Nasazení cloudu připojeného k HoloLens 2 externím klientům

• Platí pro:

  HoloLens 2

Tato příručka je dodatek k Průvodce nasazením připojeného ke cloudu. Používá se v situacích, kdy vaše organizace chce odeslat zařízení HoloLens 2 do zařízení externího klienta pro krátkodobé nebo dlouhodobé použití. Externí klient se přihlásí k zařízení HoloLens 2 pomocí přihlašovacích údajů poskytovaných vaší organizací a použije Remote Assist kontaktovat odborníky. Tato příručka poskytuje obecná doporučení pro nasazení HoloLens 2, která platí pro většinu externích scénářů nasazení HoloLens 2 a běžné obavy, které zákazníci mají při nasazování vzdáleného pomocníka pro externí použití.

Požadavky

Pro Průvodce nasazením připojeného ke cloudu pro externí nasazení HoloLens 2 by se měla zavést následující infrastruktura.

• Připojení k Microsoft Entra pomocí automatické registrace MDM – správa MDM (Intune)
• Uživatelé se přihlašují pomocí vlastního podnikového účtu (Microsoft Entra ID)
  • Podporuje se jeden nebo více uživatelů na zařízení.

Licencování a požadavky vzdáleného pomocníka

• Účet Microsoft Entra (vyžaduje se pro nákup předplatného a přiřazování licencí)
• předplatného Vzdáleného pomocníka (nebo zkušební verzeVzdáleného pomocníka)

Přečtěte si Další informace o vzdáleném pomocníku.

Uživatel Dynamics 365 Remote Assist

• Licence Vzdáleného pomocníka
• Připojení k síti

Uživatel Microsoft Teams

• Microsoft Teams nebo Teams Freemium
• Síťové připojení

Obecná doporučení pro nasazení

Pro externí nasazení HoloLens 2 doporučujeme následující kroky:

1. Jako základní build použijte nejnovější verzi operačního systému HoloLens.

2. Přiřaďte uživatelské licence nebo licence založené na zařízeních pomocí následujícího postupu:

   1. Vytvoření skupiny v Microsoft Entra ID a přidání členů pro uživatele HoloLens/RA.
   2. Této skupině přiřaďte licence založené na zařízení nebo uživatelském rozhraní.
   3. (Volitelné) Cílové skupiny pro zásady správy mobilních zařízení (MDM) .

3. Připojte zařízení Microsoft Entra k vašemu tenantovi, automatickou registracia nakonfigurujte Autopilot. Další informace najdete v tématu vlastník zařízení.

   1. Prvním uživatelem na zařízení bude vlastník zařízení.
   2. Pokud je zařízení připojeno k Microsoft Entra, uživatel, který provedl spojení, se stane vlastníkem zařízení.

4. zámek tenanta zařízení, aby ho mohl připojit jenom váš tenant.

   1. Viz také CSP uzamčení tenanta .

5. Konfigurace celoobrazovkového režimu pomocí globálního přiřazeného přístupu.

6. Zakažte následující (volitelné) funkce:

   1. Možnost umístit zařízení do vývojářského režimu zde.
   2. Schopnost připojit HoloLens k počítači ke kopírování data zakázat USB.

      Poznámka

      Pokud nechcete zakázat USB, ale chcete, aby se na zařízení použil zřizovací balíček pomocí USB, postupujte podle pokynů k povolení instalace zřizovacího balíčku.

7. K povolení nebo blokování aplikací na zařízení HoloLens 2 použijte Application Control (WDAC).

8. V rámci instalace aktualizujte pomocníka Remote Assist na nejnovější verzi. Vezměte v úvahu následující dvě možnosti:

   1. Přejděte do Windows Microsoft Storu –> Remote Assist –> a aktualizujteaplikací .
   2. ApplicationManagement/AllowAppStoreAutoUpdate , která umožňuje automatické aktualizace aplikací, je ve výchozím nastavení povolená. Nechte zařízení připojené k příjmu aktualizací.

