 365 Remote Assist的需求。

2. 若要使用 Microsoft Endpoint Manager 管理 HoloLens 2（Intune），請遵循 指派Microsoft Intune 授權 逐步指南來指派下列授權。

   • Microsoft Intune

3. 若要使用遠端協助的進階功能，例如存取 OneDrive 檔案、排程一次性呼叫，以及與 Dynamics 365 Field Service 整合，您必須將另一個授權指派給 HoloLens 2 用戶帳戶。 如需詳細資訊，請參閱 Dynamics 365 Remote Assist的需求。

注意

如需詳細資訊，請參閱 使用群組在 entra ID Microsoft中管理授權的案例、限制和已知問題。

3. 裝置設定

若要使用共用Microsoft Entra 用戶帳戶與多人共用 HoloLens 2 裝置，請設定下列專案來保護用戶認證，並限制 HoloLens 2 使用者使用的應用程式。 請遵循 設定 HoloLens 2，以第一次設定 HoloLens 2 裝置，並使用上一節「Microsoft Entra 帳戶」中建立的共用Microsoft Entra 用戶帳戶。每個 HoloLens 2 裝置使用一個Microsoft Entra 用戶帳戶。 在 HoloLens 2 初始設定期間，略過鳶尾花驗證註冊，並設定 Windows Hello PIN 以登入裝置。

登入 PIN

使用 Windows Hello PIN 登入 HoloLens 2 裝置。 請勿與使用者共用共享帳戶密碼。 設定 Windows Hello PIN 可讓您不與終端使用者共用使用者帳戶密碼，並允許終端使用者使用針對特定 HoloLens 2 裝置上針對使用者帳戶設定的 Windows Hello PIN 登入 HoloLens 2 裝置。 設定的 Windows Hello PIN 會以密碼編譯方式系結至 HoloLens 2 裝置，且無法在不同的裝置上使用。

如需詳細資訊，請參閱 與多人共用 HoloLens。

自動登入

您也可以使用 AutoLogonUser 原則，使用系結至該裝置的身分識別自動登入裝置。 這會略過 HoloLens 2 登入體驗，而且使用者可以立即挑選裝置並開始使用裝置。 如需詳細資訊，請參閱由 CSP 控制 自動登入原則。

Kiosk 模式

針對共用 HoloLens 2 裝置，建議使用 Kiosk 模式來控制當使用者登入 HoloLens 時，[開始] 功能表中會顯示哪些應用程式。 只要只允許遠端協助之類的必要應用程式，您就可以使用 SSO 的 Microsoft Edge 瀏覽器來限制使用者登入使用者帳戶設定頁面，並存取 HoloLens 2 裝置內的使用者帳戶詳細數據。

• 如果您使用 Microsoft 端點管理員 （Intune） 來管理裝置

  流覽至 Microsoft 端點管理員系統管理中心，並在 裝置中建立單一應用程式或多應用程式 kiosk 模式組態 |組態設定檔。

• 如果您使用布建套件來管理裝置

  使用 Windows 設定設計工具來設定及部署單一或多個應用程式 kiosk 模式布建套件。 如需詳細資訊，請參閱 將 HoloLens 設定為 kiosk。

Windows Defender 應用程控 （WDAC）

WDAC 可讓您設定 HoloLens 來封鎖應用程式的啟動。 這與 Kiosk 模式不同，UI 會隱藏應用程式，但仍可以啟動它們。 使用 WDAC，您可以看到應用程式磚，但無法啟動。 如需詳細資訊，請參閱 Windows Defender 應用程控 （WDAC）。

局限性

使用共用Microsoft Entra 帳戶有下列限制（包括但不限於）：

1. 身分識別 – 用戶無法使用鳶尾花驗證登入 HoloLens 2 裝置，且無法在 Microsoft 365 中存取其工作帳戶相關內容。
2. 來電者標識碼/連絡人 – 無法存取使用者的個人聯繫人清單/最近呼叫的聯繫人，且來電者標識符會顯示共用帳戶名稱，而不是使用者的名稱。
3. User-Based 工作流程 – 無法將進階整合與現場服務搭配使用，因為使用者正在「指派」工作專案，不是使用者登入 Remote Assist。
4. PIN 共用 – 由於鳶尾花驗證是不可能的，Windows Hello PIN 號碼必須在使用者之間共用。

問題

使用共用Microsoft Entra 帳戶會造成下列問題得到解決（包括但不限於）：

1. 缺乏責任 – 使用共用帳戶時，無法證明誰已使用裝置，以及裝置的用途。
2. 缺乏稽核 – 稽核記錄將會不完整，而且在發生事件時，無法識別使用者。
3. 缺少個別追蹤/分析。
4. 許可權 – 無法以共用帳戶為基礎完成進階許可權。
5. MFA 擁有權 – 多重要素驗證 （MFA） 應該由共用帳戶的中央授權單位擁有。
6. PIN 重設 – 當 PIN 需要重設，並瞭解誰擁有裝置上的 MFA 是具有挑戰性的。

考慮

當您想要使用共用Microsoft Entra 用戶帳戶時，您必須檢閱並變更下列Microsoft Entra 設定（包括但不限於）。 啟用和停用下列Microsoft Entra 設定時，請務必特別小心，確保變更這些設定不會對現有和新用戶帳戶造成任何問題。

1. 在 用戶中檢閱系統管理員入口網站存取設定 |使用者設定。
2. 在 用戶中檢閱應用程式註冊設定 |使用者設定。
3. 檢閱 使用者中的連結帳戶連線設定 |使用者設定。
4. 檢閱 Users 中的 [使用者功能] 設定 |使用者功能。
5. 檢閱 密碼重設中的自助式密碼重設設定 |屬性。
6. 檢閱在 裝置中將裝置加入至 Microsoft Entra 設定 |裝置設定。
7. 檢閱 裝置中的企業狀態漫遊設定 |企業狀態漫遊。

警告

請勿與使用者共用共用的帳戶密碼。 終端用戶應該一律使用 Microsoft Entra 帳戶名稱和相關聯的 Windows Hello PIN，或使用自動登入功能登入共用環境中的 HoloLens 2 裝置。