Bereitstellen von cloudverbundenen HoloLens 2 für externe Clients

• Gilt für::

  HoloLens 2

Dieser Leitfaden ist eine Ergänzung zum Cloud Connected Deployment Guide. Es wird in Situationen verwendet, in denen Ihr organization HoloLens 2 Geräte zur kurz- oder langfristigen Verwendung an die Einrichtung eines externen Clients senden möchte. Der externe Client meldet sich mit den von Ihrem organization angegebenen Anmeldeinformationen beim HoloLens 2 Gerät an und kontaktiert Ihre Experten mithilfe der Remoteunterstützung. Dieser Leitfaden enthält allgemeine HoloLens 2 Bereitstellungsempfehlungen, die für die meisten externen HoloLens 2 Bereitstellungsszenarien gelten, und allgemeine Bedenken, die Kunden bei der Bereitstellung der Remoteunterstützung für die externe Verwendung haben.

Voraussetzungen

Die folgende Infrastruktur sollte gemäß dem Leitfaden für die cloudverbundene Bereitstellung vorhanden sein, um die HoloLens 2 extern bereitzustellen.

• Microsoft Entra Beitreten mit der automatischen MDM-Registrierung – MDM-verwaltet (Intune)
• Benutzer melden sich mit ihrem eigenen Unternehmenskonto (Microsoft Entra ID) an.
  • Es werden einzelne oder mehrere Benutzer pro Gerät unterstützt.

Remote Assist-Lizenzierung und Anforderungen

• Microsoft Entra Konto (erforderlich für den Erwerb des Abonnements und Zuweisen von Lizenzen)
• Remote Assist-Abonnement (oder Remote Assist-Testversion)

Weitere Informationen zur Remoteunterstützung finden Sie unter Weitere Informationen.

Dynamics 365 Remote Assist-Benutzer

• Remote Assist-Lizenz
• Netzwerkverbindung

Microsoft Teams-Benutzer

• Microsoft Teams oder Teams Freemium
• Netzwerkverbindungen

Allgemeine Bereitstellungsempfehlungen

Es wird empfohlen, die folgenden Schritte für die Bereitstellung von externen HoloLens 2 zu verwenden:

1. Verwenden Sie das neueste HoloLens-Betriebssystemrelease als Baselinebuild.

2. Weisen Sie benutzer- oder gerätebasierte Lizenzen zu, indem Sie die folgenden Schritte ausführen:

   1. Erstellen Sie eine Gruppe in Microsoft Entra-ID, und fügen Sie Mitglieder für HoloLens/RA-Benutzer hinzu.
   2. Weisen Sie dieser Gruppe geräte- oder benutzerbasierte Lizenzen zu.
   3. (Optional) Zielgruppen für MDM-Richtlinien (Mobile Device Management).

3. Verknüpfen Sie Microsoft Entra Geräte mit Ihrem Mandanten, registrieren Sie sich automatisch und konfigurieren Sie sie über Autopilot. Weitere Informationen finden Sie unter Gerätebesitzer.

   1. Der erste Benutzer auf dem Gerät ist der Gerätebesitzer.
   2. Wenn das Gerät Microsoft Entra eingebunden ist, wird der Benutzer, der die Verknüpfung ausgeführt hat, zum Gerätebesitzer gemacht.

4. Der Mandant sperrt das Gerät, sodass es nur von Ihrem Mandanten eingebunden werden kann.

   1. Siehe auch Mandantensperr-CSP.

5. Konfigurieren Sie den Kioskmodus mithilfe des global zugewiesenen Zugriffs.

6. Deaktivieren Sie die folgenden (optionalen) Funktionen:

   1. Hier können Sie das Gerät in den Entwicklermodus versetzen.
   2. Die Möglichkeit, die HoloLens an einen PC anzuschließen, um das Kopierdatum zu kopieren, deaktivieren Sie USB.

      Hinweis

      Wenn Sie USB nicht deaktivieren möchten, aber ein Bereitstellungspaket über USB auf das Gerät anwenden möchten, befolgen Sie die Anweisungen zum Zulassen der Installation von Bereitstellungspaketen.

7. Verwenden Sie Windows Defender Anwendungssteuerung (WDAC), um Apps auf dem HoloLens 2 Gerät zuzulassen oder zu blockieren.

8. Aktualisieren Sie die Remoteunterstützung im Rahmen des Setups auf die neueste Version. Ziehen Sie die folgenden beiden Optionen in Betracht:

   1. Wechseln Sie zu Windows Microsoft Store -> Remote assist -> und App aktualisieren.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , das automatische App-Updates zulässt, ist standardmäßig aktiviert. Lassen Sie das Gerät angeschlossen, um Updates zu erhalten.

