Distribuera molnanslutna HoloLens 2 till externa klienter
Den här guiden är ett tillägg till Cloud Connected Deployment Guide. Den används i situationer där din organisation vill skicka HoloLens 2-enheter till en extern klients anläggning för kort eller långsiktig användning. Den externa klienten loggar in på HoloLens 2-enheten med autentiseringsuppgifter som tillhandahålls av din organisation och använder Remote Assist för att kontakta dina experter. Den här guiden innehåller allmänna HoloLens 2-distributionsrekommendationer som gäller för de flesta externa HoloLens 2-distributionsscenarier och vanliga problem som kunderna har när de distribuerar Fjärrhjälp för extern användning.
Följande infrastruktur bör finnas på plats enligt cloud connected deployment guide för att distribuera HoloLens 2 externt.
- Microsoft Entra-anslutning med AUTOMATISK MDM-registrering – MDM-hanterad (Intune)
- Användare loggar in med sitt eget företagskonto (Microsoft Entra-ID)
- Enskilda eller flera användare per enhet stöds.
- Microsoft Entra-konto (krävs för att köpa prenumerationen och tilldela licenser)
- Remote Assist-prenumeration (eller Utvärderingsversion av Fjärrhjälp)
- Remote Assist-licens
- Nätverksanslutning
- Microsoft Teams eller Teams Freemium
- Nätverksanslutning
Vi rekommenderar följande steg för extern HoloLens 2-distribution:
Använd den senaste Versionen av HoloLens-operativsystemet som baslinjeversion.
Tilldela användarbaserade eller enhetsbaserade licenser genom att följa stegen nedan:
- Skapa en grupp i Microsoft Entra-ID och lägg till medlemmar för HoloLens/RA-användare.
- Tilldela enhetsbaserade eller användarbaserade licenser till den här gruppen.
- (Valfritt) Målgrupper för MDM(Mobile Device Management) principer.
Anslut Microsoft Entra-enheter till din klientorganisation, registreraautomatiskt och konfigurera via Autopilot. Mer information finns i enhetsägare.
- Den första användaren på enheten är enhetens ägare.
- Om enheten är Microsoft Entra-ansluten görs den användare som utförde anslutningen till enhetsägare.
Klientlås enheten så att den bara kan anslutas av din klientorganisation.
- Se även csp-klientlåset.
Inaktivera följande (valfria) funktioner:
- Möjlighet att placera enheten i utvecklarläge här.
- Möjlighet att ansluta HoloLens till en dator för att kopiera datum inaktivera USB-.
Anteckning
Om du inte vill inaktivera USB men vill kunna tillämpa ett etableringspaket på enheten med USB följer du instruktioner om hur du tillåter installation av etableringspaket.
Använd Windows Defender Application Control (WDAC) för att tillåta eller blockera appar på HoloLens 2-enheten.
Uppdatera Fjärrhjälp till den senaste versionen som en del av installationen. Överväg följande två alternativ:
- Gå till Windows Microsoft Store –> Fjärrhjälp –> och Uppdatera app.
- ApplicationManagement/AllowAppStoreAutoUpdate – som tillåter automatiska appuppdateringar – aktiveras som standard. Håll enheten ansluten för att ta emot uppdateringar.
Inaktivera alla inställningssidor förutom nätverksinställningarna så att användare kan ansluta till gästnätverk på klientplatser.
Hantera HoloLens-uppdateringar
- Alternativ för att styra OS-uppdateringar eller tillåta att de flödar fritt.
Nu är dina externa klienter redo att använda sina HoloLens 2.
- Att säkerställa att klienter inte kan kommunicera med varandra
- Att säkerställa att klienter inte kan komma åt företagsresurser
- Dölj eller begränsa appar
- Hantera lösenord för dina klienter
- Att säkerställa att klienter inte kan komma åt chatthistorik
Fjärrhjälp HoloLens till HoloLens-anrop stöds inte. Klienter kan söka efter, men kan inte kommunicera med varandra. Informationsbarriärer i Microsoft 365 kan ytterligare begränsa med vem en klient kan söka och anropa. Ett annat alternativ är att använda katalogsökning i Microsoft Teams.
Anteckning
Eftersom enkel inloggning är aktiverat är det viktigt att inaktivera webbläsaren med hjälp av Windows Defender Application Control (WDAC). Om en extern klient öppnar webbläsaren och använder webbversionen av Teams har klienten åtkomst till din chatthistorik.
Det finns två alternativ att tänka på.
Det första alternativet är en metod med flera lager:
- Tilldela endast licenser som användaren behöver. Om du inte tilldelar OneDrive, Outlook, SharePoint, Yammer osv. har användaren inte åtkomst till dessa resurser. De enda licenser som användarna behöver är Remote Assist-, Intune- och Microsoft Entra-ID-licenser för att börja.
- Blockera appar (till exempel e-post) som du inte vill att klienter ska komma åt (se [Appar är dolda eller begränsade](#apps är dolda eller begränsade)).
- Dela inte användarnamn eller lösenord med klienter. För att logga in på HoloLens 2 krävs ett e-postmeddelande och numerisk PIN-kod.
Det andra alternativet är att skapa en separat klientorganisation som är värd för klienter (se Bild 1.1).
bild 1.1
Helskärmsläge och/eller Windows Defender Application Control (WDAC) är alternativ för att dölja och/eller begränsa program.
- Ta bort lösenordets giltighetstid. Det här alternativet kan dock öka risken för att ett konto komprometteras. NIST-lösenordsrekommendering är att ändra lösenord var 30–90:e dag.
- Utöka lösenordets giltighetstid för HoloLens 2-enheter till mer än 90 dagar.
- Enheterna ska returneras till din organisation för att ändra lösenorden. Det här alternativet kan dock orsaka problem om enheterna förväntas finnas i klientens anläggning i över 90 dagar.
- För enheter som skickas till flera klienter återställer du lösenord innan du skickar enheten till klienter.
Fjärrhjälp rensar chatthistoriken efter varje session. Chatthistoriken är dock tillgänglig för Microsoft Teams-användare.
Anteckning
Eftersom enkel inloggning är aktiverat är det viktigt att inaktivera webbläsaren med hjälp av Windows Defender Application Control (WDAC). Om en extern klient öppnar webbläsaren och använder webbversionen av Teams har klienten åtkomst till samtals-/chatthistorik.