Enterprise-Registrierung von HoloLens-Geräten in einer auf MAC-Adressen beschränkten WLAN-Umgebung
In diesem Dokument wird ein gängiges Szenario beschrieben, das wir in Kundenumgebungen gefunden haben, in denen das WLAN-System durch MAC-Adressen eingeschränkt ist oder Zertifikate für die Teilnahme an drahtlosen Netzwerken erforderlich sind.
Viele Kunden in sicheren Umgebungen haben Einschränkungen für ihre Drahtlos- oder Kabelnetzwerke, die es nur genehmigten Geräten (basierend auf MAC-Adressen) erlauben, erfolgreich eine Verbindung herzustellen. Dies kann durch MAC-Adressfilterung auf einem drahtlosen Zugriffspunkt oder über einen DHCP-Server erzwungen werden. Darüber hinaus können einige drahtlose Netzwerke mit PEAP geschützt werden. Dafür muss vor der Authentifizierung im drahtlosen Netzwerk ein Zertifikat auf das Gerät angewendet werden.
In diesem Szenario können zwei Hauptanforderungen zu Verzögerungen führen oder manuelle Eingriffe erfordern, wenn HoloLens-Geräte mit dem Netzwerk verbunden werden:
- Das drahtlose PEAP-Zertifikat muss auf das Gerät angewendet werden, bevor das Gerät erfolgreich mit dem drahtlosen Netzwerk verbunden wird.
- Die MAC-Adresse des HoloLens-WLAN-Adapters muss registriert werden.
Dies sind die Kernherausforderungen bei den oben genannten Anforderungen:
Die MAC-Adresse kann derzeit nur über die Einstellungen-App auf dem Gerät oder nach erfolgreicher Registrierung über Intune bestimmt werden.
Ohne die MAC-Adresse kann das Gerät nicht mit dem WLAN-Netzwerk verbunden werden, um die Registrierung zu starten.
Manuelle Problemumgehungen für diese Herausforderungen machen es erforderlich, dass ein Techniker mit dem Gerät interagiert.
Es gibt viele Möglichkeiten, diese Situation zu verbessern, abhängig von der in der Umgebung verfügbaren Infrastruktur.
Lösung | Vorteile | Requirements (Anforderungen) |
---|---|---|
Bereitstellungspaket mit Ethernet-Adapter | Verbessert die Ersteinrichtungserfahrung und bietet eine schnellere Umgebung für Techniker. | Mit HoloLens kompatibler USB-C-Hub + Ethernet-Adapter, und trotzdem muss ein Techniker für die MAC-Erfassung und die OOBE-Fertigstellung mit dem Gerät interagieren |
Autopilot mit Intune-Registrierung über Ethernet | Dies ist eine Verbindung und Registrierung des Geräts in der Kundenumgebung in einem Schritt. Die MAC-Erfassung kann abgeschlossen werden, ohne dass eine Interaktion mit dem Gerät erforderlich ist | Für den AAD-Mandanten des Kunden aktiviertes Intune und ein HoloLens-kompatibler USB-C-Ethernet-Adapter |
Automatisierte Meldung von MAC-Adressen | Wenn Geräte beim Intune-Mandanten registriert sind, kann ein Skript dem Techniker die MAC-Adresse melden. | Intune PowerShell-Cmdlets |
Hinweis
Wenn für das kabelgebundene Netzwerk ebenfalls MAC-Einschränkungen gelten, muss auch die MAC-Adresse des USB-C Hub + Ethernet-Adapters vorab genehmigt werden. Bei diesem Adapter ist Vorsicht geboten, da er den Zugriff auf das Netzwerk von anderen Geräten aus ermöglicht.
- Kabelgebundener Netzwerkport mit Zugriff auf das Kundennetzwerk
- Mit HoloLens kompatibler USB-C-Hub mit Ethernet-Adapter: Jeder Adapter, für den keine Installation zusätzlicher Treiber oder Anwendungen erforderlich ist, sollte geeignet sein.
- Bereitstellungspaket mit diesem Inhalt:
- Enthaltene Informationen und Zertifikat für das Drahtlosnetzwerk
- Optional enthaltene Registrierungsinformationen für das Azure AD der Organisation
- Alle anderen erforderlichen Bereitstellungseinstellungen
Der Vorgang kann je nach Softwareebene des Geräts variieren. Wenn das Gerät über das Update 2004 vom Mai verfügt, führen Sie die folgenden Schritte aus.
- Platzieren Sie das Bereitstellungspaket im Stamm eines USB-Sticks, und schließen Sie es an den Hub an.
- Schließen Sie das Ethernetkabel an den Hub + Ethernet-Adapter an.
- Schließen Sie den USB-C-Hub an das HoloLens-Gerät an.
- Schalten Sie die HoloLens und das Gerät ein.
- Drücken Sie die Schaltflächen „Leiser“ und „Ein/Aus“ , um das Bereitstellungspaket anzuwenden.
- Der Techniker kann nun der Ersteinrichtung folgen und nach Abschluss die Einstellungen-App öffnen, um die MAC-Adresse des Geräts abzurufen.
