將雲端連線HoloLens 2部署至外部用戶端

• 適用於:

  HoloLens 2

本指南是 雲端連線部署指南的補充。 它用於貴組織想要將HoloLens 2裝置寄送至外部用戶端設施以供短期或長期使用的情況。 外部用戶端會使用貴組織提供的認證登入HoloLens 2裝置，並使用Remote Assist與您的專家連絡。 本指南提供適用于大部分外部HoloLens 2部署案例的一般HoloLens 2部署建議，以及客戶在部署 Remote Assist 以供外部使用時所具備的常見考慮。

必要條件

每個雲端連線部署指南都應該具備下列基礎結構，才能在外部部署HoloLens 2。

• Microsoft Entra加入 MDM 自動註冊 — MDM 管理的 (Intune)
• 使用者使用自己的公司帳戶登入 (Microsoft Entra 識別碼)
  • 支援每個裝置的單一或多個使用者。

遠端協助授權和需求

• 購買訂用帳戶和指派授權所需的Microsoft Entra帳戶 ()
• Remote Assist 訂 用帳戶 (或 Remote Assist 試用版)

請參閱 深入瞭解 Remote Assist。

Dynamics 365 Remote Assist使用者

• 遠端輔助授權
• 網路連線

Microsoft Teams 使用者

• Microsoft Teams 或 Teams Freemium
• 網路連線

一般部署建議

建議針對外部HoloLens 2部署執行下列步驟：

1. 使用 最新的 HoloLens OS 版本 作為基準組建。

2. 依照下列步驟指派使用者型或裝置型授權：

   1. 在Microsoft Entra識別碼中建立群組，並為HoloLens/RA 使用者新增成員。
   2. 將裝置型或使用者型授權指派 給此群組。
   3. (適用于行動 裝置管理 (MDM) 原則的選擇性) 目標群組。

3. 將Microsoft Entra裝置加入租使用者、自動註冊，以及透過Autopilot進行設定。 如需詳細資訊，請參閱 裝置擁有者。

   1. 裝置上的第一位使用者將會是裝置擁有者。
   2. 如果裝置已Microsoft Entra加入，則執行加入的使用者會成為裝置擁有者。

4. 租使用者鎖定 裝置，使其只能由您的租使用者加入。

   1. 另請參閱 租使用者鎖定 CSP。

5. 使用全域指派的存取權設定 Kiosk 模式。

6. 停用下列 (選擇性) 功能：

   1. 能夠 在這裡將裝置放入開發人員模式。
   2. 能夠將 HoloLens 連線到電腦以 複製日期停用 USB。

      注意

      如果您不想停用 USB，但想要能夠使用 USB 將布建套件套用至裝置，請遵循 如何允許布建套件安裝的指示。

7. 使用Windows Defender應用程式控制 (WDAC) 來允許或封鎖HoloLens 2裝置上的應用程式。

8. 將 Remote Assist 更新為安裝程式的一部分。 請考慮下列兩個選項：

   1. 移至 Windows Microsoft Store -- > 遠端輔助 -- > 和更新應用程式。
   2. ApplicationManagement/AllowAppStoreAutoUpdate - 預設會啟用自動應用程式更新。 讓裝置保持插入以接收更新。

9. 停用網路設定以外的所有設定頁面 ，以允許使用者連線到用戶端網站上的客體網路。

10. 管理 HoloLens 更新

    1. 控制 OS 更新或允許自由流動的選項。

11. 設定 常見的裝置限制。

現在，您的外部用戶端已準備好使用其HoloLens 2。

常見的外部用戶端部署考慮

• 確保用戶端無法彼此通訊
• 確保用戶端無法存取公司資源
• 隱藏或限制應用程式
• 管理用戶端的密碼
• 確保用戶端無法存取聊天記錄

確定外部用戶端無法彼此通訊

不支援遠端協助 HoloLens 至 HoloLens 呼叫。 用戶端可以搜尋，但無法彼此通訊。 Microsoft 365 中的資訊屏障 可以進一步限制用戶端可以搜尋和呼叫的物件。 另一個選項是使用 Microsoft Teams 範圍目錄搜尋。

注意

由於已啟用單一登入，因此請務必使用Windows Defender應用程式控制 (WDAC) 停用瀏覽器。 如果外部用戶端開啟瀏覽器並使用 Teams 的網頁版本，用戶端將可存取您的聊天歷程記錄。

確定用戶端無法存取公司資源

有兩個選項需要考慮。

第一個選項是多層式方法：

1. 僅指派使用者所需的授權。 如果您未指派 OneDrive、Outlook、SharePoint、Yammer 等，使用者將無法存取這些資源。 使用者所需的唯一授權是 Remote Assist、Intune 和Microsoft Entra識別碼授權才能開始。
2. 封鎖應用程式 (，例如您不想讓用戶端存取的電子郵件 () ，請參閱 [應用程式已隱藏或限制] (#應用程式已隱藏或限制) ) 。
3. 請勿與用戶端共用使用者名稱或密碼。 若要登入HoloLens 2，則需要電子郵件和數位 PIN。

第二個選項是建立裝載用戶端的個別租使用者， (請參閱映射 1.1) 。

影像 1.1

隱藏或受限制的應用程式

Kiosk 模式和/或Windows Defender應用程式控制 (WDAC) 是隱藏和/或限制應用程式的選項。

用戶端的密碼管理

1. 移除密碼到期。 不過，此選項可能會增加帳戶遭到入侵的機會。 NIST 密碼建議每隔 30-90 天變更密碼一次。
2. 將HoloLens 2裝置的密碼到期日延長為超過 90 天。
3. 裝置應該會傳回給貴組織以變更密碼。 不過，如果裝置預期在用戶端工廠中 90 天以上，此選項可能會造成問題。
4. 對於傳送至多個用戶端的裝置，請先重設密碼，再將裝置傳送至用戶端。

確定用戶端無法存取聊天記錄

遠端協助會在每次會話之後清除聊天歷程記錄。 不過，Microsoft Teams 使用者將可使用聊天歷程記錄。

注意

由於已啟用單一登入，因此請務必使用Windows Defender應用程式控制 (WDAC) 停用瀏覽器。 如果外部用戶端開啟瀏覽器並使用 Teams 的網頁版本，用戶端將有權存取通話/聊天歷程記錄。