Felhasználói identitás kezelése és bejelentkezés a HoloLenshez

Megjegyzés

Ez a cikk műszaki referencia az informatikai szakemberek és a műszaki rajongók számára. Ha a HoloLens beállítási utasításait keresi, olvassa el a "HoloLens beállítása (1. generációs)" vagy "A HoloLens 2 beállítása" című cikket.

Tipp

HoloLens 2 Microsoft Entra ID csatlakoztatott eszközként van konfigurálva, és nem támogatja a helyszíni Active Directoryt. A hitelesítés a legtöbb esetben felügyelt Entra-azonosító identitással vagy összevont Entra-azonosítóval végezhető el. Ha azonban az összevonási szolgáltatás hitelesítési problémákat okoz, győződjön meg arról, hogy csak az Entra-azonosítóhoz csatlakoztatott Windows 10 vagy Windows 11 pc-ről tud bejelentkezni. Számos hitelesítési probléma csak az Entra-azonosító konfigurációiból ered, nem pedig egy HoloLens-specifikus problémából. Ezeknek a kihívásoknak a hibaelhárítása sokkal egyszerűbb egy Windows 10 vagy Windows rendszerű pc-ről.

Beszéljünk a felhasználói identitás beállításáról HoloLens 2

Más Windows-eszközökhöz hasonlóan a HoloLens is mindig felhasználói környezetben működik. Mindig van felhasználói identitás. A HoloLens szinte ugyanúgy kezeli az identitást, mint egy Windows 10 vagy Windows 11 eszköz. A telepítés során való bejelentkezés létrehoz egy felhasználói profilt a HoloLensen, amely alkalmazásokat és adatokat tárol. Ugyanez a fiók egyszeri bejelentkezést is biztosít az alkalmazásokhoz, például a Microsoft Edge-hez vagy Dynamics 365 Remote Assisthoz a Windows Account Manager API-k használatával.

A HoloLens többféle felhasználói identitást támogat. A három fióktípus bármelyikét kiválaszthatja, de határozottan javasoljuk, hogy Microsoft Entra ID, mert ez a legjobb eszközkezeléshez. Csak Microsoft Entra fiókok támogatnak több felhasználót.

Identitástípus Fiókok eszközönként Hitelesítési lehetőségek
Microsoft Entra ID1 63
  • Azure-beli webes hitelesítőadat-szolgáltató
  • Azure Authenticator alkalmazás
  • Biometrikus (Írisz) – HoloLens 2 csak2
  • FIDO2 biztonsági kulcs
  • PIN-kód – Nem kötelező a HoloLenshez (1. generációs), HoloLens 2
  • Jelszó
Microsoft-fiók (MSA) 1
  • Biometrikus (Írisz) – csak HoloLens 2
  • PIN-kód – Nem kötelező a HoloLenshez (1. generációs), HoloLens 2
  • Jelszó
3. helyi fiók 1 Jelszó
Megosztott Microsoft Entra ID 1 Certificate-Based hitelesítés (CBA)

A felhőalapú fiókok (Microsoft Entra ID és MSA) további funkciókat kínálnak, mert használhatják az Azure-szolgáltatásokat.

Fontos

1 – Microsoft Entra ID P1 vagy P2 nem szükséges az eszközre való bejelentkezéshez. Ez azonban az alacsony érintésű felhőalapú üzembe helyezés egyéb funkcióihoz, például az Automatikus regisztrációhoz és az Autopilothoz szükséges.

Megjegyzés

2 – Bár egy HoloLens 2 eszköz legfeljebb 63 Microsoft Entra fiókot, valamint egy rendszerfiókot támogat összesen 64 fiókhoz, ezek közül csak 10-nek kell regisztrálnia az Írisz-hitelesítésbe. Ez igazodik a Vállalati Windows Hello egyéb biometrikus hitelesítési lehetőségeihez. Bár több mint 10 fiók regisztrálható az Írisz-hitelesítésben, ez növeli a hamis pozitívok arányát, és nem ajánlott.

Fontos

3 – Egy helyi fiók csak kiépítési csomagon keresztül állítható be egy eszközön az OOBE során, a beállítások alkalmazás későbbi részében nem vehető fel. Ha helyi fiókot szeretne használni egy olyan eszközön, amely már be van állítva, újra kell perjellel vagy alaphelyzetbe állítania az eszközt.

Hogyan befolyásolja a fiók típusa a bejelentkezési viselkedést?

