使用远程协助将 HoloLens 2 部署到外部客户端

本指南可帮助具有以下目标的 IT 专业人员在组织中部署 Microsoft HoloLens 2 设备:

  1. 云连接 HoloLens 2 设备
  2. 将 HoloLens 2 设备贷款给外部客户端以使用
  3. 安全已贷款设备

本指南将提供适用于大多数 HoloLens 2 部署方案的一般HoloLens 2部署建议,以及客户在部署远程协助以用于外部用途时常见的问题。

方案说明

出于本文档的目的,Contoso 公司希望将 HoloLens 2 设备发运给外部客户端的工厂,以便短期或长期使用。 当客户端需要协助服务时,客户端将使用 Contoso 公司提供的凭据登录到 HoloLens 2 设备,并使用远程协助联系 Contoso 公司专家。

在此处了解有关远程协助 的更多信息

此方案的要求

  1. Azure AD
  2. 移动设备管理器 - 例如 Intune
  3. Remote Assist 许可证
    1. 购买远程协助
    2. 试用远程协助

常见问题

如何确保外部客户端无法相互通信

由于不支持远程协助 HoloLens 到 HoloLens 的呼叫,因此客户端可以搜索但无法相互通信。 为了进一步限制可以搜索和呼叫的客户端,信息屏障可以限制客户端可以与谁通信。 要考虑的另一个选项是使用 作用域目录搜索

备注

由于启用了单一登录,因此使用 WDAC禁用浏览器非常重要。 如果外部客户端打开浏览器并使用 Web 版本的 Teams,则客户端将有权访问呼叫/聊天历史记录。

如何确保客户端无法访问公司资源

有两个选项需要考虑。

第一个选项是多层方法:

  1. 仅分配用户所需的许可证。 如果未将 OneDrive、Outlook、SharePoint、Yammer 等分配给用户,则他/她将无法访问这些资源。 用户需要的唯一许可证是远程协助、Intune 和 AAD 许可证才能开始。
  2. 阻止 (应用程序,) 您不希望客户端访问的电子邮件 (请参阅如何限制 应用程序) 。
  3. 不要与客户端共享用户名或密码。 若要登录到 HoloLens 2,需要电子邮件和数字 PIN。

第二个选项是创建托管客户端的单独租户 (图像 1.1) 。

图像 1.1

服务租户映像

如何限制应用

展台模式 和/或 WDAC (Windows Defender应用程序 ) 是限制应用程序的选项。

如何管理密码

  1. 删除密码过期。 但是,这会增加帐户遭到入侵的可能性。 NIST 密码建议是每 30-90 天更改一次密码。
  2. 将 HoloLens 2 设备的密码过期时间延长 90 天。
  3. 设备应返回到 Contoso 以更改密码。 但是,如果设备预期在客户端中工作 90 天以上,这可能会导致问题。
  4. 对于发送到多个客户端的设备,在将设备寄送到客户端之前重置密码。

如何确保客户端无法访问聊天历史记录

远程协助在每个会话后清除聊天历史记录。 但是,聊天历史记录将提供给 Microsoft Teams 用户。

备注

由于启用了单一登录,因此使用 WDAC禁用浏览器非常重要。 如果外部客户端打开浏览器并使用 Web 版本的 Teams,则客户端将有权访问呼叫/聊天历史记录。

一般部署建议和说明

我们建议对 HoloLens 2 部署步骤执行以下操作:

  1. 使用 最新的 HoloLens 操作系统版本 作为基准版本。

  2. 分配基于用户或基于设备的许可证:

    1. 基于用户的许可证和基于设备的许可证都遵循以下步骤:
      1. 在 AAD 中创建组,并添加 HoloLens/RA 用户的成员。
      2. 向此组分配基于设备或基于 用户的许可证。
      3. (可选) 你可以面向 MDM 策略的组。
  3. 设备应已加入租户的 AAD,自动 注册,并通过自动引导 进行配置

    1. 请注意,设备上第一个用户将是设备所有者。
    2. 请注意,如果设备已加入 AAD,则执行加入的用户将成为设备所有者。
    3. 有关详细信息,请参阅 设备所有者
  4. 租户锁定 设备,以便它只能加入你的租户。

    1. 其他链接:租户锁定 CSP。
  5. 使用全局分配的访问权限在此处配置 展台

  6. 我们建议禁用以下可选 () 功能:

    1. 在此处将设备置于开发人员模式 的能力
    2. 将 HoloLens 连接到电脑以复制日期的能力禁用USB。

      备注

      如果你不想禁用 USB,但希望能够使用 USB 将预配包应用到设备,请按照此处列出的 说明操作

  7. 使用 WDAC 允许或黑色 HoloLens 2 设备上应用。

  8. 将远程协助更新到最新版本,作为设置的一部分。 有两个选项可进行此操作:

    1. 这可以通过访问 Windows Microsoft Store --> Remote Assist --> 应用完成
    2. 使用 ApplicationManagement/AllowAppStoreAutoUpdate CSP 启用自动更新,并保留设备插入以接收更新。
  9. 禁用除网络 设置以外的所有设置页面,以允许用户连接到客户端站点中的来宾网络。

  10. 管理 HoloLens 更新

    1. 控制 操作系统更新或 允许自由流动的选项。
  11. 常见设备限制