将云连接 HoloLens 2 部署到外部客户端

本指南是 云连接部署指南的补充。 当你的组织想要将 HoloLens 2 设备发送到外部客户端的设施进行短期或长期使用时,可使用此功能。 外部客户端将使用组织提供的凭据登录到 HoloLens 2 设备,并使用远程协助联系你的专家。 本指南提供适用于大多数外部 HoloLens 2 部署方案的一般 HoloLens 2 部署建议,以及客户在部署外部使用的远程协助时遇到的常见问题

先决条件

以下基础结构应按照云连接部署指南进行部署,以便在外部部署 HoloLens 2。

  • 与 mdm 自动注册 Azure AD 联接-mdm 管理的 (Intune)
  • 用户用自己的公司帐户登录 (Azure AD)
    • 支持每个设备有一个或多个用户。

远程协助许可和要求

请参阅 了解有关远程协助的详细信息

Dynamics 365 Remote Assist 用户

  • Remote Assist 许可证
  • 网络连接

Microsoft Teams 用户

常规部署建议

对于外部 HoloLens 2 部署,建议执行以下步骤:

  1. 使用最新的 HoloLens OS 版本作为基准构建。

  2. 按照以下步骤分配基于用户或基于设备的许可证:

    1. 在 AAD 中创建一个组,并为 HoloLens/RA 用户添加成员。
    2. 将基于设备或基于用户的许可证分配 给此组。
    3. (用于移动设备管理的可选) 目标组 (MDM) 策略。
  3. 将 AAD 设备加入你的租户、自动注册,并通过Autopilot进行配置。 有关详细信息,请参阅 设备所有者

    1. 设备上的第一个用户将是设备所有者。
    2. 如果设备已 AAD 联接,则执行联接的用户将成为设备所有者。
  4. 租户锁定 设备,以便它只能由你的租户加入。

    1. 另请参阅 租户锁定 CSP
  5. 使用全局分配的访问权限配置展台模式

  6. 禁用以下 (可选) 功能:

    1. 可以将设备置于开发人员模式。
    2. 能够将 HoloLens 连接到 PC 以复制日期禁用 USB

      注意

      如果不想禁用 USB,但希望能够使用 USB 将设置包应用于设备,请按照 如何允许安装包的说明进行操作

  7. 使用Windows Defender 应用程序控件 (WDAC) 允许或阻止 HoloLens 2 设备上的应用。

  8. 在安装过程中将远程协助更新到最新版本。 请考虑以下两个选项:

    1. 请参阅 Windows Microsoft Store-- 远程协助-- > 和更新应用
    2. ApplicationManagement/AllowAppStoreAutoUpdate -默认情况下启用自动应用更新。 保持设备的连接以接收更新。
  9. 禁用除网络设置以外的所有设置页,以允许用户在客户端站点连接到来宾网络。

  10. 管理 HoloLens 更新

    1. 控制 OS 更新或允许自由流动的选项。
  11. 设置 常见设备限制

现在,外部客户端可以使用其 HoloLens 2。

常见的外部客户端部署问题

确保外部客户端无法彼此通信

远程协助 HoloLens 不支持 HoloLens 调用。 客户端可以搜索,但无法相互通信。 Microsoft 365 中的信息障碍可以进一步限制客户端可以搜索和调用的客户端。 另一种方法是使用Microsoft Teams 作用域的目录搜索

注意

由于启用了单一登录,因此必须使用Windows Defender 应用程序控件 (WDAC) 禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 web 版本,则客户端将有权访问聊天历史记录。

确保客户端无法访问公司资源

需要考虑两个选项。

第一个选项是多层方法:

  1. 仅分配用户需要的许可证。 如果未分配 OneDrive、Outlook、SharePoint、Yammer 等,则用户将无法访问这些资源。 用户需要的唯一许可证是远程协助、Intune 和 AAD 许可证。
  2. 阻止应用程序 (例如不希望客户端访问的电子邮件) (请参阅 [隐藏或受限应用] (#apps 隐藏或受限的) ) 。
  3. 不要与客户端共享用户名和密码。 若要登录到 HoloLens 2,需要电子邮件和数字 PIN。

第二种方法是创建一个承载客户端的单独租户 (参阅图像 1.1) 。

图像1。1

服务租户映像。

隐藏或受限应用

展台模式和/或Windows Defender 应用程序控件 (WDAC) 是用于隐藏和/或限制应用程序的选项。

你的客户端的密码管理

  1. 删除密码过期。 但是,此选项可能会增加帐户泄露的可能性。 NIST 密码建议每30-90 天更改一次密码。
  2. 将 HoloLens 2 设备的密码过期时间延长到超过90天。
  3. 设备应返回到你的组织以更改密码。 但是,如果设备预期在客户端的工厂中超过90天,则此选项可能会导致问题。
  4. 对于发送到多个客户端的设备,在将设备发送到客户端之前重置密码。

确保客户端无权访问聊天历史记录

远程协助在每个会话之后清除聊天历史记录。 不过,聊天历史记录将可供 Microsoft Teams 用户使用。

注意

由于启用了单一登录,因此必须使用Windows Defender 应用程序控件 (WDAC) 禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 web 版本,则客户端将有权访问呼叫/聊天历史记录。