Bereitstellen von mit der Cloud verbundenen HoloLens 2 auf externen Clients

• Gilt für::

  HoloLens 2

Dieses Handbuch ist eine Ergänzung zum Cloud Connected Deployment Guide. Es wird in Situationen verwendet, in denen Ihre Organisation HoloLens 2-Geräte zur kurzfristigen oder langfristigen Verwendung an die Einrichtung eines externen Clients senden möchte. Der externe Client meldet sich mit den von Ihrer Organisation bereitgestellten Anmeldeinformationen beim HoloLens 2-Gerät an und verwendet Remote Assist, um Sich an Ihre Experten zu wenden. Dieses Handbuch enthält allgemeinen HoloLens 2-Bereitstellungsempfehlungen, die für die meisten externen HoloLens 2-Bereitstellungsszenarien gelten, und allgemeinen Bedenken, die Kunden bei der Bereitstellung von Remote Assist für die externe Verwendung haben.

Voraussetzungen

Die folgende Infrastruktur sollte gemäß dem Cloud Connected Deployment Guide vorhanden sein, um holoLens 2 extern bereitzustellen.

• Microsoft Entra beitritt mit der automatischen MDM-Registrierung – VON MDM verwaltet (Intune)
• Benutzer melden sich mit ihrem eigenen Unternehmenskonto an (Microsoft Entra-ID)
  • Einzelne oder mehrere Benutzer pro Gerät werden unterstützt.

Remote Assist-Lizenzierung und -Anforderungen

• Microsoft Entra-Konto (erforderlich für den Kauf des Abonnements und Zuweisen von Lizenzen)
• Remote Assist-Abonnement (oder Remote Assist Trial)

Weitere Informationen zu Remote Assistfinden Sie unter .

Dynamics 365 Remote Assist-Benutzer

• Remote Assist-Lizenz
• Netzwerkverbindung

Microsoft Teams-Benutzer

• Microsoft Teams oder Teams Freemium
• Netzwerkverbindung

Allgemeine Bereitstellungsempfehlungen

Wir empfehlen die folgenden Schritte für die externe HoloLens 2-Bereitstellung:

1. Verwenden Sie die neuesten HoloLens-Betriebssystemversion als Basisbuild.

2. Weisen Sie benutzerbasierte oder gerätebasierte Lizenzen zu, indem Sie die folgenden Schritte ausführen:

   1. Erstellen einer Gruppe in der Microsoft Entra-ID und Hinzufügen von Mitgliedern für HoloLens/RA-Benutzer.
   2. dieser Gruppe gerätebasierte oder benutzerbasierte Lizenzen zuweisen.
   3. (Optional) Zielgruppen für Mdm-Richtlinien (Mobile Device Management).

3. Verbinden Sie Microsoft Entra-Geräte mit Ihrem Mandanten, automatisch registrieren und über Autopilot-konfigurieren. Weitere Informationen finden Sie unter Gerätebesitzer.

   1. Der erste Benutzer auf dem Gerät ist der Gerätebesitzer.
   2. Wenn das Gerät Microsoft Entra beigetreten ist, wird der Benutzer, der die Verknüpfung ausgeführt hat, zum Gerätebesitzer.

4. Mandantensperre das Gerät, sodass es nur von Ihrem Mandanten verbunden werden kann.

   1. Siehe auch Mandantensperr-CSP-.

5. Konfigurieren des Kioskmodus mithilfe des global zugewiesenen Zugriffs.

6. Deaktivieren Sie die folgenden (optionalen) Funktionen:

   1. Möglichkeit, das Gerät in den Entwicklermodus zu versetzen, hier.
   2. Möglichkeit zum Anschließen der HoloLens an einen PC zum Kopieren des Datums Deaktivieren von USB-.

      Anmerkung

      Wenn Sie USB nicht deaktivieren möchten, aber ein Bereitstellungspaket mit USB auf das Gerät anwenden möchten, befolgen Sie die Anweisungen zum Zulassen der Installation von Bereitstellungspaketen.

7. Verwenden Sie Windows Defender Application Control (WDAC)-, um Apps auf dem HoloLens 2-Gerät zuzulassen oder zu blockieren.

8. Aktualisieren Sie Remote Assist im Rahmen des Setups auf die neueste Version. Berücksichtigen Sie die folgenden beiden Optionen:

   1. Wechseln Sie zum Windows Microsoft Store –> Remote Assist –> und Aktualisieren der App-.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , das automatische App-Updates zulässt, ist standardmäßig aktiviert. Lassen Sie das Gerät angeschlossen, um Updates zu erhalten.

