将云连接的HoloLens 2部署到外部客户端
本指南是《云连接部署指南》的补充。当您的组织希望将HoloLens 2设备运送到外部客户的设施进行短期或长期使用时,可以使用它。外部客户端将使用您的组织提供的凭据登录到HoloLens 2设备,并使用Remote Assist与您的专家联系。本指南提供了适用于大多数外部HoloLens 2部署场景的一般HoloLens 2部署建议,以及客户在部署远程辅助用于外部使用时的常见问题。
先决条件
根据云连接部署指南,在外部部署HoloLens 2时,应该准备好以下基础设施。
- Microsoft Entra连接MDM自动注册- MDM-managed (Intune)
- 用户使用自己的公司账户(Microsoft Entra ID)登录
- 每台设备支持单个或多个用户。
远程协助许可和要求
- Microsoft Entra帐户(购买订阅和分配许可证所需)
- 远程协助订阅(或远程协助试用版)
请参阅了解有关远程协助的更多信息。
Dynamics 365远程辅助用户
- 远程协助许可
- 网络连接
Microsoft Teams用户
- 微软团队或免费团队
- 网络连接
一般部署建议
对于外部HoloLens 2部署,我们建议执行以下步骤:
使用最新的HoloLens OS版本作为基准构建。
按照以下步骤分配基于用户或基于设备的许可证:
- 在Microsoft Entra ID中创建组,并为HoloLens/RA用户添加成员。
- 为该组分配基于设备或基于用户的许可证。
- (可选)MDM策略的目标组。
将Microsoft Entra设备加入您的租户、自动注册并通过Autopilot进行配置。有关详细信息,请参见设备所有者。
- 设备上的第一个用户将是设备所有者。
- 如果设备是Microsoft Entra连接的,执行连接的用户将成为设备所有者。
租户锁定设备,使其只能由您的租户加入。
- 另请参见租户锁定CSP。
使用全局分配访问配置Kiosk模式。
禁用以下(可选)功能:
- 能够把设备进入开发模式在这里。
- 能够将HoloLens连接到PC以复制日期禁用USB.
请注意
如果您不想禁用USB,但希望能够使用USB将配置包应用到设备,请按照有关如何允许配置包安装的说明进行操作。
使用Windows Defender应用控制(WDAC)来允许或阻止HoloLens 2设备上的应用程序。
将远程协助更新到最新版本作为安装的一部分。考虑以下两个选项:
- 进入Windows微软商店->远程协助->更新应用程序。
- ApplicationManagement/ allowappstoreautouupdate -允许自动应用程序更新-默认启用。保持设备插入以接收更新。
禁用除网络设置外的所有设置页面,以允许用户在客户端站点连接到来宾网络。
-
- 选项控制操作系统更新或允许自由流动。
设置常用设备限制。
现在你的外部客户已经准备好使用他们的HoloLens 2了。
常见的外部客户端部署问题
确保外部客户端不能相互通信
不支持远程辅助HoloLens与HoloLens之间的通话。客户端可以搜索,但不能相互通信。Microsoft 365中的信息屏障会进一步限制客户搜索和呼叫的对象。另一个选择是使用Microsoft Teams范围目录搜索。
请注意
由于启用了单点登录,因此使用Windows Defender应用程序控制(WDAC)禁用浏览器非常重要。如果外部客户端打开浏览器并使用Teams的web版本,该客户端将有权访问您的聊天记录。
确保客户无法接触到公司资源
有两种选择可以考虑。
第一个选择是多层方法:
- 只分配用户需要的许可证。如果你没有分配OneDrive, Outlook, SharePoint, Yammer等,用户将无法访问这些资源。用户需要的唯一许可证是Remote Assist、Intune和Microsoft Entra ID许可证。
- 阻止你不希望客户端访问的应用程序(如电子邮件)(参见[应用程序被隐藏或限制](#应用程序被隐藏或限制))。
- 不要与客户共享用户名和密码。要登录HoloLens 2,需要电子邮件和数字密码。
第二个选项是创建一个单独的租户来托管客户机(参见图1.1)。
1.1图像
隐藏或限制应用
Kiosk模式和/或Windows Defender Application Control (WDAC)是隐藏和/或限制应用程序的选项。
为您的客户端密码管理
- 取消密码过期。但是,此选项可能会增加帐户被泄露的机会。NIST建议每30-90天更换一次密码。
- 将HoloLens 2设备的密码有效期延长至90天以上。
- 应将设备返回到您的组织以更改密码。但是,如果设备预计将在客户的工厂中放置90天以上,则此选项可能会导致问题。
- 对于发送给多个客户端的设备,在发送给客户端之前需要重置密码。
确保客户端无法访问聊天记录
远程协助清除每次会话后的聊天记录。不过,微软Teams用户将可以使用聊天记录。
请注意
由于启用了单点登录,因此使用Windows Defender应用程序控制(WDAC)禁用浏览器非常重要。如果外部客户端打开浏览器并使用Teams的web版本,该客户端将有权访问呼叫/聊天记录。