Administración de la identidad del usuario y el inicio de sesión para HoloLens
Nota
Este artículo es una referencia técnica para profesionales de TI y entusiastas de la tecnología. Si busca instrucciones de configuración de HoloLens, lea "Configuración de holoLens (1ª generación)" o "Configuración de holoLens 2".
Propina
HoloLens 2 está configurado como un dispositivo unido a Microsoft Entra ID y no admite Active Directory local. En la mayoría de los casos, la autenticación se puede realizar mediante una identidad de Id. de Entra administrada o una identidad de id. entra federada. Sin embargo, si el servicio de federación está causando desafíos de autenticación, debe asegurarse de que puede iniciar sesión desde un id. entra solo unido a Windows 10 o Windows 11 PC. Muchos problemas de autenticación son el resultado de configuraciones solo de Entra ID, en lugar de un problema específico de HoloLens. Solucionar estos desafíos es mucho más sencillo desde un equipo Windows 10 o Windows.
Hablemos sobre cómo configurar la identidad de usuario para HoloLens 2
Al igual que otros dispositivos Windows, HoloLens siempre funciona en un contexto de usuario. Siempre hay una identidad de usuario. HoloLens trata la identidad casi de la misma manera que un dispositivo Windows 10 o Windows 11. Al iniciar sesión durante la instalación, se crea un perfil de usuario en HoloLens que almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Microsoft Edge o Dynamics 365 Remote Assist, mediante las API del Administrador de cuentas de Windows.
HoloLens admite varios tipos de identidades de usuario. Puede elegir cualquiera de estos tres tipos de cuenta, pero se recomienda encarecidamente el identificador de Entra de Microsoft, ya que es mejor para administrar dispositivos. Solo las cuentas de Microsoft Entra admiten varios usuarios.
Tipo de identidad | Cuentas por dispositivo | Opciones de autenticación |
---|---|---|
id. de Entrada de Microsoft1 | 63 |
|
cuenta Microsoft (MSA) | 1 |
|
cuenta local3 | 1 | Contraseña |
de identificador compartido de Microsoft Entra | 1 | autenticación de Certificate-Based (CBA) |
Las cuentas conectadas a la nube (Id. de Microsoft Entra y MSA) ofrecen más características porque pueden usar servicios de Azure.
Importante
1: No se requiere el id. de entra P1 o P2 de Microsoft para iniciar sesión en el dispositivo. Sin embargo, es necesario para otras características de una implementación basada en la nube táctil baja, como la inscripción automática y Autopilot.
Nota
2- Aunque un dispositivo HoloLens 2 puede admitir hasta 63 cuentas de Microsoft Entra, así como una cuenta del sistema para un total de 64 cuentas, solo se deben inscribir hasta 10 de esas cuentas en la autenticación iris. Esto está alineado con otras opciones de autenticación biométrica para Windows Hello para empresas. Aunque se pueden inscribir más de 10 cuentas en la autenticación iris, esto aumenta la tasa de falsos positivos y no se recomienda.
Importante
3 - Una cuenta local solo se puede configurar en un dispositivo a través de un paquete de aprovisionamiento durante lade OOBE , no se puede agregar más adelante en la aplicación de configuración. Si quiere usar una cuenta local en un dispositivo que ya está configurado, debe reflash o restablecer el dispositivo.
¿Cómo afecta el tipo de cuenta al comportamiento de inicio de sesión?
Si aplica directivas para el inicio de sesión, la directiva siempre se respeta. Si no se aplica ninguna directiva para el inicio de sesión, estos son los comportamientos predeterminados para cada tipo de cuenta:
- id. de Entra de Microsoft: solicita autenticación de forma predeterminada y se puede configurar mediante Configuración para que ya no solicite autenticación.
- cuenta de Microsoft: el comportamiento de bloqueo es diferente, lo que permite el desbloqueo automático, pero la autenticación de inicio de sesión sigue siendo necesaria al reiniciar.
