複数のユーザーとの HoloLens の共有

• 適用対象:

  HoloLens 2

概要

多くの場合、企業は多くの共有の HoloLens デバイスに投資します。 HoloLens の使用方法は、個々の要件に応じて、全体にわたって柔軟性があります。 マルチユーザー エクスペリエンスの例を次に示します。

• HoloLens 2 デバイスのフリートは、Windows Autopilot for HoloLens 2 を介してセットアップされ、各デバイスに一貫した企業アプリケーションのポートフォリオがあります。 さまざまなMicrosoft Entra グループを対象に、いくつかの異なるキオスク プロファイルを設定しました。 各ユーザーは、FIDO2 キーを使用して HoloLens にログインし、独自のMicrosoft Entra アカウントにサインインし、調整されたエクスペリエンスが提供されます。
• 独立系ソフトウェア ベンダー (ISV) は、Dynamics 365 Remote Assistとその基幹業務 (LOB) アプリケーションを持つデバイスHoloLens 2顧客の会社にレンタルします。 これらのデバイスは、LOB アプリと Remote Assist のみを含むキオスク用に構成されており、複数のエンド ユーザー間で共有されています。 設定アプリと Microsoft Edge が起動しないようにするために、WDAC が使用されています。 レンタルには、複数のシフトにわたってデバイスをフル充電するための USB-C バッテリー パックが含まれています。
• 企業のエンド ユーザーは、デバイスの Bluetooth を調整して新しいデバイスを接続できるようにしようとしますが、[デバイス] ページの表示を制限するために、[ページ設定の可視性] ポリシーが有効になっています。 同じ HoloLens を持つ複数の場所で Remote Assist を使用できるように、Wi-Fi など、必要に応じて他のページへのアクセスは引き続き許可されます。

ベスト プラクティス

デバイスの共有を計画する際には、ビジネス ニーズに基づいてデバイス環境を最適化するためのいくつかの考慮事項があります。

• ID と認証
• デバイスの管理
• 高度なデバイス管理 - キオスクと WDAC
• 物理管理

ID と認証

デバイスに複数のアカウントを使用する予定の場合は、すべての認証モードでMicrosoft Entraアカウントを持つことができます。 これらの認証方法は、Iris、PIN、FIDO2 キーなど、Windows Helloに基づいています。 共有Microsoft Entra アカウントの場合、使用される認証方法は Certificate-Based 認証 (CBA) です。

• FIDO 2 セキュリティ キーは、複数のデバイスがあるか、多くのユーザーがいるか、または常に新しいデバイスを使用している場合に優れています。
• 1 つのデバイスが複数のユーザーと共有されている場合、共有Microsoft Entra アカウントを使用すると、ユーザーは 1 回のボタン クリックでログインできます。
• ユーザーが 10 人以下の場合、Iris は、以前に同じデバイスにサインインしたことのあるユーザーをサインインするための高速なソリューションです。

デバイスの管理

デバイスがユーザー間で共有されている場合は、デバイスの制限を使用できます。 デバイス管理を使用すると、一部のポリシーを設定して、ユーザーがデバイスをより適切に使用したり、更新プログラムを管理したり、デバイスで実行できることを制限したりできます。 一般的なデバイス制限を確認し、これらの推奨事項がorganizationに適合しているかどうかを確認することをお勧めします。 使用したいポリシーがわかったら、Microsoft の エンドポイント マネージャー (MDM) またはプロビジョニング パッケージを使用して適用できます。

高度なデバイス管理 - キオスクと WDAC

場合によっては、エンド ユーザーがアクセスできるアプリケーションを制限することができます。 キオスク モードを使用して、スタート メニューに表示されるアプリ ユーザーを制限できます。 キオスクは、ユーザー、Microsoft Entra グループ、または特別なユーザーの種類 (訪問者やデバイス所有者を除く) に基づいて異なるスタート メニューを表示するように構成できます。 複数のアプリ、または 1 つのアプリだけを選択できます。 マルチ アプリ キオスクでは、あるアプリが別のアプリの起動を停止しないので、ストアや別のアプリが利用可能な場合でも、ユーザーは別のアプリを起動できます。

また、アプリを制限するために、Windows Defender アプリケーション制御 (WDAC) を使用してアプリやサービスの起動を完全に停止することもできます。 WDAC は、HoloLens の UI を変更せず、ブロックされたアプリの起動を許可しないため、キオスクとは異なります。

