A HoloLens felhasználói identitásának és bejelentkezési adatainak kezelése
Jegyzet
Ez a cikk technikai referencia az informatikai szakemberek és a műszaki szakemberek számára. Ha a HoloLens beállítási utasításait keresi, olvassa el a "HoloLens (1. generációs)" vagy "A HoloLens 2beállítása" című cikket.
Borravaló
A HoloLens 2 Microsoft Entra-azonosítóhoz csatlakoztatott eszközként van konfigurálva, és nem támogatja a helyszíni Active Directoryt. A hitelesítés a legtöbb esetben felügyelt Entra-azonosítóval vagy összevont Entra-azonosítóval végezhető el. Ha azonban az összevonási szolgáltatás hitelesítési problémákat okoz, győződjön meg arról, hogy csak a Windows 10-hez vagy Windows 11-hez csatlakoztatott Entra-azonosítóról tud bejelentkezni. Számos hitelesítési probléma csak Entra-azonosító konfigurációkból ered, és nem holoLens-specifikus problémáról van szó. Ezeknek a kihívásoknak a hibaelhárítása sokkal egyszerűbb Windows 10 vagy Windows rendszerű pc-ről.
Beszéljünk a HoloLens 2 felhasználói identitásának beállításáról
Más Windows-eszközökhöz hasonlóan a HoloLens is mindig felhasználói környezetben működik. Mindig van felhasználói identitás. A HoloLens szinte ugyanúgy kezeli az identitást, mint egy Windows 10 vagy Windows 11 rendszerű eszköz. A telepítés során bejelentkezve létrehoz egy felhasználói profilt a HoloLensen, amely alkalmazásokat és adatokat tárol. Ugyanez a fiók egyszeri bejelentkezést is biztosít az alkalmazásokhoz, például a Microsoft Edge-hez vagy a Dynamics 365 Remote Assisthoz a Windows Account Manager API-k használatával.
A HoloLens többféle felhasználói identitást támogat. A három fióktípus közül bármelyiket választhatja, de erősen ajánljuk a Microsoft Entra ID azonosítót, mivel ez a legjobb megoldás az eszközök kezelésére. Csak a Microsoft Entra-fiókok támogatnak több felhasználót.
Identitástípus | Fiókok eszközönként | Hitelesítési beállítások |
---|---|---|
Microsoft Entra ID1 | 63 |
|
Microsoft-fiók (MSA) | 1 |
|
1 | Jelszó | |
Megosztott Microsoft Entra-azonosító | 1 | Certificate-Based hitelesítés (CBA) |
A felhőalapú fiókok (Microsoft Entra ID és MSA) további funkciókat kínálnak, mert használhatják az Azure-szolgáltatásokat.
Fontos
1 – A P1 vagy P2 Microsoft Entra-azonosító nem szükséges az eszközre való bejelentkezéshez. Ez azonban szükséges az alacsony érintésű felhőalapú üzembe helyezés egyéb funkcióihoz, például az automatikus regisztrációhoz és az Autopilothoz.
Jegyzet
2 – Míg egy HoloLens 2-eszköz legfeljebb 63 Microsoft Entra-fiókot, valamint összesen 64 fiókhoz egyetlen rendszerfiókot támogat, az Iris-hitelesítésre csak ezen fiókok közül legfeljebb 10 regisztrálhat. Ez igazodik a Vállalati Windows Hello egyéb biometrikus hitelesítési beállításaihoz. Bár több mint 10 fiók regisztrálható az Írisz-hitelesítésben, ez növeli a hamis pozitívok arányát, és nem ajánlott.
Fontos
3 – Helyi fiók csak az eszköz egy kiépítési csomagon keresztül állítható be az OOBEsorán, később nem vehető fel a beállításalkalmazásba. Ha egy már beállított eszközön helyi fiókot szeretne használni, akkor perjelet kell beállítania, vagy alaphelyzetbe kell állítania az eszközt.
Hogyan befolyásolja a fiók típusa a bejelentkezés viselkedését?
Ha szabályzatokat alkalmaz a bejelentkezéshez, a szabályzatot mindig tiszteletben tartják. Ha a rendszer nem alkalmaz házirendet a bejelentkezéshez, ezek az alapértelmezett viselkedések az egyes fióktípusokhoz:
- Microsoft Entra-azonosító: alapértelmezés szerint hitelesítést kér, és Beállítások konfigurálható, hogy a továbbiakban ne kérjen hitelesítést.
