Verwalten der Benutzeridentität und Anmeldung für HoloLens

  • Artikel
  • Gilt für::
    HoloLens (1st gen), HoloLens 2

Hinweis

Dieser Artikel ist eine technische Referenz für IT-Experten und Technologiebegeisterte. Wenn Sie nach Anweisungen zum Einrichten von HoloLens suchen, lesen Sie "Einrichten Ihrer HoloLens (1. Generation)" oder "Einrichten Ihrer HoloLens 2".

Tipp

HoloLens 2 ist als Microsoft Entra ID eingebundenes Gerät konfiguriert und unterstützt kein lokales Active Directory. In den meisten Fällen kann die Authentifizierung entweder mit einer Verwalteten Entra-ID-Identität oder einer Verbund-Entra-ID-Identität durchgeführt werden. Wenn Ihr Verbunddienst jedoch Authentifizierungsprobleme verursacht, sollten Sie sicherstellen, dass Sie sich von einer Nur Windows 10 oder Windows 11 PC eingebundenen Entra-ID anmelden können. Viele Authentifizierungsprobleme sind das Ergebnis von Nur-Entra-ID-Konfigurationen und nicht auf ein HoloLens-spezifisches Problem. Die Behandlung dieser Herausforderungen ist von einem Windows 10- oder Windows-PC aus viel einfacher.

Hier geht es um das Einrichten der Benutzeridentität für HoloLens 2

Wie andere Windows-Geräte arbeitet HoloLens immer unter einem Benutzerkontext. Es gibt immer eine Benutzeridentität. HoloLens behandelt die Identität nahezu auf die gleiche Weise wie ein Windows 10- oder Windows 11-Gerät. Wenn Sie sich während des Setups anmelden, wird ein Benutzerprofil auf HoloLens erstellt, in dem Apps und Daten gespeichert werden. Dasselbe Konto bietet auch einmaliges Anmelden für Apps wie Microsoft Edge oder Dynamics 365 Remote Assist mithilfe der Windows Account Manager-APIs.

HoloLens unterstützt verschiedene Arten von Benutzeridentitäten. Sie können einen dieser drei Kontotypen auswählen, aber wir empfehlen dringend, Microsoft Entra ID, da dies für die Verwaltung von Geräten am besten geeignet ist. Nur Microsoft Entra Konten unterstützen mehrere Benutzer.

Identitätstyp Konten pro Gerät Authentifizierungsoptionen
Microsoft Entra ID1 63
  • Azure-Webinformationsanbieter
  • Azure Authenticator-App
  • Biometrische (Iris) – HoloLens 2 nur2
  • FIDO2-Sicherheitsschlüssel
  • PIN: Optional für HoloLens (1. Generation), erforderlich für HoloLens 2
  • Kennwort
Microsoft-Konto (MSA) 1
  • Biometrische (Iris) – nur HoloLens 2
  • PIN: Optional für HoloLens (1. Generation), erforderlich für HoloLens 2
  • Kennwort
Lokales Konto3 1 Kennwort
Freigegebene Microsoft Entra ID 1 Certificate-Based-Authentifizierung (CBA)

Mit der Cloud verbundene Konten (Microsoft Entra ID und MSA) bieten mehr Features, da sie Azure-Dienste verwenden können.

Wichtig

1 : Microsoft Entra ID P1 oder P2 ist nicht erforderlich, um sich beim Gerät anzumelden. Dies ist jedoch für andere Features einer cloudbasierten Bereitstellung mit geringer Fingereingabe erforderlich, z. B. automatische Registrierung und Autopilot.

Hinweis

2 . Während ein HoloLens 2 Gerät bis zu 63 Microsoft Entra-Konten sowie ein Systemkonto für insgesamt 64 Konten unterstützen kann, sollten sich nur bis zu 10 dieser Konten bei der Iris-Authentifizierung registrieren. Dies entspricht anderen biometrischen Authentifizierungsoptionen für Windows Hello for Business. Während mehr als 10 Konten bei der Iris-Authentifizierung registriert werden können, erhöht dies die Rate falsch positiver Ergebnisse und wird nicht empfohlen.

