Rendszergazda nélküli operációs rendszer
A HoloLens 2 minimálisra csökkenti a jogosultságok eszkalálásának felületét azáltal, hogy letiltja a Rendszergazdák csoport támogatását, és korlátozza az összes külső UWP-alkalmazáskódot, hogy csak standard felhasználóként futtassa őket az AppContainer tesztkörnyezetében. Ez a kód csak az összes AppContainer számára elérhető erőforrásokon kívül csak az alkalmazásban explicit módon nyilvánult képességek által védett erőforrásokhoz biztosít hozzáférést. Ezek az alkalmazásképességek továbbra is háromrétegű besorolási modellel rendelkeznek:
- Általános
- Korlátozott
- Windows
A Windows-összetevők az AppContainer tesztkörnyezetet is használhatják a system UWP-ken keresztül. Az Univerzális Windows Platform (UWP) szolgáltatásról további információt UWP dokumentációjában. Emellett a nagyobb jogosultság-csökkentési igényű Windows-összetevők (például a böngésző tartalomoldalai vagy elemzői) a Kevésbé emelt jogosultságú AppContainer (LPAC) tesztkörnyezetet használják, amely csökkenti az összes AppContainer számára elérhető erőforráskészlethez való hozzáférést.
Végül az adott eszközszintű műveletek végrehajtása, például az eszköz bérlőhöz vagy felhasználókezeléshez való csatlakoztatása csak az "eszköztulajdonosok" számára engedélyezett. Ezt a csoportot az eszköz felhasználói töltik ki az alábbi lépések egyikével:
- Az eszköz első felhasználója mindig tulajdonosként van megjelölve.
Fontos
A Microsoft Entra-felhasználók esetében kivétel ez alól a szabály alól az, hogy ha az eszköz a Microsoft Entra autopilot vagy tömeges Microsoft Entra-regisztráción keresztül csatlakozik, amely nem valós felhasználót használ. Ebben az esetben előfordulhat, hogy az első Microsoft Entra-felhasználó, aki bejelentkezik az eszközre, nem lesz automatikusan az eszköz tulajdonosa, kivéve, ha a felhasználóhoz az Azure Portalon hozzárendelt "Globális rendszergazda" vagy "Microsoft Entra csatlakoztatott eszköz helyi rendszergazda" szerepkör van hozzárendelve. További információkért tekintse meg az alábbi megjegyzést.
- Ha egy felhasználót egy másik tulajdonos előléptet a Beállítások UX-ból tulajdonosként az eszközön.
- Ha az eszköz tulajdonosa már nem érhető el (elhagyja a vállalatot), és az eszköz csatlakozik a Microsoft Entra-hoz, a bérlői rendszergazda új felhasználóra módosíthatja az eszköz tulajdonosát az Azure Portalon. A Microsoft Entra-bérlő globális rendszergazdái és a Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdái implicit módon bejelentkeznek az eszközön tulajdonosként anélkül, hogy az előző lépések egyikét kellene elvégeznie.
A rendszergazdák az Adatvédelmi szabályzatokkal kezelhetik, hogy mely alkalmazások férhetnek hozzá.
Megjegyzés
Ha többet szeretne megtudni arról, hogy ki lett az eszköztulajdonos a Microsoft Entra-hoz csatlakoztatott eszközön, tekintse meg "Helyi rendszergazda hozzárendelése" dokumentációt (de olvassa el a "helyi rendszergazdat" eszköztulajdonosként, mivel a rendszergazda nem létezik a HoloLensben).
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt szerepkör, amelynek vészhelyzeti helyzetekre kell korlátozódnia, ha nem tud meglévő szerepkört használni.