为 HoloLens 2 准备证书和网络配置文件

基于证书的身份验证是使用 HoloLens 2 的客户的常见要求。 你可能需要证书才能访问 Wi-Fi、连接到 VPN 解决方案或访问组织中的内部资源。

由于 HoloLens 2 设备通常已加入 Azure Active Directory (Azure AD) 并且由 Intune 或其他 MDM 提供程序进行管理,因此你将需要使用简单证书注册协议 (SCEP) 或与你的 MDM 解决方案集成的公钥加密标准 (PKCS) 证书来部署此类证书。

注意

如果没有 MDM 提供程序,仍可以通过在 Windows 配置设计器预配程序包或在证书管理器中转到“设置”“更新和安全”“证书管理器”来部署证书。

证书要求

需要根证书才能通过 SCEP 或 PKCS 基础结构部署证书。 你的组织中的其他应用程序和服务可能还需要将根证书部署到 HoloLens 2 设备上。 

Wi-Fi 连接要求

为了自动为设备提供企业网络所需的 Wi-Fi 配置,你需要一个 Wi-Fi 配置配置文件。 你可以配置 Intune 或其他 MDM 提供程序以将这些配置文件部署到你的设备。 如果你的网络安全要求设备是本地域的一部分,则你可能还需要评估 Wi-Fi 网络基础结构,以确保它与 HoloLens 2 设备兼容(HoloLens 2 设备仅加入 Azure AD)。

部署证书基础结构

如果未存在 SCEP 或 PKCS 基础结构,则需要准备一个。 若要支持使用 SCEP 或 PKCS 证书进行身份验证,则 Intune 需要使用证书连接器

注意

结合使用 SCEP 和 Microsoft CA 时,你还必须配置网络设备注册服务 (NDES)

有关详细信息,请参阅在 Microsoft Intune 中为设备配置证书配置文件。

部署证书和 Wi-Fi/VPN 配置文件

若要部署证书和配置文件,请按照下列步骤进行操作:

  1. 为每个根证书和中间证书创建一个配置文件(请参阅创建受信任的证书配置文件。) 其中的每个配置文件必须有说明,其中包括 DD/MM/YYYY 格式的到期日期。 将不会部署无到期日期的证书配置文件。

  2. 为每个 SCEP 或 PKCS 证书创建一个配置文件(请参阅创建 SCEP 证书配置文件或创建 PKCS 证书配置文件)。这些配置文件中的每个配置文件都必须具有包含 DD/MM/YYYY 格式的到期日期的描述。 将不会部署无到期日期的证书配置文件。

    注意

    由于 HoloLens 2 将多个设备视为一个共享设备,并且每个设备上有多个用户,因此建议尽可能部署设备证书(而不是用户证书)进行 Wi-Fi 身份验证

  3. 为每个公司 Wi-Fi 网络创建配置文件(请参阅 Windows 10 和更高版本设备的 Wi-Fi 设置)。

    注意

    建议尽可能将 Wi-Fi 配置文件分配到设备组,而不是用户组。

    提示

    此外,还可从公司网络上的 Windows 10 电脑导出有效的 Wi-Fi 配置文件。 此导出将创建包含所有当前设置的 XML 文件。 然后,将此文件导入到 Intune 中,并将其用作 HoloLens 2 设备的 Wi-Fi 配置文件。 请参阅导出和导入 Windows 设备的 Wi-Fi 设置。

  4. 为每个公司 VPN 创建配置文件(请参阅 Windows 10 和 Windows 全息版设备设以使用 Intune 添加 VPN 连接)。

故障排除

问题 - 无法使用基于证书的身份验证连接到网络

现象

设备无法使用基于证书的身份验证建立网络连接。

故障排除步骤

  1. 如果你需要验证是否正确部署了证书,请使用设备上的证书管理器验证你的证书是否存在。

    警告

    虽然可以在证书管理器中查看 MDM 部署的证书,但是无法在证书管理器中将其卸载。 必须通过 MDM 将其卸载。

  2. 仅对于Intune 而言,如果使用简单证书注册协议 (SCEP) 来部署证书,请确保可从设备访问网络设备注册服务 (NDES) 服务器 URL。 有关设置相关信息,请参阅 Intune 中的 SCEP 证书。 如果使用 CNAME,而不是使用 NDES 服务器的完全限定域,请确保通过在设备上的 Web 浏览器中键入该 URL 来正确解析 CNAME。