使用共享标识跨多个用户部署远程协助

本文包含使用共享 Azure AD 标识跨多个用户部署远程协助所涉及的高级步骤。 本文档中提供的指南重点介绍如何预配 Azure AD 的用户帐户、分配所需的许可证和 HoloLens 2 共享设备环境的设备配置。 有关更详细的基于方案的部署指南,请参阅 常见部署方案

部署任务

1. Azure AD 帐户

创建 Azure AD 安全组,并使用共享 Azure AD 用户帐户登录 HoloLens 2 设备。

  1. 以 Azure AD 全局管理员身份登录到Azure AD 管理中心
  2. 导航到 "新建组" "管理中心" 边栏选项卡,创建一个 Azure AD安全组来管理 HoloLens 2 共享用户帐户。 有关分步说明,请参阅 创建基本组和添加成员
  3. 导航到 "新建用户-Azure Active Directory 管理中心" 边栏选项卡,并创建由多个用户共享以登录到 HoloLens 2 设备的新用户帐户。 建议为每个 HoloLens 2 设备 Azure AD 一个用户帐户。 有关分步说明,请参阅 添加或删除用户
  4. 导航到 "组-Azure Active Directory 管理中心",选择Azure AD 安全组名称- 成员- +添加成员,并将上述用户帐户添加到安全组。 有关分步说明,请参阅 添加或删除组成员

2. 许可证分配

将所需的许可证分配给 Azure AD 的用户帐户。

  1. 你可以将对 HoloLens 2 使用 Dynamics 365 Remote Assist 所需的许可证分配给用户或用户组。 若要将许可证分配给用户组,请按照将 许可证分配到组 循序渐进指南来分配以下许可证。 若要将许可证分配给用户,请遵循向 用户分配许可证 ,以分配以下许可证。
    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • 远程协助 Common Data Service

有关详细信息,请参阅Dynamics 365 Remote Assist 的要求

  1. 若要使用 Microsoft Endpoint Manager (Intune) 来管理 HoloLens 2,请遵循分配 Microsoft Intune 许可证循序渐进指南来分配以下许可证。

    • Microsoft Intune
  2. 若要使用远程协助的高级功能,如访问 OneDrive 文件、安排一次性调用,以及与 Dynamics 365 现场服务集成,你必须为 HoloLens 2 用户帐户分配其他许可证。 有关详细信息,请参阅Dynamics 365 Remote Assist 的要求

3. 设备配置

若要使用共享 Azure AD 用户帐户与多个用户共享 HoloLens 2 设备,请配置以下各项以保护用户凭据,并限制 HoloLens 2 用户要使用的应用。 接下来,使用在上面的 Azure AD 帐户部分中创建的共享 Azure AD 用户帐户,将 HoloLens 2 设置为首次设置 HoloLens 2 设备。 为每个 HoloLens 2 设备使用一个 Azure AD 的用户帐户。 在 HoloLens 2 初始安装过程中,将跳过 IRIS 登录配置,并配置 Windows Hello PIN 以登录到设备 (查看下面) 的详细信息。

登录 PIN

使用 Windows Hello PIN 登录到 HoloLens 2 设备。 不要与最终用户共享共享帐户密码。 配置 Windows Hello PIN 后,你将不能与最终用户共享用户帐户密码,并允许最终用户使用在特定 HoloLens 2 设备上为用户帐户配置的 Windows Hello PIN 登录到 HoloLens 2 设备。 已配置的 Windows Hello PIN 以加密方式绑定到 HoloLens 2 设备,并且不能用于在电脑上或其他 HoloLens 2 设备上使用浏览器登录到用户帐户。

有关详细信息,请参阅与多人共享你的 HoloLens

自动登录

你还可以使用 AutoLogonUser 策略自动使用绑定到该设备的标识登录到设备。 这会绕过 HoloLens 2 登录体验,用户将能够选取设备并立即开始使用设备。 有关详细信息,请参阅 由 CSP 控制的自动登录策略

展台模式

对于共享 HoloLens 2 设备,建议使用展台模式来控制用户登录 HoloLens 时 "开始"菜单中显示哪些应用程序。 只允许使用 "远程协助" 之类的必要应用,你可以使用 SSO 浏览器来限制用户使用 Edge 浏览器登录到 "用户帐户" 设置页面,并在 HoloLens 2 设备内访问用户帐户详细信息。

A. 如果使用 Microsoft Endpoint Manager (Intune) 来管理设备

导航到Microsoft Endpoint Manager 管理中心,然后在 "设备" 中创建单个或多个 app 展台模式配置|配置文件边栏选项卡。

B. 如果使用预配包管理设备

使用 Windows 配置设计器来配置和部署单个或多个 app 展台模式预配包。 有关详细信息,请参阅将 HoloLens 设置为展台

Windows Defender 应用程序控制 (WDAC)

通过 WDAC,你可以配置 HoloLens 以阻止应用程序启动。 这不同于展台模式,UI 在此模式下隐藏了应用,但仍可以启动这些应用。 借助 WDAC,可以看到 "应用" 磁贴,但无法启动。 有关详细信息,请参阅 (WDAC) Windows Defender 应用程序控制

4. 限制

使用共享 Azure AD 帐户具有以下限制 (包括但不限于) :

  1. 标识-用户无法使用 IRIS 登录 HoloLens 2 设备,并且无法访问 Microsoft 365 中其工作帐户相关内容。
  2. 呼叫方 ID/联系人–无法访问用户的个人联系人列表/最新调用的联系人,并且调用方 ID 将显示共享帐户名称,而不是用户的名称。
  3. User-Based 工作流–无法将高级集成用于现场服务,因为用户是 "分配" 的工作项,而不是用户登录到远程协助。
  4. PIN 共享–由于无法 IRIS 登录,因此必须在用户之间共享 Windows Hello PIN 号。

5. 问题

使用共享 Azure AD 帐户可能会解决以下问题 (包括但不限于) :

  1. 缺乏责任–使用共享帐户,无法证明使用该设备的用户和设备的使用情况。
  2. 缺乏审核–审核记录将不完整,并且如果发生事件,则无法识别用户。
  3. 缺少单个跟踪/分析。
  4. 权限–高级权限不能基于共享帐户完成。
  5. MFA 所有权–多重身份验证 (MFA) 应由共享帐户的一个中心证书颁发机构拥有。
  6. PIN 重置–当需要重置 PIN 时,需要对设备上的 MFA 拥有的知识具有挑战性。

6. 注意事项

如果要使用共享 Azure AD 用户帐户,则必须查看和更改以下 Azure AD 设置 (包括但不限于) 。 启用和禁用以下 Azure AD 设置时,应格外小心,以确保更改这些设置不会对现有和新用户帐户造成任何问题。

  1. 查看用户中的管理员门户访问设置|User 设置边栏选项卡。
  2. 查看用户中的应用注册设置|User 设置边栏选项卡。
  3. 在用户中查看链接的帐户连接设置|User 设置边栏选项卡。
  4. 查看用户的用户功能设置 |用户功能 边栏选项卡。
  5. 在密码重置中查看自助服务密码重置设置 |属性 边栏选项卡。
  6. 查看加入设备以 Azure AD 设备中的设置|"设备设置" 边栏选项卡。
  7. 查看设备中企业状态漫游设置|企业状态漫游边栏选项卡。

警告

不要与最终用户共享帐户密码。 最终用户应始终使用 Azure AD 帐户名称和关联的 Windows Hello PIN,或使用自动登录功能在共享环境中登录 HoloLens 2 设备。