Wichtig

3 : Ein lokales Konto kann auf einem Gerät nur über ein Bereitstellungspaket während der OOBE eingerichtet werden. Es kann nicht später in der Einstellungs-App hinzugefügt werden. Wenn Sie ein lokales Konto auf einem bereits eingerichteten Gerät verwenden möchten, müssen Sie das Gerät erneut flashen oder zurücksetzen.

Wie wirkt sich der Kontotyp auf das Anmeldeverhalten aus?

Wenn Sie Richtlinien für die Anmeldung anwenden, wird die Richtlinie immer eingehalten. Wenn keine Richtlinie für die Anmeldung angewendet wird, sind dies die Standardverhaltensweisen für jeden Kontotyp:

  • Microsoft Entra ID: fordert standardmäßig die Authentifizierung an, und kann über Einstellungen konfiguriert werden, um nicht mehr zur Authentifizierung zu fragen.
  • Microsoft-Konto: Das Sperrverhalten ist anders, was die automatische Entsperrung ermöglicht, aber die Anmeldeauthentifizierung ist beim Neustart weiterhin erforderlich.
  • Lokales Konto: Fragt immer nach der Authentifizierung in Form eines Kennworts, nicht konfigurierbar in Einstellungen

Hinweis

Inaktivitätszeitgeber werden derzeit nicht unterstützt. Dies bedeutet, dass die AllowIdleReturnWithoutPassword-Richtlinie nur dann beachtet wird, wenn das Gerät in StandBy wechselt.

Iris-Anmeldung

Erfassung biometrischer Daten durch HoloLens

Biometrische Daten (einschließlich Kopf-/ Hand-/Augenbewegungen, Irisscan), die dieses Gerät sammelt, werden für die Kalibrierung verwendet, um zuverlässige Interaktionen zu verbessern und die Benutzererfahrung zu verbessern. Wie bei anderen Windows-Geräten können Apps von Drittanbietern auf dem Gerät auf Ihre Daten auf dem Gerät zugreifen, um bestimmte Funktionen und Features bereitzustellen. Weitere Informationen zum Lizenzvertrag und zur Microsoft-Datenschutzerklärung finden Sie im Abschnitt Datenschutz in den Einstellungen.

HoloLens Iris-Anmeldung basiert auf Windows Hello. HoloLens speichert biometrische Daten, die verwendet werden, um Windows Hello sicher auf dem lokalen Gerät zu implementieren. Die biometrischen Daten werden nicht übertragen und zu keinem Zeitpunkt an externe Geräte oder Server gesendet. Da Windows Hello nur biometrische Identifikationsdaten auf dem Gerät speichert, gibt es keinen einzigen Sammlungspunkt, den ein Angreifer kompromittieren kann, um biometrische Daten zu stehlen.

HoloLens führt die Irisauthentifizierung basierend auf gespeicherten Bitcodes durch. Benutzer haben die vollständige Kontrolle darüber, ob sie ihr Benutzerkonto für die Iris-Anmeldung für die Authentifizierung registrieren. Und IT-Administratoren können Windows Hello Funktionen über ihre MDM-Server deaktivieren. Weitere Informationen finden Sie unter Verwalten von Windows Hello for Business in Ihrem organization.

Hinweis

Freigegebene Microsoft Entra ID-Konten unterstützen keine Irisanmeldung auf der HoloLens. Weitere Informationen zu den Vorteilen und Einschränkungen der Verwendung freigegebener Microsoft Entra-Konten finden Sie hier.

Häufig gestellte Fragen zu Iris

Wie wird die biometrische Iris-Authentifizierung auf HoloLens 2 implementiert?

HoloLens 2 unterstützt die Irisauthentifizierung. Iris basiert auf Windows Hello Technologie und wird für die Verwendung von Microsoft Entra ID- und Microsoft-Konten unterstützt. Iris wird auf die gleiche Weise wie andere Windows Hello Technologien implementiert und erreicht biometrische Sicherheit FAR von 1/100K.

