Развертывание облачных HoloLens 2 на внешних клиентах

• Применяется к:

  HoloLens 2

Это руководство является дополнением к руководству по развертыванию с подключением к облаку. Он используется в ситуациях, когда ваша организация хочет отправить HoloLens 2 устройств внешнему клиенту для краткосрочного или долгосрочного использования. Внешний клиент войдет на устройство HoloLens 2 с учетными данными, предоставленными вашей организацией, и с помощью удаленной поддержки свяжется со своими экспертами. Это руководство содержит общие HoloLens 2 рекомендации по развертыванию, применимые к большинству внешних сценариев развертывания HoloLens 2, а также распространенные проблемы, которые возникают у клиентов при развертывании удаленной поддержки для внешнего использования.

Предварительные требования

Для внешнего развертывания HoloLens 2 в соответствии с руководством по развертыванию с подключением к облаку должна быть указана следующая инфраструктура.

• Microsoft Entra присоединение с помощью автоматической регистрации MDM , управляемой MDM (Intune)
• Пользователи входят с помощью собственной корпоративной учетной записи (идентификатор Microsoft Entra)
  • Поддерживается один или несколько пользователей на устройство.

Лицензирование и требования удаленной поддержки

• учетная запись Microsoft Entra (требуется для приобретения подписки и назначения лицензий)
• Подписка на Remote Assist (или пробная версия Remote Assist)

См . дополнительные сведения об удаленной поддержке.

Пользователь Dynamics 365 Remote Assist

• Лицензия Remote Assist
• Сетевое подключение

Пользователь Microsoft Teams

• Microsoft Teams или бесплатная версия Teams
• Возможность подключения к сети

Общие рекомендации по развертыванию

Для развертывания внешних HoloLens 2 рекомендуется выполнить следующие действия.

1. Используйте последний выпуск ОС HoloLens в качестве базовой сборки.

2. Назначьте лицензии на основе пользователей или устройств, выполнив следующие действия.

   1. Создайте группу по идентификатору Microsoft Entra и добавьте участников для пользователей HoloLens/RA.
   2. Назначьте этой группе лицензии на основе устройств или пользователей .
   3. (Необязательно) Целевые группы для политик управления мобильными устройствами (MDM).

3. Присоединение Microsoft Entra устройств к клиенту, автоматическая регистрация и настройка с помощью Autopilot. Дополнительные сведения см. в разделе Владелец устройства.

   1. Первым пользователем на устройстве будет владелец устройства.
   2. Если устройство Microsoft Entra присоединено, пользователь, который выполнил присоединение, становится владельцем устройства.

4. Клиент блокирует устройство, чтобы его можно было присоединить только к вашему клиенту.

   1. См. также раздел CSP блокировки клиента.

5. Настройте режим киоска с помощью глобально назначенного доступа.

6. Отключите следующие (необязательные) возможности:

   1. Возможность переводить устройство в режим разработчика.
   2. Возможность подключения HoloLens к компьютеру для копирования даты отключите USB.

      Примечание

      Если вы не хотите отключать USB, но хотите применить пакет подготовки к устройству с помощью USB, следуйте инструкциям по настройке установки пакета подготовки.

7. Используйте Защитник Windows Управление приложениями (WDAC), чтобы разрешить или заблокировать приложения на HoloLens 2 устройстве.

8. Обновите Remote Assist до последней версии в рамках установки. Рассмотрим следующие два варианта:

   1. Перейдите на страницу Windows Microsoft Store —> Remote Assist и> обновите приложение.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , который разрешает автоматическое обновление приложений, включен по умолчанию. Оставьте устройство подключенным для получения обновлений.

9. Отключите все страницы параметров , кроме параметров сети, чтобы разрешить пользователям подключаться к гостевым сетям на клиентских сайтах.

10. Управление обновлениями HoloLens

    1. Параметр для управления обновлениями ОС или разрешения свободного потока.

11. Установка общих ограничений устройств.

Теперь внешние клиенты готовы использовать свои HoloLens 2.

Распространенные проблемы с развертыванием внешних клиентов

• Обеспечение того, чтобы клиенты не могли взаимодействовать друг с другом
• Обеспечение доступа клиентов к ресурсам компании
• Скрытие или ограничение приложений
• Управление паролями для клиентов
• Обеспечение доступа клиентов к журналу чата

Убедитесь, что внешние клиенты не могут взаимодействовать друг с другом

Вызовы Удаленной поддержки HoloLens к HoloLens не поддерживаются. Клиенты могут искать, но не могут взаимодействовать друг с другом. Информационные барьеры в Microsoft 365 могут дополнительно ограничивать, с кем клиент может искать и звонить. Другой вариант — использовать поиск в каталоге в области Microsoft Teams.

Примечание

Так как единый вход включен, важно отключить браузер с помощью Защитник Windows управления приложениями (WDAC). Если внешний клиент открывает браузер и использует веб-версию Teams, клиент получит доступ к журналу чата.

Убедитесь, что у клиентов нет доступа к ресурсам компании

Существует два варианта, которые следует рассмотреть.

Первый вариант — это многоуровневый подход:

1. Назначайте только лицензии, необходимые пользователю. Если вы не назначите OneDrive, Outlook, SharePoint, Yammer и т. д., у пользователя не будет доступа к этим ресурсам. Для начала пользователям потребуются только лицензии Remote Assist, Intune и Microsoft Entra id.
2. Блокировать приложения (например, электронную почту), к которым клиенты не должны получать доступ (см. раздел [Приложения скрыты или ограничены](#apps скрыты или ограничены)).
3. Не делитесь именами пользователей и паролями с клиентами. Для входа в HoloLens 2 требуется адрес электронной почты и числовой ПИН-код.

Второй вариант — создать отдельный клиент, в котором размещаются клиенты (см. образ 1.1).

Изображение 1.1

Скрытые или ограниченные приложения

Режим киоска и (или) Защитник Windows управление приложениями (WDAC) — это варианты для скрытия и (или) ограничения приложений.

Управление паролями для клиентов

1. Удалить срок действия пароля. Однако этот параметр может увеличить вероятность компрометации учетной записи. Рекомендуется менять пароли каждые 30–90 дней.
2. Продление срока действия пароля для HoloLens 2 устройств до 90 дней.
3. Устройства должны быть возвращены вашей организации, чтобы изменить пароли. Однако этот параметр может вызвать проблемы, если ожидается, что устройства находятся на заводе клиента в течение более 90 дней.
4. Для устройств, отправляемых нескольким клиентам, сбросьте пароли перед отправкой устройства клиентам.

Убедитесь, что у клиентов нет доступа к журналу чата

Remote Assist очищает журнал чата после каждого сеанса. Тем не менее, журнал чата будет доступен для пользователей Microsoft Teams.

Примечание

Так как единый вход включен, важно отключить браузер с помощью Защитник Windows управления приложениями (WDAC). Если внешний клиент открывает браузер и использует веб-версию Teams, он получит доступ к журналу звонков и чатов.