Cloud verbonden HoloLens 2 implementeren op externe clients

• Van toepassing op:

  HoloLens 2

Deze handleiding is een aanvulling op de Handleiding voor cloud-verbonden implementatie. Het wordt gebruikt in situaties waarin uw organisatie HoloLens 2 apparaten naar de faciliteit van een externe klant wil verzenden voor gebruik op korte of lange termijn. De externe client meldt zich aan bij het HoloLens 2-apparaat met de referenties van uw organisatie en gebruikt Remote Assist om contact op te leggen met uw experts. Deze handleiding bevat algemene HoloLens 2 implementatieaanbevelingen die van toepassing zijn op de meeste externe HoloLens 2 implementatiescenario's en veelvoorkomende problemen die klanten hebben bij het implementeren van Remote Assist voor extern gebruik.

Vereisten

De volgende infrastructuur moet aanwezig zijn volgens de Handleiding voor cloud-verbonden implementatie om de HoloLens 2 extern te implementeren.

• Microsoft Entra deelnemen met automatische mdm-inschrijving: door MDM beheerd (Intune)
• Gebruikers melden zich aan met hun eigen bedrijfsaccount (Microsoft Entra-id)
  • Eén of meerdere gebruikers per apparaat worden ondersteund.

Licenties en vereisten voor Remote Assist

• Microsoft Entra-account (vereist voor het kopen van het abonnement en het toewijzen van licenties)
• Remote Assist-abonnement (of proefversie van Remote Assist)

Zie Meer informatie over Remote Assist.

Dynamics 365 Remote Assist gebruiker

• Remote Assist-licentie
• Netwerkconnectiviteit

Microsoft Teams-gebruiker

• Microsoft Teams of Teams Freemium
• Netwerkverbinding

Algemene implementatieaanbeveling

We raden de volgende stappen aan voor de implementatie van externe HoloLens 2:

1. Gebruik de nieuwste release van het HoloLens-besturingssysteem als uw basislijn-build.

2. Wijs licenties op basis van gebruikers of apparaten toe door de onderstaande stappen te volgen:

   1. Maak een groep in Microsoft Entra-id en voeg leden toe voor HoloLens-/RA-gebruikers.
   2. Wijs licenties op basis van apparaten of gebruikers toe aan deze groep.
   3. (Optioneel) Doelgroepen voor MDM-beleid (Mobile Device Management).

3. Voeg Microsoft Entra apparaten toe aan uw tenant, schrijf ze automatisch in en configureer deze via Autopilot. Zie apparaateigenaar voor meer informatie.

   1. De eerste gebruiker op het apparaat is de eigenaar van het apparaat.
   2. Als het apparaat Microsoft Entra gekoppeld is, wordt de gebruiker die de join heeft uitgevoerd, eigenaar van het apparaat gemaakt.

4. Tenant vergrendel het apparaat zodat het alleen kan worden toegevoegd door uw tenant.

   1. Zie ook Tenantvergrendeling-CSP.

5. Configureer de kioskmodus met behulp van globale toegewezen toegang.

6. Schakel de volgende (optionele) mogelijkheden uit:

   1. De mogelijkheid om het apparaat in de ontwikkelaarsmodus te zetten.
   2. Mogelijkheid om de HoloLens aan te sluiten op een pc om de kopieerdatum uit te schakelen.

      Notitie

      Als u USB niet wilt uitschakelen, maar wel de mogelijkheid wilt hebben om een inrichtingspakket toe te passen op het apparaat met behulp van USB, volgt u de instructies voor het toestaan van de installatie van het inrichtingspakket.

7. Gebruik Windows Defender Application Control (WDAC) om apps op het HoloLens 2 apparaat toe te staan of te blokkeren.

8. Werk Remote Assist bij naar de nieuwste versie als onderdeel van de installatie. Overweeg de volgende twee opties:

   1. Ga naar Windows Microsoft Store --> Remote Assist -> en App bijwerken.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , waarmee automatische app-updates zijn toegestaan, is standaard ingeschakeld. Houd het apparaat aangesloten om updates te ontvangen.

