Enterprise Enrollment of HoloLens Devices in MAC address restricted Wi-Fi Environment
Este documento descreve um cenário comum que identificámos em ambientes de clientes em que o Wi-Fi é restringido por endereços MAC ou os certificados são necessários para associar redes sem fios.
Muitos clientes em ambientes seguros têm restrições nas redes sem fios ou com fios que só permitirão que os dispositivos aprovados (com base em Endereços MAC) se liguem com êxito. Isto pode ser imposto através da filtragem de Endereços MAC num Ponto de Acesso Sem Fios ou através de um servidor DHCP. Além disso, algumas redes sem fios podem ser protegidas com PEAP, o que requer que seja aplicado um certificado ao dispositivo antes de efetuar a autenticação na rede Sem Fios.
Neste cenário, dois requisitos principais podem introduzir atrasos ou exigir intervenção manual ao associar dispositivos HoloLens à rede:
- O certificado PEAP sem fios tem de ser aplicado ao dispositivo antes de o dispositivo se associar com êxito à rede sem fios.
- O Endereço MAC do adaptador Wi-Fi do HoloLens tem de estar registado.
Os principais desafios com os requisitos acima são:
Atualmente, o Endereço MAC só pode ser identificado a partir da aplicação Definições no dispositivo ou do Intune após uma inscrição bem-sucedida.
Sem o endereço MAC, o dispositivo não pode aderir à Rede Wi-Fi para iniciar a inscrição.
As soluções manuais para estes desafios exigem que um técnico interaja com o dispositivo.
Existem várias formas de melhorar esta situação, consoante a infraestrutura disponível no ambiente.
Solução | Benefícios | Requisitos |
---|---|---|
Pacote de Aprovisionamento com o Adaptador Ethernet | Melhora a experiência do OOBE e permite uma experiência de técnico mais rápida. | Adaptador USB-C Hub + Ethernet compatível com o HoloLens e o técnico ainda terá de interagir com o dispositivo para a captura de MAC e a finalização do OOBE |
Autopilot com Registo do Intune através de Ethernet | Esta é uma ligação de um passo e um registo do dispositivo para o ambiente do cliente. A captura de MAC pode ser concluída sem ter de interagir com o dispositivo | O Intune está ativado para o cliente Microsoft Entra inquilino e um adaptador USB-C Ethernet compatível com o HoloLens |
Relatórios automatizados de Endereços MAC | Quando os dispositivos são registados no inquilino do Intune, um script pode comunicar o endereço MAC ao técnico. | Cmdlets do PowerShell do Intune |
Nota
Se a rede com fios também estiver sujeita a restrições mac, o endereço MAC do adaptador USB-C Hub + Ethernet também terá de ser pré-aprovado. Deve ter cuidado com este adaptador, uma vez que permitirá o acesso à rede a partir de outros dispositivos.
- Porta de rede com fios com acesso à rede do cliente
- HoloLens Compatible USB-C Hub with Ethernet adaptor — Qualquer adaptador que não necessite de quaisquer controladores ou instalações de aplicações adicionais deve ser adequado.
- Pacote de Aprovisionamento que contém:
- Contém informações de Rede Sem Fios e Certificado
- Opcionalmente, contém informações de inscrição para o ID de Microsoft Entra da Organização
- Contém quaisquer outras definições de aprovisionamento necessárias
O Processo pode variar consoante o nível de software do dispositivo. Se o dispositivo tiver a atualização de maio de 2004, siga os passos abaixo.
- Coloque o pacote de aprovisionamento na raiz de uma pen USB e ligue-se ao Hub.
- Ligue o cabo Ethernet ao adaptador Hub + Ethernet.
- Ligue o Hub USB-C ao dispositivo HoloLens.
- Ative o HoloLens e coloque o dispositivo.
- Prima o botão Diminuir o Volume e Ligar/desligar para aplicar o Pacote de Aprovisionamento.
- O técnico pode agora seguir o OOBE e, quando terminar, abra a Aplicação Definições para obter o Endereço MAC do dispositivo.
Se o dispositivo tiver uma compilação do SO antes da atualização de maio de 2004, siga os passos abaixo.
