Implante o HoloLens 2 conectado à nuvem para clientes externos
Este guia é um suplemento do Cloud Connected Deployment Guide. Ele é usado em situações em que sua organização deseja enviar dispositivos HoloLens 2 para instalações de um cliente externo para uso de curto ou longo prazo. O cliente externo fará login no dispositivo HoloLens 2 usando as credenciais fornecidas pela sua organização e usará de Assistência Remota para entrar em contato com seus especialistas. Este guia fornece recomendações gerais de implantação do HoloLens 2 que são aplicáveis à maioria dos cenários de implantação externos do HoloLens 2 e preocupações comuns que os clientes têm ao implantar a Assistência Remota para uso externo.
Pré-requisitos
A infraestrutura a seguir deve estar em vigor de acordo com o Cloud Connected Deployment Guide implantar o HoloLens 2 externamente.
- O Microsoft Entra ingressa com o MDM Auto Enrollment — gerenciado por MDM (Intune)
- Os utilizadores iniciam sessão com a sua própria conta empresarial (Microsoft Entra ID)
- Há suporte para um ou vários usuários por dispositivo.
Licenciamento e requisitos da Assistência Remota
- Conta Microsoft Entra (necessária para comprar a subscrição e atribuir licenças)
- de subscrição da Assistência Remota (ou de Avaliação da Assistência Remota)
Consulte Saiba mais sobre a Assistência Remota.
Usuário da Assistência Remota do Dynamics 365
- Licença de Assistência Remota
- Conectividade de rede
Usuário do Microsoft Teams
- Microsoft Teams ou Teams Freemium
- Conectividade de rede
Recomendações gerais de implantação
Recomendamos as seguintes etapas para a implantação externa do HoloLens 2:
Use o versão mais recente do HoloLens OS como sua versão de base.
Atribua licenças baseadas no usuário ou no dispositivo seguindo as etapas abaixo:
- Crie um grupo no Microsoft Entra ID e adicione membros para usuários do HoloLens/RA.
- Atribua licenças baseadas em dispositivo ou no usuário a esse grupo.
- (Opcional) Grupos-alvo para políticas de de gerenciamento de dispositivos móveis (MDM).
Junte dispositivos Microsoft Entra ao seu inquilino, inscreva-se automaticamente e configure através do Autopilot. Para obter mais informações, consulte proprietário do dispositivo.
- O primeiro usuário no dispositivo será o proprietário do dispositivo.
- Se o dispositivo for associado ao Microsoft Entra, o usuário que realizou a associação se tornará proprietário do dispositivo.
Bloqueio de locatário dispositivo para que ele só possa ser associado pelo seu locatário.
- Consulte também CSP de bloqueio de locatário.
Configure o modo Kiosk usando ode acesso atribuído global.
Desative os seguintes recursos (opcionais):
- Capacidade de colocar o dispositivo no modo de desenvolvedor aqui.
- Capacidade de conectar o HoloLens a um PC para copiar a data desativar oUSB.
Observação
Se você não quiser desativar o USB, mas quiser a capacidade de aplicar um pacote de provisionamento ao dispositivo usando USB, siga as instruções de sobre como permitir a instalação do pacote de provisionamento.
Use de Controle de Aplicativo do Windows Defender (WDAC) para permitir ou bloquear aplicativos no dispositivo HoloLens 2.
Atualize a Assistência Remota para a versão mais recente como parte da configuração. Considere as duas opções a seguir:
Desative todas as páginas de configurações exceto as configurações de rede para permitir que os usuários se conectem a redes de convidados em sites de clientes.
Gerenciar atualizações do HoloLens
- Opção para controlar atualizações do sistema operacional ou permitir que fluam livremente.
Defina restrições de dispositivo comuns.
Agora os seus clientes externos estão prontos para usar o HoloLens 2.
Preocupações comuns com a implantação de clientes externos
- Garantir que os clientes não possam se comunicar uns com os outros
- Garantir que os clientes não possam acessar os recursos da empresa
- Ocultar ou restringir aplicações
- Gerir palavras-passe para os seus clientes
- Garantir que os clientes não possam acessar o histórico de bate-papo
Garantir que os clientes externos não possam se comunicar uns com os outros
As chamadas de Assistência Remota HoloLens para HoloLens não são suportadas. Os clientes podem pesquisar, mas não podem se comunicar uns com os outros. As barreiras de informação no Microsoft 365 podem restringir ainda mais quem um cliente pode pesquisar e ligar. Outra opção é usar pesquisa de diretório com escopo do Microsoft Teams.
Observação
Como o logon único está habilitado, é importante desabilitar o navegador usando Windows Defender Application Control (WDAC). Se um cliente externo abrir o navegador e usar a versão web do Teams, o cliente terá acesso ao seu histórico de bate-papo.
Garantir que os clientes não terão acesso aos recursos da empresa
Há duas opções a considerar.
A primeira opção é uma abordagem multicamadas:
- Atribua apenas as licenças que o usuário precisa. Se você não atribuir OneDrive, Outlook, SharePoint, Yammer, etc., o usuário não terá acesso a esses recursos. As únicas licenças de que os utilizadores necessitarão são as licenças Remote Assist, Intune e Microsoft Entra ID para começar.
- Bloqueie aplicativos (como e-mail) que você não deseja que os clientes acessem (Consulte [Aplicativos ocultos ou restritos](#apps estão ocultos ou restritos)).
- Não partilhe nomes de utilizador nem palavras-passe com clientes. Para iniciar sessão no HoloLens 2, é necessário um e-mail e um PIN numérico.
A segunda opção é criar um locatário separado que hospede clientes (consulte a Imagem 1.1).
Imagem 1.1
Aplicações ocultas ou restritas
modo Kiosk e/ou Windows Defender Application Control (WDAC) são opções para ocultar e/ou restringir aplicativos.
Gestão de palavras-passe para os seus clientes
- Remova a expiração da senha. No entanto, essa opção pode aumentar a chance de uma conta ser comprometida. A recomendação de senha do NIST é alterar senhas a cada 30-90 dias.
- Estenda a expiração da senha para dispositivos HoloLens 2 para exceder 90 dias.
- Os dispositivos devem ser devolvidos à sua organização para alterar as palavras-passe. No entanto, esta opção pode causar problemas se se espera que os dispositivos estejam na fábrica do cliente por 90+ dias.
- Para dispositivos que são enviados para vários clientes, redefina as senhas antes de enviar o dispositivo para os clientes.
Certifique-se de que os clientes não terão acesso ao histórico de bate-papo
A Assistência Remota limpa o histórico de conversas após cada sessão. No entanto, o histórico de bate-papo estará disponível para usuários do Microsoft Teams.
Observação
Como o logon único está habilitado, é importante desabilitar o navegador usando Windows Defender Application Control (WDAC). Se um cliente externo abrir o navegador e usar a versão web do Teams, o cliente terá acesso ao histórico de chamadas/bate-papo.