准备 -公司连接指南
基础结构基本信息
对于个人和公司部署方案,移动设备管理 (MDM) 系统是部署和管理 Windows 10 设备(尤其是 HoloLens 2)所需的必要基础结构。 建议将 Microsoft Entra ID P1 或 P2 订阅用作标识提供者,并且需要该订阅来支持某些功能。
注意
尽管 HoloLens 2 的部署和管理方式与移动设备类似,但它通常用作许多用户之间的共享设备。
Microsoft Entra ID
Microsoft Entra ID是一种基于云的目录服务,提供标识和访问管理。 使用 Microsoft Office 365 或 Intune 的组织已在使用 Microsoft Entra ID,它有三个版本:免费版、高级版 P1 版和高级版 P2 (请参阅Microsoft Entra版本) 。 所有版本都支持Microsoft Entra设备注册,但需要高级 P1 才能启用 MDM 自动注册,我们将在本指南稍后使用。
重要
必须有一个Microsoft Entra租户,因为 HoloLens 设备不支持本地 AD 加入。 如果尚未设置Microsoft Entra租户,请按照说明开始使用并在 Microsoft Entra 中创建新租户。
标识管理
在本指南中,使用的标识将Microsoft Entra帐户。 Microsoft Entra帐户有几个好处,例如:
- 员工使用其Microsoft Entra帐户在 Microsoft Entra 中注册设备,并且可以将其自动注册到组织的 MDM 解决方案 (Microsoft Entra ID+MDM - 需要Microsoft Entra ID P1 或 P2 订阅) 。
- Microsoft Entra帐户通过Windows Hello 企业版有更多的身份验证选项。 除了 Iris 登录,用户还可以从其他设备登录或使用 FIDO 安全密钥。
警告
员工仅可使用一个帐户来初始化设备,所以组织有必要控制最先启用的帐户。 所选帐户将确定由谁来控制设备,并影响管理功能。
移动设备管理
Microsoft Intune 是企业移动性 + 安全性的一部分,是一个基于云的 MDM 系统,用于管理连接到租户的设备。 与 Office 365 一样,Intune 使用 Microsoft Entra ID 进行标识管理,因此员工在 Intune 中注册设备时使用的凭据与用于登录Office 365的凭据相同。 Intune 还支持运行其他操作系统(例如 iOS 和 Android)的设备,从而提供完整的 MDM 解决方案。 出于本指南的目的,我们将重点介绍如何使用 Intune 通过 HoloLens 2 启用到内部网络的部署。
重要
必须拥有移动设备管理。 如果尚未设置,请按照本指南和《Intune 入门》进行操作。
重要
若要使用 Guides,需要Microsoft Entra帐户。
注意
多个 MDM 系统支持 Windows 10 并且大部分都支持个人和公司设备部署方案。 支持 Windows 10 全息版的 MDM 提供商包括:AirWatch、MobileIron 等。 大多数行业领先的 MDM 供应商都支持与 Microsoft Entra ID 集成。 可以在 Azure 市场 中找到支持Microsoft Entra ID的最新 MDM 供应商列表。
网络访问
Dynamics 365 Guides 是基于云的应用程序。 如果你的网络管理员具有批准列表,则他们可能需要添加连接到 Dynamics 365 服务器所需的 IP 地址和/或终结点。 详细了解如何取消阻止 IP 地址和 URL。
证书
证书通过提供帐户身份验证、Wi-Fi 身份验证、VPN 加密和 Web 内容的 SSL 加密来帮助提高安全性。 尽管管理员可以通过预配程序包手动管理设备上的证书,但最佳做法是使用 MDM 系统在其整个生命周期(从注册到续签和吊销)中进行管理。
MDM 系统可以在注册设备后自动将这些证书部署到设备的证书存储区(只要 MDM 系统支持简单证书注册协议 (SCEP) 或公钥加密标准 #12 (PKCS#12))。 了解与 Microsoft Intune 配合使用的证书类型和配置文件。 MDM 还可以在当前证书过期之前查询和删除已注册的客户端证书或触发新的注册请求。
如果已为 MDM 系统配置了证书,请参阅为 HoloLens 2 准备证书和网络配置文件,开始为 HoloLens 2 设备部署证书和配置文件。
SCEP
SCEP 部署需要以下服务,Web 应用程序代理 服务器除外。
还必须使用 Microsoft Entra 应用程序代理或 Web 访问代理将 NDES URL 发布到公司网络外部。 也可以使用所选的其他反向代理。
如果网络尚不支持 SCEP,或者不确定网络是否已正确设置为使用 Intune 的 SCEP,请参阅 配置基础结构以支持使用 Intune 的 SCEP。
如果基础结构已支持 SCEP,则需要为HoloLens 2将使用的每个 SCEP 证书创建配置文件。 如果 SCEP 出现问题,请使用排查 SCEP 证书配置文件的使用问题来预配具有Microsoft Intune的证书。
PKCS
Intune 还支持使用私钥和公钥对 (PKCS) 证书。 有关详细信息,请参阅在 Microsoft Intune 中使用私钥和公钥证书。
代理
大多数企业 Intranet 网络都应用代理来管理外部流量。 使用 HoloLens 2,可以为以太网、Wi-Fi 和 VPN 连接配置代理服务器。
有几种不同类型的代理和配置代理的方法。 在本指南中,我们选择通过 PAC URL 设置的 Wi-Fi 代理,并通过 MDM 进行部署。 这样做的好处是,通过 MDM 自动部署,能够更新 PAC 文件,而不是使用服务器:端口配置,最后使用 Wi-Fi 代理将代理配置为仅应用于单个 Wi-Fi 连接,从而允许设备在其他位置连接时仍在使用。
有关Windows 10的代理设置的详细信息,请参阅为 Microsoft Intune 中的设备创建 Wi-Fi 配置文件 - Azure。
业务线应用
虽然可以通过 Microsoft Store 安装多个应用,但你可能已创建专用于混合现实的自定义应用。 这些分布在整个组织中的业务自定义应用称为业务线 (LOB) 应用。
有多种方法可以将应用程序部署到 HoloLens 2 设备。 应用可以通过 MDM、适用于企业的 Microsoft Store (MSfB) 直接进行部署,也可以通过预配程序包进行旁加载。 出于本指南的考虑,我们将使用所需的应用安装通过 MDM 部署应用。 这样,LOB 应用可在完成注册后自动下载到 HoloLens 设备。
对于没有自己的 LOB 的用户,我们将提供一个示例应用来测试此部署流。 此应用将作为 MRTK 示例应用,并且已经过预构建和打包,以测试概念证明。
有关应用部署的更多详细信息,请参阅应用管理:概述。
注意
HoloLens 2 仅支持运行 UWP ARM64 应用。
Guides Playbook
Guides 使用 Microsoft Dataverse 环境作为 Guides 应用的数据存储。 必须更了解 Dataverse 环境如何与 Guides 应用和租户交互。 我们不会在本指南中介绍如何管理 dataverse,而是查看部署Dynamics 365 Guides的基本概念 - Dynamics 365 混合现实。