- Ligue o HoloLens e ligue o dispositivo a um PC.
- O dispositivo deve aparecer no PC como um dispositivo de armazenamento de ficheiros.
- Copiar o Pacote de Aprovisionamento para o Dispositivo
- Ligue o cabo Ethernet ao concentrador.
- Ligue o Hub USB-C ao dispositivo HoloLens.
- Colocar no HoloLens
- Prima o botão Diminuir o Volume e Ligar/desligar para aplicar o Pacote de Aprovisionamento.
- O técnico pode agora seguir o OOBE e, quando terminar, abra a Aplicação Definições para obter o Endereço MAC do dispositivo.
Isto permitirá que um "Toque único" do dispositivo aplique o pacote de aprovisionamento correto e recolha o endereço MAC do dispositivo. Os pacotes de aprovisionamento podem ser criados ao seguir as orientações aqui.
- Porta de rede com fios com acesso à rede do cliente
- Dispositivos HoloLens com o Windows Holographic 2004
- Adaptador USB-C Ethernet compatível com HoloLens
- Intune configurado e ativado para o Inquilino do cliente
- Dispositivo registado no Autopilot e importado para o Inquilino do Cliente
- Políticas do Intune definidas para o dispositivo:
- Contém informações de Rede Sem Fios e Certificado
- Contém quaisquer outras definições de aprovisionamento necessárias
Isto permitirá que um cliente com requisitos de rede avançados inscreva os dispositivos numa abordagem prática e dimensionável
Serão necessários pré-requisitos adicionais, conforme abaixo:
- Ative o Inquilino para a pré-visualização do Autopilot.
- Crie as políticas do HoloLens para substituir o Pacote de Aprovisionamento no Intune.
- Crie as Políticas do Intune do HoloLens.
- Atribua os dispositivos ao grupo correto.
Ligue o cabo ethernet ao adaptador e ligue o adaptador à porta USB-C no dispositivo HoloLens 2.
Ative o HoloLens.
O dispositivo deve ligar-se automaticamente à Internet durante o OOBE através do adaptador Ethernet. Deve detetar a configuração do Autopilot e registar-se automaticamente com Microsoft Entra ID e o Intune.
O Dispositivo aplicará os Certificados de Wi-Fi necessários e outras configurações conforme necessário através do Intune.
Quando terminar, o técnico pode carregar o Portal do Intune (Endpoint Manager) e explorar a página de propriedades do dispositivo em Home Page –> Dispositivos –> DeviceName –> Hardware.
O Wi-Fi endereço MAC estará visível no Portal do Intune.
O técnico irá adicionar este endereço MAC como um dispositivo permitido.
Isto permitirá uma experiência de implementação "Heads off" para o Técnico, com o dispositivo a poder passar da caixa para inscrito no Microsoft Entra ID e no Intune sem que o técnico tenha de usar o dispositivo ou interagir manualmente com o ambiente do HoloLens.
- Autorização do "Intune Graph PowerShell" no Inquilino do cliente
- Instalação do PowerShell do Graph do Intune no computador dos técnicos.
- https://www.powershellgallery.com/packages/Microsoft.Graph.Intune/6.1907.1.0
- Acesso de leitura aos elementos "Dispositivos Geridos" do Intune. (Operador do Suporte Técnico ou superior, ou uma função personalizada)
Atualmente, não existe uma forma "simples" de acionar um comando de automatização com base na inscrição de um novo dispositivo no Intune. Por conseguinte, este comando fornecerá ao técnico uma forma simples de obter o endereço MAC sem ter de iniciar sessão no portal e obtê-lo manualmente.
Import-Module Microsoft.Graph.Intune
Connect-MSGraph
Get-IntuneManagedDevice -Filter "model eq 'Hololens 2'" | where {$_.enrolledDateTime -gt (get-date).AddDays(-30)} | select deviceName, wiFiMacAddress
Isto irá devolver o nome e o endereço MAC de quaisquer dispositivos HoloLens que tenham sido inscritos nos últimos 30 dias.
Após a conclusão da inscrição no Intune, o Técnico executará o script acima para obter o endereço MAC.