使用跨多个用户的共享标识部署远程协助

本文包含跨多个用户使用共享Microsoft Entra标识部署Remote Assist的高级步骤。本文档提供的指导重点是为共享设备环境提供Microsoft Entra用户帐户、分配所需的许可证和HoloLens 2设备配置。有关更详细的基于场景的部署指导，请参见常见部署场景。

部署任务

1. 微软Entra账户

创建Microsoft Entra安全组和共享Microsoft Entra用户帐户，用于登录HoloLens 2设备。

1. 以Microsoft Entra全球管理员身份登录Microsoft Entra管理中心。
2. 导航到新组管理中心刀片，创建一个Microsoft Entra ID安全组来管理HoloLens 2共享用户帐户。有关分步说明，请参见创建基本组和添加成员。
3. 导航到新用户-微软Entra管理中心刀片，创建新用户帐户，供多人共享，以登录到HoloLens 2设备。每台HoloLens 2设备建议使用一个Microsoft Entra用户帐户。有关分步说明，请参见添加或删除用户。
4. 导航到群组-微软Entra管理中心，选择Microsoft Entra安全组名 -> 成员 -> + 添加成员并将上述用户帐号加入安全组。有关分步说明，请参见添加或删除组成员．

2. 许可证作业

为Microsoft Entra用户帐户分配所需的许可证。

1. 您可以将在HoloLens 2上使用Dynamics 365 Remote Assist所需的许可证分配给用户或用户组。若要为用户组分配license，请按照“将license分配给组”分步指南分配以下license。要向用户分配license，请按照“向用户分配license”分步指南分配以下license。

   • Dynamics 365远程辅助
   • 微软团队
   • 用于远程协助的公共数据服务

   有关详细信息，请参阅Dynamics 365远程辅助的要求。

2. 要使用Microsoft Endpoint Manager (Intune)管理HoloLens 2，请按照分配Microsoft Intune许可证分步指南分配以下许可证。

   • 微软Intune

3. 要使用远程辅助的高级功能，如访问OneDrive文件、安排一次性呼叫以及与Dynamics 365 Field Service集成，您必须为HoloLens 2用户帐户分配另一个许可证。有关详细信息，请参阅Dynamics 365远程辅助的要求。

3. 设备配置

要使用共享的Microsoft Entra用户帐户与多人共享HoloLens 2设备，请配置以下内容以保护用户凭据并限制HoloLens 2用户使用的应用程序。按照设置HoloLens 2的步骤，使用在上面的Microsoft Entra帐户部分创建的共享Microsoft Entra用户帐户，首次设置HoloLens 2设备。每个HoloLens 2设备使用一个Microsoft Entra用户帐户。在HoloLens 2初始设置期间，跳过IRIS登录配置并配置Windows Hello PIN以登录设备(请参阅下面的详细信息)。

登录密码

使用Windows Hello PIN码登录HoloLens 2设备。请勿与终端用户共享共享帐户密码。配置Windows Hello PIN可以不与终端用户共享用户账号密码，允许终端用户使用指定HoloLens 2设备上为用户账号配置的Windows Hello PIN登录HoloLens 2设备。配置的Windows Hello PIN以加密方式与HoloLens 2设备绑定，不能用于在PC或其他HoloLens 2设备上使用浏览器登录用户帐户。

有关详细信息，请参阅与多人共享您的HoloLens。

自动登录

您还可以使用AutoLogonUser策略，使用与该设备绑定的身份自动登录设备。这绕过了HoloLens 2的登录体验，用户将能够拿起设备并立即开始使用设备。有关详细信息，请参见CSP控制的自动登录策略。

Kiosk模式

对于共享的HoloLens 2设备，建议使用Kiosk模式来控制用户登录HoloLens时在开始菜单中显示哪些应用程序。通过只允许像Remote Assist这样的必要应用，你可以限制用户通过SSO登录到使用Edge浏览器的用户帐户设置页面，并访问HoloLens 2设备内的用户帐户详细信息。

• 如果您使用Microsoft Endpoint Manager (Intune)来管理设备

  导航到Microsoft Endpoint Manager管理中心，并在Devices | configuration profiles刀片中创建单个或多个应用程序kiosk模式配置。

• 如果使用“发放包”管理设备

  使用Windows配置设计器配置和部署单个或多个应用程序kiosk模式配置包。有关更多信息，请参见将HoloLens设置为kiosk。

Windows Defender应用程序控制(WDAC)

WDAC允许您配置HoloLens以阻止应用程序的启动。它与Kiosk模式不同，Kiosk模式的UI隐藏了应用程序，但它们仍然可以启动。使用WDAC，你可以看到应用程序的平铺，但它们不能启动。有关详细信息，请参见Windows Defender应用程序控制(WDAC)。

限制

使用共享的Microsoft Entra帐户有以下限制(包括但不限于):

1. 身份-用户不能使用IRIS在HoloLens 2设备上登录，并且不能在Microsoft 365中访问他们的工作帐户相关内容。
2. 来电显示/联系人-访问用户的个人联系人列表/最近呼叫的联系人是不可能的，来电显示将显示共享帐户的名称，而不是用户的姓名。
3. 基于用户的工作流——不可能使用与现场服务的高级集成，因为被“分配”工作项的用户不是登录到Remote Assist的用户。
4. 密码共享-由于IRIS登录是不可能的，Windows Hello密码必须在用户之间共享。

问题

使用共享的Microsoft Entra帐户需要解决以下问题(包括但不限于):

1. 缺乏问责制——使用共享帐户，没有办法证明谁使用了该设备，以及该设备被做了什么。
2. 缺乏审计——审计记录将是不完整的，并且在发生事件时，可能无法识别用户。
3. 缺乏个人跟踪/分析。
4. 权限—高级权限不能在共享帐户的基础上执行。
5. MFA所有权—多因素身份验证(MFA)应该由共享帐户的中央权威机构拥有。
6. PIN重置-当PIN需要重置时，谁拥有设备上的MFA的知识是具有挑战性的。

注意事项

当您想要使用共享的Microsoft Entra用户帐户时，您必须检查并更改以下Microsoft Entra设置(包括但不限于)。在启用和禁用以下Microsoft Entra设置时，应非常小心，以确保更改这些设置不会对现有和新用户帐户造成任何问题。

1. 在用户|用户设置中查看管理员门户访问设置。
2. 查看用户/用户设置刀片中的应用注册设置。
3. 查看用户|用户设置刀片中的链接帐户连接设置。
4. 查看“用户”中的“用户功能”设置:“用户功能”刀片。
5. 查看密码重置|属性刀片中的自助密码重置设置。
6. 查看“设备|设备设置”刀片中的“将设备连接到Microsoft Entra设置”。
7. 查看“设备|企业状态漫游”刀片中的企业状态漫游设置。