将云连接的 HoloLens 2 部署到外部客户端

• 适用于:

  HoloLens 2

本指南是对 云连接部署指南的补充。 在组织希望将 HoloLens 2 设备寄送到外部客户端设施供短期或长期使用的情况下使用。 外部客户端将使用组织提供的凭据登录到 HoloLens 2 设备，并使用 Remote Assist 联系专家。 本指南提供了适用于大多数外部 HoloLens 2 部署方案的 常规 HoloLens 2 部署建议 一般 HoloLens 2 部署建议，客户部署 Remote Assist 以供外部使用时 的常见问题。

先决条件

应根据 云连接部署指南 部署 HoloLens 2 外部部署以下基础结构。

• 使用 MDM 自动注册Microsoft Entra 联接 - MDM 托管 （Intune）
• 用户使用自己的公司帐户登录（Microsoft Entra ID）
  • 每个设备支持单个或多个用户。

远程协助许可和要求

• Microsoft Entra 帐户（购买订阅和分配许可证需要）
• Remote Assist 订阅（或 Remote Assist 试用版）

请参阅 详细了解远程协助。

Dynamics 365 Remote Assist 用户

• Remote Assist 许可证
• 网络连接

Microsoft Teams 用户

• Microsoft Teams 或 Teams Freemium
• 网络连接

常规部署建议

建议对外部 HoloLens 2 部署执行以下步骤：

1. 使用 最新的 HoloLens OS 版本 作为基线生成。

2. 按照以下步骤分配基于用户的许可证或基于设备的许可证：

   1. Microsoft在 entra ID 中创建组，并为 HoloLens/RA 用户添加成员。
   2. 为此组分配基于设备的许可证或基于用户的许可证。
   3. （可选）移动设备管理（MDM） 策略的目标组。

3. 将 Microsoft Entra 设备加入租户，自动注册，并通过 Autopilot进行配置。 有关详细信息，请参阅 设备所有者。

   1. 设备上的第一个用户将是设备所有者。
   2. 如果设备已加入Microsoft Entra，则执行联接的用户将成为设备所有者。

4. 租户锁定 设备，以便它只能由租户加入。

   1. 另请参阅 租户锁定 CSP。

5. 使用全局分配的访问配置展台模式。

6. 禁用以下（可选）功能：

   1. ，能够将设备置于开发人员模式 。
   2. 能够将 HoloLens 连接到电脑以复制日期，禁用 USB。

      注意

      如果不想禁用 USB，但希望能够使用 USB 将预配包应用到设备，请按照有关如何允许预配包安装的 说明进行操作。

7. 使用 Windows Defender 应用程序控制（WDAC） 允许或阻止 HoloLens 2 设备上的应用。

8. 在安装过程中将 Remote Assist 更新到最新版本。 请考虑以下两个选项：

   1. 转到 Windows Microsoft 应用商店 --> Remote Assist -> 和更新应用。
   2. ApplicationManagement/AllowAppStoreAutoUpdate（允许自动更新）默认启用。 使设备保持插入状态以接收更新。

9. 禁用除网络设置以外的所有设置页面，以允许用户连接到客户端站点上的来宾网络。

10. 管理 HoloLens 更新

    1. 控制 OS 更新 或允许自由流动的选项。

11. 设置 常见设备限制。

现在，外部客户端已准备好使用其 HoloLens 2。

常见的外部客户端部署问题

• 确保客户端无法相互通信
• 确保客户端无法访问公司资源
• 隐藏或限制应用
• 管理客户端的密码
• 确保客户端无法访问聊天历史记录

确保外部客户端无法相互通信

不支持远程协助 HoloLens 到 HoloLens 调用。 客户端可以搜索，但无法相互通信。 Microsoft 365 中 信息屏障可以进一步限制客户端可以搜索和调用的人员。 另一种选择是使用 Microsoft Teams 范围的目录搜索。

注意

由于启用了单一登录，因此必须使用 Windows Defender 应用程序控制（WDAC）禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 Web 版本，客户端将有权访问聊天历史记录。

确保客户端无法访问公司资源

有两个选项需要考虑。

第一个选项是多层方法：

1. 仅分配用户所需的许可证。 如果未分配 OneDrive、Outlook、SharePoint、Yammer 等，则用户将无权访问这些资源。 用户需要的唯一许可证是 Remote Assist、Intune 和 Microsoft Entra ID 许可证才能开始。
2. 阻止你不希望客户端访问的应用（请参阅[应用是隐藏或受限的]（#apps 是隐藏或受限的）。
3. 不要与客户端共享用户名和密码。 若要登录到 HoloLens 2，需要电子邮件和数字 PIN。

第二个选项是创建托管客户端的单独租户（请参阅 Image 1.1）。

图像 1.1

隐藏或受限的应用

展台模式 和/或 Windows Defender 应用程序控制（WDAC） 是用于隐藏和/或限制应用程序的选项。

客户端的密码管理

1. 删除密码过期。 但是，此选项可能会增加帐户泄露的可能性。 NIST 密码建议每 30-90 天更改一次密码。
2. 将 HoloLens 2 设备的密码过期时间延长至超过 90 天。
3. 设备应返回到组织以更改密码。 但是，如果设备预期在客户端工厂中 90 天以上，则此选项可能会导致问题。
4. 对于发送到多个客户端的设备，在将设备寄送到客户端之前重置密码。

确保客户端无法访问聊天历史记录

远程助手在每个会话后清除聊天历史记录。 但是，Microsoft Teams 用户可以使用聊天历史记录。

注意

由于启用了单一登录，因此必须使用 Windows Defender 应用程序控制（WDAC）禁用浏览器。 如果外部客户端打开浏览器并使用 Teams 的 Web 版本，客户端将有权访问呼叫/聊天历史记录。