本指南可帮助 IT 专业人员在其组织中部署 Microsoft HoloLens 2 设备:
- Cloud connect HoloLens 2 设备
- 向外部客户端贷款 HoloLens 2 设备以供使用
- 安全借出设备
本指南将提供 一般的 hololens 2 部署建议 ,适用于大多数 hololens 2 部署方案,以及客户在部署外部使用的远程协助时的 常见问题。
方案描述
出于本文档的目的,Contoso 公司希望将一个 HoloLens 2 设备寄送到外部客户端的工厂,以便进行短期或长期使用。 如果客户端需要帮助服务设备,则客户端将使用 Contoso 公司提供的凭据登录到 HoloLens 2 设备,并使用远程协助联系 Contoso 公司的专家。
此方案的要求
- Azure AD
- Mobile Device Manager-例如 Intune
- 远程协助许可证
- 购买远程协助
- 试用远程协助
常见问题
- 如何确保外部客户端不能相互通信
- 如何确保客户端无法访问公司资源
- 如何限制应用
- 如何管理密码
- 如何确保客户端无权访问聊天历史记录
如何确保外部客户端不能相互通信
由于不支持远程协助 HoloLens 到 HoloLens 的调用,因此客户端能够搜索,但无法进行相互通信。 为了进一步限制客户端可以搜索和调用的人员, 信息障碍 可限制客户端可以与之通信。 要考虑的另一个选项是使用 范围的目录搜索
备注
由于启用了单一登录,因此请务必使用 WDAC禁用浏览器。 如果外部客户端打开浏览器并使用 web 版本的团队,则客户端将有权访问呼叫/聊天历史记录。
如何确保客户端无法访问公司资源
需要考虑两个选项。
第一个选项是多层方法:
- 仅分配用户需要的许可证。 如果没有为用户分配 OneDrive、Outlook、SharePoint、Yammer 等,则他/她将无法访问这些资源。 用户需要的唯一许可证是远程协助、Intune 和 AAD 许可证开始。
- 阻止应用程序 (例如不希望客户端访问的电子邮件) 。
- 不要将用户名和密码与客户端共享。 若要登录到 HoloLens 2,需要电子邮件和数字 PIN。
第二种方法是创建一个承载客户端的单独租户 (参阅图像 1.1) 。
图像1。1
如何限制应用
展台模式 和/或 WDAC (Windows Defender 应用程序控制) 是用于限制应用程序的选项。
如何管理密码
- 删除密码过期。 但是,这会增加帐户泄露的可能性。 NIST 密码建议每30-90 天更改一次密码。
- 将 HoloLens 2 设备的密码过期时间延长到超过90天。
- 设备应返回到 Contoso 以更改密码。 但是,如果设备预期在客户端的工厂中超过90天,这可能会导致问题。
- 对于发送到多个客户端的设备,在将设备发送到客户端之前重置密码。
如何确保客户端无权访问聊天历史记录
远程协助在每个会话之后清除聊天历史记录。 但是,聊天历史记录将可供 Microsoft 团队用户使用。
备注
由于启用了单一登录,因此请务必使用 WDAC禁用浏览器。 如果外部客户端打开浏览器并使用 web 版本的团队,则客户端将有权访问呼叫/聊天历史记录。
一般部署建议和说明
建议为 HoloLens 2 部署步骤执行以下操作:
- 使用 最新的 HOLOLENS OS 版本 作为基准构建。
- 分配基于用户或基于设备的许可证:
- 基于用户和基于设备的许可证都遵循以下步骤:
- 在 AAD 中创建一个组,并 为 HOLOLENS/RA 用户添加成员。
- 将基于设备或基于用户的许可证分配 给此组。
- (可选) 你可以将 MDM 策略的组作为目标。
- 基于用户和基于设备的许可证都遵循以下步骤:
- 设备应通过 AAD 加入你的租户、 自动注册,并通过 自动试验进行配置。
- 请注意,设备上的第一个用户将是设备所有者。
- 请注意,如果设备已加入 AAD,则执行联接的用户将成为设备所有者。
- 租户锁定 设备,以便它只能加入你的租户。
- 附加链接: 租户锁定 CSP。
- 使用 此处的全局分配访问权限配置展台。
- 建议禁用以下 (可选) 功能:
- 可以将设备置于开发人员模式。
- 能够将 HoloLens 连接到 PC 以复制日期 禁用 USB。 备注如果不想禁用 USB,但希望能够使用 USB 将设置包应用于设备,请按照列出的说明进行操作。
- 使用 WDAC 允许或阻止 HoloLens 2 设备上的应用。
- 在安装过程中将远程协助更新到最新版本。 可以通过两种方法执行此操作:
- 这可以通过转到 Windows Microsoft Store–> 远程协助–> 和更新应用 来完成。
- ApplicationManagement/AllowAppStoreAutoUpdate -默认情况下启用自动应用更新。 保持设备的连接以接收更新。
- 禁用除网络设置以外的所有设置页,以允许用户在客户端站点连接到来宾网络。
- 管理 HoloLens 更新
- 控制 OS 更新或允许自由流动的选项。
- 常见设备限制。
(文章来源:微软)