Déployer HoloLens 2 connecté au cloud sur des clients externes
Ce guide est un supplément au Guide de déploiement connecté au cloud. Il est utilisé dans les situations où votre organisation souhaite expédier des appareils HoloLens 2 à l’installation d’un client externe pour une utilisation à court ou à long terme. Le client externe se connecte à l’appareil HoloLens 2 à l’aide des informations d’identification fournies par votre organisation et utilise Remote Assist pour contacter vos experts. Ce guide fournit recommandations générales de déploiement HoloLens 2 applicables à la plupart des scénarios de déploiement HoloLens 2 externes et préoccupations courantes que les clients ont lors du déploiement d’Assistance à distance pour une utilisation externe.
Conditions préalables
L’infrastructure suivante doit être en place conformément au guide de déploiement connecté au cloud pour déployer HoloLens 2 en externe.
- Jonction Microsoft Entra avec l’inscription automatique MDM : géré par MDM (Intune)
- Les utilisateurs se connectent avec leur propre compte d’entreprise (ID Microsoft Entra)
- Un ou plusieurs utilisateurs par appareil sont pris en charge.
Licences et exigences d’Assistance à distance
- Compte Microsoft Entra (requis pour l’achat de l’abonnement et l’attribution de licences)
- abonnement Remote Assist (ou d’évaluation d’assistance à distance)
Consultez En savoir plus sur lesRemote Assist .
Utilisateur Dynamics 365 Remote Assist
- Licence Remote Assist
- Connectivité réseau
Utilisateur Microsoft Teams
- Microsoft Teams ou Teams Freemium
- Connectivité réseau
Recommandations générales de déploiement
Nous vous recommandons les étapes suivantes pour le déploiement externe d’HoloLens 2 :
Utilisez la dernière version du système d’exploitation HoloLens comme build de base.
Attribuez des licences basées sur l’utilisateur ou basées sur des appareils en suivant les étapes ci-dessous :
- Créer un groupe dans Microsoft Entra ID et ajouter des membres pour les utilisateurs HoloLens/RA.
- Attribuer des licences basées sur des appareils ou basées sur l’utilisateur à ce groupe.
- (Facultatif) Groupes cibles pour stratégies de gestion des appareils mobiles (GPM).
Joignez les appareils Microsoft Entra à votre locataire, inscrivez automatiquementet configurez via Autopilot . Pour plus d’informations, consultez propriétaire de l’appareil.
- Le premier utilisateur sur l’appareil sera le propriétaire de l’appareil.
- Si l’appareil est joint à Microsoft Entra, l’utilisateur qui a effectué la jointure est créé propriétaire de l’appareil.
verrou client l’appareil afin qu’il puisse uniquement être joint par votre locataire.
configurer le mode kiosque à l’aide de l’accès global affecté.
Désactivez les fonctionnalités suivantes (facultatives) :
- Possibilité de placer l’appareil en mode développeur ici.
- Possibilité de connecter HoloLens à un PC pour copier la date désactiver leUSB .
Note
Si vous ne souhaitez pas désactiver USB, mais que vous souhaitez appliquer un package d’approvisionnement à l’appareil à l’aide de USB, suivez les instructions sur la façon d’autoriser l’installation du package d’approvisionnement.
Utilisez windows Defender Application Control (WDAC) pour autoriser ou bloquer des applications sur l’appareil HoloLens 2.
Mettez à jour Remote Assist vers la dernière version dans le cadre de la configuration. Tenez compte des deux options suivantes :
- Accédez à Windows Microsoft Store -> Remote Assist -> et Mettre à jour l’application.
- ApplicationManagement/AllowAppStoreAutoUpdate , qui autorise les mises à jour automatiques des applications, est activée par défaut. Maintenez l’appareil branché pour recevoir les mises à jour.
Désactiver toutes les pages de paramètres à l’exception des paramètres réseau pour permettre aux utilisateurs de se connecter aux réseaux invités sur les sites clients.
Gérer les mises à jour HoloLens
- Option permettant de contrôler les mises à jour du système d’exploitation ou autoriser à circuler librement.
Définissez restrictions d’appareil courantes.
Vos clients externes sont maintenant prêts à utiliser leur HoloLens 2.
Problèmes courants de déploiement de clients externes
- S’assurer que les clients ne peuvent pas communiquer entre eux
- S’assurer que les clients ne peuvent pas accéder aux ressources de l’entreprise
- masquer ou restreindre les applications
- Gestion des mots de passe pour vos clients
- Garantir que les clients ne peuvent pas accéder à l’historique des conversations
Assurez-vous que les clients externes ne peuvent pas communiquer entre eux
Les appels HoloLens d’Assistance à distance vers HoloLens ne sont pas pris en charge. Les clients peuvent rechercher, mais ne peuvent pas communiquer entre eux. obstacles aux informations dans Microsoft 365 peut restreindre davantage avec qui un client peut rechercher et appeler. Une autre option consiste à utiliser recherche d’annuaires délimitée par Microsoft Teams.
Note
Étant donné que l’authentification unique est activée, il est important de désactiver le navigateur à l’aide de Windows Defender Application Control (WDAC). Si un client externe ouvre le navigateur et utilise la version web de Teams, le client a accès à votre historique de conversation.
Assurez-vous que les clients n’auront pas accès aux ressources de l’entreprise
Il existe deux options à prendre en compte.
La première option est une approche multicouche :
- Attribuez uniquement des licences requises par l’utilisateur. Si vous n’affectez pas OneDrive, Outlook, SharePoint, Yammer, etc., l’utilisateur n’aura pas accès à ces ressources. Les seules licences dont les utilisateurs auront besoin sont les licences Remote Assist, Intune et Microsoft Entra ID à commencer.
- Bloquez les applications (telles que l’e-mail) auxquelles vous ne souhaitez pas que les clients accèdent (voir [Les applications sont masquées ou restreintes](#apps sont masquées ou restreintes)).
- Ne partagez pas de nom d’utilisateur ni de mot de passe avec les clients. Pour vous connecter à HoloLens 2, un e-mail et un code confidentiel numérique sont requis.
La deuxième option consiste à créer un locataire distinct qui héberge les clients (voir Image 1.1).
image 1.1
image de locataire de service
Applications masquées ou restreintes
mode plein écran et/ou windows Defender Application Control (WDAC) sont des options pour masquer et/ou restreindre les applications.
Gestion des mots de passe pour vos clients
- Supprimez l’expiration du mot de passe. Toutefois, cette option peut augmenter la probabilité qu’un compte soit compromis. La recommandation de mot de passe NIST est de modifier les mots de passe tous les 30 à 90 jours.
- Étendez l’expiration du mot de passe pour les appareils HoloLens 2 pour dépasser 90 jours.
- Les appareils doivent être retournés à votre organisation pour modifier les mots de passe. Toutefois, cette option peut entraîner des problèmes si les appareils sont censés se trouver dans l’usine du client pendant 90 jours et plus.
- Pour les appareils envoyés à plusieurs clients, réinitialisez les mots de passe avant d’envoyer l’appareil aux clients.
Assurez-vous que les clients n’auront pas accès à l’historique des conversations
Remote Assist efface l’historique des conversations après chaque session. Toutefois, l’historique des conversations sera disponible pour les utilisateurs de Microsoft Teams.
Note
Étant donné que l’authentification unique est activée, il est important de désactiver le navigateur à l’aide de Windows Defender Application Control (WDAC). Si un client externe ouvre le navigateur et utilise la version web de Teams, le client a accès à l’historique des appels/conversations.