ページ設定の可視性は、デバイスに制限を追加するもう 1 つの方法です。 この場合、設定アプリの一部のページへのアクセス権をユーザーに付与する必要がありますが、ページ設定の可視性を使用してすべてアクセスを制限できるわけではありません。 このポリシーは、たとえば、ユーザーが Wi-Fi を変更する必要があるが、[アカウント] ページにアクセスしたくない場合に便利です。

物理管理

複数のユーザー間でデバイスを共有する場合は、いくつかの物理的な考慮事項があります。

• デバイスがシフト間に充電していることを確認してください。
• デバイスが複数のシフトを続ける必要がある場合は、シフトの開始時に外部バッテリーを使用することを検討してください。ただし、デバイスには 熱方向の管理に応じてかなりの料金が発生します。
• デバイスを保存するときは、デバイスを接続したままネットワークに接続します。 この方法は、OS とアプリを最新の状態に保つ最善の方法です。
• ユーザー間でデバイスをクリーニングする方法を検討してください。 Iris 認証を使用する予定の場合は、各ユーザー間でバイザーをクリーニングすることを強くお勧めします。
• 1 人の共有ユーザーがいる 1 つのデバイスで、1 人のユーザーに共有 PIN/パスワードを使用している場合は、デバイスの側に PIN/パスワードを置かないでください。
• 1 人の共有ユーザーがいる複数のデバイスでは、さまざまな PIN/パスワードを使用してください。
• 1 人の共有ユーザーを持つ複数のデバイスのもう 1 つのオプションは、1 回のボタン クリックでサインインできるように共有Microsoft Entra アカウントを設定することです。
• ユーザーが既に使用しているデバイスを見つけられるように、デバイスにラベルを付けます。 以前に使用したデバイスにサインインしてアプリを起動すると、Iris、PIN、または FIDO2 セキュリティ キーを使用して 30 秒ほどかかることがあります。 新しいデバイス (OOBE または新しいユーザーの追加) を設定してから、アプリを起動するには最大 5 分かかる場合があります。

複数のユーザーと共有し、それぞれが自分のアカウントを使用する

個々のMicrosoft Entra アカウントは、HoloLens 2 ユーザーにとって推奨される最も安全な ID ユース ケースです。 独自のMicrosoft Entra アカウントを使用する場合、複数のユーザーがそれぞれ独自のユーザー設定とユーザー データをデバイスに保持できます。 一度にサインインできるユーザーは 1 人だけです。 ユーザーがサインインすると、HoloLens により前のユーザーがサインアウトされます。

複数のユーザーが HoloLens で自分のアカウントを使用できるようにするには、次の手順に従って構成します。

1. デバイスを設定したら、[職場または学校が所有しています] を選択し、Microsoft Entra アカウントを使用してサインインします。
2. 設定が完了したら、必ず、アカウント設定 ([設定] > [アカウント]) に [その他のユーザー] が含まれるようにしてください。

HoloLens を使用するには、各ユーザーが次の手順に従います。

1. 別のユーザーがデバイスを使用していた場合は、次のいずれかのオプションを選択します。

   • 電源ボタンを 1 回押すとスタンバイ状態に入り、電源ボタンを再度押すとロック画面に戻ります
   • [スタート] メニューからユーザー タイルを選択するか、Power メニューから [サインアウト] を選択して現在のユーザーをサインアウトします。

2. Microsoft Entra アカウントの資格情報を使用して、デバイスにサインインします。

   • デバイスを初めて使用する場合は、HoloLens を自分の目に 合わせて調整 するように求められます。

   • 以前にデバイス ( Windows Holographic バージョン 20H2、ビルド 19041.1128 以降) を使用していた場合、ディスプレイは品質と快適な表示エクスペリエンスをシームレスに調整します。

     • 以前のビルドでは、目に合わせて調整するために手動で調整する必要があります。

     ヒント

     ユーザーがまだデバイスにサインインしていない場合は、ログインを高速化にするために次の 2 つの方法のいずれかを試してください。

     • FIDO 2 セキュリティ キー : FIDO2 セキュリティ キーは自動的に認識され、ユーザーはユーザーの資格情報を入力したり、MFA を使用したりする必要はありません。 これは、新しいデバイスでサインインするための最も高速な方法です。
     • Web 認証: 新しいデバイスにサインインするときに、aka.ms/devicelogin で使用できる 9 文字のコードを生成する [別のデバイスからサインインする] リンクを選択して、デバイス上のユーザーとしてサインインするか、キーボードを使用してユーザー名とパスワードを入力して便宜を図ることができます。