Ha a bejelentkezéshez szabályzatokat alkalmaz, a szabályzatot mindig tiszteletben tartják. Ha nem alkalmaz bejelentkezési szabályzatot, ezek az alapértelmezett viselkedések az egyes fióktípusokhoz:

  • Microsoft Entra ID: alapértelmezés szerint hitelesítést kér, és a Beállítások által konfigurálható, hogy a továbbiakban ne kérjen hitelesítést.
  • Microsoft-fiók: A zárolási viselkedés eltérő, ami lehetővé teszi az automatikus zárolást, de újraindításkor továbbra is be kell jelentkeznie a hitelesítésre.
  • Helyi fiók: mindig jelszó formájában kéri a hitelesítést, a Beállítások területen nem konfigurálható

Megjegyzés

Az inaktivitási időzítők jelenleg nem támogatottak, ami azt jelenti, hogy az AllowIdleReturnWithoutPassword szabályzat csak akkor érvényes, ha az eszköz a StandBy-ba kerül.

Írisz-bejelentkezés

Biometriai adatgyűjtés HoloLens szerint

Az eszköz által gyűjtött biometrikus adatokat (beleértve a fej-kéz-szem mozgásokat, az íriszvizsgálatot) kalibrálásra, a megbízható interakciók javítására és a felhasználói élmény fokozására használják. Más Windows-eszközökhöz hasonlóan az eszközön található külső alkalmazások is hozzáférhetnek az eszközön tárolt adatokhoz bizonyos funkciók és funkciók biztosítása céljából. A licencszerződéssel és a Microsoft adatvédelmi nyilatkozatával kapcsolatos részletekért lépjen a Beállítások adatvédelmi szakaszára.

A HoloLens Írisz-bejelentkezés a Windows Hello tetején található. A HoloLens csak a helyi eszközön tárolja a Windows Hello biztonságos implementálásához használt biometrikus adatokat. A biometrikus adatok nem kóborlnak, és soha nem kerülnek külső eszközökre vagy kiszolgálókra. Mivel Windows Hello csak biometrikus azonosítási adatokat tárol az eszközön, a támadók egyetlen gyűjtési pontot sem tudnak feltörni a biometrikus adatok ellopásához.

A HoloLens írisz-hitelesítést hajt végre a tárolt bitkódok alapján. A felhasználók teljes körűen szabályozhatják, hogy regisztrálják-e a felhasználói fiókjukat az Írisz-bejelentkezéshez hitelesítés céljából. Az informatikai rendszergazdák pedig letilthatják Windows Hello képességeket az MDM-kiszolgálóikon keresztül. Lásd: A Vállalati Windows Hello kezelése a szervezetben.

Megjegyzés

A megosztott Microsoft Entra ID fiókok nem támogatják az Írisz bejelentkezését a HoloLensben. További részletek a megosztott Microsoft Entra-fiókok használatának előnyeiről és korlátozásairól.

Gyakori kérdések íriszekkel kapcsolatban

Hogyan történik az írisz biometrikus hitelesítés implementálása HoloLens 2?

HoloLens 2 támogatja az Írisz-hitelesítést. Az Írisz Windows Hello technológián alapul, és Microsoft Entra ID és Microsoft-fiókok is támogatják. Az Írisz ugyanúgy implementálva van, mint más Windows Hello technológiák, és 1/100K biometriai biztonságot ér el.

További információért tekintse meg a Windows Hello biometrikus követelményeit és specifikációit. További információ a Windows Hello és a Vállalati Windows Hello.

Hol tárolják az Írisz biometrikus adatait?

Az írisz biometrikus adatait helyileg tároljuk az egyes HoloLens-en Windows Hello specifikációk szerint. Nincs megosztva, és két titkosítási réteg védi. Nem érhető el más felhasználók, még a rendszergazdák számára sem, mert nincs rendszergazdai fiók a HoloLensben.

Iris-hitelesítést kell használnom?

Nem, ezt a lépést kihagyhatja a beállítás során.

Iris beállítása.

HoloLens 2 számos különböző hitelesítési lehetőséget biztosít, beleértve a FIDO2 biztonsági kulcsokat is.

Eltávolíthatók az Írisz-információk a HoloLensből?

Igen, manuálisan is eltávolíthatja a Gépházban.

Felhasználók beállítása

A HoloLensben kétféleképpen állíthat be új felhasználót. A leggyakoribb módszer a HoloLens házon kívül történő használata (OOBE). Ha Microsoft Entra ID használ, az OOBE után más felhasználók is bejelentkezhetnek Microsoft Entra hitelesítő adataikkal. Azok a HoloLens-eszközök, amelyek kezdetben MSA-val vagy helyi fiókkal lettek beállítva az OOBE során, nem támogatnak több felhasználót. Lásd: HoloLens beállítása (1. generációs) vagy HoloLens 2.

Ha vállalati vagy szervezeti fiókkal jelentkezik be a HoloLensbe, a HoloLens regisztrál a szervezet informatikai infrastruktúrájába. Ez a regisztráció lehetővé teszi, hogy az informatikai Rendszergazda konfigurálja a Mobile Eszközkezelés (MDM) számára, hogy csoportszabályzatokat küldjön a HoloLensnek.

