Nasazení HoloLens 2 připojeného ke cloudu na externí klienty

• Platí pro:

  HoloLens 2

Tato příručka je dodatkem k Průvodci nasazením připojeným ke cloudu. Používá se v situacích, kdy vaše organizace chce dodávat HoloLens 2 zařízení externímu klientovi pro krátkodobé nebo dlouhodobé použití. Externí klient se přihlásí k HoloLens 2 zařízení pomocí přihlašovacích údajů od vaší organizace a pomocí funkce Remote Assist kontaktuje odborníky. Tato příručka obsahuje obecná doporučení HoloLens 2 nasazení, která platí pro většinu externích scénářů nasazení HoloLens 2, a běžné obavy, které zákazníci mají při nasazování Vzdáleného pomocníka pro externí použití.

Požadavky

Pro externí nasazení HoloLens 2 by měla být zavedena následující infrastruktura podle průvodce nasazením připojeným ke cloudu.

• Microsoft Entra připojení pomocí automatické registrace MDM – spravovaná mdm (Intune)
• Uživatelé se přihlašují pomocí vlastního podnikového účtu (Microsoft Entra ID)
  • Podporuje se jeden nebo více uživatelů na zařízení.

Licencování a požadavky vzdáleného pomocníka

• Microsoft Entra účet (vyžaduje se pro nákup předplatného a přiřazení licencí)
• Předplatné vzdáleného pomocníka (nebo zkušební verze vzdáleného pomocníka)

Přečtěte si další informace o funkci Remote Assist.

Dynamics 365 uživatele Vzdáleného pomocníka

• Licence Vzdáleného pomocníka
• Připojení k síti

Uživatel Microsoft Teams

• Microsoft Teams nebo Teams Freemium
• Připojení k síti

Obecná doporučení k nasazení

Pro nasazení externích HoloLens 2 doporučujeme provést následující kroky:

1. Jako základní sestavení použijte nejnovější verzi operačního systému HoloLens .

2. Přiřaďte licence založené na uživatelích nebo zařízeních pomocí následujícího postupu:

   1. Vytvořte skupinu v id Microsoft Entra a přidejte členy pro uživatele HoloLens/RA.
   2. Přiřaďte k této skupině licence založené na zařízení nebo uživateli .
   3. (Volitelné) Cílové skupiny pro zásady správy mobilních zařízení (MDM).

3. Připojte Microsoft Entra zařízení ke svému tenantovi, automaticky se zaregistrujte a nakonfigurujte prostřednictvím Autopilotu. Další informace najdete v tématu Vlastník zařízení.

   1. Prvním uživatelem na zařízení bude vlastník zařízení.
   2. Pokud je zařízení Microsoft Entra připojeno, stane se vlastníkem zařízení uživatel, který připojení provedl.

4. Tenant zařízení zamkne , aby se k němu mohl připojit jenom váš tenant.

   1. Viz také CSP pro uzamčení tenanta.

5. Nakonfigurujte celoobrazovkový režim pomocí globálního přiřazeného přístupu.

6. Zakažte následující (volitelné) funkce:

   1. Tady můžete zařízení převést do vývojářského režimu.
   2. Možnost připojit HoloLens k počítači a zkopírovat datum zakázat USB.

      Poznámka

      Pokud nechcete zakázat USB, ale chcete mít možnost použít na zařízení zřizovací balíček pomocí USB, postupujte podle pokynů k povolení instalace zřizovacího balíčku.

7. Pomocí Windows Defender Application Control (WDAC) povolte nebo zablokujte aplikace na HoloLens 2 zařízení.

8. V rámci instalace aktualizujte Funkci Remote Assist na nejnovější verzi. Zvažte následující dvě možnosti:

   1. Přejděte na Web Windows Store –> Vzdálený pomocník –> a aktualizujte aplikaci.
   2. ApplicationManagement/AllowAppStoreAutoUpdate – který umožňuje automatické aktualizace aplikací – je ve výchozím nastavení povolený. Zachovejte zařízení připojené k elektrické síti, abyste mohli přijímat aktualizace.

