クラウドに接続された HoloLens 2 を外部クライアントに展開する

• 適用対象:

  HoloLens 2

このガイドは、クラウド接続デプロイ ガイドの補足です。 これは、組織が HoloLens 2 デバイスを外部クライアントの施設に発送して短期または長期使用する場合に使用されます。 外部クライアントは、組織から提供された資格情報を使用して HoloLens 2 デバイスにログインし、Remote Assist を使用して専門家に連絡します。 このガイド 、ほとんどの外部 HoloLens 2 展開シナリオに適用される一般的な HoloLens 2 の展開に関する推奨事項と、外部で使用するために Remote Assist を展開するときにお客様が抱える一般的な問題 について説明します。

前提 条件

HoloLens 2 を外部にデプロイするには、クラウド接続展開ガイドの に従って、次のインフラストラクチャを配置する必要があります。

• MDM 自動登録を使用した Microsoft Entra 参加 - MDM マネージド (Intune)
• ユーザーは自分の企業アカウント (Microsoft Entra ID) でサインインします
  • デバイスごとに 1 人または複数のユーザーがサポートされています。

リモート アシストのライセンスと要件

• Microsoft Entra アカウント (サブスクリプションの購入とライセンスの割り当てに必要)
• Remote Assist サブスクリプション (またはリモート アシスト試用版)

リモート アシストの詳細については、を参照してください。

Dynamics 365 Remote Assist ユーザー

• リモート アシスト ライセンス
• ネットワーク接続

Microsoft Teams ユーザー

• Microsoft Teamsまたは Teams フリーミアム
• ネットワーク接続

一般的なデプロイに関する推奨事項

外部 HoloLens 2 の展開には、次の手順をお勧めします。

1. ベースライン ビルドとして 最新の HoloLens OS リリース を使用します。

2. 次の手順に従って、ユーザー ベースまたはデバイス ベースのライセンスを割り当てます。

   1. Microsoft Entra ID でグループを作成し、HoloLens/RA ユーザー メンバーを追加します。
   2. このグループに デバイス ベースまたはユーザー ベースのライセンスを割り当てます。
   3. (省略可能)モバイル デバイス管理 (MDM) ポリシーのターゲット グループ。

3. Microsoft Entra デバイスをテナントに参加させ、自動登録し、Autopilotを使用して構成します。 詳細については、「デバイス所有者 」を参照してください。

   1. デバイス上の最初のユーザーがデバイス所有者になります。
   2. デバイスが Microsoft Entra 参加済みの場合、参加を実行したユーザーはデバイス所有者になります。

4. テナント ロックは、テナントのみが参加できるように、デバイスを します。

   1. テナント ロック CSPの も参照してください。

5. グローバル割り当てアクセスを使用してキオスク モードを構成します。

6. 次の (省略可能) 機能を無効にします。

   1. ここでデバイスを開発者モードにする機能。
   2. HOLOLens を PC に接続して日付をコピー USBを無効にする機能。

      手記

      USB を無効にせず、USB を使用してプロビジョニング パッケージをデバイスに適用する機能が必要な場合は、プロビジョニング パッケージのインストールを許可する方法に関する の手順に従ってください。

7. Windows Defender Application Control (WDAC) を使用して、HoloLens 2 デバイス上のアプリを許可またはブロックします。

8. セットアップの一環として、リモート アシストを最新バージョンに更新します。 次の 2 つのオプションを検討してください。

   1. Windows Microsoft Store --> Remote Assist --> と Update Appに移動します。
   2. ApplicationManagement/AllowAppStoreAutoUpdate (アプリの自動更新を許可) は、既定で有効になっています。 デバイスを接続したままにして、更新プログラムを受信します。

9. ユーザーがクライアント サイトでゲスト ネットワークに接続できるように、ネットワーク設定以外のすべての設定ページ を無効にします。

10. HoloLens 更新プログラムの管理

    1. OS の更新プログラムを 制御するか、自由にフローできるようにするオプション。

11. 一般的なデバイス制限を設定します。

これで、外部クライアントは HoloLens 2 を使用する準備が整いました。

外部クライアントの展開に関する一般的な問題

• クライアントが互いに通信できないことを確認
• クライアントが会社のリソースにアクセスできないことを確認
• アプリの を非表示または制限する
• クライアントのパスワードの管理
• クライアントがチャット履歴 にアクセスできないことを確認する

外部クライアントが相互に通信できないようにする

HoloLens から HoloLens へのリモート アシストの呼び出しはサポートされていません。 クライアントは検索できますが、相互に通信することはできません。 Microsoft 365 の 情報バリアは、クライアントが検索および呼び出しを実行できるユーザーをさらに制限できます。 別のオプションは、スコープ付きディレクトリ検索Microsoft Teams 使用することです。

手記

シングル サインオンが有効になっているため、Windows Defender Application Control (WDAC)を使用してブラウザーを無効にすることが重要です。 外部クライアントがブラウザーを開き、Web バージョンの Teams を使用している場合、クライアントはチャット履歴にアクセスできます。

クライアントが会社のリソースにアクセスできないようにする

考慮する必要があるオプションは 2 つあります。

1 つ目のオプションは、多層アプローチです。

1. ユーザーが必要とするライセンスのみを割り当てます。 OneDrive、Outlook、SharePoint、Yammer などを割り当てない場合、ユーザーはこれらのリソースにアクセスできなくなります。 ユーザーが必要とするライセンスは、開始するリモート アシスト、Intune、および Microsoft Entra ID ライセンスのみです。
2. クライアントにアクセスさせたくないアプリ (メールなど) をブロックします (「[アプリは非表示または制限されています](#apps は非表示または制限されています)」を参照)。
3. ユーザー名とパスワードをクライアントと共有しないでください。 HoloLens 2 にログインするには、電子メールと数値 PIN が必要です。

2 つ目のオプションは、クライアントをホストする別のテナントを作成することです (イメージ 1.1 を参照)。

イメージ 1.1

非表示または制限されたアプリ

キオスク モードの や Windows Defender アプリケーション制御 (WDAC) は、アプリケーションを非表示または制限するためのオプションです。

クライアントのパスワード管理

1. パスワードの有効期限を削除します。 ただし、このオプションにより、アカウントが侵害される可能性が高くなる可能性があります。 NIST パスワードの推奨事項は、30 日から 90 日ごとにパスワードを変更することです。
2. HoloLens 2 デバイスのパスワードの有効期限を 90 日を超えるまで延長します。
3. パスワードを変更するには、デバイスを組織に返す必要があります。 ただし、デバイスがクライアントの工場に 90 日以上存在することが予想される場合は、このオプションによって問題が発生する可能性があります。
4. 複数のクライアントに送信されるデバイスの場合は、デバイスをクライアントに発送する前にパスワードをリセットします。

クライアントがチャット履歴にアクセスできないようにする

リモート アシストは、各セッションの後にチャット履歴をクリアします。 ただし、チャット履歴はMicrosoft Teamsユーザーが利用できます。

手記

シングル サインオンが有効になっているため、Windows Defender Application Control (WDAC)を使用してブラウザーを無効にすることが重要です。 外部クライアントがブラウザーを開き、Web バージョンの Teams を使用している場合、クライアントは通話/チャット履歴にアクセスできます。