- Microsoft-fiók: a zárolási viselkedés eltérő, ami lehetővé teszi az automatikus zárolás feloldását, de újraindításkor továbbra is be kell jelentkeznie a hitelesítésre.
- helyi fiók: mindig jelszó formájában kéri a hitelesítést, amely nem konfigurálható Beállítások
Jegyzet
Az inaktivitási időzítők jelenleg nem támogatottak, ami azt jelenti, hogy az AllowIdleReturnWithoutPassword szabályzat csak akkor érvényes, ha az eszköz a StandBy-ba kerül.
Írisz bejelentkezés
Biometriai adatgyűjtés HoloLens szerint
Az eszköz által gyűjtött biometrikus adatokat (beleértve a fej-kéz-szem mozgásokat, az íriszvizsgálatot) a kalibráláshoz, a megbízható interakciók javításához és a felhasználói élmény javításához használják. Más Windows-eszközökhöz hasonlóan az eszközön lévő külső alkalmazások is hozzáférhetnek az eszközön lévő adatokhoz bizonyos funkciók és funkciók biztosítása céljából. A licencszerződéssel és a Microsoft adatvédelmi nyilatkozatával kapcsolatos részletekért lépjen a Beállítások adatvédelmi szakaszára.
A HoloLens Iris bejelentkezés Windows Hello. A HoloLens csak a helyi eszközön tárolja a Windows Hello biztonságos implementálásához használt biometrikus adatokat. A biometrikus adatok nem barangolnak, és soha nem kerülnek külső eszközökre vagy kiszolgálókra. Mivel a Windows Hello csak biometrikus azonosítási adatokat tárol az eszközön, egyetlen gyűjtési pont sincs, a támadók nem tehetnek kompromisszumot a biometrikus adatok ellopásához.
A HoloLens a tárolt bitkódok alapján hajtja végre az írisz-hitelesítést. A felhasználók teljes mértékben szabályozhatják, hogy regisztrálják-e a felhasználói fiókjukat az Írisz-bejelentkezéshez hitelesítés céljából. A rendszergazdák az MDM-kiszolgálókon keresztül letilthatják a Windows Hello képességeit. Lásd: Vállalati Windows Hello kezelése.
Jegyzet
A megosztott Microsoft Entra ID-fiókok nem támogatják az Írisz bejelentkezést a HoloLensben. További részletek a megosztott Microsoft Entra-fiókok
Gyakori kérdések íriszben
Hogyan történik az Iris biometrikus hitelesítés implementálása a HoloLens 2-ben?
A HoloLens 2 támogatja az Írisz-hitelesítést. Az Iris a Windows Hello technológián alapul, és a Microsoft Entra ID és a Microsoft-fiókok is támogatják. Az Iris ugyanúgy implementálva van, mint más Windows Hello-technológiák, és biometrikus biztonsági FAR 1/100Kérhető el.
További információért tekintse meg a Windows Hello
Hol vannak tárolva az Írisz biometrikus adatai?
Az írisz biometrikus adatokat helyileg tárolja a rendszer az egyes HoloLen-eken Windows Hello-specifikációk. Nincs megosztva, és két titkosítási réteg védi. Nem érhető el más felhasználók, még a rendszergazdák számára sem, mert nincs rendszergazdai fiók a HoloLensben.
Iris-hitelesítést kell használnom?
Nem, ezt a lépést kihagyhatja a beállítás során.
A HoloLens 2 számos különböző hitelesítési lehetőséget kínál, beleértve a FIDO2 biztonsági kulcsokat is.
Eltávolíthatók az Írisz-adatok a HoloLensből?
Igen, manuálisan is eltávolíthatja a Beállításokban.
Felhasználók beállítása
Kétféleképpen állíthat be új felhasználót a HoloLensben. A leggyakoribb módszer a HoloLens házon kívül történő használata (OOBE). Ha Microsoft Entra-azonosítót használ, más felhasználók is bejelentkezhetnek az OOBE után a Microsoft Entra hitelesítő adataikkal. Az OOBE során először MSA-val vagy helyi fiókkal beállított HoloLens-eszközök nem támogatnak több felhasználót. Lásd: A HoloLens (1. generációs) vagy HoloLens 2beállítása.
Ha vállalati vagy szervezeti fiókkal jelentkezik be a HoloLensbe, a HoloLens regisztrál a szervezet informatikai infrastruktúrájába. Ez a regisztráció lehetővé teszi, hogy az informatikai rendszergazda konfigurálja a mobileszköz-kezelést (MDM) a csoportházirendek HoloLensbe való küldésére.