9. Deaktivieren Sie alle Einstellungsseiten mit Ausnahme der Netzwerkeinstellungen, damit Benutzer eine Verbindung mit Gastnetzwerken an Clientstandorten herstellen können.

10. Verwalten von HoloLens-Updates

    1. Option zum Steuern von Betriebssystemupdates oder zum freien Ablauf.

11. Legen Sie allgemeine Geräteeinschränkungen fest.

Jetzt können Ihre externen Clients ihre HoloLens 2 verwenden.

Häufige Probleme bei der Bereitstellung externer Clients

• Sicherstellen, dass Clients nicht miteinander kommunizieren können
• Sicherstellen, dass Clients nicht auf Unternehmensressourcen zugreifen können
• Ausblenden oder Einschränken von Apps
• Verwalten von Kennwörtern für Ihre Clients
• Sicherstellen, dass Clients nicht auf den Chatverlauf zugreifen können

Sicherstellen, dass externe Clients nicht miteinander kommunizieren können

Remote Assist HoloLens to HoloLens-Aufrufe werden nicht unterstützt. Clients können suchen, aber nicht miteinander kommunizieren. Informationsbarrieren in Microsoft 365 können weiter einschränken, mit wem ein Client suchen und aufrufen kann. Eine weitere Option besteht darin, die bereichsbezogene Verzeichnissuche von Microsoft Teams zu verwenden.

Hinweis

Da einmaliges Anmelden aktiviert ist, ist es wichtig, den Browser mit Windows Defender Anwendungssteuerung (WDAC) zu deaktivieren. Wenn ein externer Client den Browser öffnet und die Webversion von Teams verwendet, hat der Client Zugriff auf Ihren Chatverlauf.

Sicherstellen, dass Clients keinen Zugriff auf Unternehmensressourcen haben

Es gibt zwei Optionen zu berücksichtigen.

Die erste Option ist ein Mehrschichtansatz:

1. Weisen Sie nur Lizenzen zu, die der Benutzer benötigt. Wenn Sie OneDrive, Outlook, SharePoint, Yammer usw. nicht zuweisen, hat der Benutzer keinen Zugriff auf diese Ressourcen. Die einzigen Lizenzen, die die Benutzer benötigen, sind Remotehilfe, Intune und Microsoft Entra-ID-Lizenzen, um zu beginnen.
2. Blockieren Sie Apps (z. B. E-Mails), auf die Clients nicht zugreifen sollen (siehe [Apps sind ausgeblendet oder eingeschränkt](#apps sind ausgeblendet oder eingeschränkt)).
3. Geben Sie weder Benutzernamen noch Kennwort für Clients weiter. Um sich beim HoloLens 2 anzumelden, sind eine E-Mail und eine numerische PIN erforderlich.

Die zweite Option besteht darin, einen separaten Mandanten zu erstellen, der Clients hostet (siehe Abbildung 1.1).

Abbildung 1.1

Ausgeblendete oder eingeschränkte Apps

Kioskmodus und/oder Windows Defender Anwendungssteuerung (WDAC) sind Optionen zum Ausblenden und/oder Einschränken von Anwendungen.

Kennwortverwaltung für Ihre Clients

1. Entfernen Sie den Kennwortablauf. Diese Option kann jedoch das Risiko erhöhen, dass ein Konto kompromittiert wird. Die NIST-Kennwortempfehlung lautet, Kennwörter alle 30 bis 90 Tage zu ändern.
2. Verlängern Sie den Kennwortablauf für HoloLens 2 Geräte auf mehr als 90 Tage.
3. Die Geräte sollten an Ihren organization zurückgegeben werden, um die Kennwörter zu ändern. Diese Option kann jedoch Probleme verursachen, wenn die Geräte voraussichtlich 90 Tage lang in der Anlage des Clients sind.
4. Für Geräte, die an mehrere Clients gesendet werden, setzen Sie Kennwörter zurück, bevor Sie das Gerät an Clients senden.

Stellen Sie sicher, dass Clients keinen Zugriff auf den Chatverlauf haben

Remote Assist löscht den Chatverlauf nach jeder Sitzung. Der Chatverlauf ist jedoch für Microsoft Teams-Benutzer verfügbar.

Hinweis

Da einmaliges Anmelden aktiviert ist, ist es wichtig, den Browser mit Windows Defender Anwendungssteuerung (WDAC) zu deaktivieren. Wenn ein externer Client den Browser öffnet und die Webversion von Teams verwendet, hat der Client Zugriff auf den Anruf-/Chatverlauf.