Implementación de HoloLens 2 conectados a la nube en clientes externos

• Se aplica a:

  HoloLens 2

Esta guía es un complemento de la Guía de implementación conectada a la nube. Se usa en situaciones en las que su organización quiere enviar dispositivos HoloLens 2 a la instalación de un cliente externo para su uso a corto o largo plazo. El cliente externo iniciará sesión en el dispositivo HoloLens 2 con las credenciales proporcionadas por su organización y usará Remote Assist para ponerse en contacto con sus expertos. En esta guía se proporcionan recomendaciones generales HoloLens 2 implementación que son aplicables a la mayoría de los escenarios de implementación de HoloLens 2 externos y problemas comunes que tienen los clientes al implementar Remote Assist para su uso externo.

Requisitos previos

La siguiente infraestructura debe estar en vigor según la Guía de implementación conectada a la nube para implementar el HoloLens 2 externamente.

• Microsoft Entra unirse a la inscripción automática de MDM: administrada por MDM (Intune)
• Los usuarios inician sesión con su propia cuenta corporativa (Microsoft Entra ID)
  • Se admiten usuarios individuales o múltiples por dispositivo.

Requisitos y licencias de Remote Assist

• Microsoft Entra cuenta (necesaria para comprar la suscripción y asignar licencias)
• Suscripción a Remote Assist (o prueba de Remote Assist)

Consulte Más información sobre Remote Assist.

Usuario de Dynamics 365 Remote Assist

• Licencia de Remote Assist
• Conectividad de red

Usuario de Microsoft Teams

• Microsoft Teams o Teams Freemium
• Conectividad de red

Recomendaciones generales de implementación

Se recomiendan los pasos siguientes para la implementación de HoloLens 2 externa:

1. Use la versión más reciente del sistema operativo HoloLens como compilación de línea base.

2. Para asignar licencias basadas en usuarios o basadas en dispositivos, siga estos pasos:

   1. Cree un grupo en Microsoft Entra id. y agregue miembros para los usuarios de HoloLens/RA.
   2. Asigne licencias basadas en dispositivos o basadas en usuarios a este grupo.
   3. (Opcional) Grupos de destino para directivas de administración de dispositivos móviles (MDM).

3. Unir Microsoft Entra dispositivos al inquilino, inscribirse automáticamente y configurarlos a través de Autopilot. Para obtener más información, consulte Propietario del dispositivo.

   1. El primer usuario del dispositivo será el propietario del dispositivo.
   2. Si el dispositivo está Microsoft Entra unido, el usuario que realizó la unión se convierte en propietario del dispositivo.

4. El inquilino bloquea el dispositivo para que el inquilino solo pueda unirse a él.

   1. Consulte también Csp de bloqueo de inquilinos.

5. Configurar el modo de pantalla completa mediante el acceso asignado global.

6. Deshabilite las siguientes funcionalidades (opcionales):

   1. Capacidad de poner el dispositivo en modo de desarrollador aquí.
   2. La capacidad de conectar HoloLens a un equipo para copiar la fecha deshabilita USB.

      Nota

      Si no desea deshabilitar USB, pero desea aplicar un paquete de aprovisionamiento al dispositivo mediante USB, siga las instrucciones sobre cómo permitir la instalación del paquete de aprovisionamiento.

7. Use Windows Defender Control de aplicaciones (WDAC) para permitir o bloquear aplicaciones en el dispositivo HoloLens 2.

8. Actualice Remote Assist a la versión más reciente como parte de la configuración. Tenga en cuenta las dos opciones siguientes:

   1. Ve a Microsoft Store de Windows --> Remote Assist --> and Update App.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , que permite actualizaciones automáticas de aplicaciones, está habilitada de forma predeterminada. Mantenga el dispositivo conectado para recibir actualizaciones.

9. Deshabilite todas las páginas de configuración excepto la configuración de red para permitir que los usuarios se conecten a redes invitadas en los sitios de cliente.

10. Administración de actualizaciones de HoloLens

    1. Opción para controlar las actualizaciones del sistema operativo o permitir que fluyan libremente.

11. Establezca restricciones comunes de dispositivos.

Ahora los clientes externos están listos para usar sus HoloLens 2.

Problemas comunes de implementación de cliente externo

• Garantizar que los clientes no puedan comunicarse entre sí
• Garantizar que los clientes no puedan acceder a los recursos de la empresa
• Ocultar o restringir aplicaciones
• Administración de contraseñas para los clientes
• Asegurarse de que los clientes no pueden acceder al historial de chat

Asegurarse de que los clientes externos no se pueden comunicar entre sí

No se admiten llamadas de Asistencia remota de HoloLens a HoloLens. Los clientes pueden buscar, pero no pueden comunicarse entre sí. Las barreras de información de Microsoft 365 pueden restringir aún más con quién un cliente puede buscar y llamar. Otra opción es usar la búsqueda de directorios con ámbito de Microsoft Teams.

Nota

Puesto que el inicio de sesión único está habilitado, es importante deshabilitar el explorador mediante Windows Defender Control de aplicaciones (WDAC). Si un cliente externo abre el explorador y usa la versión web de Teams, el cliente tendrá acceso al historial de chat.

Asegúrese de que los clientes no tendrán acceso a los recursos de la empresa.

Hay dos opciones que se deben tener en cuenta.

La primera opción es un enfoque de varias capas:

1. Asigne solo licencias que requiera el usuario. Si no asigna OneDrive, Outlook, SharePoint, Yammer, etc., el usuario no tendrá acceso a esos recursos. Las únicas licencias que necesitarán los usuarios son Remote Assist, Intune y Microsoft Entra licencias de identificador para comenzar.
2. Bloquear aplicaciones (por ejemplo, correo electrónico) a las que no quiere que accedan los clientes (consulte [Las aplicaciones están ocultas o restringidas](#apps están ocultas o restringidas)).
3. No comparta nombres de usuario ni contraseña con clientes. Para iniciar sesión en el HoloLens 2, se requiere un correo electrónico y un PIN numérico.

La segunda opción es crear un inquilino independiente que hospede clientes (consulte la imagen 1.1).

Imagen 1.1

Aplicaciones ocultas o restringidas

El modo de pantalla completa o Windows Defender Control de aplicaciones (WDAC) son opciones para ocultar o restringir aplicaciones.

Administración de contraseñas para los clientes

1. Quite la expiración de la contraseña. Sin embargo, esta opción puede aumentar la posibilidad de que una cuenta se vea comprometida. La recomendación de contraseña de NIST es cambiar las contraseñas cada 30-90 días.
2. Amplíe la expiración de la contraseña de los dispositivos HoloLens 2 para superar los 90 días.
3. Los dispositivos deben devolverse a su organización para cambiar las contraseñas. Sin embargo, esta opción puede causar problemas si se espera que los dispositivos estén en la planta del cliente durante más de 90 días.
4. En el caso de los dispositivos que se envían a varios clientes, restablezca las contraseñas antes de enviar el dispositivo a los clientes.

Asegúrese de que los clientes no tendrán acceso al historial de chats.

Remote Assist borra el historial de chats después de cada sesión. Sin embargo, el historial de chat estará disponible para los usuarios de Microsoft Teams.

Nota

Puesto que el inicio de sesión único está habilitado, es importante deshabilitar el explorador mediante Windows Defender Control de aplicaciones (WDAC). Si un cliente externo abre el explorador y usa la versión web de Teams, el cliente tendrá acceso al historial de llamadas o chats.