Más eszközökön a Windowshoz hasonlóan a telepítés során történő bejelentkezés is létrehoz egy felhasználói profilt az eszközön. A felhasználói profil alkalmazásokat és adatokat tárol. Ugyanez a fiók egyszeri bejelentkezést is biztosít az alkalmazásokhoz, például a Microsoft Edge-hez vagy a Microsoft Store-hoz a Windows Account Manager API-k használatával.
Alapértelmezés szerint a Többi Windows 10-eszközhöz hasonlóan újra be kell jelentkeznie, amikor a HoloLens újraindul vagy készenléti állapotból folytatja a munkát. A Beállítások alkalmazással módosíthatja ezt a viselkedést, vagy a viselkedést csoportházirenddel szabályozhatja.
Borravaló
Ha egynél több felhasználó használ eszközt, fontos, hogy a kijelző tiszta maradjon. A HoloLens 2 tisztításával kapcsolatos gyakori kérdések az eszköz tisztításáról. Javasoljuk, hogy törölje a vizort az egyes felhasználók között. Ez az ajánlott eljárás különösen fontos az Írisz-hitelesítés használata esetén.
Csatolt fiókok
A Windows asztali verziójához hasonlóan más webes fiók hitelesítő adatait is csatolhatja a HoloLens-fiókjához. Az ilyen összekapcsolás egyszerűbbé teszi az alkalmazásokon (például az Áruházon) belüli erőforrások elérését, illetve a személyes és munkahelyi erőforrásokhoz való hozzáférést. Miután csatlakoztatta a fiókot az eszközhöz, engedélyt adhat az eszköz alkalmazásokhoz való használatára, hogy ne kelljen egyenként bejelentkeznie az egyes alkalmazásokba.
A fiókok összekapcsolása nem választja el az eszközön létrehozott felhasználói adatokat, például képeket vagy letöltéseket.
Többfelhasználós támogatás beállítása (csak Microsoft Entra)
A HoloLens több felhasználót is támogat ugyanabból a Microsoft Entra-bérlőből. A funkció használatához a szervezethez tartozó fiókot kell használnia az eszköz beállításához. Ezt követően a bérlő többi felhasználója bejelentkezhet az eszközre a bejelentkezési képernyőről, vagy a kezdőképernyőn a felhasználói csempére koppintva. Egyszerre csak egy felhasználó lehet bejelentkezni. Amikor egy felhasználó bejelentkezik, a HoloLens kijelentkezteti az előző felhasználót.
Fontos
Az eszköz első felhasználója az eszköz tulajdonosa, kivéve a Microsoft Entra-csatlakozást, többetaz eszköztulajdonosokról.
Minden felhasználó használhatja az eszközön telepített alkalmazásokat. Azonban minden felhasználó saját alkalmazásadatokkal és -beállításokkal rendelkezik. Ha eltávolít egy alkalmazást az eszközről, az az összes felhasználó számára eltávolítja.
Jegyzet
A több felhasználó között megosztott eszközök másik lehetősége egy Megosztott Microsoft Entra-azonosító fiók létrehozása az eszközön. A fiók eszközre való konfigurálásáról a HoloLens
A Microsoft Entra-fiókokkal beállított eszközök nem engedélyezik a Microsoft-fiókkal való bejelentkezést az eszközre. Az összes további használt fióknak az eszközével azonos bérlőről származó Microsoft Entra-fiókoknak kell lenniük. Továbbra is bejelentkezhet Microsoft-fiókkal az azt támogató alkalmazásokba (például a Microsoft Store-ba). Ha a Microsoft Entra-fiókokról Microsoft-fiókokra szeretne váltani az eszközre való bejelentkezéshez, újra kell perjeleznie az eszközt.
Jegyzet
Több felhasználó szerepel a bejelentkezési képernyőn
Korábban a bejelentkezési képernyő csak a legutóbb bejelentkezett felhasználót és az "Egyéb felhasználó" belépési pontot mutatta. Visszajelzést kaptunk az ügyfeleknek arról, hogy nem elegendő, ha több felhasználó is bejelentkezett az eszközre. Továbbra is újra kellett írniuk a felhasználónevüket stb.
A Windows Holographic 21H1-esverziójában bevezetett A PIN-kód beviteli mező jobb oldalán található Egyéb felhasználói kiválasztásakor a bejelentkezési képernyő több olyan felhasználót jelenít meg, akik korábban bejelentkeztek az eszközre. Ez lehetővé teszi a felhasználók számára, hogy kiválasszanak egy felhasználói profilt, majd jelentkezzenek be a Windows Hello hitelesítő adataikkal. A Fiók hozzáadása gombbal új felhasználót is hozzáadhat az eszközhöz ezen más felhasználók lapon.
