Gestire l'identità utente e l'accesso per HoloLens
Nota
Questo articolo è un riferimento tecnico per professionisti IT e appassionati di tecnologia. Se si cercano istruzioni per la configurazione di HoloLens, vedere "Configurazione di HoloLens (prima generazione) o "Configurazione del HoloLens 2".
Suggerimento
HoloLens 2 è configurato come dispositivo aggiunto Microsoft Entra ID e non supporta Active Directory locale. Nella maggior parte dei casi, l'autenticazione può essere eseguita usando un'identità ID Entra gestita o un'identità dell'ID entra federata. Tuttavia, se il servizio federativo causa problemi di autenticazione, è necessario assicurarsi di poter accedere da un Windows 10 o Windows 11 PC di entra. Molti problemi di autenticazione sono un risultato delle configurazioni solo di Entra ID, anziché un problema specifico di HoloLens. La risoluzione di queste sfide è molto più semplice da un pc Windows 10 o Windows.
Parliamo di configurazione dell'identità utente per HoloLens 2
Come altri dispositivi Windows, HoloLens opera sempre in un contesto utente. Esiste sempre un'identità utente. HoloLens tratta l'identità quasi allo stesso modo di un dispositivo Windows 10 o Windows 11. L'accesso durante l'installazione crea un profilo utente in HoloLens che archivia app e dati. Lo stesso account fornisce anche Single Sign-On per le app, ad esempio Microsoft Edge o Dynamics 365 Remote Assist, usando le API di Windows Account Manager.
HoloLens supporta diversi tipi di identità utente. È possibile scegliere uno di questi tre tipi di account, ma è consigliabile Microsoft Entra ID come è consigliabile gestire i dispositivi. Solo gli account Microsoft Entra supportano più utenti.
| Tipo di identità | Account per dispositivo | Opzioni di autenticazione |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Account Microsoft (MSA) | 1 |
|
| Account locale3 | 1 | Password |
| Microsoft Entra ID condivisi | 1 | Certificate-Based Autenticazione (CBA) |
Gli account connessi al cloud (Microsoft Entra ID e MSA) offrono altre funzionalità perché possono usare i servizi di Azure.
Importante
1 : Microsoft Entra ID P1 o P2 non è necessario accedere al dispositivo. Tuttavia, è necessario per altre funzionalità di una distribuzione basata sul cloud con tocco basso, ad esempio Registrazione automatica e Autopilot.
Nota
2 : mentre un dispositivo HoloLens 2 può supportare fino a 63 account Microsoft Entra e un account di sistema per un totale di 64 account, solo fino a 10 di tali account deve registrarsi in Iris Authentication. Questo è allineato ad altre opzioni di autenticazione biometriche per Windows Hello for Business. Anche se più di 10 account possono essere registrati nell'autenticazione iris, questo aumenta il tasso di falsi positivi e non è consigliato.
Importante
3: un account locale può essere configurato solo in un dispositivo tramite un pacchetto di provisioning durante L'OOBE, non può essere aggiunto più avanti nell'app impostazioni. Se si vuole usare un account locale in un dispositivo già configurato, è necessario reimpostare o reimpostare il dispositivo.
In che modo il tipo di account influisce sul comportamento di accesso?
Se si applicano criteri per l'accesso, il criterio viene sempre rispettato. Se non vengono applicati criteri per l'accesso, questi sono i comportamenti predefiniti per ogni tipo di account:
- Microsoft Entra ID: chiede l'autenticazione per impostazione predefinita e configurabile da Impostazioni per non richiedere più l'autenticazione.
- Account Microsoft: il comportamento di blocco è diverso per consentire lo sblocco automatico, ma l'autenticazione di accesso è ancora necessaria al riavvio.
- Account locale: richiede sempre l'autenticazione sotto forma di password, non configurabile in Impostazioni
Nota
I timer di inattività attualmente non sono supportati, il che significa che i criteri AllowIdleReturnWithoutPassword vengono rispettati solo quando il dispositivo entra in StandBy.
