Implantando o Remote Assist usando uma identidade compartilhada entre vários usuários

• Aplica-se a:

  HoloLens 2

Este artigo contém etapas de alto nível envolvidas na implantação do Remote Assist usando a identidade de Microsoft Entra compartilhada em vários usuários. As diretrizes fornecidas neste documento se concentram no provisionamento Microsoft Entra contas de usuário, atribuição de licenças necessárias e HoloLens 2 configuração de dispositivo para um ambiente de dispositivo compartilhado. Para obter diretrizes de implantação mais detalhadas baseadas em cenários, consulte Cenários comuns de implantação.

Tarefas de implantação

1. Microsoft Entra contas

Crie Microsoft Entra grupos de segurança e contas de usuário de Microsoft Entra compartilhadas a serem usadas para fazer logon em dispositivos HoloLens 2.

1. Faça logon no centro de administração Microsoft Entra como administrador global Microsoft Entra.
2. Navegue até a folha Centro de administração do Novo Grupo e crie um grupo de segurança de ID de Microsoft Entra para gerenciar as contas de usuário compartilhadas HoloLens 2. Consulte Criar um grupo básico e adicionar membros para obter instruções passo a passo.
3. Navegue até Novo usuário – Microsoft Entra folha do centro de administração e crie novas contas de usuário a serem compartilhadas por várias pessoas para fazer logon no dispositivo HoloLens 2. Uma conta de usuário Microsoft Entra por dispositivo HoloLens 2 é recomendada. Para obter instruções passo a passo, consulte Adicionar ou excluir usuários.
4. Navegue até Grupos – Microsoft Entra centro de administração, selecione o Microsoft Entra nome do grupo de segurança ->Membros -> + Adicionar membros e adicione as contas de usuário acima ao grupo de segurança. Para obter instruções passo a passo, consulte Adicionar ou remover membros do grupo.

2. Atribuições de licença

Atribua licenças necessárias às contas de usuário do Microsoft Entra.

1. Você pode atribuir licenças necessárias para usar Dynamics 365 Assistência Remota em HoloLens 2 a um usuário ou grupo de usuários. Para atribuir licenças a um grupo de usuários, siga o guia Atribuir licenças a um grupo passo a passo para atribuir as licenças a seguir. Para atribuir licenças a um usuário, siga o guia Atribuir licenças aos usuários passo a passo para atribuir as licenças a seguir.

   • Dynamics 365 Remote Assist
   • Microsoft Teams
   • Common Data Service for Remote Assist

   Para obter mais informações, consulte Requisitos para Dynamics 365 Assistência Remota.

2. Para gerenciar HoloLens 2 usando o Microsoft Endpoint Manager (Intune), siga o guia passo a passo Atribuir licenças Microsoft Intune para atribuir as licenças a seguir.

   • Microsoft Intune

3. Para usar recursos avançados do Remote Assist, como acessar arquivos do OneDrive, agendar uma chamada única e integrar-se ao Serviço de Campo Dynamics 365, você deve atribuir outras licenças às contas de usuário do HoloLens 2. Para obter mais informações, consulte Requisitos para Dynamics 365 Assistência Remota.

Observação

Para obter mais informações, consulte Cenários, limitações e problemas conhecidos usando grupos para gerenciar o licenciamento em Microsoft Entra ID.

3. Configuração do dispositivo

Para compartilhar HoloLens 2 dispositivos com várias pessoas usando contas de usuário Microsoft Entra compartilhadas, configure o seguinte para proteger as credenciais do usuário e restringir os aplicativos a serem usados pelos usuários HoloLens 2. Siga Configurar seu HoloLens 2 para configurar os dispositivos HoloLens 2 pela primeira vez, usando as contas de usuário de Microsoft Entra compartilhadas criadas na seção contas Microsoft Entra acima. Use uma Microsoft Entra conta de usuário por dispositivo HoloLens 2. Durante HoloLens 2 configuração inicial ignore a configuração de logon do IRIS e configure Windows Hello PIN para fazer logon no dispositivo (veja mais detalhes abaixo).

PIN de logon

Use Windows Hello PIN para fazer logon em dispositivos HoloLens 2. Não compartilhe senhas de conta compartilhada com usuários finais. Configurar Windows Hello PIN permite que você não compartilhe a senha da conta de usuário com os usuários finais e permite que os usuários finais façam logon em dispositivos HoloLens 2 usando Windows Hello PIN configurado para a conta de usuário em um dispositivo HoloLens 2 específico. O PIN de Windows Hello configurado está vinculado criptograficamente ao dispositivo HoloLens 2 e não pode ser usado para fazer logon na conta de usuário usando um navegador em um computador ou em um dispositivo de HoloLens 2 diferente.

Para obter mais informações, consulte Compartilhar seu HoloLens com várias pessoas.