Wenn auf dem Gerät ein Betriebssystem-Build vor dem Update 2004 vom Mai vorhanden ist, führen Sie die folgenden Schritte aus.
- Schalten Sie die HoloLens ein, und schließen Sie das Gerät an einen PC an.
- Das Gerät sollte auf dem PC als Dateispeichergerät angezeigt werden.
- Kopieren Sie das Bereitstellungspaket auf das Gerät
- Verbinden Sie das Ethernet-Kabel mit dem Hub.
- Schließen Sie den USB-C-Hub an das HoloLens-Gerät an.
- Setzen Sie die HoloLens auf
- Drücken Sie die Schaltflächen „Leiser“ und „Ein/Aus“ , um das Bereitstellungspaket anzuwenden.
- Der Techniker kann nun der Ersteinrichtung folgen und nach Abschluss die Einstellungen-App öffnen, um die MAC-Adresse des Geräts abzurufen.
Dadurch wird eine „Einzeltoucheingabe“ des Geräts ermöglicht, um das richtige Bereitstellungspaket anzuwenden und die MAC-Adresse des Geräts zu erfassen. Bereitstellungspakete können entsprechend der hier aufgeführten Anleitung erstellt werden.
- Kabelgebundener Netzwerkport mit Zugriff auf das Kundennetzwerk
- HoloLens-Geräte unter Windows Holographic 2004
- HoloLens-kompatibler USB-C-Ethernet-Adapter
- Eingerichtetes und für den Kundenmandanten aktiviertes Intune
- Für Autopilot registriertes und in den Kundenmandanten importiertes Gerät
- Für das Gerät definierte Intune-Richtlinien:
- Enthaltene Informationen und Zertifikat für das Drahtlosnetzwerk
- Alle anderen erforderlichen Bereitstellungseinstellungen
Auf diese Weise kann ein Kunde mit fortgeschrittenen Netzwerkanforderungen die Geräte in einem skalierbaren Ansatz ohne Benutzereingriff registrieren
Weitere Voraussetzungen sind wie unten aufgeführt erforderlich:
- Aktivieren des Mandanten für die Autopilot-Vorschau.
- Erstellen Sie die HoloLens-Richtlinien, um das Bereitstellungspaket in Intune zu ersetzen.
- Erstellen Sie die HoloLens-Intune-Richtlinien.
- Weisen Sie die Geräte der richtigen Gruppe zu.
Verbinden Sie das Ethernet-Kabel mit dem Adapter, und stecken Sie den Adapter in den USB-C-Anschluss des HoloLens 2-Geräts.
Schalten Sie die HoloLens ein.
Das Gerät sollte während der Ersteinrichtung automatisch eine Internetverbindung über den Ethernet-Adapter herstellen. Es sollte die Autopilot-Konfiguration erkennen und sich automatisch bei Azure AD und Intune registrieren.
Das Gerät wendet die erforderlichen WLAN-Zertifikate und die sonstige Konfiguration nach Bedarf über Intune an.
Nach Abschluss des Vorgangs kann der Techniker das Intune-Portal (Endpunkt-Manager) laden und unter Start > Geräte > Gerätename > Hardware bis zu den Geräteeigenschaften navigieren.
Die WLAN-MAC-Adresse wird im Intune-Portal angezeigt.
Der Techniker fügt diese MAC-Adresse als zulässiges Gerät hinzu.
Dies ermöglicht dem Techniker eine „blinde“ Bereitstellung, bei der das Gerät direkt aus der Verpackung zur Registrierung in Azure AD und Intune gelangt, ohne dass der Techniker das Gerät tragen oder manuell mit der HoloLens-Umgebung interagieren muss.
- Autorisierung der „Intune Graph-PowerShell“ beim Kunden-Mandanten
- Installation der Intune Graph-PowerShell auf dem Computer des Technikers.
- https://www.powershellgallery.com/packages/Microsoft.Graph.Intune/6.1907.1.0
- Lesezugriff auf die „Verwaltete Geräte“-Elemente von Intune. (Helpdesk-Operator oder höher oder eine benutzerdefinierte Rolle)
Derzeit gibt es keine „einfache“ Möglichkeit, einen Automatisierungsbefehl basierend auf der Registrierung eines neuen Geräts in Intune auszulösen. Daher bietet dieser Befehl dem Techniker eine einfache Möglichkeit, die MAC-Adresse zu erhalten, ohne dass er sich beim Portal anmelden und sie manuell abrufen muss.
Import-Module Microsoft.Graph.Intune
Connect-MSGraph
Get-IntuneManagedDevice -Filter "model eq 'Hololens 2'" | where {$_.enrolledDateTime -gt (get-date).AddDays(-30)} | select deviceName, wiFiMacAddress
Dadurch werden die Namen und MAC-Adressen aller HoloLens-Geräte zurückgegeben, die in den letzten 30 Tagen registriert wurden.
Nach Abschluss der Intune-Registrierung führt der Techniker das obige Skript aus, um die MAC-Adresse abzurufen.