Förbereda certifikat och nätverksprofiler för HoloLens 2

  • Artikel
  • Gäller för:
    HoloLens 2

Certifikatbaserad autentisering är ett vanligt krav för kunder som använder HoloLens 2. Du kan behöva certifikat för att få åtkomst till Wi-Fi, för att ansluta till VPN-lösningar eller för åtkomst till interna resurser i din organisation.

Eftersom HoloLens 2 enheter vanligtvis är anslutna till Microsoft Entra och hanteras av Intune eller någon annan MDM-provider måste du distribuera sådana certifikat med hjälp av en SCEP-certifikatinfrastruktur (Simple Certificate Enrollment Protocol) eller PKCS-certifikatinfrastruktur (Public Key Cryptography Standard) som är integrerad med din MDM-lösning.

Anteckning

Om du inte har någon MDM-provider kan du fortfarande distribuera certifikat via ett etableringspaket i Windows Configuration Designer eller via Certifikathanteraren genom att gå till Inställningar > Uppdatera & Security > Certificate Manager.

Certifikatkrav

Rotcertifikat krävs för att distribuera certifikat via en SCEP- eller PKCS-infrastruktur. Andra program och tjänster i din organisation kan också kräva att rotcertifikat distribueras till dina HoloLens 2-enheter. 

Wi-Fi anslutningskrav

Om du vill tillåta att en enhet automatiskt får den Wi-Fi konfiguration som krävs för företagsnätverket behöver du en Wi-Fi konfigurationsprofil. Du kan konfigurera Intune eller någon annan MDM-provider för att distribuera dessa profiler till dina enheter. Om din nätverkssäkerhet kräver att enheter ingår i den lokala domänen kan du också behöva utvärdera din Wi-Fi nätverksinfrastruktur för att se till att den är kompatibel med HoloLens 2 enheter (HoloLens 2 enheter är endast Microsoft Entra anslutna).

Distribuera certifikatinfrastruktur

Om det inte redan finns någon SCEP- eller PKCS-infrastruktur måste du förbereda en. För att stödja användningen av SCEP- eller PKCS-certifikat för autentisering kräver Intune att en certifikatanslutningsapp används.

Anteckning

När du använder SCEP med en Microsoft CA måste du också konfigurera registreringstjänsten för nätverksenheter (NDES)

Mer information finns i Konfigurera en certifikatprofil för dina enheter i Microsoft Intune.

Distribuera certifikat och Wi-Fi/VPN-profil

Viktigt

På HoloLens-enheter tillämpas VPN-profiler i enhetens omfång och gäller för alla användare.

Så här distribuerar du certifikat och profiler:

  1. Skapa en profil för vart och ett av rotcertifikaten och mellanliggande certifikat (se Skapa betrodda certifikatprofiler.) Var och en av dessa profiler måste ha en beskrivning som innehåller ett förfallodatum i DD/MM/ÅÅÅÅ-format. Certifikatprofiler utan förfallodatum distribueras inte.

  2. Skapa en profil för varje SCEP- eller PKCS-certifikat (se Skapa en SCEP-certifikatprofil eller Skapa en PKCS-certifikatprofil) Var och en av dessa profiler måste ha en beskrivning som innehåller ett förfallodatum i DD/MM/ÅÅÅÅ-format. Certifikatprofiler utan förfallodatum distribueras inte.

    Anteckning

    Eftersom HoloLens 2 anses vara en delad enhet, flera användare per enhet, rekommenderar vi att du distribuerar enhetscertifikat i stället för användarcertifikat för Wi-Fi autentisering där det är möjligt

  3. Skapa en profil för varje företags Wi-Fi nätverk (se Wi-Fi-inställningar för Windows 10 och senare enheter).

    Anteckning

    Vi rekommenderar att Wi-Fi profil tilldelas till enhetsgrupper i stället för användargrupper där det är möjligt.

    Tips

    Du kan också exportera en fungerande Wi-Fi profil från en Windows 10-dator i företagets nätverk. Den här exporten skapar en XML-fil med alla aktuella inställningar. Importera sedan den här filen till Intune och använd den som Wi-Fi profil för dina HoloLens 2 enheter. Se Exportera och importera Wi-Fi inställningar för Windows-enheter.

  4. Skapa en profil för varje företags-VPN (se Windows 10 och Windows Holographic device settings to add VPN connections using Intune).

Felsökning

Problem – Det går inte att ansluta till nätverket med hjälp av certifikatbaserad autentisering

Symtom

Det går inte att upprätta en nätverksanslutning med certifikatbaserad autentisering.

Felsökningsanvisningar

  1. Om du behöver verifiera att ett certifikat har distribuerats korrekt använder du certifikathanteraren på enheten för att kontrollera att certifikatet finns.

    Varning

    Även om du kan visa MDM-distribuerade certifikat i Certifikathanteraren kan du inte avinstallera dem i Certifikathanteraren. Du måste avinstallera dem via MDM.

  2. Endast för Intune, om SCEP (Simple Certificate Enrollment Protocol) används för att distribuera certifikat, kontrollerar du att NDES-serveradressen (Network Device Enrollment Service) kan nås från enheten. Se SCEP-certifikat i Intune för konfigurationsrelaterad information. Om CNAME används i stället för en fullständigt kvalificerad domän för NDES-servern kontrollerar du att det löses korrekt genom att skriva webbadressen i en webbläsare på enheten.