将 HoloLens 2 部署到具有远程协助的外部客户端

admin新闻动态

本指南可帮助 IT 专业人员在其组织中部署 Microsoft HoloLens 2 设备:

  1. Cloud connect HoloLens 2 设备
  2. 向外部客户端贷款 HoloLens 2 设备以供使用
  3. 安全借出设备

本指南将提供 一般的 hololens 2 部署建议 ,适用于大多数 hololens 2 部署方案,以及客户在部署外部使用的远程协助时的 常见问题。

方案描述

出于本文档的目的,Contoso 公司希望将一个 HoloLens 2 设备寄送到外部客户端的工厂,以便进行短期或长期使用。 如果客户端需要帮助服务设备,则客户端将使用 Contoso 公司提供的凭据登录到 HoloLens 2 设备,并使用远程协助联系 Contoso 公司的专家。

此方案的要求

  1. Azure AD
  2. Mobile Device Manager-例如 Intune
  3. 远程协助许可证
    1. 购买远程协助
    2. 试用远程协助

常见问题

  • 如何确保外部客户端不能相互通信
  • 如何确保客户端无法访问公司资源
  • 如何限制应用
  • 如何管理密码
  • 如何确保客户端无权访问聊天历史记录

如何确保外部客户端不能相互通信

由于不支持远程协助 HoloLens 到 HoloLens 的调用,因此客户端能够搜索,但无法进行相互通信。 为了进一步限制客户端可以搜索和调用的人员, 信息障碍 可限制客户端可以与之通信。 要考虑的另一个选项是使用 范围的目录搜索

 备注

由于启用了单一登录,因此请务必使用 WDAC禁用浏览器。 如果外部客户端打开浏览器并使用 web 版本的团队,则客户端将有权访问呼叫/聊天历史记录。

如何确保客户端无法访问公司资源

需要考虑两个选项。

第一个选项是多层方法:

  1. 仅分配用户需要的许可证。 如果没有为用户分配 OneDrive、Outlook、SharePoint、Yammer 等,则他/她将无法访问这些资源。 用户需要的唯一许可证是远程协助、Intune 和 AAD 许可证开始。
  2. 阻止应用程序 (例如不希望客户端访问的电子邮件)  。
  3. 不要将用户名和密码与客户端共享。 若要登录到 HoloLens 2,需要电子邮件和数字 PIN。

第二种方法是创建一个承载客户端的单独租户 (参阅图像 1.1) 。

图像1。1

服务租户映像

如何限制应用

展台模式 和/或 WDAC (Windows Defender 应用程序控制) 是用于限制应用程序的选项。

如何管理密码

  1. 删除密码过期。 但是,这会增加帐户泄露的可能性。 NIST 密码建议每30-90 天更改一次密码。
  2. 将 HoloLens 2 设备的密码过期时间延长到超过90天。
  3. 设备应返回到 Contoso 以更改密码。 但是,如果设备预期在客户端的工厂中超过90天,这可能会导致问题。
  4. 对于发送到多个客户端的设备,在将设备发送到客户端之前重置密码。

如何确保客户端无权访问聊天历史记录

远程协助在每个会话之后清除聊天历史记录。 但是,聊天历史记录将可供 Microsoft 团队用户使用。

 备注

由于启用了单一登录,因此请务必使用 WDAC禁用浏览器。 如果外部客户端打开浏览器并使用 web 版本的团队,则客户端将有权访问呼叫/聊天历史记录。

一般部署建议和说明

建议为 HoloLens 2 部署步骤执行以下操作:

  1. 使用 最新的 HOLOLENS OS 版本 作为基准构建。
  2. 分配基于用户或基于设备的许可证:
    1. 基于用户和基于设备的许可证都遵循以下步骤:
      1. 在 AAD 中创建一个组,并 为 HOLOLENS/RA 用户添加成员。
      2. 将基于设备或基于用户的许可证分配 给此组。
      3. (可选) 你可以将 MDM 策略的组作为目标。
  3. 设备应通过 AAD 加入你的租户、 自动注册,并通过 自动试验进行配置。
    1. 请注意,设备上的第一个用户将是设备所有者。
    2. 请注意,如果设备已加入 AAD,则执行联接的用户将成为设备所有者。
  4. 租户锁定 设备,以便它只能加入你的租户。
    1. 附加链接: 租户锁定 CSP。
  5. 使用 此处的全局分配访问权限配置展台。
  6. 建议禁用以下 (可选) 功能:
    1. 可以将设备置于开发人员模式。
    2. 能够将 HoloLens 连接到 PC 以复制日期 禁用 USB。 备注如果不想禁用 USB,但希望能够使用 USB 将设置包应用于设备,请按照列出的说明进行操作。
  7. 使用 WDAC 允许或阻止 HoloLens 2 设备上的应用。
  8. 在安装过程中将远程协助更新到最新版本。 可以通过两种方法执行此操作:
    1. 这可以通过转到 Windows Microsoft Store–> 远程协助–> 和更新应用 来完成。
    2. ApplicationManagement/AllowAppStoreAutoUpdate -默认情况下启用自动应用更新。 保持设备的连接以接收更新。
  9. 禁用除网络设置以外的所有设置页,以允许用户在客户端站点连接到来宾网络。
  10. 管理 HoloLens 更新
    1. 控制 OS 更新或允许自由流动的选项。
  11. 常见设备限制。

(文章来源:微软)