Más eszközökön a Windowshoz hasonlóan a telepítés során történő bejelentkezés is létrehoz egy felhasználói profilt az eszközön. A felhasználói profil alkalmazásokat és adatokat tárol. Ugyanez a fiók egyszeri bejelentkezést is biztosít az alkalmazásokhoz, például a Microsoft Edge-hez vagy a Microsoft Store-hoz a Windows Fiókkezelő API-k használatával.

Alapértelmezés szerint más Windows 10 eszközökhöz hasonlóan újra be kell jelentkeznie, amikor a HoloLens újraindul vagy készenléti állapotból újraindul. A Beállítások alkalmazással módosíthatja ezt a viselkedést, vagy csoportházirenddel szabályozhatja a viselkedést.

Tipp

Ha egynél több felhasználó használ egy eszközt, fontos, hogy a visor tiszta maradjon. Az eszköz tisztításával kapcsolatos részletekért lásd HoloLens 2 tisztítással kapcsolatos gyakori kérdéseket. Javasoljuk, hogy tisztítsa meg a vizort az egyes felhasználók között. Ez az ajánlott eljárás különösen fontos, ha írisz-hitelesítést használ.

Összekapcsolt fiókok

A Windows asztali verziójához hasonlóan más webes fiók hitelesítő adatait is csatolhatja a HoloLens-fiókjához. Az ilyen összekapcsolás egyszerűbbé teszi az erőforrások elérését az alkalmazásokon (például az Áruházban) vagy a személyes és munkahelyi erőforrásokhoz való hozzáférés kombinálásával. Miután csatlakoztatott egy fiókot az eszközhöz, engedélyt adhat az eszköz alkalmazásoknak való használatára, hogy ne kelljen egyenként bejelentkeznie az egyes alkalmazásokba.

A fiókok összekapcsolása nem választja el az eszközön létrehozott felhasználói adatokat, például képeket vagy letöltéseket.

Többfelhasználós támogatás beállítása (csak Microsoft Entra)

A HoloLens több felhasználót is támogat ugyanabból a Microsoft Entra bérlőből. A funkció használatához a szervezetéhez tartozó fiókot kell használnia az eszköz beállításához. Ezt követően az ugyanahhoz a bérlőhöz tartozó többi felhasználó bejelentkezhet az eszközre a bejelentkezési képernyőn, vagy a Kezdőképernyő felhasználói csempéjére koppintva. Egyszerre csak egy felhasználó lehet bejelentkezni. Amikor egy felhasználó bejelentkezik, a HoloLens kijelentkezteti az előző felhasználót.

Fontos

Az eszköz első felhasználója az eszköz tulajdonosa, kivéve Microsoft Entra csatlakozás esetén, további információ az eszköztulajdonosokról.

Minden felhasználó használhatja az eszközön telepített alkalmazásokat. Azonban minden felhasználó saját alkalmazásadatokkal és -beállításokkal rendelkezik. Ha eltávolít egy alkalmazást az eszközről, az az összes felhasználó számára eltávolítja.

Megjegyzés

A több felhasználó között megosztott eszközök másik lehetősége egy megosztott Microsoft Entra ID fiók létrehozása az eszközön. A fiók eszközre való konfigurálásával kapcsolatos részletes információkért lásd: Megosztott Microsoft Entra-fiókok a HoloLensben.

A Microsoft Entra-fiókokkal beállított eszközök nem engedélyezik a Microsoft-fiókkal való bejelentkezést az eszközre. Minden további használt fióknak Microsoft Entra fióknak kell lennie ugyanabból a bérlőből, mint az eszköz. Továbbra is bejelentkezhet Microsoft-fiókkal az azt támogató alkalmazásokba (például a Microsoft Store-ba). Ahhoz, hogy Microsoft Entra-fiókokról Microsoft-fiókokra váltson az eszközre való bejelentkezéshez, újra kell perjeleznie az eszközt.

Megjegyzés

A HoloLens (1. generációs) a Windows Holographic for Business részeként több Microsoft Entra felhasználót is támogatott a 2018. április Windows 10 frissítésben.

Több felhasználó is megjelenik a bejelentkezési képernyőn

Korábban a bejelentkezési képernyőn csak a legutóbb bejelentkezett felhasználó és az "Egyéb felhasználó" belépési pont jelent meg. Az ügyfél visszajelzése szerint nem elegendő, ha több felhasználó is bejelentkezett az eszközre. Továbbra is újra be kellett írniuk a felhasználónevüket stb.

