编辑

通过分享

将云连接的HoloLens 2部署到外部客户端

  • 文章
  • 适用于:
    全息透镜2

本指南是《云连接部署指南》的补充。当您的组织希望将HoloLens 2设备运送到外部客户的设施进行短期或长期使用时,可以使用它。外部客户端将使用您的组织提供的凭据登录到HoloLens 2设备,并使用Remote Assist与您的专家联系。本指南提供了适用于大多数外部HoloLens 2部署场景的一般HoloLens 2部署建议,以及客户在部署远程辅助用于外部使用时的常见问题。

先决条件

根据云连接部署指南,在外部部署HoloLens 2时,应该准备好以下基础设施。

  • Microsoft Entra连接MDM自动注册- MDM-managed (Intune)
  • 用户使用自己的公司账户(Microsoft Entra ID)登录
    • 每台设备支持单个或多个用户。

远程协助许可和要求

  • Microsoft Entra帐户(购买订阅和分配许可证所需)
  • 远程协助订阅(或远程协助试用版)

请参阅了解有关远程协助的更多信息。

Dynamics 365远程辅助用户

  • 远程协助许可
  • 网络连接

Microsoft Teams用户

  • 微软团队或免费团队
  • 网络连接

一般部署建议

对于外部HoloLens 2部署,我们建议执行以下步骤:

  1. 使用最新的HoloLens OS版本作为基准构建。

  2. 按照以下步骤分配基于用户或基于设备的许可证:

    1. 在Microsoft Entra ID中创建组,并为HoloLens/RA用户添加成员。
    2. 为该组分配基于设备或基于用户的许可证。
    3. (可选)MDM策略的目标组。

  3. 将Microsoft Entra设备加入您的租户、自动注册并通过Autopilot进行配置。有关详细信息,请参见设备所有者。

    1. 设备上的第一个用户将是设备所有者。
    2. 如果设备是Microsoft Entra连接的,执行连接的用户将成为设备所有者。

  4. 租户锁定设备,使其只能由您的租户加入。

    1. 另请参见租户锁定CSP。

  5. 使用全局分配访问配置Kiosk模式。

  6. 禁用以下(可选)功能:

    1. 能够把设备进入开发模式在这里。
    2. 能够将HoloLens连接到PC以复制日期禁用USB

      请注意

      如果您不想禁用USB,但希望能够使用USB将配置包应用到设备,请按照有关如何允许配置包安装的说明进行操作。

  7. 使用Windows Defender应用控制(WDAC)来允许或阻止HoloLens 2设备上的应用程序。

  8. 将远程协助更新到最新版本作为安装的一部分。考虑以下两个选项:

    1. 进入Windows微软商店->远程协助->更新应用程序。
    2. ApplicationManagement/ allowappstoreautouupdate -允许自动应用程序更新-默认启用。保持设备插入以接收更新。

  9. 禁用除网络设置外的所有设置页面,以允许用户在客户端站点连接到来宾网络。

  10. 管理HoloLens更新

    1. 选项控制操作系统更新或允许自由流动。

  11. 设置常用设备限制。

现在你的外部客户已经准备好使用他们的HoloLens 2了。

常见的外部客户端部署问题

确保外部客户端不能相互通信

不支持远程辅助HoloLens与HoloLens之间的通话。客户端可以搜索,但不能相互通信。Microsoft 365中的信息屏障会进一步限制客户搜索和呼叫的对象。另一个选择是使用Microsoft Teams范围目录搜索。

请注意

由于启用了单点登录,因此使用Windows Defender应用程序控制(WDAC)禁用浏览器非常重要。如果外部客户端打开浏览器并使用Teams的web版本,该客户端将有权访问您的聊天记录。

确保客户无法接触到公司资源

有两种选择可以考虑。

第一个选择是多层方法:

  1. 只分配用户需要的许可证。如果你没有分配OneDrive, Outlook, SharePoint, Yammer等,用户将无法访问这些资源。用户需要的唯一许可证是Remote Assist、Intune和Microsoft Entra ID许可证。
  2. 阻止你不希望客户端访问的应用程序(如电子邮件)(参见[应用程序被隐藏或限制](#应用程序被隐藏或限制))。
  3. 不要与客户共享用户名和密码。要登录HoloLens 2,需要电子邮件和数字密码。

第二个选项是创建一个单独的租户来托管客户机(参见图1.1)。

1.1图像

Service Tenant Image.

隐藏或限制应用

Kiosk模式和/或Windows Defender Application Control (WDAC)是隐藏和/或限制应用程序的选项。

为您的客户端密码管理

  1. 取消密码过期。但是,此选项可能会增加帐户被泄露的机会。NIST建议每30-90天更换一次密码。
  2. 将HoloLens 2设备的密码有效期延长至90天以上。
  3. 应将设备返回到您的组织以更改密码。但是,如果设备预计将在客户的工厂中放置90天以上,则此选项可能会导致问题。
  4. 对于发送给多个客户端的设备,在发送给客户端之前需要重置密码。

确保客户端无法访问聊天记录

远程协助清除每次会话后的聊天记录。不过,微软Teams用户将可以使用聊天记录。

请注意

由于启用了单点登录,因此使用Windows Defender应用程序控制(WDAC)禁用浏览器非常重要。如果外部客户端打开浏览器并使用Teams的web版本,该客户端将有权访问呼叫/聊天记录。