Weitere Informationen finden Sie in den biometrischen Anforderungen und Spezifikationen für Windows Hello. Erfahren Sie mehr über Windows Hello und Windows Hello for Business.

Wo werden biometrische Iris-Informationen gespeichert?

Biometrische Iris-Informationen werden lokal auf jeder HoloLens gemäß Windows Hello Spezifikationen gespeichert. Es wird nicht freigegeben und wird durch zwei Verschlüsselungsebenen geschützt. Es ist nicht für andere Benutzer zugänglich, auch nicht für einen Administrator, da auf einer HoloLens kein Administratorkonto vorhanden ist.

Muss ich die Iris-Authentifizierung verwenden?

Nein, Sie können diesen Schritt während des Setups überspringen.

Richten Sie Iris ein.

HoloLens 2 bietet viele verschiedene Optionen für die Authentifizierung, einschließlich FIDO2-Sicherheitsschlüsseln.

Können Iris-Informationen aus der HoloLens entfernt werden?

Ja, Sie können es manuell in den Einstellungen entfernen.

Einrichten von Benutzern

Es gibt zwei Möglichkeiten, einen neuen Benutzer auf der HoloLens einzurichten. Der häufigste Weg ist während der HoloLens-Out-of-Box-Erfahrung (OOBE). Wenn Sie Microsoft Entra ID verwenden, können sich andere Benutzer nach OOBE mit ihren Microsoft Entra Anmeldeinformationen anmelden. HoloLens-Geräte, die während der OOBE anfänglich mit einem MSA- oder lokalen Konto eingerichtet sind, unterstützen nicht mehrere Benutzer. Weitere Informationen finden Sie unter Einrichten Ihrer HoloLens (1. Generation) oder HoloLens 2.

Wenn Sie ein Unternehmens- oder Organisationskonto verwenden, um sich bei HoloLens anzumelden, registriert sich HoloLens bei der IT-Infrastruktur des organization. Mit dieser Registrierung können Ihre IT-Admin Mobile Geräteverwaltung (MDM) konfigurieren, um Gruppenrichtlinien an Ihre HoloLens zu senden.

Wie bei Windows auf anderen Geräten erstellt die Anmeldung während des Setups ein Benutzerprofil auf dem Gerät. Das Benutzerprofil speichert Apps und Daten. Dasselbe Konto bietet auch einmaliges Anmelden für Apps wie Microsoft Edge oder den Microsoft Store mithilfe der Windows Account Manager-APIs.

Wie bei anderen Windows 10 Geräten müssen Sie sich standardmäßig erneut anmelden, wenn HoloLens neu gestartet oder aus dem Standbymodus fortgesetzt wird. Sie können die Einstellungen-App verwenden, um dieses Verhalten zu ändern, oder das Verhalten kann durch gruppenrichtlinien gesteuert werden.

Tipp

Wenn mehrere Benutzer ein Gerät verwenden, ist es wichtig, das Visier sauber zu halten. Weitere Informationen zum sauber des Geräts finden Sie unter HoloLens 2 Häufig gestellte Fragen zur Reinigung. Es wird empfohlen, das Visier zwischen den einzelnen Benutzern sauber. Diese bewährte Methode ist besonders wichtig, wenn Sie die Iris-Authentifizierung verwenden.

Verknüpfte Konten

Wie in der Desktopversion von Windows können Sie andere Webkontoanmeldeinformationen mit Ihrem HoloLens-Konto verknüpfen. Eine solche Verknüpfung erleichtert den Zugriff auf Ressourcen in apps oder innerhalb von Apps (z. B. im Store) oder die Kombination des Zugriffs auf persönliche und geschäftliche Ressourcen. Nachdem Sie ein Konto mit dem Gerät verbunden haben, können Sie die Berechtigung erteilen, das Gerät für Apps zu verwenden, sodass Sie sich nicht bei jeder App einzeln anmelden müssen.

Beim Verknüpfen von Konten werden die auf dem Gerät erstellten Benutzerdaten nicht getrennt, z. B. Bilder oder Downloads.