- cuenta local: siempre solicita autenticación en forma de contraseña, no configurable en Configuración
Nota
Actualmente no se admiten temporizadores de inactividad, lo que significa que la directiva de AllowIdleReturnWithoutPassword solo se respeta cuando el dispositivo entra en StandBy.
Inicio de sesión de Iris
Recopilación de datos biométricos por HoloLens
Datos biométricos (incluidos los movimientos de la cabeza, la mano y los ojos, el examen de iris) que este dispositivo recopila se usa para la calibración, para mejorar las interacciones confiables y mejorar la experiencia del usuario. Al igual que con otros dispositivos Windows, las aplicaciones de terceros del dispositivo pueden acceder a los datos en el dispositivo con el fin de ofrecer ciertas funciones y características. Vaya a la sección Privacidad en Configuración para obtener más información sobre el Contrato de licencia y la Declaración de privacidad de Microsoft.
El inicio de sesión de HoloLens Iris se basa en Windows Hello. HoloLens almacena datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. Los datos biométricos no se mueven y nunca se envían a servidores o dispositivos externos. Dado que Windows Hello solo almacena datos de identificación biométrica en el dispositivo, no hay ningún punto de recopilación único que un atacante pueda poner en peligro para robar datos biométricos.
HoloLens realiza la autenticación de iris en función de los códigos de bits almacenados. Los usuarios tienen control total sobre si inscriben su cuenta de usuario para el inicio de sesión iris para la autenticación. Y los administradores de TI pueden deshabilitar las funcionalidades de Windows Hello a través de sus servidores MDM. Consulta Administrar Windows Hello para empresas en tu organización.
Nota
Las cuentas de Id. de Microsoft Entra compartidas no admiten el inicio de sesión de Iris en HoloLens. Consulte más detalles sobre las ventajas y limitaciones de de uso de cuentas compartidas de Microsoft Entra.
Preguntas más frecuentes sobre Iris
¿Cómo se implementa la autenticación biométrica iris en HoloLens 2?
HoloLens 2 admite la autenticación iris. Iris se basa en la tecnología Windows Hello y es compatible con el uso tanto de Microsoft Entra ID como de cuentas Microsoft. Iris se implementa de la misma manera que otras tecnologías de Windows Hello y logra seguridad biométrica FAR de 1/100 000.
Consulta los requisitos y especificaciones biométricas de Windows Hello para obtener más información. Obtenga más información sobre windows Hello y Windows Hello para empresas.
¿Dónde se almacena la información biométrica iris?
La información biométrica de Iris se almacena localmente en cada HoloLens por especificaciones de Windows Hello. No se comparte y está protegido por dos capas de cifrado. No es accesible para otros usuarios, ni siquiera un administrador, porque no hay ninguna cuenta de administrador en HoloLens.
¿Tengo que usar la autenticación iris?
No, puede omitir este paso durante la instalación.
HoloLens 2 proporciona muchas opciones diferentes para la autenticación, incluidas las claves de seguridad FIDO2.
¿Se puede quitar la información de Iris de HoloLens?
Sí, puede quitarlo manualmente en Configuración.
Configuración de usuarios
Hay dos maneras de configurar un nuevo usuario en HoloLens. La forma más común es durante la experiencia integrada de HoloLens (OOBE). Si usa microsoft Entra ID, otros usuarios pueden iniciar sesión después de OOBE con sus credenciales de Microsoft Entra. Los dispositivos HoloLens configurados inicialmente con una cuenta MSA o local durante OOBE no admiten varios usuarios. Consulta Configuración del HoloLens (1.ª generación) o HoloLens 2.
Si usa una cuenta empresarial o organizativa para iniciar sesión en HoloLens, HoloLens se inscribe en la infraestructura de TI de la organización. Esta inscripción permite al administrador de TI configurar la administración de dispositivos móviles (MDM) para enviar directivas de grupo a HoloLens.