Logon Automático

Você também pode usar a política AutoLogonUser para fazer logon automaticamente no dispositivo com uma identidade vinculada a esse dispositivo. Isso ignora a experiência de logon HoloLens 2 e o usuário poderá pegar o dispositivo e começar a usar o dispositivo imediatamente. Para obter mais informações, consulte Política de logon automático controlada pelo CSP.

Modo de quiosque

Para dispositivos de HoloLens 2 compartilhados, é recomendável controlar quais aplicativos são mostrados no menu Iniciar quando um usuário entra no HoloLens. Ao permitir apenas aplicativos necessários, como o Remote Assist, você pode restringir a entrada de usuários na página de configurações da conta de usuário usando o navegador Edge por SSO e acessar os detalhes da conta de usuário dentro de HoloLens 2 dispositivo.

• Se você usar o Microsoft Endpoint Manager (Intune) para gerenciar os dispositivos

  Navegue até o Centro de administração do Microsoft Endpoint Manager e crie uma configuração de modo de quiosque de aplicativo único ou múltiplo em Dispositivos | Folha Perfis de configuração .

• Se você usar pacotes de provisionamento para gerenciar os dispositivos

  Use o Designer de Configuração do Windows para configurar e implantar pacotes de provisionamento de modo de quiosque de aplicativo único ou múltiplo. Para obter mais informações, consulte Configurar o HoloLens como um quiosque.

WDAC (Controle de Aplicativos do Windows Defender)

O WDAC permite configurar o HoloLens para bloquear a inicialização de aplicativos. É diferente do modo quiosque, em que a interface do usuário oculta os aplicativos, mas eles ainda podem ser iniciados. Com o WDAC, você pode ver o bloco de aplicativos, mas eles não podem ser iniciados. Para obter mais informações, consulte Windows Defender WDAC (Controle de Aplicativos).

Limitações

O uso da conta de Microsoft Entra compartilhada tem as seguintes limitações (incluindo, mas não se limitando a):

1. Identidade – os usuários não podem usar o IRIS para entrar no dispositivo HoloLens 2 e não podem acessar o conteúdo relacionado à conta corporativa no Microsoft 365.
2. ID do chamador /Contatos – Não é possível acessar a lista de contatos pessoais de um usuário/ contatos chamados mais recentemente e a ID do chamador mostrará o nome da conta compartilhada em vez do nome do usuário.
3. User-Based Fluxos de Trabalho – não é possível usar as integrações avançadas com o serviço de campo, pois o usuário que está sendo "atribuído" itens de trabalho, não é o usuário conectado ao Remote Assist.
4. Compartilhamento de PIN – como a entrada do IRIS não é possível, Windows Hello número de PIN deve ser compartilhado entre os usuários.

Problemas

O uso da conta de Microsoft Entra compartilhada apresenta os seguintes problemas a serem resolvidos (incluindo, mas não se limitando a):

1. Falta de responsabilidade – com uma conta compartilhada, não há como provar quem usou o dispositivo e o que foi feito com o dispositivo.
2. Falta de auditoria – os registros de auditoria estarão incompletos e, no caso de um incidente, pode ser impossível identificar o usuário.
3. Falta acompanhamento/análise individual.
4. Permissões – permissões avançadas não podem ser feitas em uma conta compartilhada.
5. Propriedade da MFA – A MFA (autenticação multifator) deve pertencer a uma autoridade central para contas compartilhadas.
6. Redefinição de PIN – quando o PIN precisa ser redefinido e o conhecimento sobre quem possui a MFA nos dispositivos é um desafio.

Considerações

Você deve examinar e fazer alterações nas seguintes configurações de Microsoft Entra (incluindo, mas não se limitando a) quando quiser usar contas de usuário Microsoft Entra compartilhadas. Ao habilitar e desabilitar as seguintes configurações de Microsoft Entra, deve-se tomar cuidado extremo para garantir que a alteração dessas configurações não cause problemas para contas de usuário existentes e novas.

1. Examinar a configuração de acesso do Portal do Administrador em Usuários | Folha Configurações do Usuário .
2. Examinar a configuração de Registros de Aplicativo em Usuários | Folha Configurações do Usuário .
3. Examinar a configuração de conexões de conta vinculada em Usuários | Folha Configurações do Usuário .
4. Examinar a configuração de recursos do usuário em Usuários | Folha Recursos do usuário .
5. Examinar a configuração de redefinição de senha de autoatendimento na Redefinição de senha | Folha Propriedades .
6. Examine Unir dispositivos à configuração Microsoft Entra em Dispositivos | Folha Configurações do dispositivo.
7. Examinar a configuração do Enterprise State Roaming em Dispositivos | Folha Enterprise State Roaming .

Aviso

NÃO compartilhe senhas de conta compartilhada com usuários finais. Os usuários finais sempre devem usar Microsoft Entra nome da conta e Windows Hello PIN associados ou usar o recurso de logon automático para fazer logon em dispositivos HoloLens 2 em um ambiente compartilhado.