Wdrażanie połączonego z chmurą urządzenia HoloLens 2 na klientach zewnętrznych

• Dotyczy:

  HoloLens 2

Ten przewodnik stanowi uzupełnienie przewodnika wdrażania połączonego z chmurą . Jest ona używana w sytuacjach, w których organizacja chce dostarczyć urządzenia HoloLens 2 do zewnętrznego klienta w celu krótkoterminowego lub długoterminowego użytku. Klient zewnętrzny zaloguje się do urządzenia HoloLens 2 przy użyciu poświadczeń dostarczonych przez organizację i użyje remote assist, aby skontaktować się z ekspertami. Ten przewodnik zawiera ogólnych zaleceń dotyczących wdrażania urządzenia HoloLens 2, które mają zastosowanie do większości zewnętrznych scenariuszy wdrażania urządzenia HoloLens 2 i typowe problemy, które klienci mają podczas wdrażania pomocy zdalnej do użytku zewnętrznego.

Warunki wstępne

Następująca infrastruktura powinna być wdrożona zgodnie z przewodnikiem wdrażania połączonego z chmurą w celu zewnętrznego wdrożenia urządzenia HoloLens 2.

• Microsoft Entra join with MDM Auto Enrollment —MDM-managed (Intune)
• Użytkownicy logują się przy użyciu własnego konta firmowego (Microsoft Entra ID)
  • Obsługiwany jest jeden lub wielu użytkowników na urządzenie.

Licencjonowanie i wymagania dotyczące pomocy zdalnej

• Konto Microsoft Entra (wymagane do zakupu subskrypcji i przypisywania licencji)
• subskrypcji usługi Remote Assist (lub wersji próbnej pomocy zdalnej)

Zobacz Dowiedz się więcej na temat usługi Remote Assist.

Użytkownik usługi Dynamics 365 Remote Assist

• Licencja usługi Remote Assist
• Łączność sieciowa

Użytkownik aplikacji Microsoft Teams

• Microsoft Teams lub Teams Freemium
• Łączność sieciowa

Ogólne zalecenia dotyczące wdrażania

Zalecamy wykonanie następujących kroków dotyczących zewnętrznego wdrożenia urządzenia HoloLens 2:

1. Użyj najnowszej wersji systemu operacyjnego HoloLens podczas kompilacji punktu odniesienia.

2. Przypisz licencje oparte na użytkownikach lub urządzeniach, wykonując poniższe kroki:

   1. Utwórz grupę w identyfikatorze Entra firmy Microsoft i dodaj członków dla użytkowników urządzenia HoloLens/RA.
   2. przypisz licencje oparte na urządzeniach lub użytkownikach do tej grupy.
   3. (Opcjonalnie) Grupy docelowe dla zasad zarządzania urządzeniami przenośnymi (MDM).

3. Dołącz urządzenia firmy Microsoft Entra do dzierżawy, automatyczne rejestrowaniei skonfiguruj je za pomocą rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz właściciel urządzenia.

   1. Pierwszym użytkownikiem urządzenia będzie właściciel urządzenia.
   2. Jeśli urządzenie jest dołączone do firmy Microsoft Entra, użytkownik, który wykonał sprzężenia, jest właścicielem urządzenia.

4. blokada dzierżawy urządzeniu, aby można było dołączyć go tylko do dzierżawy.

   1. Zobacz również dostawca CSP blokady dzierżawy.

5. Konfigurowanie trybu kiosku przy użyciu dostępu przypisanego globalnie.

6. Wyłącz następujące (opcjonalne) możliwości:

   1. Możliwość umieszczenia urządzenia w trybie dewelopera tutaj.
   2. Możliwość połączenia urządzenia HoloLens z komputerem w celu skopiowania daty wyłączenieUSB.

      Nuta

      Jeśli nie chcesz wyłączać portu USB, ale chcesz, aby można było zastosować pakiet aprowizujący na urządzeniu przy użyciu portu USB, postępuj zgodnie z instrukcjami , jak zezwolić na instalację pakietu aprowizacji.

7. Użyj windows Defender Application Control (WDAC) zezwalać lub blokować aplikacje na urządzeniu HoloLens 2.

8. Zaktualizuj usługę Remote Assist do najnowszej wersji w ramach instalacji. Rozważ następujące dwie opcje:

   1. Przejdź do witryny Windows Microsoft Store —> remote assist —> i zaktualizujaplikacji.
   2. ApplicationManagement/AllowAppStoreAutoUpdate — która zezwala na automatyczne aktualizacje aplikacji — jest domyślnie włączona. Zachowaj wtyczkę urządzenia, aby otrzymywać aktualizacje.

