Déployer des HoloLens 2 connectés au cloud sur des clients externes

• S’applique à:

  HoloLens 2

Ce guide est un complément au Guide de déploiement connecté au cloud. Il est utilisé dans les situations où votre organization souhaite expédier HoloLens 2 appareils à l’installation d’un client externe pour une utilisation à court ou à long terme. Le client externe se connecte à l’appareil HoloLens 2 à l’aide des informations d’identification fournies par votre organization et utilise l’assistance à distance pour contacter vos experts. Ce guide fournit des recommandations générales HoloLens 2 de déploiement qui s’appliquent à la plupart des scénarios de déploiement de HoloLens 2 externes et aux préoccupations courantes des clients lors du déploiement de Remote Assist pour une utilisation externe.

Prérequis

L’infrastructure suivante doit être en place conformément au Guide de déploiement connecté au cloud pour déployer le HoloLens 2 en externe.

• Microsoft Entra joignez-vous à l’inscription automatique GPM , géré par GPM (Intune)
• Les utilisateurs se connectent avec leur propre compte d’entreprise (ID Microsoft Entra)
  • Un ou plusieurs utilisateurs par appareil sont pris en charge.

Conditions requises et licences d’assistance à distance

• Microsoft Entra compte (requis pour l’achat de l’abonnement et l’attribution de licences)
• Abonnement Remote Assist (ou Essai Remote Assist)

Consultez En savoir plus sur l’assistance à distance.

Utilisateur Remote Assist Dynamics 365

• Licence Remote Assist
• Connectivité réseau

Utilisateur Microsoft Teams

• Microsoft Teams ou Teams Freemium
• Connectivité réseau

Recommandations générales en matière de déploiement

Nous vous recommandons les étapes suivantes pour le déploiement de HoloLens 2 externes :

1. Utilisez la dernière version du système d’exploitation HoloLens comme build de base.

2. Attribuez des licences basées sur l’utilisateur ou sur l’appareil en suivant les étapes ci-dessous :

   1. Créez un groupe dans Microsoft Entra ID et ajoutez des membres pour les utilisateurs HoloLens/RA.
   2. Attribuez des licences basées sur l’appareil ou sur l’utilisateur à ce groupe.
   3. (Facultatif) Groupes cibles pour les stratégies de gestion des appareils mobiles (GPM).

3. Joignez Microsoft Entra appareils à votre locataire, inscrivez-vous automatiquement et configurez via Autopilot. Pour plus d’informations, consultez Propriétaire de l’appareil.

   1. Le premier utilisateur sur l’appareil sera le propriétaire de l’appareil.
   2. Si l’appareil est Microsoft Entra joint, l’utilisateur qui a effectué la jointure est nommé propriétaire de l’appareil.

4. Verrouillez l’appareil afin qu’il puisse uniquement être joint par votre locataire.

   1. Consultez également Le fournisseur csp de verrouillage du locataire.

5. Configurez le mode Plein écran à l’aide d’un accès attribué global.

6. Désactivez les fonctionnalités suivantes (facultatives) :

   1. Possibilité de mettre l’appareil en mode développeur ici.
   2. Possibilité de connecter l’HoloLens à un PC pour copier la date désactiver l’USB.

      Notes

      Si vous ne souhaitez pas désactiver usb, mais que vous souhaitez pouvoir appliquer un package d’approvisionnement à l’appareil à l’aide d’USB, suivez les instructions sur la façon d’autoriser l’installation du package d’approvisionnement.

7. Utilisez Windows Defender Contrôle d’application (WDAC) pour autoriser ou bloquer les applications sur l’appareil HoloLens 2.

8. Mettez à jour Remote Assist vers la dernière version dans le cadre de l’installation. Considérez les deux options suivantes :

   1. Accédez au Windows Microsoft Store --> Remote Assist --> et Mettre à jour l’application.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , qui autorise les mises à jour automatiques des applications, est activé par défaut. Conservez l’appareil branché pour recevoir les mises à jour.

