Sistema operativo sin administrador
HoloLens 2 minimiza el área de superficie para la elevación de privilegios al deshabilitar la compatibilidad del grupo de administradores y limitar todo el código de la aplicación para UWP de terceros para que solo se ejecute como usuarios estándar en el espacio aislado de AppContainer. Este código únicamente tiene acceso a los recursos protegidos por capacidades explícitamente manifestadas en la aplicación para un usuario sin permisos elevados, así como a los recursos accesibles para todas las instancias de AppContainer. Estas funcionalidades de la aplicación siguen teniendo el modelo de clasificación de tres niveles:
- General
- Restringidos
- Windows
Los componentes de Windows también pueden usar el espacio aislado de AppContainer mediante las instancias de UWP del sistema. Para obtener más información sobre la Plataforma universal de Windows (UWP), consulta la documentación de UWP. Además, los componentes de Windows con mayores necesidades de reducción de privilegios (como páginas de contenido del explorador o analizadores) usan el espacio aislado AppContainer con menos privilegios (LPAC), que corta el acceso al conjunto de recursos accesible para todas las instancias de AppContainer.
Propietario del dispositivo
Por último, la ejecución de operaciones específicas de todo el dispositivo, como unir el dispositivo a una administración de inquilino o usuario, solo se permite a "propietarios de dispositivos". Este grupo lo rellenan los usuarios del dispositivo mediante uno de los siguientes pasos:
- El primer usuario del dispositivo siempre se designa como propietario.
Importante
Para los usuarios de Azure AD, la excepción a esta regla es que, si el dispositivo está unido a Azure AD a través de Autopilot o la inscripción masiva de Azure AD, se usa un usuario no real. En este caso, es posible que el primer usuario de AAD que inicie sesión en el dispositivo no se convierta en propietario del dispositivo automáticamente, a menos que tenga asignado el rol de "administrador global" o "administrador de dispositivos" en Azure Portal. Para obtener más información, vea la nota siguiente.
- Cuando otro propietario del dispositivo promociona a un usuario como propietario desde la experiencia de usuario de configuración.
- Si el propietario del dispositivo ya no está disponible (deja la compañía) y el dispositivo está unido a Azure AD, el administrador de inquilinos puede cambiar el propietario del dispositivo a un nuevo usuario en Azure Portal. Los administradores globales y los administradores de dispositivos de un inquilino de Azure AD inician la sesión implícitamente como propietarios en el dispositivo sin necesidad de ninguno de los pasos anteriores.
Los administradores de TI pueden administrar qué aplicaciones pueden acceder a través de las directivas de privacidad.
Nota
Para comprender mejor a quién se hace propietario de un dispositivo en un dispositivo unido a Azure AD, vea la documentación de "Asignación del administrador local" (interprete "administrador local" como "propietario del dispositivo", ya que el rol de administrador no existe en HoloLens).
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de