Condividi tramite


Gestire l'identità utente e l'accesso per HoloLens

Nota

Questo articolo è un riferimento tecnico per professionisti IT e appassionati di tecnologia. Per istruzioni di configurazione di HoloLens, leggere "Configurazione di HoloLens (prima generazione)" o "Configurazione di HoloLens 2".

Mancia

HoloLens 2 è configurato come dispositivo aggiunto a Microsoft Entra ID e non supporta Active Directory locale. Nella maggior parte dei casi, l'autenticazione può essere eseguita usando un'identità ID Entra gestita o un'identità dell'ID Entra federato. Tuttavia, se il servizio federativo causa problemi di autenticazione, è necessario assicurarsi di poter accedere da un PC Windows 10 o Windows 11 aggiunto solo a Entra ID. Molti problemi di autenticazione sono il risultato delle configurazioni solo di Entra ID, anziché di un problema specifico di HoloLens. La risoluzione di questi problemi è molto più semplice da un PC Windows 10 o Windows.

Verrà ora illustrata la configurazione dell'identità utente per HoloLens 2

Analogamente ad altri dispositivi Windows, HoloLens opera sempre in un contesto utente. Esiste sempre un'identità utente. HoloLens tratta l'identità quasi allo stesso modo di un dispositivo Windows 10 o Windows 11. L'accesso durante l'installazione crea un profilo utente in HoloLens che archivia app e dati. Lo stesso account fornisce anche l'accesso Single Sign-On per le app, ad esempio Microsoft Edge o Dynamics 365 Remote Assist, usando le API di Gestione account di Windows.

HoloLens supporta diversi tipi di identità utente. È possibile scegliere uno di questi tre tipi di account, ma è consigliabile usare l'ID Microsoft Entra perché è consigliabile gestire i dispositivi. Solo gli account Microsoft Entra supportano più utenti.

Tipo di identità Account per dispositivo Opzioni di autenticazione
Microsoft Entra ID1 63
  • Provider di credenziali Web di Azure
  • Azure Authenticator App
  • Biometrica (Iris) - HoloLens 2 solo2
  • Chiave di sicurezza FIDO2
  • PIN: facoltativo per HoloLens (prima generazione), obbligatorio per HoloLens 2
  • Parola d’ordine
account Microsoft (MSA) 1
  • Biometrico (Iris) - Solo HoloLens 2
  • PIN: facoltativo per HoloLens (prima generazione), obbligatorio per HoloLens 2
  • Parola d’ordine
account locale3 1 Parola d’ordine
'ID Microsoft Entra condiviso 1 autenticazione Certificate-Based (CBA)

Gli account connessi al cloud (Microsoft Entra ID e MSA) offrono più funzionalità perché possono usare i servizi di Azure.

Importante

1 - Microsoft Entra ID P1 o P2 non è necessario per accedere al dispositivo. Tuttavia, è necessario per altre funzionalità di una distribuzione basata sul cloud a basso tocco, ad esempio registrazione automatica e Autopilot.

Nota

2 - Mentre un dispositivo HoloLens 2 può supportare fino a 63 account Microsoft Entra e un account di sistema per un totale di 64 account, solo fino a 10 di questi account devono registrarsi in Iris Authentication. Questa opzione è allineata ad altre opzioni di autenticazione biometrica per Windows Hello for Business. Anche se più di 10 account possono essere registrati nell'autenticazione Iris, questo aumenta il tasso di falsi positivi e non è consigliato.

Importante

3 - Un account locale può essere configurato solo in un dispositivo tramite un pacchetto di provisioning durante la configurazione guidata, non può essere aggiunto più avanti nell'app delle impostazioni. Se si vuole usare un account locale in un dispositivo già configurato, è necessario barra di riferimento o reimpostare il dispositivo.

In che modo il tipo di account influisce sul comportamento di accesso?

Se si applicano criteri per l'accesso, il criterio viene sempre rispettato. Se non viene applicato alcun criterio per l'accesso, si tratta dei comportamenti predefiniti per ogni tipo di account:

  • microsoft Entra ID: richiede l'autenticazione per impostazione predefinita e configurabile da Impostazioni di non richiedere più l'autenticazione.
  • account Microsoft: il comportamento del blocco è diverso consentendo lo sblocco automatico, ma l'autenticazione di accesso è ancora necessaria al riavvio.
  • account locale: richiede sempre l'autenticazione sotto forma di password, non configurabile in Impostazioni

Nota

I timer di inattività non sono attualmente supportati, il che significa che il criterio AllowIdleReturnWithoutPassword viene rispettato solo quando il dispositivo passa a StandBy.

