Betriebssystem ohne Administrator
HoloLens 2 minimiert den Oberflächenbereich für die Berechtigungseskalation, indem die Unterstützung für die Gruppe "Administratoren" deaktiviert und der gesamte UWP-Anwendungscode von Drittanbietern so eingeschränkt wird, dass er nur als Standardbenutzer innerhalb der AppContainer-Sandbox ausgeführt wird. Dieser Code erhält nur Zugriff auf diese Ressourcen, die durch Funktionen geschützt sind, die in der Anwendung explizit für einen nicht relevanten Benutzer manifestiert sind, zusätzlich zu Ressourcen, auf die für alle AppContainer zugegriffen werden kann. Diese Anwendungsfunktionen verfügen weiterhin über das dreistufige Klassifizierungsmodell:
- Allgemein
- Eingeschränkt
- Fenster
Windows-Komponenten können auch den AppContainer-Sandkasten über System-UWPs nutzen. Weitere Informationen zur universellen Windows-Plattform (UWP) finden Sie in UWP-Dokumentation. Darüber hinaus verwenden Windows-Komponenten mit einer höheren Berechtigungsreduzierungsanforderungen (z. B. Browserinhaltsseiten oder Parser) den Sandkasten "Less Privileged AppContainer "LPAC", der den Zugriff auf die Gruppe von Ressourcen abschneidet, auf die für alle AppContainer zugegriffen werden kann.
Gerätebesitzer
Schließlich ist die Ausführung bestimmter geräteweiter Vorgänge, z. B. das Verknüpfen des Geräts mit einem Mandanten oder einer Benutzerverwaltung, nur für "Gerätebesitzer" zulässig. Diese Gruppe wird von Benutzern auf dem Gerät über einen der folgenden Schritte aufgefüllt:
- Der erste Benutzer auf dem Gerät wird immer als Besitzer festgelegt.
Wichtig
Für Microsoft Entra-Benutzer ist die Ausnahme dieser Regel, dass das Gerät über Autopilot oder die Massenregistrierung von Microsoft Entra verbunden ist, die einen nicht realen Benutzer verwendet. In diesem Fall wird der erste Microsoft Entra-Benutzer, der sich beim Gerät anmeldet, möglicherweise nicht automatisch zum Gerätebesitzer gemacht, es sei denn, dieser Benutzer hat die Rolle "Globaler Administrator" oder "Microsoft Entra Join Device Local Administrator" im Azure-Portal zugewiesen. Weitere Informationen finden Sie unten in der Notiz.
- Wenn ein Benutzer von der Einstellungs-UX von einem anderen Besitzer auf dem Gerät als Besitzer höhergestuft wird.
- Wenn der Gerätebesitzer nicht mehr verfügbar ist (verlässt das Unternehmen) und das Gerät Microsoft Entra beigetreten ist, kann der Mandantenadministrator den Gerätebesitzer in einen neuen Benutzer im Azure-Portal ändern. Globale Administratoren und lokale Administratoren von Microsoft Entra-Geräten eines Microsoft Entra-Mandanten werden implizit als Besitzer auf dem Gerät angemeldet, ohne dass eine der vorherigen Schritte erforderlich ist.
IT-Administratoren können verwalten, auf welche Apps über Datenschutz richtlinien zugreifen können.
Anmerkung
Weitere Informationen darüber, wer ein Gerätebesitzer auf einem microsoft Entra-Gerät ist, finden Sie in Dokumentation "Lokalen Administrator zuweisen" (lesen Sie jedoch "lokaler Administrator" als "Gerätebesitzer", da der Administrator auf HoloLens nicht vorhanden ist).
Wichtig
Microsoft empfiehlt, Rollen mit den wenigsten Berechtigungen zu verwenden. Die Verwendung von niedrigeren Berechtigungskonten trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine rolle mit hoher Berechtigung, die auf Notfallszenarien beschränkt sein sollte, wenn Sie keine vorhandene Rolle verwenden können.