Подготовка сертификатов и сетевых профилей для HoloLens 2

Аутентификация на основе сертификатов — это стандартное требование для клиентов, использующих HoloLens 2. Сертификаты могут применяться для доступа к Wi-Fi, подключения к решениям VPN или доступа к внутренним ресурсам организации.

Так как устройства HoloLens 2 обычно подключаются к Azure Active Directory (Azure AD) и управляются через Intune или другой поставщик MDM, такие сертификаты следует развертывать с помощью инфраструктуры сертификатов на основе службы регистрации сертификатов для сетевых устройств (SCEP) или стандарта криптографии с открытым ключом (PKCS), которая интегрирована с вашим решением MDM.

Примечание

Если у вас нет поставщика MDM, вы можете развернуть сертификаты с помощью пакета подготовки в конструкторе конфигурации Windows или с помощью диспетчера сертификатов. Для этого откройте меню Параметры > Обновление и безопасность > Диспетчер сертификатов.

Требования к сертификатам

Корневые сертификаты необходимы для развертывания сертификатов через инфраструктуру SCEP или PKCS. Для других приложений и служб в вашей организации может потребоваться также наличие корневых сертификатов на устройствах HoloLens 2. 

Требования для подключения к Wi-Fi

Чтобы автоматически предоставлять устройству требуемую конфигурацию Wi-Fi в корпоративной сети, вам понадобится профиль конфигурации Wi-Fi. Развертывание таких профилей на устройствах можно настроить в Intune или другом поставщике MDM. Если для сетевой безопасности необходимо, чтобы устройства были частью локального домена, вам также следует оценить сетевую инфраструктуру Wi-Fi и убедиться, что она совместима с устройствами HoloLens 2 (устройства HoloLens 2 подключаются только к Azure AD).

Развертывание инфраструктуры сертификатов

Если инфраструктур SCEP или PKCS не существует, необходимо подготовить одну из них. Для поддержки аутентификации с использованием сертификатов SCEP или PKCS в Intune нужно использовать соединитель сертификата.

Примечание

При использовании SCEP совместно с ЦС Майкрософт необходимо также настроить службу регистрации сертификатов для сетевых устройств (NDES).

Дополнительные сведения см. в статье о настройке профиля сертификатов для устройств в Microsoft Intune.

Развертывание сертификатов и профилей для Wi-Fi и VPN

Важно!

На устройствах HoloLens профили VPN применяются в области устройства и ко всем пользователям.

Чтобы развернуть сертификаты и профили, выполните следующие действия:

  1. Создайте профиль для каждого корневого и промежуточного сертификата (подробные сведения см. в разделе Создание профилей доверенных сертификатов). Каждый из этих профилей должен иметь описание с датой окончания срока действия в формате дд/мм/гггг. Профили сертификатов, для которых не указана дата окончания срока действия, не будут развернуты.

  2. Создайте профиль для каждого сертификата SCEP или PKCS (подробные сведения см. в разделе Создание профиля сертификата SCEP или PKCS). Каждый из этих профилей должен иметь описание с датой окончания срока действия в формате дд/мм/гггг. Профили сертификатов, для которых не указана дата окончания срока действия, не будут развернуты.

    Примечание

    Так как HoloLens 2 часто рассматривается как общее устройство, то есть используемое несколькими пользователями, мы рекомендуем для аутентификации Wi-Fi развертывать на них сертификаты устройств, а не сертификаты пользователей (насколько это возможно).

  3. Создайте профиль для каждой корпоративной сети Wi-Fi (подробные сведения см. в статье Параметры Wi-Fi для устройств Windows 10 и более поздних версий).

    Примечание

    Рекомендуется присваивать профиль Wi-Fi группам устройств, а не группам пользователей.

    Совет

    Также вы можете экспортировать рабочий профиль Wi-Fi с компьютера под управлением Windows 10 в корпоративную сеть. В результате экспорта будет создан XML-файл со всеми текущими параметрами. Затем импортируйте этот файл в Intune и примените его в качестве профиля Wi-Fi для устройств HoloLens 2. См. статью об экспорте и импорте параметров Wi-Fi для устройств на платформе Windows.

  4. Создайте профиль для каждой корпоративной VPN-сети (подробные сведения см. в статье Параметры устройств Windows 10 и Windows Holographic, позволяющие добавить VPN-подключения с помощью Intune).

Устранение неполадок

Ошибка — не удается подключиться к сети с помощью проверки подлинности на основе сертификатов

Симптомы

Устройству не удается установить сетевое подключение с помощью проверки подлинности на основе сертификатов.

Действия по устранению неполадок

  1. Если потребуется проверить правильность развертывания сертификата, запустите на устройстве диспетчер сертификатов и убедитесь в наличии нужного сертификата.

    Предупреждение

    В диспетчере сертификатов вы можете просматривать сертификаты, развернутые через решение MDM, но не можете удалять их. Для удаления воспользуйтесь тем же решением MDM.

  2. Только для Intune. Если служба регистрации сертификатов для сетевых устройств (SCEP) используется для развертывания сертификатов, убедитесь, что URL-адрес сервера службы регистрации сертификатов для сетевых устройств (NDES) доступен с устройства. См. сведения о сертификатах SCEP в Intune, чтобы узнать больше о настройке. Если для сервера NDES вместо полного доменного имени используется запись CNAME, убедитесь, что она правильно разрешена, введя этот URL-адрес в веб-браузере на устройстве.