Accesso Iris
Raccolta di dati biometrici da HoloLens
Dati biometrici (inclusi movimenti testa/mano/occhio, analisi dell'iris) che questo dispositivo raccoglie viene usato per la calibrazione, per migliorare le interazioni affidabili e migliorare l'esperienza utente. Come per altri dispositivi Windows, le app di terze parti nel dispositivo possono accedere ai dati nel dispositivo allo scopo di offrire determinate funzionalità e funzionalità. Passare alla sezione Privacy in Impostazioni per informazioni dettagliate sul Contratto di licenza e l'informativa sulla privacy Di Microsoft.
L'account di accesso HoloLens Iris è basato su Windows Hello. HoloLens archivia i dati biometrici usati per implementare Windows Hello in modo sicuro solo nel dispositivo locale. I dati biometrici non vengono trasferiti in roaming e non vengono mai inviati a dispositivi o server esterni. Poiché Windows Hello archivia solo i dati di identificazione biometrica nel dispositivo, non esiste un singolo punto di raccolta esposto agli attacchi per il furto dei dati biometrici.
HoloLens esegue l'autenticazione iris in base ai codici bit archiviati. Gli utenti hanno il controllo completo su se registrano l'account utente per l'accesso iris per l'autenticazione. Gli amministratori IT possono disabilitare le funzionalità di Windows Hello tramite i server MDM. Vedere Gestire Windows Hello for Business nell'organizzazione.
Nota
Gli account di Microsoft Entra ID condivisi non supportano l'accesso Iris in HoloLens. Per altre informazioni, vedere i vantaggi e le limitazioni dell'uso degli account di Microsoft Entra condivisi.
Domande frequenti su Iris
Come viene implementata l'autenticazione biometrica Iris in HoloLens 2?
HoloLens 2 supporta l'autenticazione Iris. Iris si basa sulla tecnologia Windows Hello e è supportata per l'uso sia da Microsoft Entra ID che da account Microsoft. Iris viene implementato allo stesso modo di altre tecnologie Windows Hello e ottiene la sicurezza biometrica FAR di 1/100K.
Per altre informazioni, vedere i requisiti e le specifiche biometriche per Windows Hello. Altre informazioni su Windows Hello e Windows Hello for Business.
Dove sono archiviate le informazioni biometriche iris?
Le informazioni biometriche iris vengono archiviate localmente in ogni specifica HoloLens per Windows Hello. Non è condiviso ed è protetto da due livelli di crittografia. Non è accessibile ad altri utenti, anche un amministratore, perché non esiste alcun account amministratore in un holoLens.
È necessario usare l'autenticazione Iris?
No, è possibile ignorare questo passaggio durante l'installazione.
HoloLens 2 offre molte opzioni diverse per l'autenticazione, incluse le chiavi di sicurezza FIDO2.
Le informazioni su Iris possono essere rimosse da HoloLens?
Sì, è possibile rimuoverlo manualmente in Impostazioni.
Configurazione degli utenti
Esistono due modi per configurare un nuovo utente in HoloLens. Il modo più comune è durante l'esperienza predefinita HoloLens (OOBE). Se si usa Microsoft Entra ID, altri utenti possono accedere dopo L'accesso tramite le credenziali di Microsoft Entra. I dispositivi HoloLens inizialmente configurati con un account del servizio gestito o locale durante la configurazione guidata non supportano più utenti. Vedere Configurazione di HoloLens (prima generazione) o HoloLens 2.
Se si usa un account aziendale o aziendale per accedere a HoloLens, HoloLens esegue la registrazione nell'infrastruttura IT dell'organizzazione. Questa registrazione consente al Amministrazione IT di configurare Mobile Gestione dispositivi (MDM) per inviare criteri di gruppo a HoloLens.