9. Schakel alle instellingenpagina's uit, met uitzondering van de netwerkinstellingen, zodat gebruikers verbinding kunnen maken met gastnetwerken op clientsites.

10. HoloLens-updates beheren

    1. Optie voor het beheren van updates van het besturingssysteem of het toestaan van de vrije stroom.

11. Algemene apparaatbeperkingen instellen.

Uw externe clients zijn nu klaar om hun HoloLens 2 te gebruiken.

Veelvoorkomende problemen met de implementatie van externe clients

• Ervoor zorgen dat clients niet met elkaar kunnen communiceren
• Ervoor zorgen dat clients geen toegang hebben tot bedrijfsbronnen
• Apps verbergen of beperken
• Wachtwoorden voor uw clients beheren
• Ervoor zorgen dat clients geen toegang hebben tot de chatgeschiedenis

Controleren of externe clients niet met elkaar kunnen communiceren

Remote Assist HoloLens naar HoloLens-aanroepen worden niet ondersteund. Clients kunnen zoeken naar, maar kunnen niet met elkaar communiceren. Informatiebarrières in Microsoft 365 kunnen verder beperken met wie een client kan zoeken en bellen. Een andere optie is het gebruik van microsoft Teams-adreslijstzoekopdrachten.

Notitie

Omdat eenmalige aanmelding is ingeschakeld, is het belangrijk om de browser uit te schakelen met behulp van Windows Defender Application Control (WDAC). Als een externe client de browser opent en de webversie van Teams gebruikt, heeft de client toegang tot uw chatgeschiedenis.

Zorg ervoor dat clients geen toegang hebben tot bedrijfsresources

Er zijn twee opties om te overwegen.

De eerste optie is een benadering met meerdere lagen:

1. Wijs alleen licenties toe die de gebruiker nodig heeft. Als u OneDrive, Outlook, SharePoint, Yammer enzovoort niet toewijst, heeft de gebruiker geen toegang tot deze resources. De enige licenties die gebruikers nodig hebben, zijn Remote Assist, Intune en Microsoft Entra ID-licenties om te beginnen.
2. Blokkeer apps (zoals e-mail) waartoe clients geen toegang hebben (zie [Apps zijn verborgen of beperkt](#apps zijn verborgen of beperkt)).
3. Deel geen gebruikersnamen of wachtwoorden met clients. Als u zich wilt aanmelden bij de HoloLens 2, zijn een e-mail en een numerieke pincode vereist.

De tweede optie is om een afzonderlijke tenant te maken die als host fungeert voor clients (zie Afbeelding 1.1).

Afbeelding 1.1

Verborgen of beperkte apps

Kioskmodus en/of Windows Defender Application Control (WDAC) zijn opties voor het verbergen en/of beperken van toepassingen.

Wachtwoordbeheer voor uw clients

1. Wachtwoordverlooptijd verwijderen. Deze optie kan echter de kans vergroten dat een account wordt gecompromitteerd. NIST-wachtwoordaanbeveling is het wijzigen van wachtwoorden elke 30-90 dagen.
2. Verleng de verlooptijd van het wachtwoord voor HoloLens 2 apparaten tot meer dan 90 dagen.
3. De apparaten moeten worden geretourneerd naar uw organisatie om de wachtwoorden te wijzigen. Deze optie kan echter problemen veroorzaken als de apparaten naar verwachting meer dan 90 dagen in de fabriek van de klant zijn.
4. Voor apparaten die naar meerdere clients worden verzonden, moet u wachtwoorden opnieuw instellen voordat u het apparaat naar clients verzendt.

Zorg ervoor dat clients geen toegang hebben tot de chatgeschiedenis

Remote Assist wist de chatgeschiedenis na elke sessie. De chatgeschiedenis is echter wel beschikbaar voor gebruikers van Microsoft Teams.

Notitie

Omdat eenmalige aanmelding is ingeschakeld, is het belangrijk om de browser uit te schakelen met behulp van Windows Defender Application Control (WDAC). Als een externe client de browser opent en de webversie van Teams gebruikt, heeft de client toegang tot de oproep-/chatgeschiedenis.