複数のユーザー間で共有 ID を使用してリモート アシストを展開する

  • [アーティクル]
  • 適用対象:
    HoloLens 2

この記事では、複数のユーザー間で共有の Microsoft Entra ID を使用してリモート アシストを展開する手順の概要について説明します。 このドキュメントで説明するガイダンスでは、Microsoft Entra ユーザー アカウントのプロビジョニング、共有デバイス環境に必要なライセンスと HoloLens 2 デバイス構成の割り当てに重点を置いています。 シナリオベースの展開に関する詳細なガイダンスについては、「一般的な展開シナリオ」を参照してください。

大事な

この記事では、各デバイスの共有 Microsoft Entra アカウントを手動で設定するプロセスについて説明します。 その後、大規模なデプロイがはるかに簡単で、デバイスごとに手動セットアップを必要としない改善されたプロセスが導入され、PIN と MFA を管理する必要がなくなります。 改善されたプロセスについては、「HoloLensの共有 Microsoft Entra アカウント 」を参照してください。 この記事のプロセスは、小規模な展開 (10 台未満のデバイス) では保持され、改善されたプロセスに必要なインフラストラクチャはありません。

展開タスク

1. Microsoft Entra アカウント

HoloLens 2 デバイスへのサインインに使用する Microsoft Entra セキュリティ グループと共有 Microsoft Entra ユーザー アカウントを作成します。

  1. Microsoft Entra 管理センター に、少なくともグループ管理者およびユーザー管理者としてサインインします。
  2. 新しいグループ管理センター に移動し、Microsoft Entra ID Security グループを作成して HoloLens 2 共有ユーザー アカウントを管理します。 詳細な手順については、「基本的なグループを作成し、メンバー を追加する」を参照してください。
  3. 新しいユーザー - Microsoft Entra 管理センター に移動し、HoloLens 2 デバイスにサインインするために複数のユーザーが共有する新しいユーザー アカウントを作成します。 HoloLens 2 デバイスごとに 1 つの Microsoft Entra ユーザー アカウントを使用することをお勧めします。 詳細な手順については、「ユーザーを追加または削除する」を参照してください。
  4. グループ - Microsoft Entra 管理センターに移動し、Microsoft Entra セキュリティ グループ名 ->メンバー -> + メンバー を追加し、上記のユーザー アカウントをセキュリティ グループに追加します。 詳細な手順については、「グループ メンバー追加または削除する」を参照してください。

2. ライセンスの割り当て

Microsoft Entra ユーザー アカウントに必要なライセンスを割り当てます。

  1. HoloLens 2 で Dynamics 365 Remote Assist を使用するために必要なライセンスをユーザーまたはユーザー グループに割り当てることができます。 ユーザー グループにライセンスを割り当てるには、「グループにライセンスを割り当てる」 ステップ バイ ステップ ガイドに従って、次のライセンスを割り当てます。 ユーザーにライセンスを割り当てるには、「ユーザーにライセンスを割り当てる」 ステップ バイ ステップ ガイドに従って、次のライセンスを割り当てます。

    • Dynamics 365 Remote Assist
    • Microsoft Teams
    • リモート アシスト用の Common Data Service

    詳細については、「Dynamics 365 Remote Assistの 要件」を参照してください。

  2. Microsoft Endpoint Manager (Intune) を使用して HoloLens 2 を管理するには、Microsoft Intune ライセンスの割り当て ステップ バイ ステップ ガイドに従って、次のライセンスを割り当てます。

    • Microsoft Intune

  3. OneDrive ファイルへのアクセス、1 回限りの通話のスケジュール設定、Dynamics 365 Field Service との統合など、リモート アシストの高度な機能を使用するには、HoloLens 2 ユーザー アカウントに別のライセンスを割り当てる必要があります。 詳細については、「Dynamics 365 Remote Assistの 要件」を参照してください。

手記

詳細については、「シナリオ、制限事項、およびグループを使用して Microsoft Entra IDでライセンスを管理する既知の問題」を参照してください。

3. デバイスの構成

共有の Microsoft Entra ユーザー アカウントを使用して HoloLens 2 デバイスを複数のユーザーと共有するには、ユーザー資格情報をセキュリティで保護し、HoloLens 2 ユーザーが使用するアプリを制限するように以下を構成します。 「HoloLens 2 のセットアップ」に従って、前のセクション「Microsoft Entra アカウント」で作成した共有 Microsoft Entra ユーザー アカウントを使用して、HoloLens 2 デバイスを初めてセットアップします。HoloLens 2 デバイスごとに 1 つの Microsoft Entra ユーザー アカウントを使用します。 HoloLens 2 の初期セットアップ中に、Iris 認証の登録をスキップし、デバイスにサインインするように Windows Hello PIN を構成します。

サインイン PIN

Windows Hello PIN を使用して HoloLens 2 デバイスにサインインします。 共有アカウントのパスワードをエンド ユーザーと共有しないでください。 Windows Hello PIN を構成すると、ユーザー アカウントのパスワードをエンド ユーザーと共有したり、エンド ユーザーが特定の HoloLens 2 デバイスのユーザー アカウント用に構成された Windows Hello PIN を使用して HoloLens 2 デバイスにサインインしたりできます。 構成された Windows Hello PIN は、HoloLens 2 デバイスに暗号化的に関連付けられており、別のデバイスでは使用できません。