     デバイス ユーザーの一覧を表示したり、デバイスからユーザーを削除したりするには、[設定]>[アカウント]>[その他のユーザー] に移動します。 次の手順に従って、デバイス上のユーザーを削除することもできます。

ヒント

複数のユーザーがデバイスを使用する場合は、バイザーをクリーンしておくことが重要です。 デバイスHoloLens 2クリーンする方法の詳細については、「クリーニングに関する FAQ」を参照してください。 各ユーザー間でバイザーをクリーンすることをお勧めします。 このベスト プラクティスは、Iris 認証を使用する場合に特に重要です。

デバイス上のユーザーを削除する

• HoloLens 2 デバイスの展開がスケーリングされた組織では、ユーザーの追加を妨げるデバイスごとに 63 ユーザーの制限が発生する可能性があります。 この状況に対処するために、制御された間隔でデバイスから最新のユーザーを削除するコントロールを追加しました。これは、デスクトップ バージョンで使用した可能性のある機能です。 制御された方法でユーザーを削除することは、他の理由でも役立ちます。 非アクティブなアカウントを削除すると、サインイン プロセスが高速化され、未使用データの保持を減らすことでプライバシーとセキュリティが向上します。 次の 3 つの条件を使用して、デバイス上のユーザー アカウントを削除するタイミングを決定します。

• ユーザーがデバイスで何日間も非アクティブになっている場合は、ProfileInactivityThreshold を使用して構成できます。

• デバイスがストレージしきい値に達すると、 StorageCapacityStartDeletion と StorageCapacityStopDeletion を使用して構成できます。

• デバイスがサポートされているユーザーの最大数 (63) に達したとき。

次のようにして使い始めることができます。

1. UserProfileManagement/EnableProfileManager のブール値を true に設定します。

2. 数値 UserProfileManagement/ProfileInactivityThreshold を設定します。これは、ユーザーが削除されるまでにユーザーが非アクティブである (デバイスにログオンしていない) 日数です。 既定値は、 30です。

3. UserProfileManagement/StorageCapacityStartDeletion を設定します。これは、デバイスが最新のユーザーの削除を開始したときに残っている空き領域の割合を表す数値です。 既定値は 25% です。

4. UserProfileManagement/StorageCapacityStartDeletion と StorageCapacityStopDeletion をペアにして、空きストレージの割合に基づいてプロファイルの削除を停止するタイミングを決定します。

5. 削除ポリシー UserProfileManagement/DeletePolicy を有効にし、ストレージ容量のしきい値とプロファイル非アクティブしきい値の両方でユーザーを削除する 2 に設定します。

   UserProfileManagement/DeletePolicy がオンの場合、デバイスが最大ユーザー数に達し、別のユーザーを追加しようとすると、デバイスは最も古いユーザーを自動的に削除します。

これらのポリシーの詳細については、「 AccountManagement CSP」を参照してください。

すべて同じアカウントを使用して複数のユーザーと共有する

複数のユーザーは、1 つのユーザー アカウントまたは共有Microsoft Entra アカウントを使用しているときに、HoloLens デバイスを共有することもできます。 HoloLens ユーザーは、個々の ID (Microsoft Entra アカウント) を使用してデバイスにログインすることをお勧めしますが、これは一部の組織ではオプションではありません。

次の 2 つのデバイス共有方法を使用できます。

• 1 つのデバイスを共有する複数のエンド ユーザー - HoloLens デバイスは、すべての従業員がデバイスを使用できる指定されたスペースに割り当てられます。 たとえば、クリーン ルームや手術室などです。

• 複数のデバイスを共有する複数のエンド ユーザー - HoloLens は、従業員が任意のデバイスを使用できる共有の収納スペースにあります。 たとえば、石油リグや自動車販売店/修理工場などです。

同じアカウントでサインインしたままにしながら、新しいユーザーが初めてデバイスにアクセスすると、表示エクスペリエンスをすばやく調整してカスタマイズするようにユーザーに求めるメッセージが表示されます。 このデバイスには、調整情報が格納され、各ユーザーの表示エクスペリエンスの品質と快適さが自動的に最適化されます。 ユーザーはデバイスを再度調整する必要はありません。

共有Microsoft Entra アカウントを 1 つ以上のデバイスで複数のエンド ユーザーが使用する方法の詳細については、「HoloLens の共有Microsoft Entra アカウント」を参照してください。