9. Alle Einstellungsseiten außer den Netzwerkeinstellungen deaktivieren, damit Benutzer eine Verbindung mit Gastnetzwerken an Clientstandorten herstellen können.

10. Verwalten von HoloLens-Updates

    1. Option zum Steuern von Betriebssystemupdates oder frei fließen lassen.

11. Legen Sie allgemeinen Geräteeinschränkungenfest.

Jetzt können Ihre externen Clients ihre HoloLens 2 verwenden.

Häufige Probleme bei der Bereitstellung externer Clients

• Sicherstellen, dass Clients nicht miteinander kommunizieren können
• Sicherstellen, dass Kunden nicht auf Unternehmensressourcen zugreifen können
• Ausblenden oder Einschränken von Apps
• Verwalten von Kennwörtern für Ihre Clients
• Sicherstellen, dass Clients nicht auf den Chatverlauf zugreifen können

Sicherstellen, dass externe Clients nicht miteinander kommunizieren können

Remote assist HoloLens to HoloLens calls aren't supported. Clients können suchen, aber nicht miteinander kommunizieren. Informationsbarrieren in Microsoft 365 können weiter einschränken, mit wem ein Client suchen und anrufen kann. Eine weitere Option besteht darin, microsoft Teams-Bereichsverzeichnissuchezu verwenden.

Anmerkung

Da single sign on aktiviert ist, ist es wichtig, den Browser mit Windows Defender Application Control (WDAC)zu deaktivieren. Wenn ein externer Client den Browser öffnet und die Webversion von Teams verwendet, hat der Client Zugriff auf Ihren Chatverlauf.

Sicherstellen, dass Kunden keinen Zugriff auf Unternehmensressourcen haben

Es gibt zwei Optionen, die Sie berücksichtigen sollten.

Die erste Option ist ein mehrstufiger Ansatz:

1. Weisen Sie nur Lizenzen zu, die der Benutzer benötigt. Wenn Sie OneDrive, Outlook, SharePoint, Yammer usw. nicht zuweisen, hat der Benutzer keinen Zugriff auf diese Ressourcen. Die einzigen Lizenzen, die die Benutzer benötigen, sind Remote Assist-, Intune- und Microsoft Entra-ID-Lizenzen, um zu beginnen.
2. Blockieren Sie Apps (z. B. E-Mail), auf die Clients nicht zugreifen sollen (siehe [Apps sind ausgeblendet oder eingeschränkt](#apps sind ausgeblendet oder eingeschränkt)).
3. Geben Sie keine Benutzernamen oder Kennwörter für Clients freigeben. Um sich bei HoloLens 2 anzumelden, ist eine E-Mail und eine numerische PIN erforderlich.

Die zweite Option besteht darin, einen separaten Mandanten zu erstellen, der Clients hosten (siehe Image 1.1).

Bild 1.1

Ausgeblendete oder eingeschränkte Apps

Kioskmodus und/oder Windows Defender Application Control (WDAC) sind Optionen zum Ausblenden und/oder Einschränken von Anwendungen.

Kennwortverwaltung für Ihre Clients

1. Kennwortablauf entfernen. Diese Option kann jedoch die Chance erhöhen, dass ein Konto kompromittiert wird. Die NIST-Kennwortempfehlung ändert Kennwörter alle 30-90 Tage.
2. Verlängern Sie den Kennwortablauf für HoloLens 2-Geräte auf 90 Tage.
3. Die Geräte sollten an Ihre Organisation zurückgegeben werden, um die Kennwörter zu ändern. Diese Option kann jedoch Probleme verursachen, wenn die Geräte voraussichtlich 90 Tage lang in der Anlage des Clients enthalten sind.
4. Für Geräte, die an mehrere Clients gesendet werden, setzen Sie Kennwörter zurück, bevor Sie das Gerät an Clients senden.

Stellen Sie sicher, dass Clients keinen Zugriff auf den Chatverlauf haben

Remote Assist löscht den Chatverlauf nach jeder Sitzung. Der Chatverlauf ist jedoch für Microsoft Teams-Benutzer verfügbar.

Anmerkung

Da single sign on aktiviert ist, ist es wichtig, den Browser mit Windows Defender Application Control (WDAC)zu deaktivieren. Wenn ein externer Client den Browser öffnet und die Webversion von Teams verwendet, hat der Client Zugriff auf den Anruf-/Chatverlauf.