Gérer les identités et les connexions des utilisateurs pour HoloLens

  • Article
  • S’applique à:
    HoloLens (1st gen), HoloLens 2

Notes

Cet article est une référence technique pour les professionnels de l’informatique et les passionnés de technologie. Si vous recherchez des instructions de configuration HoloLens, lisez « Configuration de votre HoloLens (1ère génération) » ou « Configuration de votre HoloLens 2 ».

Conseil

HoloLens 2 est configuré en tant qu’appareil joint Microsoft Entra ID et ne prend pas en charge Active Directory local. Dans la plupart des cas, l’authentification peut être effectuée à l’aide d’une identité d’ID Entra managée ou d’une identité d’ID Entra fédérée. Toutefois, si votre service de fédération provoque des problèmes d’authentification, vous devez vous assurer que vous êtes en mesure de vous connecter à partir d’un ID Entra uniquement joint Windows 10 ou Windows 11 PC. De nombreux problèmes d’authentification sont le résultat de configurations d’ID Entra uniquement, plutôt que d’un problème spécifique à HoloLens. La résolution de ces problèmes est beaucoup plus simple à partir d’un Windows 10 ou d’un PC Windows.

Parlons de la configuration de l’identité utilisateur pour HoloLens 2

Comme les autres appareils Windows, HoloLens fonctionne toujours dans un contexte utilisateur. Il y a toujours une identité d’utilisateur. HoloLens traite l’identité de la même manière qu’un appareil Windows 10 ou Windows 11. La connexion pendant l’installation crée un profil utilisateur sur HoloLens qui stocke les applications et les données. Le même compte fournit également l’authentification unique pour les applications, telles que Microsoft Edge ou Dynamics 365 Remote Assist, à l’aide des API du Gestionnaire de compte Windows.

HoloLens prend en charge plusieurs types d’identités utilisateur. Vous pouvez choisir l’un de ces trois types de comptes, mais nous vous recommandons vivement d’Microsoft Entra ID, car il est idéal pour gérer les appareils. Seuls les comptes Microsoft Entra prennent en charge plusieurs utilisateurs.

Type d'identité Comptes par appareil Options d’authentification
Microsoft Entra ID1 63
  • Fournisseur d’informations d’identification web Azure
  • Application Azure Authenticator
  • Biométrie (Iris) : HoloLens 2 seulement2
  • Clé de sécurité FIDO2
  • Code confidentiel : facultatif pour HoloLens (1ère génération), requis pour HoloLens 2
  • Mot de passe
Compte Microsoft 1
  • Biométrie (Iris) : HoloLens 2 uniquement
  • Code confidentiel : facultatif pour HoloLens (1ère génération), requis pour HoloLens 2
  • Mot de passe
Compte local3 1 Mot de passe
Microsoft Entra ID partagés 1 Authentification Certificate-Based (CBA)

Les comptes connectés au cloud (Microsoft Entra ID et MSA) offrent davantage de fonctionnalités, car ils peuvent utiliser les services Azure.

Important

1 : Microsoft Entra ID P1 ou P2 n’est pas nécessaire pour se connecter à l’appareil. Toutefois, elle est requise pour d’autres fonctionnalités d’un déploiement basé sur le cloud à faible interaction, telles que l’inscription automatique et Autopilot.

Notes

2 - Bien qu’un appareil HoloLens 2 puisse prendre en charge jusqu’à 63 comptes Microsoft Entra ainsi qu’un compte système pour un total de 64 comptes, seuls 10 de ces comptes doivent s’inscrire à Iris Authentication. Cette option est alignée sur d’autres options d’authentification biométrique pour Windows Hello Entreprise. Bien que plus de 10 comptes puissent être inscrits dans l’authentification Iris, cela augmente le taux de faux positifs et n’est pas recommandé.

Important

3 - Un compte local ne peut être configuré que sur un appareil via un package d’approvisionnement pendant L’OOBE. Il ne peut pas être ajouté ultérieurement dans l’application paramètres. Si vous souhaitez utiliser un compte local sur un appareil déjà configuré, vous devez reflash ou réinitialiser l’appareil.

Comment le type de compte affecte-t-il le comportement de connexion ?

