Preparare i certificati e i profili di rete per HoloLens 2

L'autenticazione basata su certificati è un requisito comune per i clienti che usano HoloLens 2. È possibile richiedere certificati per accedere al Wi-Fi, per connettersi alle soluzioni VPN o per accedere alle risorse interne nell'organizzazione.

Poiché HoloLens 2 dispositivi vengono in genere aggiunti a Microsoft Entra e gestiti da Intune o da un altro provider MDM, è necessario distribuire tali certificati usando un'infrastruttura di certificato SCEP (Simple Certificate Enrollment Protocol) o un'infrastruttura di certificato PKCS (Public Key Cryptography Standard) integrata con la soluzione MDM.

Nota

Se non si dispone di un provider MDM, è comunque possibile distribuire i certificati tramite un pacchetto di provisioning in Configurazione di Windows Designer o tramite Gestione certificati passando a Impostazioni > Aggiorna & Gestione certificati di sicurezza>.

Requisiti per i certificati

I certificati radice sono necessari per distribuire i certificati tramite un'infrastruttura SCEP o PKCS. Altre applicazioni e servizi nell'organizzazione potrebbero richiedere la distribuzione dei certificati radice anche nei dispositivi HoloLens 2. 

Wi-Fi requisiti di connettività

Per consentire a un dispositivo di essere fornito automaticamente con la configurazione Wi-Fi necessaria per la rete aziendale, è necessario un profilo di configurazione Wi-Fi. È possibile configurare Intune o un altro provider MDM per distribuire questi profili nei dispositivi. Se la sicurezza di rete richiede che i dispositivi facciano parte del dominio locale, potrebbe anche essere necessario valutare l'infrastruttura di rete Wi-Fi per assicurarsi che sia compatibile con i dispositivi HoloLens 2 (i dispositivi HoloLens 2 vengono aggiunti solo Microsoft Entra).

Distribuire l'infrastruttura di certificati

Se non esiste già un'infrastruttura SCEP o PKCS, è necessario prepararne una. Per supportare l'uso di certificati SCEP o PKCS per l'autenticazione, Intune richiede l'uso di un connettore di certificati.

Nota

Quando si usa SCEP con una CA Microsoft, è necessario configurare anche il servizio Registrazione dispositivi di rete (NDES)

Per altre informazioni, vedere Configurare un profilo certificato per i dispositivi in Microsoft Intune.

Distribuire certificati e profilo Wi-Fi/VPN

Importante

Nei dispositivi HoloLens i profili VPN vengono applicati all'ambito del dispositivo e verranno applicati a tutti gli utenti.

Per distribuire certificati e profili, seguire questa procedura:

  1. Creare un profilo per ognuno dei certificati radice e intermedi (vedere Creare profili certificato attendibili). Ognuno di questi profili deve avere una descrizione che include una data di scadenza in formato GG/MM/AAAA. I profili certificato senza una data di scadenza non verranno distribuiti.

  2. Creare un profilo per ogni certificato SCEP o PKCS (vedere Creare un profilo certificato SCEP o Creare un profilo certificato PKCS) Ognuno di questi profili deve avere una descrizione che include una data di scadenza in formato GG/MM/AAAA. I profili certificato senza una data di scadenza non verranno distribuiti.

    Nota

    Poiché il HoloLens 2 è considerato per molti un dispositivo condiviso, è consigliabile distribuire certificati del dispositivo anziché certificati utente per Wi-Fi'autenticazione, se possibile

  3. Creare un profilo per ogni rete aziendale Wi-Fi (vedere Impostazioni Wi-Fi per Windows 10 e dispositivi successivi).

    Nota

    È consigliabile assegnare il profilo di Wi-Fi ai gruppi di dispositivi anziché ai gruppi di utenti laddove possibile.

    Suggerimento

    È anche possibile esportare un profilo di Wi-Fi funzionante da un PC Windows 10 nella rete aziendale. Questa esportazione crea un file XML con tutte le impostazioni correnti. Importare quindi questo file in Intune e usarlo come profilo Wi-Fi per i dispositivi HoloLens 2. Vedi Esportare e importare le impostazioni Wi-Fi per i dispositivi Windows.

  4. Creare un profilo per ogni VPN aziendale (vedere Windows 10 e le impostazioni del dispositivo Windows Holographic per aggiungere connessioni VPN con Intune).

Risoluzione dei problemi

Problema: non è possibile connettersi alla rete usando l'autenticazione basata su certificato

Sintomi

Il dispositivo non riesce a stabilire una connessione di rete con l'autenticazione basata su certificato.

Passaggi per la risoluzione dei problemi

  1. Se è necessario verificare che un certificato venga distribuito correttamente, usare Gestione certificati nel dispositivo per verificare che il certificato sia presente.

    Avviso

    Sebbene sia possibile visualizzare i certificati distribuiti da MDM in Gestione certificati, non è possibile disinstallarli in Gestione certificati. È necessario disinstallarli tramite MDM.

  2. Solo per Intune, se si usa Simple Certificate Enrollment Protocol (SCEP) per distribuire i certificati, assicurarsi che l'URL del server NDES (Network Device Enrollment Service) sia raggiungibile dal dispositivo. Per informazioni sull'installazione, vedere Certificati SCEP in Intune. Se CNAME viene usato invece di un dominio completo per il server NDES, assicurarsi che venga risolto correttamente digitando tale URL in un Web browser nel dispositivo.