Amikor a Egyéb felhasználók menüben az Egyéb felhasználók gomb megjeleníti az eszközre utoljára bejelentkezett felhasználót. Ezt a gombot választva visszatérhet a felhasználó bejelentkezési képernyőjére.
Felhasználók eltávolítása
Eltávolíthat egy felhasználót az eszközről, ha Beállítások>Fiókok>Más személyek. Ez a művelet a felhasználó összes alkalmazásadatának az eszközről való eltávolításával is visszanyeri a helyet.
Egyszeri bejelentkezés használata egy alkalmazásban
Alkalmazásfejlesztőként a HoloLens társított identitásait az Windows Account Manager API-khasználatával használhatja ki, ugyanúgy, mint más Windows-eszközökön. Ezekhez az API-khoz néhány kódminta elérhető a GitHubon: webfiók-felügyeleti minta.
Az esetleges fiókmegszakításokat, például a fiókadatok felhasználói hozzájárulásának kérését, a kéttényezős hitelesítést és így tovább, akkor kell kezelni, amikor az alkalmazás hitelesítési jogkivonatot kér.
Ha az alkalmazáshoz olyan fióktípusra van szükség, amelyet korábban nem kapcsoltak össze, az alkalmazás megkérheti a rendszert, hogy kérje meg a felhasználót, hogy vegyen fel egyet. Ez a kérés aktiválja a fiókbeállítások panelt, hogy az alkalmazás modális gyermekeként induljon el. Kétdimenziós alkalmazások esetén ez az ablak közvetlenül az alkalmazás közepén jelenik meg. A Unity-alkalmazások esetében ez a kérés röviden kivezeti a felhasználót a holografikus alkalmazásból a gyermekablak megjelenítéséhez. A parancsok és műveletek ezen a panelen történő testreszabásáról további információt WebAccountCommand osztálycímű témakörben talál.
Nagyvállalati és egyéb hitelesítés
Ha az alkalmazás más típusú hitelesítést használ, például NTLM, Alapszintű vagy Kerberos, akkor a Windows hitelesítő adatok felhasználói felületének használatával gyűjtheti, feldolgozhatja és tárolhatja a felhasználó hitelesítő adatait. A hitelesítő adatok gyűjtésének felhasználói élménye hasonló a többi felhőalapú fiókmegszakításhoz, és gyermekalkalmazásként jelenik meg a 2D-alkalmazás tetején, vagy rövid időre felfüggeszt egy Unity-alkalmazást a felhasználói felület megjelenítéséhez.
Elavult API-k
A HoloLens fejlesztésének egyik módja az, hogy a OnlineIDAuthenticator API nem támogatott teljes mértékben. Bár az API egy jogkivonatot ad vissza, ha az elsődleges fiók jó állásban van, a jelen cikkben ismertetetthez hasonló megszakítások nem jelenítik meg a felhasználó felhasználói felületét, és nem hitelesítik megfelelően a fiókot.
A Windows Hello vállalati verzió támogatása a HoloLensen (1. generációs)
A Windows Hello vállalati verzió (amely támogatja a PIN-kód használatát a bejelentkezéshez) a HoloLens (1st Gen) esetében támogatott. A Windows Hello for Business PIN-bejelentkezésének engedélyezése a HoloLensen (1. generációs):
- A HoloLens-eszközt MDMkell felügyelnie.
- Engedélyeznie kell a Windows Hello vállalati verziót az eszközön. (Lásd a Microsoft Intune utasításait.)
- A HoloLens-eszközön a felhasználó ezután a Beállítások>Bejelentkezési beállítások>PIN-kód hozzáadása használatával állíthatja be a PIN-kódot.
Jegyzet
A Microsoft-fiókkal bejelentkező felhasználók pin-kódot is beállíthatnak Beállítások>Bejelentkezési beállítások>PIN-kód hozzáadása. Ez a PIN-kód Windows Hellovan társítva, nem pedig Vállalati Windows Hello.
További erőforrások
A Windows 10 biztonsági és identitáskezelési dokumentációjának a felhasználói identitás védelméről és hitelesítéséről bővebbenolvashat.
További információ a hibrid identitásinfrastruktúra beállításáról az Azure Hybrid Identity dokumentációjában.