Distribuera molnanslutna HoloLens 2 till externa klienter

• Gäller för:

  HoloLens 2

Den här guiden är ett tillägg till den molnanslutna distributionsguiden. Den används i situationer där din organisation vill skicka HoloLens 2 enheter till en extern klients anläggning för kort eller långsiktig användning. Den externa klienten loggar in på den HoloLens 2 enheten med autentiseringsuppgifter som tillhandahålls av din organisation och använder Fjärrhjälp för att kontakta dina experter. Den här guiden innehåller allmänna HoloLens 2 distributionsrekommendationer som gäller för de flesta externa HoloLens 2 distributionsscenarier och vanliga problem som kunder har när de distribuerar Fjärrhjälp för extern användning.

Förutsättningar

Följande infrastruktur bör finnas på plats enligt den molnanslutna distributionsguiden för att distribuera HoloLens 2 externt.

• Microsoft Entra ansluta med AUTOMATISK MDM-registrering – MDM-hanterad (Intune)
• Användare loggar in med sitt eget företagskonto (Microsoft Entra-ID)
  • En eller flera användare per enhet stöds.

Remote Assist-licensiering och krav

• Microsoft Entra konto (krävs för att köpa prenumerationen och tilldela licenser)
• Remote Assist-prenumeration (eller utvärderingsversion av fjärrhjälp)

Läs mer om Fjärrhjälp.

Dynamics 365 Remote Assist-användare

• Remote Assist-licens
• Nätverksanslutning

Microsoft Teams-användare

• Microsoft Teams eller Teams Freemium
• Nätverksanslutningar

Allmänna distributionsrekommendationer

Vi rekommenderar följande steg för distribution av externa HoloLens 2:

1. Använd den senaste Versionen av HoloLens OS som baslinjeversion.

2. Tilldela användarbaserade eller enhetsbaserade licenser genom att följa stegen nedan:

   1. Skapa en grupp i Microsoft Entra-ID och lägg till medlemmar för HoloLens/RA-användare.
   2. Tilldela enhetsbaserade eller användarbaserade licenser till den här gruppen.
   3. (Valfritt) Målgrupper för MDM-principer (Mobile Device Management).

3. Anslut Microsoft Entra enheter till din klientorganisation, registrera automatiskt och konfigurera via Autopilot. Mer information finns i enhetens ägare.

   1. Den första användaren på enheten blir enhetens ägare.
   2. Om enheten är Microsoft Entra ansluten görs användaren som utförde kopplingen till enhetsägare.

4. Klientorganisationen låser enheten så att den bara kan anslutas av din klientorganisation.

   1. Se även CSP för klientlås.

5. Konfigurera helskärmsläge med global tilldelad åtkomst.

6. Inaktivera följande (valfria) funktioner:

   1. Möjlighet att placera enheten i utvecklarläge här.
   2. Möjlighet att ansluta HoloLens till en dator för att kopiera datum inaktivera USB.

      Anteckning

      Om du inte vill inaktivera USB men vill kunna tillämpa ett etableringspaket på enheten med USB följer du anvisningarna om hur du tillåter installation av etableringspaket.

7. Använd Windows Defender Application Control (WDAC) för att tillåta eller blockera appar på den HoloLens 2 enheten.

8. Uppdatera Fjärrhjälp till den senaste versionen som en del av installationen. Överväg följande två alternativ:

   1. Gå till Windows Microsoft Store –> Fjärrhjälp –> och Uppdatera app.
   2. ApplicationManagement/AllowAppStoreAutoUpdate – som tillåter automatiska appuppdateringar – är aktiverat som standard. Håll enheten ansluten för att ta emot uppdateringar.

9. Inaktivera alla inställningssidor utom nätverksinställningarna så att användarna kan ansluta till gästnätverk på klientplatser.

10. Hantera HoloLens-uppdateringar

    1. Alternativ för att styra OS-uppdateringar eller tillåta att det flödar fritt.

11. Ange vanliga enhetsbegränsningar.

Nu är dina externa klienter redo att använda sina HoloLens 2.

Vanliga problem med distribution av externa klienter

• Se till att klienter inte kan kommunicera med varandra
• Se till att klienter inte kan komma åt företagsresurser
• Dölja eller begränsa appar
• Hantera lösenord för dina klienter
• Se till att klienter inte kan komma åt chatthistorik

Kontrollera att externa klienter inte kan kommunicera med varandra

Fjärrhjälp HoloLens till HoloLens-anrop stöds inte. Klienter kan söka efter, men kan inte kommunicera med varandra. Informationsbarriärer i Microsoft 365 kan ytterligare begränsa med vem en klient kan söka och anropa. Ett annat alternativ är att använda katalogsökning med Microsoft Teams-omfång.

Anteckning

Eftersom enkel inloggning är aktiverat är det viktigt att inaktivera webbläsaren med hjälp av Windows Defender Application Control (WDAC). Om en extern klient öppnar webbläsaren och använder webbversionen av Teams har klienten åtkomst till din chatthistorik.

Kontrollera att klienter inte har åtkomst till företagsresurser

Det finns två alternativ att överväga.

Det första alternativet är en metod med flera lager:

1. Tilldela endast licenser som användaren behöver. Om du inte tilldelar OneDrive, Outlook, SharePoint, Yammer osv. har användaren inte åtkomst till dessa resurser. De enda licenser som användarna behöver är Remote Assist-, Intune- och Microsoft Entra-ID-licenser för att börja.
2. Blockera appar (till exempel e-post) som du inte vill att klienter ska komma åt (se [Appar är dolda eller begränsade](#apps är dolda eller begränsade)).
3. Dela inte användarnamn eller lösenord med klienter. För att logga in på HoloLens 2 krävs ett e-postmeddelande och en numerisk PIN-kod.

Det andra alternativet är att skapa en separat klientorganisation som är värd för klienter (se Bild 1.1).

Bild 1.1

Dolda eller begränsade appar

Helskärmsläge och/eller Windows Defender Programkontroll (WDAC) är alternativ för att dölja och/eller begränsa program.

Lösenordshantering för dina klienter

1. Ta bort lösenordets giltighetstid. Det här alternativet kan dock öka risken för att ett konto komprometteras. NIST-lösenordsrekommendering är att ändra lösenord var 30–90:e dag.
2. Utöka lösenordets giltighetstid för HoloLens 2 enheter till mer än 90 dagar.
3. Enheterna ska returneras till din organisation för att ändra lösenorden. Det här alternativet kan dock orsaka problem om enheterna förväntas finnas i klientens anläggning i över 90 dagar.
4. För enheter som skickas till flera klienter återställer du lösenord innan du skickar enheten till klienter.

Kontrollera att klienterna inte har åtkomst till chatthistorik

Remote Assist rensar chatthistoriken efter varje session. Chatthistoriken är dock tillgänglig för Microsoft Teams-användare.

Anteckning

Eftersom enkel inloggning är aktiverat är det viktigt att inaktivera webbläsaren med hjälp av Windows Defender Application Control (WDAC). Om en extern klient öppnar webbläsaren och använder webbversionen av Teams har klienten åtkomst till samtals-/chatthistorik.