Si vous appliquez des stratégies pour la connexion, la stratégie est toujours respectée. Si aucune stratégie de connexion n’est appliquée, il s’agit des comportements par défaut pour chaque type de compte :

  • Microsoft Entra ID : demande l’authentification par défaut et configurable par Paramètres pour ne plus demander d’authentification.
  • Compte Microsoft : le comportement de verrouillage est différent pour permettre le déverrouillage automatique, mais l’authentification de connexion est toujours nécessaire au redémarrage.
  • Compte local : demande toujours l’authentification sous la forme d’un mot de passe, non configurable dans Paramètres

Notes

Les minuteurs d’inactivité ne sont actuellement pas pris en charge, ce qui signifie que la stratégie AllowIdleReturnWithoutPassword n’est respectée que lorsque l’appareil passe dans StandBy.

Iris Login

Collecte de données biométriques par HoloLens

Les données biométriques (y compris les mouvements de la tête, de la main et des yeux, le balayage de l’iris) collectées par cet appareil sont utilisées pour l’étalonnage, afin d’améliorer les interactions fiables et d’améliorer l’expérience utilisateur. Comme avec d’autres appareils Windows, les applications tierces sur l’appareil peuvent accéder à vos données sur l’appareil dans le but de fournir certaines fonctionnalités et fonctionnalités. Accédez à la section Confidentialité dans Paramètres pour plus d’informations sur le Contrat de licence et la Déclaration de confidentialité Microsoft.

La connexion HoloLens Iris est basée sur Windows Hello. HoloLens stocke les données biométriques utilisées pour implémenter Windows Hello en toute sécurité sur l’appareil local uniquement. Les données biométriques ne sont pas itinérantes et jamais envoyées à des appareils ou serveurs externes. Étant donné que Windows Hello stocke uniquement les données d’identification biométrique sur l’appareil, il n’existe aucun point de collecte qu’une personne malveillante peut compromettre pour voler vos données biométriques.

HoloLens effectue l’authentification iris en fonction des codes binaires stockés. Les utilisateurs ont un contrôle total sur l’inscription de leur compte d’utilisateur pour la connexion Iris à des fins d’authentification. Les administrateurs informatiques peuvent également désactiver Windows Hello fonctionnalités via leurs serveurs MDM. Consultez Gérer les Windows Hello Entreprise dans votre organization.

Notes

Les comptes de Microsoft Entra ID partagés ne prennent pas en charge la connexion Iris sur HoloLens. Consultez plus d’informations sur les avantages et les limitations de l’utilisation de comptes Microsoft Entra partagés.

Questions fréquemment posées sur Iris

Comment l’authentification biométrique Iris est-elle implémentée sur HoloLens 2 ?

HoloLens 2 prend en charge l’authentification Iris. Iris est basé sur Windows Hello technologie et est pris en charge par les comptes Microsoft Entra ID et Microsoft. Iris est implémenté de la même façon que d’autres technologies Windows Hello, et atteint la sécurité biométrique FAR de 1/100K.

Pour plus d’informations, consultez les exigences et spécifications biométriques pour Windows Hello. En savoir plus sur Windows Hello et Windows Hello Entreprise.

Où les informations biométriques Iris sont-elles stockées ?

Les informations biométriques Iris sont stockées localement sur chaque HoloLens selon Windows Hello spécifications. Il n’est pas partagé et est protégé par deux couches de chiffrement. Il n’est pas accessible aux autres utilisateurs, même à un administrateur, car il n’y a pas de compte d’administrateur sur un HoloLens.

Dois-je utiliser l’authentification Iris ?

Non, vous pouvez ignorer cette étape lors de l’installation.

Configurez Iris.

HoloLens 2 fournit de nombreuses options différentes pour l’authentification, notamment les clés de sécurité FIDO2.

Les informations Iris peuvent-elles être supprimées de l’HoloLens ?

Oui, vous pouvez le supprimer manuellement dans Paramètres.

Configuration des utilisateurs

Il existe deux façons de configurer un nouvel utilisateur sur HoloLens. La méthode la plus courante consiste à utiliser l’expérience OOBE (Out-of-box experience) HoloLens. Si vous utilisez Microsoft Entra ID, d’autres utilisateurs peuvent se connecter après OOBE à l’aide de leurs informations d’identification Microsoft Entra. Les appareils HoloLens qui sont initialement configurés avec un compte MSA ou local pendant OOBE ne prennent pas en charge plusieurs utilisateurs. Consultez Configuration de votre HoloLens (1ère génération) ou HoloLens 2.