Einrichten der Unterstützung für mehrere Benutzer (nur Microsoft Entra)

HoloLens unterstützt mehrere Benutzer aus demselben Microsoft Entra Mandanten. Um dieses Feature verwenden zu können, müssen Sie ein Konto verwenden, das zu Ihrem organization gehört, um das Gerät einzurichten. Anschließend können sich andere Benutzer desselben Mandanten über den Anmeldebildschirm oder durch Tippen auf die Benutzerkachel im Startbereich beim Gerät anmelden. Es kann jeweils nur ein Benutzer angemeldet werden. Wenn sich ein Benutzer anmeldet, meldet HoloLens den vorherigen Benutzer ab.

Wichtig

Der erste Benutzer auf dem Gerät wird als Gerätebesitzer betrachtet, außer bei Microsoft Entra Beitritt erfahren Sie mehr über Gerätebesitzer.

Alle Benutzer können die auf dem Gerät installierten Apps verwenden. Jeder Benutzer verfügt jedoch über eigene App-Daten und -Einstellungen. Wenn Sie eine App vom Gerät entfernen, wird sie für alle Benutzer entfernt.

Hinweis

Eine weitere Option für Geräte, die für mehrere Benutzer freigegeben werden, ist das Erstellen eines Kontos für freigegebene Microsoft Entra ID auf dem Gerät. Ausführliche Informationen zum Konfigurieren dieses Kontos auf Ihrem Gerät finden Sie unter Shared Microsoft Entra-Konten in HoloLens.

Geräte, die mit Microsoft Entra Konten eingerichtet sind, lassen die Anmeldung beim Gerät mit einem Microsoft-Konto nicht zu. Alle nachfolgenden Konten, die verwendet werden, müssen Microsoft Entra Konten aus demselben Mandanten wie das Gerät sein. Sie können sich weiterhin mit einem Microsoft-Konto für Apps anmelden , die dies unterstützen (z. B. den Microsoft Store). Um von der Verwendung von Microsoft Entra-Konten zu Microsoft-Konten für die Anmeldung beim Gerät zu wechseln, müssen Sie das Gerät erneut flashen.

Hinweis

HoloLens (1. Generation) hat im Windows 10 Update vom April 2018 begonnen, mehrere Microsoft Entra Benutzer als Teil von Windows Holographic for Business zu unterstützen.

Mehrere Benutzer sind auf dem Anmeldebildschirm aufgeführt.

Zuvor wurden auf dem Anmeldebildschirm nur der zuletzt angemeldete Benutzer und ein Einstiegspunkt "Anderer Benutzer" angezeigt. Wir haben Kundenfeedback erhalten, dass es nicht ausreicht, wenn sich mehrere Benutzer beim Gerät angemeldet haben. Sie mussten ihren Benutzernamen usw. noch neu eingeben.

In Windows Holographic, Version 21H1 eingeführt, zeigt der Anmeldebildschirm mehrere Benutzer an, die sich rechts neben dem Eingabefeld PIN befinden, wenn Sie andere Benutzer auswählen, die sich zuvor beim Gerät angemeldet haben. Dadurch können Benutzer ihr Benutzerprofil auswählen und sich dann mit ihren Windows Hello Anmeldeinformationen anmelden. Ein neuer Benutzer kann auch über die Schaltfläche Konto hinzufügen von dieser Seite mit anderen Benutzern zum Gerät hinzugefügt werden.

Wenn sie im Menü Andere Benutzer angezeigt wird, zeigt die Schaltfläche Andere Benutzer den letzten Benutzer an, der sich beim Gerät angemeldet hat. Wählen Sie diese Schaltfläche aus, um zum Anmeldebildschirm für diesen Benutzer zurückzukehren.

Anmeldebildschirm standardmäßig.


Anmeldebildschirm für andere Benutzer.

Entfernen von Benutzern

Sie können einen Benutzer vom Gerät entfernen, indem Sie zu Einstellungen>Konten>Andere Personen wechseln. Durch diese Aktion wird auch Speicherplatz abgerufen, indem alle App-Daten dieses Benutzers vom Gerät entfernt werden.

