クラウド接続された HoloLens 2 を外部クライアントに展開する

このガイドは、クラウド接続での展開に関するガイドの補足情報です。 これは、組織から外部クライアントの施設に HoloLens 2 デバイスを発送し、短期間または長期的に使用する状況で使用されます。 外部クライアントは、組織から提供された資格情報を使用して HoloLens 2 デバイスにログインし、Remote Assist を使用してエキスパートに問い合わせます。 このガイドでは、外部での HoloLens 2 の展開シナリオのほとんどに適用できる HoloLens 2 の展開の一般的な推奨事項と、お客様が外部で使用するために Remote Assist を展開するときに発生する一般的な問題について説明します。

必須コンポーネント

外部で HoloLens 2 を展開するには、クラウド接続での展開に関するガイドに従って次のインフラストラクチャを配置する必要があります。

  • MDM 自動登録による Azure AD への参加 - MDM で管理 (Intune)
  • ユーザーは各自の企業アカウントでサインインします (Azure AD)
    • デバイスあたり 1 人または複数のユーザーがサポートされます。

Remote Assist のライセンスと要件

Remote Assist の詳細に関するページを参照してください。

Dynamics 365 Remote Assist ユーザー

  • Remote Assist ライセンス
  • ネットワーク接続

Microsoft Teams ユーザー

展開に関する一般的な推奨事項

外部での HoloLens 2 の展開には、次の手順をお勧めします。

  1. 最新の HoloLens OS リリースをベースライン ビルドとして使用します。

  2. 次の手順に従って、ユーザー ベースまたはデバイス ベースのライセンスを割り当てます。

    1. HoloLens/RA ユーザーのグループを AAD に作成し、メンバーを追加します
    2. このグループにデバイス ベースまたはユーザー ベースのライセンスを割り当てます
    3. (省略可能) モバイル デバイス管理 (MDM) ポリシーのターゲット グループ。
  3. AAD デバイスをテナントに参加させ、自動登録し、Autopilot を使用して構成します。 詳細については、「デバイスの所有者」を参照してください。

    1. デバイスの最初のユーザーがデバイスの所有者になります。
    2. デバイスが AAD に参加している場合は、参加を実行したユーザーがデバイスの所有者になります。
  4. デバイスのテナント ロックを行い、自分のテナントにのみ参加可能にします。

    1. CSP のテナント ロックに関するページも参照してください。
  5. グローバル割り当てアクセス を使用してキオスク モードを構成します

  6. 次の (オプションの) 機能を無効にします。

    1. こちらのデバイスを開発者モードにする機能。
    2. HoloLens を PC に接続して USB 無効化の日付をコピーする機能。

      Note

      USB を無効にはせず、USB を使用してデバイスにプロビジョニング パッケージを適用する機能を必要とする場合は、プロビジョニング パッケージのインストールを許可する方法に関する手順に従います。

  7. Windows Defender アプリケーション制御 (WDAC) を使用して、HoloLens 2 デバイス上のアプリを許可またはブロックします。

  8. セットアップの一部として Remote Assist を最新バージョンに更新します。 次の 2 つのオプションを検討してください。

    1. Windows Microsoft Store --> Remote Assist --> [アプリの更新] に移動します。
    2. ApplicationManagement/AllowAppStoreAutoUpdate - これはアプリの自動更新を許可するもので、既定で有効になっています。 更新プログラムを受信するには、デバイスを接続した状態に保つ必要があります。
  9. すべての設定ページを無効にします。ただし、ユーザーがクライアント サイトのゲスト ネットワークに接続できるように、ネットワーク設定ページは除きます。

  10. HoloLens 更新プログラムの管理

    1. OS の更新を制御するか、自由に通すオプション。
  11. 一般的なデバイスの制限を設定します。

これで、外部クライアントで HoloLens 2 を使用する準備ができました。

外部クライアントでの展開に関する一般的な問題

外部クライアントが相互に通信できないようにする

HoloLens から HoloLens への Remote Assist 呼び出しはサポートされていません。 クライアントは互いに検索はできますが、通信はできません。 Microsoft 365 の情報バリアにより、クライアントが検索して呼び出すことができる相手をさらに制限できます。 もう 1 つの方法は、Microsoft Teams の範囲指定ディレクトリ検索を使用することです。

Note

シングル サインオンが有効になっているので、Windows Defender アプリケーション制御 (WDAC) を使用してブラウザーを無効にすることが重要です。 外部クライアントがブラウザーを開いて Web バージョンの Teams を使用する場合、クライアントはチャット履歴にアクセスできます。

クライアントが会社のリソースにアクセスできないようにする

検討すべきオプションは 2 つあります。

1 つ目のオプションは、多層アプローチです。

  1. ユーザーに必要なライセンスのみを割り当ててください。 OneDrive、Outlook、SharePoint、Yammer などを割り当てなければ、ユーザーはそれらのリソースにアクセスできません。 ユーザーに必要なライセンスは、最初は Remote Assist、Intune、および AAD のライセンスのみです。
  2. クライアントにアクセスさせたくないアプリ (電子メールなど) をブロックしてください ([アプリは非表示または制限付きです] (#アプリは非表示または制限付きです) を参照してください)。
  3. ユーザー名やパスワードをクライアントと共有しないでください。 HoloLens 2 にログインするには、電子メールと数字の PIN が必要です。

2 つ目のオプションは、クライアントをホストする別のテナントを作成することです (図 1.1 を参照)。

図 1.1

Service Tenant Image.

非表示または制限付きのアプリ

キオスク モードWindows Defender アプリケーション制御 (WDAC) は、アプリケーションを非表示にしたり制限したりするためのオプションです。

クライアントのパスワード管理

  1. パスワードの有効期限を削除します。 ただし、このオプションを選択すると、アカウントが侵害される可能性が高まる場合があります。 NIST では、30 日から 90 日ごとにパスワードを変更することを推奨しています。
  2. HoloLens 2 デバイスのパスワードの有効期限を 90 日超まで延長します。
  3. パスワードを変更するには、デバイスを組織に返却する必要があります。 ただし、デバイスがクライアントの施設に 90 日を超えてとどまると予想される場合は、このオプションでは問題が発生する可能性があります。
  4. 複数のクライアントに送られるデバイスの場合は、デバイスをクライアントに発送する前にパスワードをリセットします。

クライアントがチャット履歴にアクセスできないようにする

Remote Assist では、各セッションの後にチャット履歴がクリアされます。 ただし、Microsoft Teams のユーザーはチャット履歴を利用できます。

Note

シングル サインオンが有効になっているので、Windows Defender アプリケーション制御 (WDAC) を使用してブラウザーを無効にすることが重要です。 外部クライアントがブラウザーを開いて Web バージョンの Teams を使用する場合、クライアントは通話/チャット履歴にアクセスできます。