为HoloLens 2准备证书和网络配置文件
基于证书的身份验证是使用HoloLens 2的客户的常见要求。 可能需要证书才能访问 Wi-Fi、连接到 VPN 解决方案或访问组织中的内部资源。
由于HoloLens 2设备通常联接到Microsoft Entra并由Intune或其他 MDM 提供程序管理,因此需要使用与 MDM 解决方案集成的简单证书注册协议 (SCEP) 或公钥加密Standard (PKCS) 证书基础结构来部署此类证书。
注意
如果没有 MDM 提供程序,仍可以通过 Windows 配置Designer中的预配包或通过证书管理器部署证书,方法是转到“设置>更新 & 安全>证书管理器”。
证书要求
通过 SCEP 或 PKCS 基础架构部署证书时,需要使用根证书。 组织中的其他应用程序和服务可能还需要将根证书部署到HoloLens 2设备。
Wi-Fi 连接要求
若要允许自动为设备提供企业网络所需的 Wi-Fi 配置,需要一个 Wi-Fi 配置文件。 可以将Intune或其他 MDM 提供程序配置为将这些配置文件部署到设备。 如果网络安全要求设备属于本地域,则可能还需要评估 Wi-Fi 网络基础结构,以确保它与HoloLens 2设备兼容, (HoloLens 2 设备仅Microsoft Entra) 加入。
部署证书基础结构
如果不存在 SCEP 或 PKCS 基础结构,则需要准备一个。 若要支持使用 SCEP 或 PKCS 证书进行身份验证,Intune需要使用证书连接器。
注意
将 SCEP 与 Microsoft CA 配合使用时,还必须配置 网络设备注册服务 (NDES)
有关详细信息,请参阅在 Microsoft Intune 中为设备配置证书配置文件。
部署证书和 Wi-Fi/VPN 配置文件
重要
在 HoloLens 设备上,VPN 配置文件在设备范围内应用,并将应用于所有用户。
若要部署证书和配置文件,请执行以下步骤:
为每个根证书和中间证书创建配置文件 (请参阅 创建受信任的证书配置文件。) 每个配置文件都必须具有包含 DD/MM/YYYY 格式的到期日期的说明。 不会部署没有到期日期的证书配置文件。
为每个 SCEP 或 PKCS 证书创建配置文件 (请参阅 创建 SCEP 证书配置文件或创建 PKCS 证书配置文件) 每个配置文件都必须具有包含 DD/MM/YYYY 格式的到期日期的说明。 不会部署没有到期日期的证书配置文件。
注意
由于许多HoloLens 2被视为共享设备,每个设备有多个用户,因此建议尽可能部署设备证书而不是用户证书进行 Wi-Fi 身份验证
为每个公司 Wi-Fi 网络创建配置文件 (请参阅Windows 10及更高版本的设备的 Wi-Fi 设置) 。
注意
建议尽可能将 Wi-Fi 配置文件 分配给 设备组,而不是用户组。
提示
还可以从公司网络上Windows 10电脑上导出工作 Wi-Fi 配置文件。 此导出将创建包含所有当前设置的 XML 文件。 然后,将此文件导入Intune,并将其用作HoloLens 2设备的 Wi-Fi 配置文件。 请参阅 导出和导入 Windows 设备的 Wi-Fi 设置。
为每个企业 VPN 创建配置文件(请 参阅 Windows 10和 Windows 全息设备设置,以使用 Intune 添加 VPN 连接)。
疑难解答
问题 - 无法使用基于证书的身份验证连接到网络
症状
设备无法通过基于证书的身份验证建立网络连接。
疑难解答步骤
如果需要验证证书是否已正确部署,请使用设备上的 证书管理器 来验证证书是否存在。
警告
尽管可以在证书管理器中查看 MDM 部署的证书,但无法在证书管理器中卸载它们。 必须通过 MDM 卸载它们。
仅对于Intune,如果使用简单证书注册协议 (SCEP) 部署证书,请确保可从设备访问网络设备注册服务 (NDES) 服务器 URL。 有关设置相关信息,请参阅Intune中的 SCEP 证书。 如果正在使用 CNAME 而不是 NDES 服务器的完全限定域,请确保通过在设备上的 Web 浏览器中键入该 URL 来正确解析该 URL。