Al igual que Windows en otros dispositivos, iniciar sesión durante la instalación crea un perfil de usuario en el dispositivo. El perfil de usuario almacena las aplicaciones y los datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Microsoft Edge o Microsoft Store, mediante las API del Administrador de cuentas de Windows.
De forma predeterminada, en cuanto a otros dispositivos Windows 10, tienes que iniciar sesión de nuevo cuando HoloLens se reinicie o reanude desde el modo de espera. Puede usar la aplicación Configuración para cambiar este comportamiento o la directiva de grupo puede controlar el comportamiento.
Propina
Si más de un usuario usa un dispositivo, es importante mantener el visor limpio. Consulte preguntas más frecuentes sobre la limpieza de HoloLens 2 para obtener más información sobre cómo limpiar el dispositivo. Se recomienda limpiar el visor entre cada usuario. Este procedimiento recomendado es especialmente importante si usa la autenticación iris.
Cuentas vinculadas
Como en la versión de escritorio de Windows, puedes vincular otras credenciales de cuenta web a tu cuenta de HoloLens. Esta vinculación facilita el acceso a los recursos entre aplicaciones o dentro de ellas (como la Tienda) o combinar el acceso a recursos personales y profesionales. Después de conectar una cuenta al dispositivo, puede conceder permiso para usar el dispositivo a las aplicaciones para que no tenga que iniciar sesión en cada aplicación individualmente.
La vinculación de cuentas no separa los datos de usuario creados en el dispositivo, como imágenes o descargas.
Configuración de la compatibilidad con varios usuarios (solo Microsoft Entra)
HoloLens admite varios usuarios del mismo inquilino de Microsoft Entra. Para usar esta característica, debe usar una cuenta que pertenezca a su organización para configurar el dispositivo. Posteriormente, otros usuarios del mismo inquilino pueden iniciar sesión en el dispositivo desde la pantalla de inicio de sesión o pulsando el icono del usuario en el panel Inicio. Solo un usuario puede iniciar sesión a la vez. Cuando un usuario inicia sesión, HoloLens cierra la sesión del usuario anterior.
Importante
El primer usuario del dispositivo se considera propietario del dispositivo, excepto en el caso de la unión a Microsoft Entra, obtener más información sobre los propietarios de dispositivos.
Todos los usuarios pueden usar las aplicaciones instaladas en el dispositivo. Sin embargo, cada usuario tiene sus propios datos y preferencias de la aplicación. Al quitar una aplicación del dispositivo, se quita para todos los usuarios.
Nota
Otra opción para los dispositivos que se comparten entre varios usuarios es crear una cuenta de id. de Microsoft Entra compartida en el dispositivo. Consulte cuentas de Microsoft Entra compartidas en HoloLens para obtener información detallada sobre cómo configurar esta cuenta en el dispositivo.
Los dispositivos configurados con cuentas de Microsoft Entra no permitirán iniciar sesión en el dispositivo con una cuenta Microsoft. Todas las cuentas posteriores usadas deben ser cuentas de Microsoft Entra del mismo inquilino que el dispositivo. Es posible que sigas iniciar sesión con una cuenta Microsoft en aplicaciones que lo admitan (como Microsoft Store). Para cambiar de usar cuentas de Microsoft Entra a Cuentas Microsoft para iniciar sesión en el dispositivo, debe volver a escribir el dispositivo.
Nota
HoloLens (1.ª generación) comenzó a admitir varios usuarios de Microsoft Entra en la actualización de Windows 10 de abril de 2018 como parte de Windows Holographic for Business.
Se muestran varios usuarios en la pantalla De inicio de sesión
Anteriormente, la pantalla de inicio de sesión mostraba solo el usuario que ha iniciado sesión más recientemente y un punto de entrada "Otro usuario". Hemos recibido comentarios de los clientes que no son suficientes si varios usuarios han iniciado sesión en el dispositivo. Todavía eran necesarios para volver a escribir su nombre de usuario, etc.