Si vous utilisez un compte d’entreprise ou d’organisation pour vous connecter à HoloLens, HoloLens s’inscrit dans l’infrastructure informatique du organization. Cette inscription permet à votre Administration informatique de configurer mobile Gestion des appareils (MDM) pour envoyer des stratégies de groupe à votre HoloLens.

Comme Windows sur d’autres appareils, la connexion pendant l’installation crée un profil utilisateur sur l’appareil. Le profil utilisateur stocke les applications et les données. Le même compte fournit également l’authentification unique pour les applications, telles que Microsoft Edge ou le Microsoft Store, à l’aide des API du Gestionnaire de compte Windows.

Par défaut, comme pour les autres appareils Windows 10, vous devez vous reconnecter lorsque HoloLens redémarre ou reprend de veille. Vous pouvez utiliser l’application Paramètres pour modifier ce comportement, ou le comportement peut être contrôlé par la stratégie de groupe.

Conseil

Si plusieurs utilisateurs utilisent un appareil, il est important de garder la visière propre. Pour plus d’informations sur propre l’appareil, consultez HoloLens 2 questions fréquentes sur le nettoyage. Nous vous recommandons de propre la visière entre chaque utilisateur. Cette bonne pratique est particulièrement importante si vous utilisez l’authentification Iris.

Comptes liés

Comme dans la version de bureau de Windows, vous pouvez lier d’autres informations d’identification de compte web à votre compte HoloLens. Une telle liaison facilite l’accès aux ressources entre ou au sein d’applications (telles que le Windows Store) ou la combinaison de l’accès aux ressources personnelles et professionnelles. Après avoir connecté un compte à l’appareil, vous pouvez accorder l’autorisation d’utiliser l’appareil aux applications afin de ne pas avoir à vous connecter à chaque application individuellement.

La liaison de comptes ne sépare pas les données utilisateur créées sur l’appareil, telles que les images ou les téléchargements.

Configuration de la prise en charge multi-utilisateur (Microsoft Entra uniquement)

HoloLens prend en charge plusieurs utilisateurs du même Microsoft Entra locataire. Pour utiliser cette fonctionnalité, vous devez utiliser un compte qui appartient à votre organization pour configurer l’appareil. Par la suite, d’autres utilisateurs du même locataire peuvent se connecter à l’appareil à partir de l’écran de connexion ou en appuyant sur la vignette utilisateur dans le volet Démarrer. Un seul utilisateur peut être connecté à la fois. Lorsqu’un utilisateur se connecte, HoloLens déconnecte l’utilisateur précédent.

Important

Le premier utilisateur sur l’appareil est considéré comme le propriétaire de l’appareil, sauf dans le cas de Microsoft Entra rejoindre, en savoir plus sur les propriétaires d’appareils.

Tous les utilisateurs peuvent utiliser les applications installées sur l’appareil. Toutefois, chaque utilisateur a ses propres données et préférences d’application. La suppression d’une application de l’appareil la supprime pour tous les utilisateurs.

Notes

Une autre option pour les appareils partagés entre plusieurs utilisateurs consiste à créer un compte de Microsoft Entra ID partagé sur l’appareil. Pour plus d’informations sur la configuration de ce compte sur votre appareil, consultez Comptes de Microsoft Entra partagés dans HoloLens.

Les appareils configurés avec des comptes Microsoft Entra n’autorisent pas la connexion à l’appareil avec un compte Microsoft. Tous les comptes suivants utilisés doivent être Microsoft Entra comptes du même locataire que l’appareil. Vous pouvez toujours vous connecter à l’aide d’un compte Microsoft aux applications qui le prennent en charge (telles que le Microsoft Store). Pour passer de l’utilisation de comptes Microsoft Entra à comptes Microsoft pour la connexion à l’appareil, vous devez reflasher l’appareil.

Notes

HoloLens (1ère génération) a commencé à prendre en charge plusieurs utilisateurs Microsoft Entra dans la mise à jour Windows 10 avril 2018 dans le cadre de Windows Holographic for Business.

Plusieurs utilisateurs sont répertoriés sur l’écran de connexion

Auparavant, l’écran de connexion affichait uniquement l’utilisateur le plus récemment connecté et un point d’entrée « Autre utilisateur ». Nous avons reçu des commentaires des clients indiquant qu’il n’est pas suffisant si plusieurs utilisateurs se sont connectés à l’appareil. Ils devaient toujours retaper leur nom d’utilisateur, etc.

