將雲端連線的 HoloLens 2 部署至外部用戶端

• 適用於:

  HoloLens 2

本指南是 雲端連線部署指南的補充。 其用於組織想要將 HoloLens 2 裝置寄送至外部客戶端裝置以供短期或長期使用的情況。 外部用戶端會使用貴組織所提供的認證登入 HoloLens 2 裝置，並使用 Remote Assist 連絡您的專家。 本指南提供 一般 HoloLens 2 部署建議， 適用於大部分外部 HoloLens 2 部署案例，並 客戶在部署 Remote Assist 供外部使用時所 的常見問題。

先決條件

下列基礎結構應根據 雲端連線部署指南，在外部部署 HoloLens 2。

• Microsoft Entra join with MDM Auto Enrollment— MDM-managed （Intune）
• 使用者以自己的公司帳戶登入 （Microsoft Entra ID）
  • 支援每個裝置的單一或多個使用者。

遠端協助授權和需求

• Microsoft Entra 帳戶（購買訂用帳戶和指派授權的必要專案）
• Remote Assist 訂用帳戶（或 Remote Assist 試用版）

請參閱 深入瞭解 Remote Assist。

Dynamics 365 Remote Assist 使用者

• Remote Assist 授權
• 網路連線能力

Microsoft Teams 使用者

• Microsoft Teams 或 Teams Freemium
• 網路連線能力

一般部署建議

我們建議針對外部 HoloLens 2 部署執行下列步驟：

1. 使用 最新的 HoloLens OS 版本 作為基準組建。

2. 依照下列步驟指派使用者型或裝置型授權：

   1. Microsoft在 Entra ID 中建立群組，併為 HoloLens/RA 使用者新增成員。
   2. 將裝置型或使用者型授權指派給此群組。
   3. （選擇性）行動裝置管理 （MDM） 原則的目標組。

3. 將 Microsoft Entra 裝置加入租使用者、自動註冊，並透過 autopilot進行設定。 如需詳細資訊，請參閱 裝置擁有者。

   1. 裝置上的第一個使用者將會是裝置擁有者。
   2. 如果裝置已Microsoft加入 Entra，則執行聯結的用戶會成為裝置擁有者。

4. 租使用者鎖定 裝置，使其只能由您的租使用者加入。

   1. 另請參閱 租使用者鎖定 CSP。

5. 使用全域指派存取設定 Kiosk 模式。

6. 停用下列 （選擇性） 功能：

   1. 在此，將裝置置於開發人員模式的能力 。
   2. 將 HoloLens 連線到電腦以複製日期的能力，停用 USB。

      注意

      如果您不想停用 USB，但想要能夠使用 USB 將佈建套件套用至裝置，請遵循 指示，瞭解如何允許布建套件安裝。

7. 使用 Windows Defender 應用程控 （WDAC） 來允許或封鎖 HoloLens 2 裝置上的應用程式。

8. 將遠端協助更新為安裝程式的一部分。 請考慮下列兩個選項：

   1. 移至 Windows Microsoft 市集 --> Remote Assist --> 和更新應用程式。
   2. ApplicationManagement/AllowAppStoreAutoUpdate 預設會啟用自動應用程式更新。 讓裝置保持插入，以接收更新。

9. [停用所有設定] 頁面，但網络設定可讓用戶連線到用戶端月臺的客體網路。

10. 管理 HoloLens 更新

    1. 控制作業系統更新的選項 或允許自由流動。

11. 設定 一般裝置限制。

現在，您的外部用戶端已準備好使用其 HoloLens 2。

常見的外部用戶端部署考慮

• 確保客戶端無法彼此通訊
• 確保客戶端無法存取公司資源
• 隱藏或限制應用程式
• 管理客戶端的密碼
• 確保客戶端無法存取聊天記錄

確定外部客戶端無法彼此通訊

不支援遠端協助 HoloLens 至 HoloLens 呼叫。 用戶端可以搜尋，但無法彼此通訊。 Microsoft 365 中 資訊屏障可以進一步限制用戶端可以搜尋和呼叫的物件。 另一個選項是使用 Microsoft Teams 範圍目錄搜尋。

注意

由於已啟用單一登錄，因此請務必使用 Windows Defender 應用程控 （WDAC）停用瀏覽器。 如果外部客戶端開啟瀏覽器並使用 Teams 的網頁版本，用戶端將可以存取您的聊天記錄。

確定客戶端無法存取公司資源

有兩個選項需要考慮。

第一個選項是多層式方法：

1. 只指派使用者所需的授權。 如果您未指派 OneDrive、Outlook、SharePoint、Yammer 等，使用者將無法存取這些資源。 使用者唯一需要的授權是 Remote Assist、Intune 和 Microsoft Entra ID 授權才能開始。
2. 封鎖您不想讓用戶端存取的應用程式（請參閱 [應用程式是隱藏或限制的]（#apps 是隱藏或限制的）。
3. 請勿與用戶端共享使用者名稱或密碼。 若要登入 HoloLens 2，需要電子郵件和數位 PIN。

第二個選項是建立裝載客戶端的個別租使用者（請參閱 Image 1.1）。

Image 1.1

隱藏或受限制的應用程式

Kiosk 模式 和/或 Windows Defender 應用程控 （WDAC） 是隱藏和/或限制應用程式的選項。

用戶端的密碼管理

1. 拿掉密碼到期日。 不過，此選項可能會增加帳戶遭到入侵的機會。 NIST 密碼建議每 30-90 天變更密碼一次。
2. 延長 HoloLens 2 裝置的密碼到期日，以超過 90 天。
3. 裝置應該會傳回至您的組織，以變更密碼。 不過，如果裝置預期在客戶端的工廠中有90天以上，此選項可能會造成問題。
4. 針對傳送至多個客戶端的裝置，請先重設密碼，再將裝置傳送至用戶端。

確定客戶端無法存取聊天記錄

遠端協助會在每個會話之後清除聊天記錄。 不過，Microsoft Teams 使用者將可使用聊天記錄。

注意

由於已啟用單一登錄，因此請務必使用 Windows Defender 應用程控 （WDAC）停用瀏覽器。 如果外部客戶端開啟瀏覽器並使用 Teams 的網頁版本，用戶端將有權存取通話/聊天記錄。