Verwenden des einmaligen Anmeldens in einer App

Als App-Entwickler können Sie verknüpfte Identitäten auf HoloLens nutzen, indem Sie die Windows-Konto-Manager-APIs wie auf anderen Windows-Geräten verwenden. Einige Codebeispiele für diese APIs sind auf GitHub verfügbar: Beispiel für die Webkontoverwaltung.

Alle möglicherweise auftretenden Kontounterbrechungen, z. B. das Anfordern der Benutzergenehmigung für Kontoinformationen, die zweistufige Authentifizierung usw., müssen behandelt werden, wenn die App ein Authentifizierungstoken anfordert.

Wenn Ihre App einen bestimmten Kontotyp erfordert, der zuvor noch nicht verknüpft wurde, kann Ihre App das System bitten, den Benutzer aufzufordern, einen hinzuzufügen. Diese Anforderung löst den Kontoeinstellungsbereich aus, um als modales untergeordnetes Element Ihrer App zu starten. Für 2D-Apps wird dieses Fenster direkt über der Mitte Ihrer App gerendert. Für Unity-Apps führt diese Anforderung den Benutzer kurz aus Ihrer holografischen App heraus, um das untergeordnete Fenster zu rendern. Informationen zum Anpassen der Befehle und Aktionen in diesem Bereich finden Sie unter WebAccountCommand-Klasse.

Unternehmens- und andere Authentifizierung

Wenn Ihre App andere Authentifizierungstypen verwendet, z. B. NTLM, Basic oder Kerberos, können Sie windows-Anmeldeinformationen verwenden, um die Anmeldeinformationen des Benutzers zu sammeln, zu verarbeiten und zu speichern. Die Benutzerfreundlichkeit für das Sammeln dieser Anmeldeinformationen ähnelt anderen cloudgesteuerten Kontounterbrechungen und wird als untergeordnete App über Ihrer 2D-App angezeigt oder hält kurz eine Unity-App an, um die Benutzeroberfläche anzuzeigen.

Nicht mehr unterstützte APIs

Eine Möglichkeit, in der sich die Entwicklung für HoloLens von der Entwicklung für Desktop unterscheidet, besteht darin, dass die OnlineIDAuthenticator-API nicht vollständig unterstützt wird. Obwohl die API ein Token zurückgibt, wenn das primäre Konto ordnungsgemäß ist, zeigen Unterbrechungen wie die in diesem Artikel beschriebenen keine Benutzeroberfläche für den Benutzer an und können das Konto nicht ordnungsgemäß authentifizieren.

Windows Hello for Business Unterstützung für HoloLens (1. Generation)

Windows Hello for Business (die die Verwendung einer PIN für die Anmeldung unterstützt) wird für HoloLens (1. Generation) unterstützt. So lassen Sie Windows Hello for Business PIN-Anmeldung bei HoloLens (1. Generation) zu:

  1. Das HoloLens-Gerät muss von MDM verwaltet werden.
  2. Sie müssen Windows Hello for Business für das Gerät aktivieren. (Siehe Anweisungen für Microsoft Intune.)
  3. Auf dem HoloLens-Gerät kann der Benutzer dann Einstellungen> verwendenAnmeldeoptionen>PIN hinzufügen, um eine PIN einzurichten.

Hinweis

Benutzer, die sich mit einemMicrosoft-Kontoanmelden, können auch eine PIN unter Einstellungen> Anmeldeoptionen >PIN hinzufügen einrichten. Diese PIN ist nicht Windows Hello for Business, sondern Windows Hello zugeordnet.

Zusätzliche Ressourcen

Weitere Informationen zum Schutz und zur Authentifizierung von Benutzeridentitäten finden Sie auf der Windows 10 Sicherheits- und Identitätsdokumentation.

Weitere Informationen zum Einrichten der Hybrididentitätsinfrastruktur finden Sie in der Dokumentation zur Azure-Hybrididentität.