Come Windows in altri dispositivi, l'accesso durante l'installazione crea un profilo utente nel dispositivo. Il profilo utente archivia app e dati. Lo stesso account fornisce anche l'accesso Single Sign-On per le app, ad esempio Microsoft Edge o Microsoft Store, usando le API di Gestione account di Windows.
Per impostazione predefinita, come per altri dispositivi Windows 10, è necessario accedere di nuovo quando HoloLens riavvia o riprende dallo standby. È possibile usare l'app Impostazioni per modificare questo comportamento oppure il comportamento può essere controllato da Criteri di gruppo.
Suggerimento
Se più utenti usano un dispositivo, è importante mantenere pulita la visiera. Per informazioni dettagliate su come pulire il dispositivo, vedere HoloLens 2 domande frequenti sulla pulizia. È consigliabile pulire la visiera tra ogni utente. Questa procedura consigliata è particolarmente importante se si usa l'autenticazione Iris.
Account collegati
Come nella versione desktop di Windows, è possibile collegare altre credenziali dell'account Web all'account HoloLens. Tale collegamento semplifica l'accesso alle risorse all'interno o all'interno di app (ad esempio lo Store) o per combinare l'accesso alle risorse personali e aziendali. Dopo aver connesso un account al dispositivo, è possibile concedere l'autorizzazione per usare il dispositivo alle app in modo che non sia necessario accedere a ogni app singolarmente.
Il collegamento degli account non separa i dati utente creati nel dispositivo, ad esempio immagini o download.
Configurazione del supporto multiutente (solo Microsoft Entra)
HoloLens supporta più utenti dello stesso tenant Microsoft Entra. Per usare questa funzionalità, è necessario usare un account appartenente all'organizzazione per configurare il dispositivo. Successivamente, altri utenti dello stesso tenant possono accedere al dispositivo dalla schermata di accesso o toccando il riquadro utente nel pannello Start. È possibile accedere a un solo utente alla volta. Quando un utente accede, HoloLens disconnette l'utente precedente.
Importante
Il primo utente nel dispositivo viene considerato il proprietario del dispositivo, ad eccezione del caso di Microsoft Entra join, altre informazioni sui proprietari dei dispositivi.
Tutti gli utenti possono usare le app installate nel dispositivo. Tuttavia, ogni utente ha i propri dati e preferenze dell'app. La rimozione di un'app dal dispositivo lo rimuove per tutti gli utenti.
Nota
Un'altra opzione per i dispositivi condivisi tra più utenti consiste nel creare un account di Microsoft Entra ID condiviso nel dispositivo. Per informazioni dettagliate su come configurare questo account nel dispositivo, vedere Account di Microsoft Entra condivisi in HoloLens.
I dispositivi configurati con account Microsoft Entra non consentono l'accesso al dispositivo con un account Microsoft. Tutti gli account successivi usati devono essere Microsoft Entra account dello stesso tenant del dispositivo. È comunque possibile accedere usando un account Microsoft alle app che lo supportano, ad esempio Microsoft Store. Per passare dall'uso degli account Microsoft Entra agli account Microsoft per l'accesso al dispositivo, è necessario riflashare il dispositivo.
Nota
HoloLens (prima generazione) ha iniziato a supportare più utenti Microsoft Entra nell'aggiornamento di Windows 10 aprile 2018 come parte di Windows Holographic for Business.
Nella schermata di accesso sono elencati più utenti
In precedenza la schermata di accesso mostrava solo l'utente connesso più di recente e un punto di ingresso "Altro utente". Sono stati ricevuti commenti e suggerimenti dei clienti che non sono sufficienti se più utenti hanno eseguito l'accesso al dispositivo. Erano ancora necessari per riscrizionare il proprio nome utente e così via.