9. Zakázat všechny stránky nastavení s výjimkou nastavení sítě, aby se uživatelé mohli připojit k sítím hostů v klientských lokalitách.

10. spravovat aktualizace HoloLens

    1. Možnost řídit aktualizace operačního systému nebo povolit volný tok.

11. Nastavte běžná omezení zařízení.

Teď jsou vaši externí klienti připravení použít jejich HoloLens 2.

Běžné problémy s nasazením externích klientů

• zajištění, že klienti nemůžou vzájemně komunikovat
• zajištění, že klienti nemají přístup k prostředkům společnosti
• skrytí nebo omezení aplikací
• Správa hesel pro klienty
• Zajištění, že klienti nemají přístup k historii chatu

Ujistěte se, že externí klienti nemůžou vzájemně komunikovat.

Vzdáleného pomocníka HoloLens na volání HoloLens se nepodporují. Klienti můžou hledat, ale nemůžou mezi sebou komunikovat. informační bariéry v Microsoftu 365 můžou dále omezit, s kým může klient hledat a volat. Další možností je použít hledání v adresáři s vymezeným oborem Microsoft Teams .

Poznámka

Vzhledem k tomu, že je povolené jednotné přihlašování, je důležité zakázat prohlížeč pomocí Windows Defender Application Control (WDAC). Pokud externí klient otevře prohlížeč a použije webovou verzi Teams, klient bude mít přístup k historii chatu.

Ujistěte se, že klienti nebudou mít přístup k prostředkům společnosti.

Existují dvě možnosti, které je potřeba vzít v úvahu.

První možností je vícevrstvý přístup:

1. Přiřaďte licence, které uživatel vyžaduje. Pokud nepřiřadíte OneDrive, Outlook, SharePoint, Yammer atd., uživatel k těmto prostředkům nebude mít přístup. Jedinými licencemi, které budou uživatelé potřebovat, je začít vzdálená pomoc, Intune a licence Microsoft Entra ID.
2. Blokovat aplikace (například e-mail), ke kterým nechcete, aby klienti měli přístup (viz [Aplikace jsou skryté nebo omezené](#apps jsou skryté nebo omezené)).
3. Nesdílejte uživatelská jména ani heslo s klienty. Pokud se chcete přihlásit k HoloLens 2, vyžaduje se e-mail a číselný PIN kód.

Druhou možností je vytvořit samostatného tenanta, který hostuje klienty (viz obrázek 1.1).

obrázek 1.1

image tenanta služby

Skryté nebo omezené aplikace

celoobrazovkový režim a/nebo Windows Defender Application Control (WDAC) jsou možnosti pro skrytí nebo omezení aplikací.

Správa hesel pro klienty

1. Odeberte vypršení platnosti hesla. Tato možnost ale může zvýšit pravděpodobnost, že dojde k ohrožení zabezpečení účtu. Doporučení pro hesla NIST se mění každých 30 až 90 dní.
2. Prodloužení platnosti hesla pro zařízení HoloLens 2 přesáhne 90 dnů.
3. Zařízení by se měla vrátit do vaší organizace, aby se změnila hesla. Tato možnost ale může způsobit problémy, pokud se očekává, že zařízení budou v zařízení klienta po dobu 90 dnů.
4. U zařízení odesílaných do více klientů resetujte hesla před odesláním zařízení do klientů.

Ujistěte se, že klienti nebudou mít přístup k historii chatu.

Vzdálený pomocník vymaže historii chatu po každé relaci. Historie chatu bude ale dostupná pro uživatele Microsoft Teams.

Poznámka

Vzhledem k tomu, že je povolené jednotné přihlašování, je důležité zakázat prohlížeč pomocí Windows Defender Application Control (WDAC). Pokud externí klient otevře prohlížeč a použije webovou verzi Teams, klient bude mít přístup k historii hovorů nebo chatu.