Introduit dans Windows Holographique, version 21H1, lorsque vous sélectionnez Autre utilisateur situé à droite du champ d’entrée de code confidentiel, l’écran de connexion affiche plusieurs utilisateurs avec qui se sont précédemment connectés à l’appareil. Cela permet aux utilisateurs de sélectionner leur profil utilisateur, puis de se connecter à l’aide de leurs informations d’identification Windows Hello. Un nouvel utilisateur peut également être ajouté à l’appareil à partir de cette page d’autres utilisateurs via le bouton Ajouter un compte .

Dans le menu Autres utilisateurs , le bouton Autres utilisateurs affiche le dernier utilisateur connecté à l’appareil. Sélectionnez ce bouton pour revenir à l’écran de connexion de cet utilisateur.

Écran de connexion par défaut.


Écran de connexion autres utilisateurs.

Suppression d’utilisateurs

Vous pouvez supprimer un utilisateur de l’appareil en accédant à Paramètres>Comptes>Autres personnes. Cette action récupère également de l’espace en supprimant toutes les données d’application de cet utilisateur de l’appareil.

Utilisation de l’authentification unique dans une application

En tant que développeur d’applications, vous pouvez tirer parti des identités liées sur HoloLens à l’aide des API du Gestionnaire de compte Windows, comme vous le feriez sur d’autres appareils Windows. Certains exemples de code pour ces API sont disponibles sur GitHub : Exemple de gestion de compte web.

Toutes les interruptions de compte qui peuvent se produire, telles que la demande de consentement de l’utilisateur pour les informations de compte, l’authentification à deux facteurs, etc., doivent être gérées lorsque l’application demande un jeton d’authentification.

Si votre application nécessite un type de compte spécifique qui n’a pas été lié précédemment, votre application peut demander au système d’inviter l’utilisateur à en ajouter un. Cette demande déclenche le lancement du volet des paramètres de compte en tant qu’enfant modal de votre application. Pour les applications 2D, cette fenêtre s’affiche directement au centre de votre application. Pour les applications Unity, cette demande retire brièvement l’utilisateur de votre application holographique pour afficher la fenêtre enfant. Pour plus d’informations sur la personnalisation des commandes et des actions de ce volet, consultez Classe WebAccountCommand.

Authentification d’entreprise et autre

Si votre application utilise d’autres types d’authentification, tels que NTLM, De base ou Kerberos, vous pouvez utiliser l’interface utilisateur des informations d’identification Windows pour collecter, traiter et stocker les informations d’identification de l’utilisateur. L’expérience utilisateur pour la collecte de ces informations d’identification est similaire à d’autres interruptions de compte basées sur le cloud, et apparaît en tant qu’application enfant au-dessus de votre application 2D ou suspend brièvement une application Unity pour afficher l’interface utilisateur.

API déconseillées

L’API OnlineIDAuthenticator n’est pas entièrement prise en charge en ce qui concerne le développement pour HoloLens et le développement pour ordinateur de bureau. Bien que l’API retourne un jeton si le compte principal est en règle, les interruptions telles que celles décrites dans cet article n’affichent aucune interface utilisateur pour l’utilisateur et ne parviennent pas à authentifier correctement le compte.

Windows Hello Entreprise prise en charge sur HoloLens (1ère génération)

Windows Hello Entreprise (qui prend en charge l’utilisation d’un code confidentiel pour la connexion) est pris en charge pour HoloLens (1ère génération). Pour autoriser Windows Hello Entreprise connexion au code confidentiel sur HoloLens (1ère génération) :

  1. L’appareil HoloLens doit être géré par GPM.
  2. Vous devez activer Windows Hello Entreprise pour l’appareil. (Consultez les instructions pour Microsoft Intune.)
  3. Sur l’appareil HoloLens, l’utilisateur peut ensuite utiliser Paramètres>Options de> connexionAjouter un code confidentiel pour configurer un code confidentiel.

Notes

Les utilisateurs qui se connectent à l’aide d’un compte Microsoft peuvent également configurer un code confidentiel dans Paramètres>Options de> connexionAjouter un code confidentiel. Ce code pin est associé à Windows Hello, plutôt qu’à Windows Hello Entreprise.

Ressources supplémentaires

Pour en savoir plus sur la protection des identités utilisateur et l’authentification, consultez la documentation sur la sécurité et l’identité Windows 10.

Pour en savoir plus sur la configuration de l’infrastructure d’identité hybride, consultez la documentation sur les identités hybrides Azure.