Leer en inglés

Compartir a través de


Sistema operativo sin administrador

HoloLens 2 minimiza el área expuesta para la elevación de privilegios deshabilitando la compatibilidad con el grupo Administradores y limitando todo el código de aplicación para UWP de terceros para que solo se ejecute como usuarios estándar dentro del espacio aislado de AppContainer. Este código solo tiene acceso a esos recursos protegidos por funcionalidades que se manifiestan explícitamente en la aplicación para un usuario no actualizado, además de los recursos accesibles para todos los AppContainers. Estas funcionalidades de aplicación siguen teniendo el modelo de clasificación de tres niveles:

  • General
  • Restringido
  • Windows

Los componentes de Windows también pueden aprovechar el espacio aislado de AppContainer a través de UWPs del sistema. Para obtener más información sobre la Plataforma universal de Windows (UWP), consulta documentación de UWP. Además, los componentes de Windows con mayores necesidades de reducción de privilegios (como páginas de contenido del explorador o analizadores) usan el espacio aislado AppContainer (LPAC) con menos privilegios, lo que reduce el acceso al conjunto de recursos accesibles para todos los appContainers.

Propietario del dispositivo

Por último, la ejecución de operaciones específicas para todo el dispositivo, como unir el dispositivo a un inquilino o administración de usuarios, solo se permite para "propietarios de dispositivos". Los usuarios rellenan este grupo en el dispositivo mediante uno de los pasos siguientes:

  • El primer usuario del dispositivo siempre se designa como Propietario.

Importante

Para los usuarios de Microsoft Entra, la excepción a esta regla es que si el dispositivo está unido a Microsoft Entra a través de Autopilot o inscripción masiva de Microsoft Entra, que usa un usuario no real. En este caso, es posible que el primer usuario de Microsoft Entra que inicie sesión en el dispositivo no se convierta automáticamente en propietario del dispositivo, a menos que ese usuario tenga asignado el rol "Administrador global" o "Administrador local de dispositivos unidos a Microsoft Entra" en Azure Portal. Para obtener más información, consulte la nota siguiente.

  • Cuando un usuario se promueve a ser propietario de la experiencia de usuario de configuración por otro propietario en el dispositivo.
  • Si el propietario del dispositivo ya no está disponible (deja la empresa) y el dispositivo está unido a Microsoft Entra, el administrador de inquilinos puede cambiar el propietario del dispositivo a un nuevo usuario en Azure Portal. Los administradores globales y los administradores locales de dispositivos unidos a Microsoft Entra de un inquilino de Microsoft Entra inician sesión implícitamente como propietarios en el dispositivo sin necesidad de ninguno de los pasos anteriores.

Los administradores de TI pueden administrar a qué aplicaciones pueden acceder a través de directivas de privacidad.

Nota

Para obtener más información sobre quién se ha hecho propietario de un dispositivo en un dispositivo unido a Microsoft Entra, consulte documentación "Asignar administrador local" (pero lea "administrador local" como "propietario del dispositivo", ya que el administrador no existe en HoloLens).

Importante

Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.