将云连接 HoloLens 2 部署到外部客户端
本指南是云连接部署指南的补充。 它用于组织希望将 HoloLens 2 设备发送到外部客户端的设备以供短期或长期使用的情况。 外部客户端将使用组织提供的凭据登录到 HoloLens 2 设备,并使用 Remote Assist 联系专家。 本指南提供适用于大多数外部 HoloLens 2 部署方案的一般 HoloLens 2 部署建议,以及客户在部署外部使用的 Remote Assist 时遇到的常见问题。
必备条件
应根据云连接部署指南建立以下基础结构,以便在外部部署 HoloLens 2。
- 使用 MDM 自动注册Microsoft Entra加入 — MDM 托管的 (Intune)
- 用户使用自己的公司帐户登录, (Microsoft Entra ID)
- 支持每个设备有一个或多个用户。
Remote Assist 授权和要求
- Microsoft Entra帐户 (购买订阅和分配许可证)
- Remote Assist 订阅(或 Remote Assist 试用版)
Dynamics 365 Remote Assist 用户
- Remote Assist 许可证
- 网络连接
Microsoft Teams 用户
- Microsoft Teams 或 Teams Freemium
- 网络连接
一般性部署建议
对于外部 HoloLens 2 部署,建议执行以下步骤:
使用最新的 HoloLens OS 版本作为基线版本。
按照以下步骤分配基于用户或基于设备的许可证:
- 在 Microsoft Entra ID 中创建组,并为 HoloLens/RA 用户添加成员。
- 将基于设备或基于用户的许可证分配给该组。
- (可选)移动设备管理 (MDM) 策略的目标组。
将Microsoft Entra设备加入租户,通过 Autopilot自动注册和配置。 有关详细信息,请参阅设备所有者。
- 设备上的第一个用户将是设备所有者。
- 如果设备Microsoft Entra加入,则执行联接的用户成为设备所有者。
租户锁定设备,以便其只能由你的租户联接。
- 另请参阅租户锁 CSP。
禁用以下(可选)功能:
- 能够将设备置于开发人员模式(请参见此处)。
- 能够将 HoloLens 连接到电脑以复制日期(请参见禁用 USB)。
注意
如果不想禁用 USB,但希望能够使用 USB 将预配程序包应用于设备,请按照如何允许预配程序包安装的说明进行操作。
使用 Windows Defender 应用程序控制 (WDAC) 允许或阻止 HoloLens 2 设备上的应用。
在安装过程中将 Remote Assist 更新到最新版本。 请考虑以下两个选项:
- 转到 Windows Microsoft Store --> Remote Assist --> 和更新应用。
- ApplicationManagement/AllowAppStoreAutoUpdate - 默认情况下允许启用自动应用更新。 保持设备的接通以接收更新。
禁用所有设置页(网络设置除外),以允许用户在客户端站点连接到来宾网络。
-
- 控制 OS 更新或允许自由流动的选项。
设置通用设备限制。
现在,外部客户端可以使用其 HoloLens 2。
常见的外部客户端部署问题
确保外部客户端无法彼此通信
Remote Assist HoloLens 不支持 HoloLens 调用。 客户端可以相互搜索,但无法相互通信。 Microsoft 365 中的信息屏障可以进一步限制客户端可搜索和调用的客户端。 另一种选项是使用 Microsoft Teams 限定的目录搜索。
注意
由于启用了单一登录,因此必须使用 Windows Defender 应用程序控制 (WDAC) 禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 Web 版本,则客户端将有权访问聊天历史记录。
确保客户端无法访问公司资源
需要考虑两个选项。
第一个选项是多层方法:
- 仅分配用户需要的许可证。 如果未分配 OneDrive、Outlook、SharePoint、Yammer 等,则用户将无法访问这些资源。 用户需要的唯一许可证是 Remote Assist、Intune 和 Microsoft Entra ID 许可证。
- 阻止不希望客户端访问的应用,如电子邮件(请参阅[应用被隐藏或受限](#apps are hidden or restricted))。
- 不要与客户端共享用户名和密码。 若要登录到 HoloLens 2,需要电子邮件和数字 PIN。
第二个选项是创建托管客户端的单独租户(请参阅图像 1.1)。
图像 1.1
隐藏或受限应用
展台模式和/或 Windows Defender 应用程序控制 (WDAC) 是用于隐藏和/或限制应用程序的选项。
你的客户端的密码管理
- 删除密码过期。 但是,此选项可能会增加帐户泄露的可能性。 NIST 密码建议每 30-90 天更改一次密码。
- 将 HoloLens 2 设备的密码过期时间延长到 90 天以上。
- 设备应退回到你的组织以更改密码。 但是,如果设备预期在客户端的工厂中超过 90 天,则此选项可能会导致问题。
- 对于发送到多个客户端的设备,应在将设备发送到客户端之前重置密码。
确保客户端无法访问聊天历史记录
Remote Assist 在每个会话之后清除聊天历史记录。 不过,聊天历史记录将可供 Microsoft Teams 用户使用。
注意
由于启用了单一登录,因此必须使用 Windows Defender 应用程序控制 (WDAC) 禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 Web 版本,则客户端将有权访问呼叫/聊天历史记录。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