詳細については、「HoloLens を複数のユーザーと共有する」を参照してください。

自動ログイン

AutoLogonUser ポリシーを使用して、そのデバイスに関連付けられた ID を使用してデバイスに自動的にサインインすることもできます。 これにより、HoloLens 2 のサインイン エクスペリエンスがバイパスされ、ユーザーはデバイスを取得してすぐにデバイスの使用を開始できます。 詳細については、「CSPによって制御される自動ログイン ポリシー」を参照してください。

キオスク モード

共有 HoloLens 2 デバイスの場合、ユーザーが HoloLens にサインインしたときにスタート メニューに表示されるアプリケーションを制御するには、キオスク モードをお勧めします。 リモート アシストなどの必要なアプリのみを許可することで、SSO によって Microsoft Edge ブラウザーを使用してユーザー アカウント設定ページにサインインするユーザーを制限し、HoloLens 2 デバイス内のユーザー アカウントの詳細にアクセスできます。

  • Microsoft Endpoint Manager (Intune) を使用してデバイスを管理する場合

    Microsoft Endpoint Manager 管理センターに移動し、デバイスでシングル アプリまたはマルチアプリ キオスク モードの構成を作成する |構成プロファイル

  • プロビジョニング パッケージを使用してデバイスを管理する場合

    Windows 構成デザイナーを使用して、単一または複数のアプリ キオスク モード プロビジョニング パッケージを構成して展開します。 詳細については、「HoloLens をキオスクとして設定する」を参照してください。

Windows Defender アプリケーション制御 (WDAC)

WDAC を使用すると、アプリの起動をブロックするように HoloLens を構成できます。 これはキオスク モードとは異なり、UI によってアプリが非表示になりますが、起動することはできます。 WDAC では、アプリ タイルを表示できますが、起動することはできません。 詳細については、「Windows Defender アプリケーション制御 (WDAC)を参照してください。

制限

共有 Microsoft Entra アカウントの使用には、次の制限があります (これらに限定されません)。

  1. ID – ユーザーは Iris 認証を使用して HoloLens 2 デバイスにサインインできず、Microsoft 365 の職場アカウント関連のコンテンツにアクセスできません。
  2. 発信者番号/連絡先 - ユーザーの個人連絡先リスト/最近呼び出された連絡先にアクセスすることはできません。発信者番号には、ユーザーの名前ではなく共有アカウント名が表示されます。
  3. User-Based ワークフロー – 作業項目が "割り当てられている" ユーザーが Remote Assist にサインインしていないので、フィールド サービスとの高度な統合を使用することはできません。
  4. PIN 共有 – Iris 認証が不可能な場合は、Windows Hello PIN 番号をユーザー間で共有する必要があります。

問題

共有 Microsoft Entra アカウントを使用すると、次の問題に対処する必要があります (これらに限定されません)。

  1. アカウンタビリティの欠如 – 共有アカウントでは、誰がデバイスを使用したか、デバイスで何が行われたかを証明する方法はありません。
  2. 監査の欠如 – 監査レコードは不完全であり、インシデントが発生した場合、ユーザーを特定できない可能性があります。
  3. 個々の追跡/分析が不足しています。
  4. アクセス許可 – 共有アカウントごとに高度なアクセス許可を実行することはできません。
  5. MFA 所有権 – 多要素認証 (MFA) は、共有アカウントの中央機関によって所有されている必要があります。
  6. PIN のリセット – PIN をリセットする必要がある場合、デバイスで MFA を所有するユーザーに関する知識は困難です。

考慮 事項

共有の Microsoft Entra ユーザー アカウントを使用する場合は、次の Microsoft Entra 設定を確認して変更する必要があります (これらに限定されません)。 次の Microsoft Entra 設定を有効または無効にする場合は、これらの設定を変更しても既存のユーザー アカウントと新しいユーザー アカウントに問題が発生しないように細心の注意を払う必要があります。

  1. ユーザーの管理者ポータルのアクセス設定を確認する |ユーザー設定
  2. ユーザーの [アプリの登録] 設定を確認する |ユーザー設定
  3. ユーザーの [リンクされたアカウント接続] 設定を確認する |ユーザー設定
  4. ユーザーのユーザー機能設定を確認する |ユーザー機能.
  5. パスワードリセットのセルフサービスパスワードリセット設定を確認する |プロパティ
  6. デバイスの [デバイスを Microsoft Entra に参加させる] 設定を確認する |デバイス設定
  7. デバイスで Enterprise State Roaming 設定を確認する |Enterprise State Roaming.

警告

共有アカウント のパスワードをエンド ユーザーと共有しないでください。 エンド ユーザーは、常に Microsoft Entra アカウント名と関連する Windows Hello PIN を使用するか、自動ログイン機能を使用して共有環境の HoloLens 2 デバイスにログインする必要があります。