Przygotowywanie certyfikatów i profilów sieciowych dla HoloLens 2
Uwierzytelnianie oparte na certyfikatach jest typowym wymaganiem dla klientów korzystających z HoloLens 2. Certyfikaty mogą wymagać dostępu do sieci Wi-Fi, nawiązywania połączenia z rozwiązaniami sieci VPN lub uzyskiwania dostępu do zasobów wewnętrznych w organizacji.
Ponieważ urządzenia HoloLens 2 są zwykle przyłączone do Microsoft Entra i zarządzane przez usługę Intune lub innego dostawcę mdM, należy wdrożyć takie certyfikaty przy użyciu prostego protokołu rejestrowania certyfikatów (SCEP) lub infrastruktury certyfikatów Cryptography Standard (PKCS), która jest zintegrowana z rozwiązaniem MDM.
Uwaga
Jeśli nie masz dostawcy oprogramowania MDM, nadal możesz wdrażać certyfikaty za pośrednictwem pakietu aprowizacji w programie Windows Configuration Projektant lub Za pośrednictwem Menedżera certyfikatów, przechodząc do pozycji Ustawienia > Aktualizowanie & Menedżera certyfikatów zabezpieczeń>.
Wymagania certyfikatu
Certyfikaty główne są wymagane do wdrażania certyfikatów za pośrednictwem infrastruktury SCEP lub PKCS. Inne aplikacje i usługi w organizacji mogą wymagać również wdrożenia certyfikatów głównych na urządzeniach HoloLens 2.
Wi-Fi wymagania dotyczące łączności
Aby zezwolić na automatyczne udostępnianie urządzenia z wymaganą konfiguracją Wi-Fi dla sieci przedsiębiorstwa, musisz mieć profil konfiguracji Wi-Fi. Możesz skonfigurować usługę Intune lub innego dostawcę zarządzania urządzeniami przenośnymi w celu wdrożenia tych profilów na urządzeniach. Jeśli zabezpieczenia sieci wymagają, aby urządzenia były częścią domeny lokalnej, może być również konieczne oszacowanie infrastruktury sieciowej Wi-Fi, aby upewnić się, że jest ona zgodna z urządzeniami HoloLens 2 (urządzenia HoloLens 2 są Microsoft Entra dołączone tylko).
Wdrażanie infrastruktury certyfikatów
Jeśli nie istnieje już infrastruktura SCEP lub PKCS, należy ją przygotować. Aby obsługiwać używanie certyfikatów SCEP lub PKCS do uwierzytelniania, usługa Intune wymaga użycia łącznika certyfikatów.
Uwaga
W przypadku korzystania z protokołu SCEP z urzędem certyfikacji firmy Microsoft należy również skonfigurować usługę rejestracji urządzeń sieciowych (NDES)
Aby uzyskać więcej informacji, zobacz Konfigurowanie profilu certyfikatu dla urządzeń w Microsoft Intune.
Wdrażanie certyfikatów i profilu sieci Wi-Fi/VPN
Ważne
Na urządzeniach HoloLens profile sieci VPN są stosowane w zakresie urządzenia i będą stosowane dla wszystkich użytkowników.
Aby wdrożyć certyfikaty i profile, wykonaj następujące kroki:
Utwórz profil dla każdego certyfikatu głównego i pośredniego (zobacz Tworzenie profilów zaufanych certyfikatów). Każdy z tych profilów musi mieć opis zawierający datę wygaśnięcia w formacie DD/MM/RRRR. Profile certyfikatów bez daty wygaśnięcia nie zostaną wdrożone.
Utwórz profil dla każdego certyfikatu SCEP lub PKCS (zobacz Tworzenie profilu certyfikatu SCEP lub Tworzenie profilu certyfikatu PKCS) Każdy z tych profilów musi mieć opis zawierający datę wygaśnięcia w formacie DD/MM/RRRR. Profile certyfikatów bez daty wygaśnięcia nie zostaną wdrożone.
Uwaga
Ponieważ HoloLens 2 jest uważany za wiele urządzeń udostępnionych, zaleca się wdrożenie certyfikatów urządzeń zamiast certyfikatów użytkownika na potrzeby uwierzytelniania Wi-Fi tam, gdzie to możliwe
Utwórz profil dla każdej sieci Wi-Fi firmowej (zobacz Ustawienia sieci Wi-Fi dla urządzeń Windows 10 i nowszych).
Uwaga
Zaleca się przypisanie profilu Wi-Fi do grup urządzeń, a nie grup użytkowników, jeśli to możliwe.
Porada
Możesz również wyeksportować profil Wi-Fi roboczy z komputera Windows 10 w sieci firmowej. Ten eksport tworzy plik XML ze wszystkimi bieżącymi ustawieniami. Następnie zaimportuj ten plik do usługi Intune i użyj go jako profilu Wi-Fi dla urządzeń HoloLens 2. Zobacz Eksportowanie i importowanie ustawień Wi-Fi dla urządzeń z systemem Windows.
Utwórz profil dla każdej firmowej sieci VPN (zobacz ustawienia urządzeń Windows 10 i Windows Holographic, aby dodać połączenia sieci VPN przy użyciu usługi Intune).
Rozwiązywanie problemów
Problem — nie można nawiązać połączenia z siecią przy użyciu uwierzytelniania opartego na certyfikatach
Objawy
Urządzenie nie może nawiązać połączenia sieciowego z uwierzytelnianiem opartym na certyfikatach.
Kroki rozwiązywania problemów
Jeśli musisz sprawdzić, czy certyfikat został wdrożony poprawnie, użyj Menedżera certyfikatów na urządzeniu, aby sprawdzić, czy certyfikat jest obecny.
Ostrzeżenie
Mimo że można wyświetlać certyfikaty wdrożone przez rozwiązanie MDM w Menedżerze certyfikatów, nie można ich odinstalować w Menedżerze certyfikatów. Należy je odinstalować za pomocą rozwiązania MDM.
Tylko w przypadku usługi Intune, jeśli do wdrażania certyfikatów jest używany prosty protokół rejestrowania certyfikatów (SCEP), upewnij się, że adres URL serwera usługi rejestracji urządzeń sieciowych (NDES) jest dostępny z urządzenia. Zapoznaj się z tematem Certyfikaty PROTOKOŁU SCEP w usłudze Intune, aby uzyskać informacje dotyczące konfiguracji. Jeśli rekord CNAME jest używany zamiast w pełni kwalifikowanej domeny dla serwera usługi NDES, upewnij się, że jest on poprawnie rozpoznawany, wpisując ten adres URL w przeglądarce internetowej na urządzeniu.