常见方案 - HoloLens 2 的近脱机或隔离环境
概述
本指南提供有关在网络受限区域部署 HoloLens 2 的指导。 这可能适用于安全环境或无法保证网络的区域,例如发电厂、船舶或其他区域。
此方案旨在提供最佳的用户和管理员体验。 此方案允许在 IRIS 登录中使用 Microsoft Entra ID、Intune、Windows 更新和多个用户支持,同时满足具有更多安全性或网络挑战的组织的需求。
注意
此方案描述了一种可能的方法。 我们预计在此方案中部署的每个组织都有独特的要求,这些要求可以根据需要映射到此解决方案。
准备
本指南的云功能符合 云连接方案的要求。 需要对基础结构和安全团队进行以下决策。
确定所需的云连接级别
本指南假定正在使用以下服务:
- Microsoft 用户登录和身份验证的 Entra ID
- Microsoft Entra 多重身份验证和 Windows Hello 企业版
- Autopilot 进行设备部署
- Intune for Device Management
- 适用于设备更新的 Windows 更新
注意
如果组织内已使用这些服务,则安全团队可以重复使用已完成的任何安全评估。
确定使用期间的网络连接级别
考虑设备是否在使用期间连接到网络:
- 如果设备能够连接,则可以使用更多服务,例如 Dynamics 365 Remote Assist 或 Dynamics 365 Guides。
- 可以开发 LOB 应用程序,以在设备或组织网络中包含的服务器上使用本地数据存储。
用户注册和更新的治理过程
- 连接到网络时,用户需要将其初始登录设备。 设置 PIN 和 IRIS 后,他们可以脱机登录。
- 设备应按常规计划(每月一次)重新连接,以使任何 MDM 策略更改和 Windows 更新完成。
网络配置
详细的网络配置已超过本文的范围,根据独特的配置需求而有所不同。
- 防火墙应支持基于 URL 的筛选,因为 IP 筛选可能难以管理。
- 可以在透明模式下使用或不使用 SSL 检查的代理服务器,也可以在设备上配置。
- 设备需要能够访问下表中列出的相关终结点。
注意
在初始配置期间,网络工程师可能需要验证终结点是否可访问。
配置
关键配置元素与网络限制相关。 遵循连接的 HoloLens 2 部署指南 - 使用远程助手大规模连接 HoloLens 2 部署 - 配置 |Microsoft Docs 将允许完成大多数云配置。
启用网络上访问的关键 终结点 包括:
| 群 | 目的 |
|---|---|
| 近脱机设置 | 初始 OOBE |
| Microsoft Entra 多重身份验证 | MFA 请求(可选(如果未使用 Azure MFA) |
| Intune 和 MDM 配置 | Intune 注册(可选(如果未使用 Intune) |
| 证书 | 检查Microsoft证书状态 |
| 设备元数据 | 设备信息 |
| 诊断数据 | 将遥测数据发送到Microsoft(强烈建议) |
| 发 牌 | 验证软件许可 |
| 网络连接状态指示器 | 用于确认设备是否具有网络访问权限 |
| Windows Defender | 用于更新 Windows Defender 信息 |
| Windows 更新 | 用于 Windows 更新 |
| 设置 | 在设置应用程序中使用 |
提示
这些是利用 Autopilot、完成 OOBE 并允许 Microsoft Entra 用户使用 Windows Hello 企业版登录的关键终结点。 你的组织可能需要其他终结点来允许所需的功能。
部署和维护
部署和维护步骤与 云连接指南相同。 我们在此处提供了基本建议。
当设备重新连接到公司网络时,我们建议你每月至少执行一次手动更新(即每月的第二个星期三),以确保设备 up-to日期和安全。
手动更新应用商店应用
若要更新从 Microsoft 应用商店安装的应用,可以从 Microsoft 应用商店应用更新该应用。 对于为适用于企业的 Microsoft 应用商店安装的应用,还可以从适用于企业的 Microsoft 应用商店更新这些应用。
请参阅 如何手动更新应用。
手动更新 OS
在设置中随时检查更新。 若要查看可用的更新,请参阅:
- 打开 设置 应用。
- 导航到“更新 & 安全>Windows 更新。
- 选择 检查更新。
有关详细信息,请参阅 Update HoloLens。
手动与 MDM 同步
根据具体需求,确保执行更新并与 MDM 同步。
有关详细信息,请参阅 使用 MDM 管理 HoloLens 设备。