Condividi tramite


Distribuire HoloLens 2 connesso al cloud ai client esterni

Questa guida è un supplemento alla guida alla distribuzione cloud connessa. Viene usato nelle situazioni in cui l'organizzazione vuole spedire i dispositivi HoloLens 2 alla struttura di un client esterno per uso a breve o a lungo termine. Il client esterno accederà al dispositivo HoloLens 2 usando le credenziali fornite dall'organizzazione e userà Remote Assist per contattare gli esperti. Questa guida fornisce raccomandazioni generali sulla distribuzione di HoloLens 2 applicabili alla maggior parte degli scenari di distribuzione di HoloLens 2 esterni e problemi comuni che i clienti hanno durante la distribuzione di Remote Assist per uso esterno.

Prerequisiti

L'infrastruttura seguente deve essere disponibile in base alla guida alla distribuzione cloud connessa per distribuire HoloLens 2 esternamente.

  • Aggiunta a Microsoft Entra con la registrazione automatica MDM- gestita da MDM (Intune)
  • Gli utenti accedono con il proprio account aziendale (Microsoft Entra ID)
    • Sono supportati singoli o più utenti per dispositivo.

Licenze e requisiti di Remote Assist

  • Account Microsoft Entra (obbligatorio per l'acquisto della sottoscrizione e assegnazione di licenze)
  • di sottoscrizione di Remote Assist (o Remote Assist Trial)

Vedere Altre informazioni su Remote Assist.

Utente di Dynamics 365 Remote Assist

  • Licenza di Remote Assist
  • Connettività di rete

Utente di Microsoft Teams

Consigli generali sulla distribuzione

È consigliabile seguire questa procedura per la distribuzione esterna di HoloLens 2:

  1. Usare il versione più recente del sistema operativo HoloLens come build di base.

  2. Assegnare licenze basate su utente o basate su dispositivo seguendo questa procedura:

    1. Creare un gruppo in Microsoft Entra ID e aggiungere membri per gli utenti HoloLens/RA.
    2. Assegnare licenze basate su dispositivo o basate sull'utente a questo gruppo.
    3. (Facoltativo) Gruppi di destinazione per criteri di gestione dei dispositivi mobili (MDM).
  3. Aggiungere i dispositivi Microsoft Entra al tenant, registrare automaticamentee configurare tramite Autopilot. Per altre informazioni, vedere proprietario del dispositivo.

    1. Il primo utente nel dispositivo sarà il proprietario del dispositivo.
    2. Se il dispositivo è aggiunto a Microsoft Entra, l'utente che ha eseguito l'aggiunta viene reso proprietario del dispositivo.
  4. blocco tenant il dispositivo in modo che possa essere aggiunto solo dal tenant.

    1. Vedere anche tenant lock CSP.
  5. Configurare la modalità tutto schermo usando l'accesso assegnato globale.

  6. Disabilitare le funzionalità seguenti (facoltative):

    1. Possibilità di inserire il dispositivo in modalità sviluppatore qui.
    2. Possibilità di connettere HoloLens a un PC per copiare la data disabilitare USB.

      Nota

      Se non vuoi disabilitare USB ma vuoi applicare un pacchetto di provisioning al dispositivo tramite USB, segui le istruzioni su come consentire l'installazione del pacchetto di provisioning.

  7. Usa windows Defender Application Control (WDAC) per consentire o bloccare le app nel dispositivo HoloLens 2.

  8. Aggiornare Remote Assist alla versione più recente come parte dell'installazione. Considerare le due opzioni seguenti:

    1. Passare a Windows Microsoft Store -> Remote Assist -> e Aggiornare l'app.
    2. ApplicationManagement/AllowAppStoreAutoUpdate, che consente gli aggiornamenti automatici delle app, è abilitato per impostazione predefinita. Mantenere il dispositivo collegato per ricevere gli aggiornamenti.
  9. Disabilitare tutte le pagine delle impostazioni ad eccezione delle impostazioni di rete per consentire agli utenti di connettersi alle reti guest nei siti client.

  10. Gestire gli aggiornamenti di HoloLens

    1. Opzione per controllare gli aggiornamenti del sistema operativo o consentire il flusso libero.
  11. Impostare restrizioni comuni dei dispositivi.

Ora i client esterni sono pronti per l'uso di HoloLens 2.

Problemi comuni relativi alla distribuzione di client esterni

Assicurarsi che i client esterni non possano comunicare tra loro

Le chiamate da HoloLens a HoloLens da Remote Assist non sono supportate. I client possono cercare, ma non possono comunicare tra loro. barriere informative in Microsoft 365 possono limitare ulteriormente con chi un client può cercare e chiamare. Un'altra opzione consiste nell'usare ricerca directory con ambito microsoft Teams.

Nota

Poiché l'accesso Single Sign-On è abilitato, è importante disabilitare il browser usando Windows Defender Application Control (WDAC). Se un client esterno apre il browser e usa la versione Web di Teams, il client avrà accesso alla cronologia delle chat.

Assicurarsi che i client non abbiano accesso alle risorse aziendali

Esistono due opzioni da considerare.

La prima opzione è un approccio multi-layer:

  1. Assegnare solo licenze richieste dall'utente. Se non si assegna OneDrive, Outlook, SharePoint, Yammer e così via, l'utente non avrà accesso a tali risorse. Le uniche licenze necessarie per gli utenti sono Remote Assist, Intune e licenze microsoft Entra ID per iniziare.
  2. Blocca le app (ad esempio la posta elettronica) a cui non vuoi che i client acceano (vedi [Le app sono nascoste o limitate](#apps sono nascoste o limitate)).
  3. Non condividere nomi utente né password con i client. Per accedere a HoloLens 2, è necessario un PIN numerico e di posta elettronica.

La seconda opzione consiste nel creare un tenant separato che ospita i client (vedere Immagine 1.1).

'immagine 1.1

'immagine del tenant del servizio.

App nascoste o con restrizioni

modalità tutto schermo e/o windows Defender Application Control (WDAC) sono opzioni per nascondere e/o limitare le applicazioni.

Gestione delle password per i client

  1. Rimuovere la scadenza della password. Tuttavia, questa opzione può aumentare la probabilità che un account venga compromesso. La raccomandazione per la password NIST viene modificata ogni 30-90 giorni.
  2. Estendere la scadenza della password per i dispositivi HoloLens 2 per superare i 90 giorni.
  3. I dispositivi devono essere restituiti all'organizzazione per modificare le password. Tuttavia, questa opzione può causare problemi se i dispositivi devono trovarsi nell'impianto del client per più di 90 giorni.
  4. Per i dispositivi inviati a più client, reimpostare le password prima di spedire il dispositivo ai client.

Assicurarsi che i client non abbiano accesso alla cronologia delle chat

Remote Assist cancella la cronologia delle chat dopo ogni sessione. Tuttavia, la cronologia delle chat sarà disponibile per gli utenti di Microsoft Teams.

Nota

Poiché l'accesso Single Sign-On è abilitato, è importante disabilitare il browser usando Windows Defender Application Control (WDAC). Se un client esterno apre il browser e usa la versione Web di Teams, il client avrà accesso alla cronologia delle chiamate/chat.