9. Wyłącz wszystkie strony ustawień z wyjątkiem ustawień sieciowych, aby umożliwić użytkownikom łączenie się z sieciami gości w lokacjach klienckich.

10. zarządzanie aktualizacjami urządzenia HoloLens

    1. Opcja kontrolowania aktualizacji systemu operacyjnego lub zezwalania na swobodny przepływ.

11. Ustaw typowe ograniczenia urządzeń.

Teraz klienci zewnętrzni są gotowi do korzystania z urządzenia HoloLens 2.

Typowe problemy związane z wdrażaniem klienta zewnętrznego

• Zapewnienie, że klienci nie mogą komunikować się ze sobą
• Zapewnianie, że klienci nie mogą uzyskać dostępu do zasobów firmy
• ukrywanie lub ograniczanie aplikacji
• zarządzanie hasłami dla klientów
• Zapewnienie, że klienci nie mogą uzyskać dostępu do historii czatów

Upewnij się, że klienci zewnętrzni nie mogą komunikować się ze sobą

Wywołania remote Assist HoloLens do urządzenia HoloLens nie są obsługiwane. Klienci mogą wyszukiwać, ale nie mogą komunikować się ze sobą. Bariery informacyjne na platformie Microsoft 365 mogą dodatkowo ograniczyć możliwości wyszukiwania i wywoływania klienta. Inną opcją jest użycie wyszukiwania katalogów w zakresie usługi Microsoft Teams.

Nuta

Ponieważ logowanie jednokrotne jest włączone, ważne jest, aby wyłączyć przeglądarkę przy użyciu Windows Defender Application Control (WDAC). Jeśli klient zewnętrzny otworzy przeglądarkę i użyje wersji internetowej usługi Teams, klient będzie miał dostęp do historii czatów.

Upewnij się, że klienci nie będą mieli dostępu do zasobów firmy

Istnieją dwie opcje, które należy wziąć pod uwagę.

Pierwszą opcją jest podejście wielowarstwowe:

1. Przypisz tylko licencje wymagane przez użytkownika. Jeśli nie przypiszesz usługi OneDrive, Outlook, SharePoint, Yammer itp., użytkownik nie będzie miał dostępu do tych zasobów. Jedynymi licencjami, których użytkownicy będą potrzebować, jest rozpoczęcie licencji Remote Assist, Intune i Microsoft Entra ID.
2. Blokuj aplikacje (takie jak poczta e-mail), do których nie chcesz uzyskiwać dostępu przez klientów (zobacz [Aplikacje są ukryte lub ograniczone](#apps są ukryte lub ograniczone)).
3. Nie udostępniaj nazw użytkowników ani haseł klientom. Aby zalogować się do urządzenia HoloLens 2, wymagana jest wiadomość e-mail i numer PIN liczbowy.

Drugą opcją jest utworzenie oddzielnej dzierżawy, która hostuje klientów (zobacz Obraz 1.1).

Image 1.1

obraz dzierżawy usługi

Ukryte lub ograniczone aplikacje

tryb kiosku i/lub windows Defender Application Control (WDAC) to opcje ukrywania i/lub ograniczania aplikacji.

Zarządzanie hasłami dla klientów

1. Usuń wygaśnięcie hasła. Jednak ta opcja może zwiększyć prawdopodobieństwo naruszenia zabezpieczeń konta. Zalecenie dotyczące hasła NIST jest zmieniane co 30–90 dni.
2. Rozszerz wygaśnięcie hasła dla urządzeń HoloLens 2, aby przekroczyć 90 dni.
3. Urządzenia powinny zostać zwrócone do organizacji, aby zmienić hasła. Jednak ta opcja może powodować problemy, jeśli urządzenia powinny znajdować się w fabryce klienta przez 90 dni.
4. W przypadku urządzeń wysyłanych do wielu klientów zresetuj hasła przed wysłaniem urządzenia do klientów.

Upewnij się, że klienci nie będą mieli dostępu do historii czatów

Funkcja Remote Assist czyści historię czatów po każdej sesji. Jednak historia czatów będzie dostępna dla użytkowników usługi Microsoft Teams.

Nuta

Ponieważ logowanie jednokrotne jest włączone, ważne jest, aby wyłączyć przeglądarkę przy użyciu Windows Defender Application Control (WDAC). Jeśli klient zewnętrzny otworzy przeglądarkę i używa wersji internetowej usługi Teams, klient będzie miał dostęp do historii rozmów/czatów.