Iris Login

Raccolta di dati biometrici di HoloLens

I dati biometrici (inclusi i movimenti testa/mano/occhio, la scansione dell'iride) raccolti da questo dispositivo vengono usati per la calibrazione, per migliorare le interazioni affidabili e per migliorare l'esperienza utente. Come con altri dispositivi Windows, le app di terze parti nel dispositivo possono accedere ai dati nel dispositivo allo scopo di fornire determinate funzionalità e funzionalità. Passare alla sezione Privacy in Impostazioni per informazioni dettagliate sul Contratto di licenza e l'Informativa sulla privacy di Microsoft.

L'account di accesso a HoloLens Iris si basa su Windows Hello. HoloLens archivia i dati biometrici usati per implementare Windows Hello in modo sicuro solo nel dispositivo locale. I dati biometrici non si spostano e non vengono mai inviati a dispositivi o server esterni. Poiché Windows Hello archivia solo i dati di identificazione biometrica nel dispositivo, non esiste un singolo punto di raccolta che un utente malintenzionato può compromettere per rubare i dati biometrici.

HoloLens esegue l'autenticazione iris in base ai codici di bit archiviati. Gli utenti hanno il controllo completo sulla registrazione dell'account utente per l'accesso Iris per l'autenticazione. Gli amministratori IT possono disabilitare le funzionalità di Windows Hello tramite i server MDM. Vedere Gestire Windows Hello for Business nell'organizzazione.

Nota

Gli account ID Microsoft Entra condivisi non supportano l'accesso Iris in HoloLens. Per altre informazioni sui vantaggi e sulle limitazioni sull'uso degli account Microsoft Entra condivisi.

Domande frequenti su Iris

Come viene implementata l'autenticazione biometrica Iris in HoloLens 2?

HoloLens 2 supporta l'autenticazione Iris. Iris è basato sulla tecnologia Windows Hello ed è supportato per l'uso sia da Microsoft Entra ID che da account Microsoft. Iris viene implementato allo stesso modo di altre tecnologie Windows Hello e ottiene sicurezza biometrica FAR di 1/100K.

Per altre informazioni, vedere i requisiti biometrici e le specifiche per Windows Hello. Altre informazioni su Windows Hello e Windows Hello for Business.

Dove vengono archiviate le informazioni biometriche Iris?

Le informazioni biometriche iris vengono archiviate localmente in ogni dispositivo HoloLens per ogni specifica di Windows Hello. Non è condiviso ed è protetto da due livelli di crittografia. Non è accessibile ad altri utenti, anche a un amministratore, perché non esiste alcun account amministratore in un dispositivo HoloLens.

È necessario usare l'autenticazione Iris?

No, è possibile ignorare questo passaggio durante l'installazione.

Configurare Iris.

HoloLens 2 offre molte opzioni diverse per l'autenticazione, incluse le chiavi di sicurezza FIDO2.

Le informazioni iris possono essere rimosse da HoloLens?

Sì, è possibile rimuoverlo manualmente in Impostazioni.

Configurazione degli utenti

Esistono due modi per configurare un nuovo utente in HoloLens. Il modo più comune è durante l'esperienza guidata di HoloLens.The most common way is during the HoloLens out-of-box experience (Configurazione guidata). Se si usa Microsoft Entra ID, altri utenti possono accedere dopo la configurazione guidata usando le credenziali di Microsoft Entra. I dispositivi HoloLens inizialmente configurati con un account del servizio gestito o locale durante la configurazione guidata non supportano più utenti. Vedere Configurazione del HoloLens (prima generazione) o HoloLens 2.

Se si usa un account aziendale o aziendale per accedere a HoloLens, HoloLens si registra nell'infrastruttura IT dell'organizzazione. Questa registrazione consente all'amministratore IT di configurare la gestione dei dispositivi mobili (MDM) per inviare criteri di gruppo a HoloLens.

Come Windows in altri dispositivi, l'accesso durante l'installazione crea un profilo utente nel dispositivo. Il profilo utente archivia app e dati. Lo stesso account fornisce anche l'accesso Single Sign-On per le app, ad esempio Microsoft Edge o Microsoft Store, usando le API di Gestione account di Windows.

Per impostazione predefinita, come per altri dispositivi Windows 10, devi accedere di nuovo quando HoloLens riavvia o riprende dallo standby. È possibile usare l'app Impostazioni per modificare questo comportamento oppure il comportamento può essere controllato da Criteri di gruppo.

