Distribuire HoloLens 2 connessi al cloud ai client esterni

• Si applica a:

  HoloLens 2

Questa guida è un supplemento alla Guida alla distribuzione connessa al cloud. Viene usato in situazioni in cui l'organizzazione vuole inviare dispositivi HoloLens 2 alla struttura di un client esterno per un uso a breve o lungo termine. Il client esterno accederà al dispositivo HoloLens 2 usando le credenziali fornite dall'organizzazione e userà Remote Assist per contattare gli esperti. Questa guida fornisce indicazioni generali sulla distribuzione HoloLens 2 applicabili alla maggior parte degli scenari di distribuzione esterni HoloLens 2 e ai problemi comuni che i clienti hanno durante la distribuzione di Assistenza remota per l'uso esterno.

Prerequisiti

L'infrastruttura seguente deve essere eseguita in base alla Guida alla distribuzione connessa cloud per distribuire il HoloLens 2 esternamente.

• Microsoft Entra join con la registrazione automatica MDM - Gestito da MDM (Intune)
• Gli utenti accedono con il proprio account aziendale (ID Microsoft Entra)
  • Sono supportati singoli o più utenti per dispositivo.

Licenze e requisiti di Assistenza remota

• Microsoft Entra account (necessario per acquistare la sottoscrizione e assegnare licenze)
• Sottoscrizione di Remote Assist (o Versione di valutazione di Assistenza remota)

Vedere Altre informazioni su Remote Assist.

Dynamics 365 Remote Assist utente

• Licenza di Remote Assist
• Connettività di rete

Utente di Microsoft Teams

• Microsoft Teams o Teams Freemium
• Connettività di rete

Raccomandazioni generali sulla distribuzione

È consigliabile seguire questa procedura per la distribuzione esterna di HoloLens 2:

1. Usare la versione più recente del sistema operativo HoloLens come build di base.

2. Assegnare licenze basate sull'utente o basate su dispositivi seguendo questa procedura:

   1. Creare un gruppo in Microsoft Entra ID e aggiungere membri per gli utenti holoLens/RA.
   2. Assegnare licenze basate su dispositivo o basate sull'utente a questo gruppo.
   3. (Facoltativo) Gruppi di destinazione per i criteri di gestione dei dispositivi mobili (MDM).

3. Aggiungere Microsoft Entra dispositivi al tenant, registrare automaticamente e configurare tramite Autopilot. Per altre informazioni, vedere Proprietario del dispositivo.

   1. Il primo utente del dispositivo sarà il proprietario del dispositivo.
   2. Se il dispositivo è Microsoft Entra aggiunto, l'utente che ha eseguito il join viene reso proprietario del dispositivo.

4. Il tenant blocca il dispositivo in modo che possa essere aggiunto solo dal tenant.

   1. Vedere anche CSP di blocco tenant.

5. Configurare la modalità tutto schermo usando l'accesso assegnato globale.

6. Disabilitare le funzionalità seguenti (facoltative):

   1. Possibilità di inserire il dispositivo in modalità sviluppatore qui.
   2. Possibilità di connettere HoloLens a un PC per copiare la data di disabilitazione USB.

      Nota

      Se non si vuole disabilitare USB ma si vuole applicare un pacchetto di provisioning al dispositivo usando USB, seguire le istruzioni su come consentire l'installazione del pacchetto di provisioning.

7. Usare Windows Defender Controllo applicazioni (WDAC) per consentire o bloccare le app nel dispositivo HoloLens 2.

8. Aggiornare Remote Assist alla versione più recente come parte della configurazione. Prendere in considerazione le due opzioni seguenti:

   1. Passare a Windows Store -> Assistenza remota -> e Aggiornare l'app.
   2. ApplicationManagement/AllowAppStoreAutoUpdate , che consente gli aggiornamenti automatici delle app, è abilitato per impostazione predefinita. Mantenere il dispositivo collegato per ricevere gli aggiornamenti.

9. Disabilitare tutte le pagine delle impostazioni , ad eccezione delle impostazioni di rete per consentire agli utenti di connettersi alle reti guest nei siti client.

10. Gestire gli aggiornamenti di HoloLens

    1. Opzione per controllare gli aggiornamenti del sistema operativo o consentire il flusso liberamente.

11. Impostare restrizioni comuni sui dispositivi.

Ora i client esterni sono pronti a usare i propri HoloLens 2.

Problemi comuni relativi alla distribuzione client esterna

• Garantire che i client non possano comunicare tra loro
• Garantire che i client non possano accedere alle risorse aziendali
• Nascondere o limitare le app
• Gestione delle password per i client
• Garantire che i client non possano accedere alla cronologia delle chat

Assicurarsi che i client esterni non possano comunicare tra loro

Le chiamate HoloLens a HoloLens per HoloLens non sono supportate. I client possono cercare, ma non possono comunicare tra loro. Le barriere informative in Microsoft 365 possono limitare ulteriormente con chi un client può cercare e chiamare. Un'altra opzione consiste nell'usare la ricerca con ambito directory di Microsoft Teams.

Nota

Poiché l'accesso Single Sign-On è abilitato, è importante disabilitare il browser usando Windows Defender Controllo applicazioni (WDAC). Se un client esterno apre il browser e usa la versione Web di Teams, il client avrà accesso alla cronologia delle chat.

Assicurarsi che i client non abbiano accesso alle risorse aziendali

Esistono due opzioni da considerare.

La prima opzione è un approccio a più livelli:

1. Assegnare solo licenze necessarie all'utente. Se non si assegna OneDrive, Outlook, SharePoint, Yammer e così via, l'utente non avrà accesso a tali risorse. Le uniche licenze necessarie agli utenti sono Remote Assist, Intune e Microsoft Entra licenze ID per iniziare.
2. Blocca le app (ad esempio posta elettronica) a cui non vuoi che i client accedono (Vedi [App sono nascoste o limitate](#apps sono nascoste o limitate)).
3. Non condividere nomi utente né password con i client. Per accedere alla HoloLens 2, è necessario un PIN numerico e di posta elettronica.

La seconda opzione consiste nel creare un tenant separato che ospita i client (vedere Immagine 1.1).

Immagine 1.1

App nascoste o limitate

La modalità tutto schermo e/o Windows Defender Controllo applicazioni (WDAC) sono opzioni per nascondere e/o limitare le applicazioni.

Gestione delle password per i client

1. Rimuovere la scadenza della password. Tuttavia, questa opzione può aumentare la probabilità che un account venga compromesso. La raccomandazione sulla password NIST è modificare le password ogni 30-90 giorni.
2. Estendere la scadenza della password per i dispositivi HoloLens 2 per superare i 90 giorni.
3. I dispositivi devono essere restituiti all'organizzazione per modificare le password. Tuttavia, questa opzione può causare problemi se i dispositivi devono trovarsi nell'impianto del client per 90+ giorni.
4. Per i dispositivi inviati a più client, reimpostare le password prima di inviare il dispositivo ai client.

Assicurarsi che i client non abbiano accesso alla cronologia delle chat

Remote Assist cancella la cronologia delle chat dopo ogni sessione. Tuttavia, la cronologia delle chat sarà disponibile per gli utenti di Microsoft Teams.

Nota

Poiché l'accesso Single Sign-On è abilitato, è importante disabilitare il browser usando Windows Defender Controllo applicazioni (WDAC). Se un client esterno apre il browser e usa la versione Web di Teams, il client avrà accesso alla cronologia delle chiamate/chat.