将云连接 HoloLens 2 部署到外部客户端

• 适用于:

  HoloLens 2

本指南是云连接部署指南的补充。 它用于组织希望将 HoloLens 2 设备发送到外部客户端的设备以供短期或长期使用的情况。 外部客户端将使用组织提供的凭据登录到 HoloLens 2 设备，并使用 Remote Assist 联系专家。 本指南提供适用于大多数外部 HoloLens 2 部署方案的一般 HoloLens 2 部署建议，以及客户在部署外部使用的 Remote Assist 时遇到的常见问题。

必备条件

应根据云连接部署指南建立以下基础结构，以便在外部部署 HoloLens 2。

• 使用 MDM 自动注册Microsoft Entra加入 — MDM 托管的 (Intune)
• 用户使用自己的公司帐户登录， (Microsoft Entra ID)
  • 支持每个设备有一个或多个用户。

Remote Assist 授权和要求

• Microsoft Entra帐户 (购买订阅和分配许可证)
• Remote Assist 订阅（或 Remote Assist 试用版）

请参阅详细了解 Remote Assist。

Dynamics 365 Remote Assist 用户

• Remote Assist 许可证
• 网络连接

Microsoft Teams 用户

• Microsoft Teams 或 Teams Freemium
• 网络连接

一般性部署建议

对于外部 HoloLens 2 部署，建议执行以下步骤：

1. 使用最新的 HoloLens OS 版本作为基线版本。

2. 按照以下步骤分配基于用户或基于设备的许可证：

   1. 在 Microsoft Entra ID 中创建组，并为 HoloLens/RA 用户添加成员。
   2. 将基于设备或基于用户的许可证分配给该组。
   3. （可选）移动设备管理 (MDM) 策略的目标组。

3. 将Microsoft Entra设备加入租户，通过 Autopilot自动注册和配置。 有关详细信息，请参阅设备所有者。

   1. 设备上的第一个用户将是设备所有者。
   2. 如果设备Microsoft Entra加入，则执行联接的用户成为设备所有者。

4. 租户锁定设备，以便其只能由你的租户联接。

   1. 另请参阅租户锁 CSP。

5. 使用全局分配的访问权限配置展台模式。

6. 禁用以下（可选）功能：

   1. 能够将设备置于开发人员模式（请参见此处）。
   2. 能够将 HoloLens 连接到电脑以复制日期（请参见禁用 USB）。

      注意

      如果不想禁用 USB，但希望能够使用 USB 将预配程序包应用于设备，请按照如何允许预配程序包安装的说明进行操作。

7. 使用 Windows Defender 应用程序控制 (WDAC) 允许或阻止 HoloLens 2 设备上的应用。

8. 在安装过程中将 Remote Assist 更新到最新版本。 请考虑以下两个选项：

   1. 转到 Windows Microsoft Store --> Remote Assist --> 和更新应用。
   2. ApplicationManagement/AllowAppStoreAutoUpdate - 默认情况下允许启用自动应用更新。 保持设备的接通以接收更新。

9. 禁用所有设置页（网络设置除外），以允许用户在客户端站点连接到来宾网络。

10. 管理 HoloLens 更新

    1. 控制 OS 更新或允许自由流动的选项。

11. 设置通用设备限制。

现在，外部客户端可以使用其 HoloLens 2。

常见的外部客户端部署问题

• 确保客户端无法彼此通信
• 确保客户端无法访问公司资源
• 隐藏或限制应用
• 为客户端管理密码
• 确保客户端无法访问聊天历史记录

确保外部客户端无法彼此通信

Remote Assist HoloLens 不支持 HoloLens 调用。 客户端可以相互搜索，但无法相互通信。 Microsoft 365 中的信息屏障可以进一步限制客户端可搜索和调用的客户端。 另一种选项是使用 Microsoft Teams 限定的目录搜索。

注意

由于启用了单一登录，因此必须使用 Windows Defender 应用程序控制 (WDAC) 禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 Web 版本，则客户端将有权访问聊天历史记录。

确保客户端无法访问公司资源

需要考虑两个选项。

第一个选项是多层方法：

1. 仅分配用户需要的许可证。 如果未分配 OneDrive、Outlook、SharePoint、Yammer 等，则用户将无法访问这些资源。 用户需要的唯一许可证是 Remote Assist、Intune 和 Microsoft Entra ID 许可证。
2. 阻止不希望客户端访问的应用，如电子邮件（请参阅[应用被隐藏或受限](#apps are hidden or restricted)）。
3. 不要与客户端共享用户名和密码。 若要登录到 HoloLens 2，需要电子邮件和数字 PIN。

第二个选项是创建托管客户端的单独租户（请参阅图像 1.1）。

图像 1.1

隐藏或受限应用

展台模式和/或 Windows Defender 应用程序控制 (WDAC) 是用于隐藏和/或限制应用程序的选项。

你的客户端的密码管理

1. 删除密码过期。 但是，此选项可能会增加帐户泄露的可能性。 NIST 密码建议每 30-90 天更改一次密码。
2. 将 HoloLens 2 设备的密码过期时间延长到 90 天以上。
3. 设备应退回到你的组织以更改密码。 但是，如果设备预期在客户端的工厂中超过 90 天，则此选项可能会导致问题。
4. 对于发送到多个客户端的设备，应在将设备发送到客户端之前重置密码。

确保客户端无法访问聊天历史记录

Remote Assist 在每个会话之后清除聊天历史记录。 不过，聊天历史记录将可供 Microsoft Teams 用户使用。

注意

由于启用了单一登录，因此必须使用 Windows Defender 应用程序控制 (WDAC) 禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 Web 版本，则客户端将有权访问呼叫/聊天历史记录。