9. Zakažte všechny stránky nastavení kromě nastavení sítě, aby se uživatelé mohli připojit k sítím hostů v klientských lokalitách.

10. Správa aktualizací HoloLensu

    1. Možnost řídit aktualizace operačního systému nebo povolit volný tok.

11. Nastavte běžná omezení zařízení.

Teď jsou vaši externí klienti připravení používat své HoloLens 2.

Běžné problémy s nasazením externího klienta

• Zajištění, aby klienti nemohli komunikovat mezi sebou
• Zajištění, aby klienti neměli přístup k prostředkům společnosti
• Skrytí nebo omezení aplikací
• Správa hesel pro klienty
• Zajištění, aby klienti neměli přístup k historii chatu

Ujistěte se, že externí klienti spolu nemůžou komunikovat.

Volání vzdáleného pomocníka HoloLens do HoloLensu se nepodporují. Klienti můžou hledat, ale nemůžou spolu komunikovat. Informační bariéry v Microsoftu 365 můžou dále omezit, s kým může klient vyhledávat a volat. Další možností je použít vyhledávání v adresářích s vymezeným oborem v Microsoft Teams.

Poznámka

Vzhledem k tomu, že je jednotné přihlašování povolené, je důležité zakázat prohlížeč pomocí Windows Defender Application Control (WDAC). Pokud externí klient otevře prohlížeč a použije webovou verzi Teams, bude mít klient přístup k vaší historii chatu.

Ujistěte se, že klienti nebudou mít přístup k prostředkům společnosti.

Existují dvě možnosti, které je potřeba zvážit.

První možností je vícevrstvé:

1. Přiřaďte jenom licence, které uživatel vyžaduje. Pokud nepřiřadíte OneDrive, Outlook, SharePoint, Yammer atd., uživatel k těmto prostředkům nebude mít přístup. K zahájení budou uživatelé potřebovat jenom licence Remote Assist, Intune a Microsoft Entra ID.
2. Blokování aplikací (například e-mailů), ke kterým klienti nemají mít přístup (viz [Aplikace jsou skryté nebo omezené](#apps jsou skryté nebo omezené)).
3. Nesdílejte s klienty uživatelská jména ani hesla. Pokud se chcete přihlásit k HoloLens 2, musíte zadat e-mail a číselný PIN kód.

Druhou možností je vytvořit samostatného tenanta, který hostuje klienty (viz Obrázek 1.1).

Obrázek 1.1

Skryté nebo omezené aplikace

Celoobrazovkový režim nebo Windows Defender Řízení aplikací (WDAC) jsou možnosti pro skrytí nebo omezení aplikací.

Správa hesel pro klienty

1. Odebrání vypršení platnosti hesla Tato možnost ale může zvýšit pravděpodobnost, že dojde k ohrožení zabezpečení účtu. Doporučení nist password je měnit hesla každých 30 až 90 dnů.
2. Prodloužíte platnost hesla pro HoloLens 2 zařízení na více než 90 dnů.
3. Zařízení by se měla vrátit do vaší organizace, aby se změnila hesla. Tato možnost však může způsobit problémy, pokud se očekává, že zařízení budou v zařízení klienta po dobu více než 90 dnů.
4. U zařízení odesílaných do více klientů před odesláním zařízení klientům resetujte hesla.

Ujistěte se, že klienti nebudou mít přístup k historii chatu.

Remote Assist vymaže historii chatu po každé relaci. Historie chatu ale bude k dispozici uživatelům Microsoft Teams.

Poznámka

Vzhledem k tomu, že je jednotné přihlašování povolené, je důležité zakázat prohlížeč pomocí Windows Defender Application Control (WDAC). Pokud externí klient otevře prohlížeč a použije webovou verzi Teams, bude mít klient přístup k historii hovorů nebo chatu.