Introdotto in Windows Holographic, versione 21H1, quando si seleziona Altro utente che si trova a destra del campo di immissione del PIN, nella schermata Di accesso vengono visualizzati più utenti con cui è stato eseguito l'accesso al dispositivo. In questo modo gli utenti possono selezionare il proprio profilo utente e quindi accedere usando le credenziali di Windows Hello. Un nuovo utente può anche essere aggiunto al dispositivo da questa pagina di altri utenti tramite il pulsante Aggiungi account .
Quando si trova nel menu Altri utenti , il pulsante Altri utenti visualizza l'ultimo utente connesso al dispositivo. Selezionare questo pulsante per tornare alla schermata di accesso dell'utente.
Rimozione di utenti
È possibile rimuovere un utente dal dispositivo passando a Impostazioni>Account>Altri utenti. Questa azione recupera anche spazio rimuovendo tutti i dati dell'app dell'utente dal dispositivo.
Uso dell'accesso Single Sign-On all'interno di un'app
Gli sviluppatori di app possono sfruttare le identità collegate in HoloLens usando le API di Gestione account di Windows, esattamente come in altri dispositivi Windows. Alcuni esempi di codice per queste API sono disponibili in GitHub: esempio di gestione degli account Web.
Qualsiasi interruzione dell'account che può verificarsi, ad esempio la richiesta del consenso dell'utente per le informazioni sull'account, l'autenticazione a due fattori e così via, deve essere gestita quando l'app richiede un token di autenticazione.
Se l'app richiede un tipo di account specifico che non è stato collegato in precedenza, l'app può chiedere al sistema di richiedere all'utente di aggiungerne una. Questa richiesta attiva il riquadro delle impostazioni dell'account per l'avvio come elemento figlio modale dell'app. Per le app 2D, questa finestra esegue il rendering direttamente sul centro dell'app. Per le app Unity, questa richiesta porta brevemente l'utente dall'app olografica per eseguire il rendering della finestra figlio. Per informazioni sulla personalizzazione dei comandi e delle azioni in questo riquadro, vedere Classe WebAccountCommand.
Enterprise e altre autenticazioni
Se l'app usa altri tipi di autenticazione, ad esempio NTLM, Basic o Kerberos, puoi usare l'interfaccia utente delle credenziali di Windows per raccogliere, elaborare e archiviare le credenziali dell'utente. L'esperienza utente per la raccolta di queste credenziali è simile ad altri interrupt dell'account basato sul cloud e viene visualizzata come app figlio sopra l'app 2D o sospende brevemente un'app Unity per visualizzare l'interfaccia utente.
API deprecate
Un modo in cui lo sviluppo per HoloLens è diverso dallo sviluppo per Desktop è che l'API OnlineIDAuthenticator non è completamente supportata. Anche se l'API restituisce un token se l'account primario è valido, gli interrupt, ad esempio quelli descritti in questo articolo, non visualizzano alcuna interfaccia utente per l'utente e non riescono a autenticare correttamente l'account.
Windows Hello for Business supporto in HoloLens (prima generazione)
Windows Hello for Business (che supporta l'uso di un PIN per l'accesso) è supportato per HoloLens (prima generazione). Per consentire l'accesso al PIN Windows Hello for Business in HoloLens (prima generazione):
- Il dispositivo HoloLens deve essere gestito da MDM.
- È necessario abilitare Windows Hello for Business per il dispositivo. Vedere le istruzioni per Microsoft Intune.
- Nel dispositivo HoloLens l'utente può quindi usare Impostazioni>Opzioni> di accessoAggiungi PIN per configurare un PIN.
Nota
Gli utenti che accedono usando un account Microsoft possono anche configurare un PIN in Impostazioni>Opzioni> di accessoAggiungi PIN. Questo PIN è associato a Windows Hello, anziché a Windows Hello for Business.
Risorse aggiuntive
Per altre informazioni sulla protezione delle identità utente e sull'autenticazione, vedere la documentazione relativa alla sicurezza e all'identità di Windows 10.
Per altre informazioni sulla configurazione dell'infrastruttura di gestione delle identità ibride, vedere la documentazione sull'identità ibrida di Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per