9. Désactivez toutes les pages de paramètres à l’exception des paramètres réseau pour permettre aux utilisateurs de se connecter aux réseaux invités sur les sites clients.

10. Gérer les mises à jour de HoloLens

    1. Option permettant de contrôler les mises à jour du système d’exploitation ou d’autoriser le flux libre.

11. Définissez des restrictions d’appareil courantes.

Vos clients externes sont maintenant prêts à utiliser leur HoloLens 2.

Problèmes courants de déploiement de client externe

• S’assurer que les clients ne peuvent pas communiquer entre eux
• S’assurer que les clients ne peuvent pas accéder aux ressources de l’entreprise
• Masquage ou restriction des applications
• Gestion des mots de passe pour vos clients
• S’assurer que les clients ne peuvent pas accéder à l’historique des conversations

S’assurer que les clients externes ne peuvent pas communiquer entre eux

Les appels d’assistance à distance HoloLens vers HoloLens ne sont pas pris en charge. Les clients peuvent rechercher, mais ne peuvent pas communiquer entre eux. Les obstacles à l’information dans Microsoft 365 peuvent restreindre davantage les personnes avec lesquelles un client peut rechercher et appeler. Une autre option consiste à utiliser la recherche d’annuaires étendue à Microsoft Teams.

Notes

Étant donné que l’authentification unique est activée, il est important de désactiver le navigateur à l’aide de Windows Defender Contrôle d’application (WDAC). Si un client externe ouvre le navigateur et utilise la version web de Teams, le client a accès à votre historique des conversations.

S’assurer que les clients n’auront pas accès aux ressources de l’entreprise

Il existe deux options à envisager.

La première option est une approche multicouche :

1. Attribuez uniquement les licences dont l’utilisateur a besoin. Si vous n’affectez pas OneDrive, Outlook, SharePoint, Yammer, etc., l’utilisateur n’aura pas accès à ces ressources. Les seules licences dont les utilisateurs auront besoin sont Remote Assist, Intune et les licences d’ID Microsoft Entra pour commencer.
2. Bloquer les applications (telles que la messagerie) auxquelles vous ne souhaitez pas que les clients accèdent (voir [Les applications sont masquées ou restreintes](#apps sont masquées ou restreintes)).
3. Ne partagez pas de nom d’utilisateur ni de mot de passe avec les clients. Pour vous connecter au HoloLens 2, un e-mail et un code pin numérique sont requis.

La deuxième option consiste à créer un locataire distinct qui héberge les clients (voir Image 1.1).

Image 1.1

Applications masquées ou restreintes

Le mode plein écran et/ou Windows Defender contrôle d’application (WDAC) sont des options permettant de masquer et/ou de restreindre les applications.

Gestion des mots de passe pour vos clients

1. Supprimez l’expiration du mot de passe. Toutefois, cette option peut augmenter le risque qu’un compte soit compromis. La recommandation de mot de passe NIST consiste à modifier les mots de passe tous les 30 à 90 jours.
2. Étendez l’expiration du mot de passe pour HoloLens 2 appareils au-delà de 90 jours.
3. Les appareils doivent être retournés à votre organization pour modifier les mots de passe. Toutefois, cette option peut entraîner des problèmes si les appareils sont censés se trouver dans l’usine du client pendant plus de 90 jours.
4. Pour les appareils qui sont envoyés à plusieurs clients, réinitialisez les mots de passe avant d’envoyer l’appareil aux clients.

Assurez-vous que les clients n’auront pas accès à l’historique des conversations

L’assistance à distance efface l’historique des conversations après chaque session. Toutefois, l’historique des conversations sera disponible pour les utilisateurs de Microsoft Teams.

Notes

Étant donné que l’authentification unique est activée, il est important de désactiver le navigateur à l’aide de Windows Defender Contrôle d’application (WDAC). Si un client externe ouvre le navigateur et utilise la version web de Teams, le client a accès à l’historique des appels/conversations.