Introducido en Windows Holographic, versión 21H1, al seleccionar Otro usuario que se encuentra a la derecha del campo de entrada del PIN, la pantalla Inicio de sesión muestra varios usuarios con los que han iniciado sesión anteriormente en el dispositivo. Esto permite a los usuarios seleccionar su perfil de usuario e iniciar sesión con sus credenciales de Windows Hello. También se puede agregar un nuevo usuario al dispositivo desde este página de otros usuarios a través del botón Agregar cuenta.
Cuando en el menú Otros usuarios, el botón Otros usuarios muestra el último usuario que inició sesión en el dispositivo. Seleccione este botón para volver a la pantalla de inicio de sesión de este usuario.
Quitar usuarios
Para quitar un usuario del dispositivo, vaya a Configuración>Cuentas>Otras personas. Esta acción también reclama espacio quitando todos los datos de la aplicación del usuario del dispositivo.
Uso del inicio de sesión único dentro de una aplicación
Como desarrollador de aplicaciones, puede aprovechar las identidades vinculadas en HoloLens mediante las API de administrador de cuentas de Windows , igual que lo haría en otros dispositivos Windows. Algunos ejemplos de código para estas API están disponibles en GitHub: ejemplo de administración de cuentas web.
Las interrupciones de la cuenta que puedan producirse, como solicitar el consentimiento del usuario para la información de la cuenta, la autenticación en dos fases, etc., deben controlarse cuando la aplicación solicite un token de autenticación.
Si la aplicación requiere un tipo de cuenta específico que no se ha vinculado anteriormente, la aplicación puede pedir al sistema que pida al usuario que agregue uno. Esta solicitud desencadena el panel de configuración de la cuenta para iniciarse como elemento secundario modal de la aplicación. En el caso de las aplicaciones 2D, esta ventana se representa directamente sobre el centro de la aplicación. En el caso de las aplicaciones de Unity, esta solicitud saca brevemente al usuario de la aplicación holográfica para representar la ventana secundaria. Para obtener información sobre cómo personalizar los comandos y las acciones en este panel, vea Clase WebAccountCommand.
Empresa y otra autenticación
Si la aplicación usa otros tipos de autenticación, como NTLM, Basic o Kerberos, puedes usar interfaz de usuario de credenciales de Windows para recopilar, procesar y almacenar las credenciales del usuario. La experiencia del usuario para recopilar estas credenciales es similar a otras interrupciones de la cuenta controlada por la nube y aparece como una aplicación secundaria encima de la aplicación 2D o suspende brevemente una aplicación de Unity para mostrar la interfaz de usuario.
API en desuso
Una manera en la que el desarrollo para HoloLens difiere del desarrollo para Escritorio es que la API de OnlineIDAuthenticator no es totalmente compatible. Aunque la API devuelve un token si la cuenta principal está en buen estado, las interrupciones como las descritas en este artículo no muestran ninguna interfaz de usuario para el usuario y no pueden autenticar correctamente la cuenta.
Soporte técnico de Windows Hello para empresas en HoloLens (1.ª generación)
Windows Hello para empresas (que admite el uso de un PIN para iniciar sesión) es compatible con HoloLens (1.ª generación). Para permitir el inicio de sesión del PIN de Windows Hello para empresas en HoloLens (1ª generación):
- El dispositivo HoloLens debe administrarse mediante MDM.
- Debe habilitar Windows Hello para empresas para el dispositivo. (Consulte las instrucciones de Microsoft Intune.)
- En el dispositivo HoloLens, el usuario puede usar Configuración>Opciones de inicio de sesión>Agregar pin para configurar un PIN.
Nota
Los usuarios que inician sesión con una cuenta Microsoft también pueden configurar un PIN en Configuración>Opciones de inicio de sesión>Agregar PIN. Este PIN está asociado a windows Hello, en lugar de Windows Hello para empresas.
Recursos adicionales
Obtenga más información sobre la autenticación y la protección de identidades de usuario en la documentación de seguridad e identidad de Windows 10.
Obtenga más información sobre cómo configurar la infraestructura de identidad híbrida a través de la documentación de identidad híbrida de Azure .