A Windows Holographic 21H1-es verziójában bevezetett Egyéb felhasználó , amely a PIN-kód beviteli mező jobb oldalán található, a Bejelentkezési képernyő több olyan felhasználót jelenít meg, akik korábban már bejelentkeztek az eszközre. Ez lehetővé teszi, hogy a felhasználók kiválaszthassák a felhasználói profiljukat, majd bejelentkezhessenek a Windows Hello hitelesítő adataikkal. A fiók hozzáadása gombon keresztül új felhasználót is hozzáadhat az eszközhöz a többi felhasználó oldaláról.

Amikor az Egyéb felhasználókmenüben az Egyéb felhasználók gomb megjeleníti az eszközre utoljára bejelentkezett felhasználót. Ezt a gombot választva visszatérhet a felhasználó bejelentkezési képernyőjére.

A bejelentkezési képernyő alapértelmezés szerint.


Bejelentkezési képernyő más felhasználók számára.

Felhasználók eltávolítása

A felhasználókat eltávolíthatja az eszközről, ha a Beállítások>fiókok>Más személyek területre lép. Ez a művelet helyet is felszabadít azáltal, hogy eltávolítja a felhasználó összes alkalmazásadatát az eszközről.

Egyszeri bejelentkezés használata egy alkalmazásban

Alkalmazásfejlesztőként ugyanúgy használhatja a HoloLens társított identitásait a Windows Account Manager API-k használatával, mint más Windows-eszközökön. Ezekhez az API-khoz néhány kódminta elérhető a GitHubon: Webes fiókkezelési minta.

Az esetlegesen előforduló fiókmegszakításokat, például a fiókadatok felhasználói hozzájárulásának kérését, a kétfaktoros hitelesítést és így tovább, akkor kell kezelni, amikor az alkalmazás hitelesítési jogkivonatot kér.

Ha az alkalmazáshoz olyan fióktípusra van szükség, amelyet korábban nem kapcsoltak össze, az alkalmazás megkérheti a rendszert, hogy kérje meg a felhasználót, hogy adjon hozzá egyet. Ez a kérés elindítja a fiókbeállítások panelt, hogy az alkalmazás modális gyermekeként induljon el. 2D alkalmazások esetén ez az ablak közvetlenül az alkalmazás közepén jelenik meg. A Unity-alkalmazások esetében ez a kérés röviden kivezeti a felhasználót a holografikus alkalmazásból a gyermekablak megjelenítéséhez. A parancsok és műveletek ezen a panelen történő testreszabásáról a WebAccountCommand osztály című témakörben olvashat bővebben.

Vállalati és egyéb hitelesítés

Ha az alkalmazás más típusú hitelesítést (például NTLM, Basic vagy Kerberos) használ, a Windows hitelesítő adatok felhasználói felületével gyűjtheti, feldolgozhatja és tárolhatja a felhasználó hitelesítő adatait. A hitelesítő adatok gyűjtésének felhasználói felülete hasonló a többi felhőalapú fiókmegszakításhoz, és gyermekalkalmazásként jelenik meg a 2D-alkalmazás tetején, vagy rövid időre felfüggeszt egy Unity-alkalmazást a felhasználói felület megjelenítéséhez.

Elavult API-k

A HoloLens fejlesztésének egyik módja az, hogy az OnlineIDAuthenticator API nem teljes mértékben támogatott. Bár az API egy jogkivonatot ad vissza, ha az elsődleges fiók megfelelő állapotban van, a jelen cikkben ismertetetthez hasonló megszakítások nem jelenítik meg a felhasználó felhasználói felületét, és nem sikerül megfelelően hitelesíteni a fiókot.

Vállalati Windows Hello támogatás a HoloLensen (1. generációs)

Vállalati Windows Hello (amely támogatja a PIN-kód használatát a bejelentkezéshez) a HoloLens (1. generációs) esetében támogatott. Pin-kód Vállalati Windows Hello bejelentkezés engedélyezése a HoloLensen (1. generációs):

  1. A HoloLens-eszközt MDM-nek kell felügyelnie.
  2. Engedélyeznie kell Vállalati Windows Hello az eszközhöz. (Lásd a Microsoft Intune utasításait.)
  3. A HoloLens eszközön a felhasználó ezután a Beállítások>Bejelentkezési beállítások>PIN-kód hozzáadása lehetőséggel állíthatja be a PIN-kódot.

Megjegyzés

AMicrosoft-fiókkalbejelentkező felhasználók PIN-kódot is beállíthatnak a Beállítások> Bejelentkezési beállítások >PIN-kód hozzáadása területen. Ez a PIN-kód nem Vállalati Windows Hello, hanem Windows Hello van társítva.

További források

A felhasználói identitás védelméről és hitelesítéséről a Windows 10 biztonsági és identitáskezelési dokumentációjában olvashat bővebben.

További információ a hibrid identitás-infrastruktúra beállításáról az Azure Hybrid Identity dokumentációjában.