Mancia

Se più utenti usano un dispositivo, è importante mantenere pulita la visiera. Vedi Domande frequenti sulla pulizia di HoloLens 2 per informazioni dettagliate su come pulire il dispositivo. È consigliabile pulire la visiera tra ogni utente. Questa procedura consigliata è particolarmente importante se si usa l'autenticazione Iris.

Account collegati

Come nella versione desktop di Windows, è possibile collegare altre credenziali dell'account Web all'account HoloLens. Questo collegamento semplifica l'accesso alle risorse tra le app (ad esempio lo Store) o per combinare l'accesso alle risorse personali e aziendali. Dopo aver connesso un account al dispositivo, è possibile concedere l'autorizzazione per usare il dispositivo alle app in modo che non sia necessario accedere a ogni app singolarmente.

Il collegamento degli account non separa i dati utente creati nel dispositivo, ad esempio immagini o download.

Configurazione del supporto multiutente (solo Microsoft Entra)

HoloLens supporta più utenti dello stesso tenant di Microsoft Entra. Per usare questa funzionalità, è necessario usare un account appartenente all'organizzazione per configurare il dispositivo. Successivamente, altri utenti dello stesso tenant possono accedere al dispositivo dalla schermata di accesso o toccando il riquadro utente nel pannello Start. È possibile accedere a un solo utente alla volta. Quando un utente accede, HoloLens disconnette l'utente precedente.

Importante

Il primo utente nel dispositivo viene considerato il proprietario del dispositivo, ad eccezione del caso dell'aggiunta a Microsoft Entra, altre informazioni sui proprietari di dispositivi.

Tutti gli utenti possono usare le app installate nel dispositivo. Tuttavia, ogni utente ha i propri dati e preferenze dell'app. La rimozione di un'app dal dispositivo la rimuove per tutti gli utenti.

Nota

Un'altra opzione per i dispositivi condivisi tra più utenti consiste nel creare un account ID Microsoft Entra condiviso nel dispositivo. Per informazioni dettagliate su come configurare questo account nel dispositivo, vedere Account Microsoft Entra condivisi in HoloLens.

I dispositivi configurati con gli account Microsoft Entra non consentono l'accesso al dispositivo con un account Microsoft. Tutti gli account successivi usati devono essere account Microsoft Entra dello stesso tenant del dispositivo. È comunque possibile accedere usando un account Microsoft alle app che lo supportano (ad esempio Microsoft Store). Per passare dall'uso degli account Microsoft Entra agli account Microsoft per l'accesso al dispositivo, è necessario barra di riferimento del dispositivo.

Nota

HoloLens (prima generazione) ha iniziato a supportare più utenti di Microsoft Entra nel Aggiornamento di Windows 10 di aprile 2018 come parte di Windows Holographic for Business.

Nella schermata di accesso sono elencati più utenti

In precedenza la schermata di accesso mostrava solo l'utente connesso più di recente e un punto di ingresso "Altro utente". È stato ricevuto un feedback dei clienti che non è sufficiente se più utenti hanno eseguito l'accesso al dispositivo. Erano ancora necessari per riscrizionare il proprio nome utente e così via.

Introdotto in Windows Holographic, versione 21H1, quando si seleziona Altro utente che si trova a destra del campo di immissione del PIN, nella schermata Di accesso vengono visualizzati più utenti con cui è stato eseguito l'accesso al dispositivo. In questo modo gli utenti possono selezionare il proprio profilo utente e quindi accedere usando le credenziali di Windows Hello. Un nuovo utente può anche essere aggiunto al dispositivo da questa altri utenti pagina tramite il pulsante Aggiungi account .

Quando nel menu Altri utenti, il pulsante Altri utenti visualizza l'ultimo utente connesso al dispositivo. Selezionare questo pulsante per tornare alla schermata di accesso dell'utente.

schermata di accesso predefinita.


schermata di accesso di altri utenti.

Rimozione di utenti

È possibile rimuovere un utente dal dispositivo passando a impostazioni di >Account>Altri utenti. Questa azione recupera anche lo spazio rimuovendo tutti i dati dell'app dell'utente dal dispositivo.

Uso dell'accesso Single Sign-On all'interno di un'app

Gli sviluppatori di app possono sfruttare le identità collegate in HoloLens usando le API di Gestione account di Windows , proprio come in altri dispositivi Windows. Alcuni esempi di codice per queste API sono disponibili in GitHub: esempio di gestione degli account Web.

Qualsiasi interrupt dell'account che potrebbe verificarsi, ad esempio la richiesta di consenso dell'utente per le informazioni sull'account, l'autenticazione a due fattori e così via, deve essere gestita quando l'app richiede un token di autenticazione.

Se l'app richiede un tipo di account specifico che non è stato collegato in precedenza, l'app può chiedere al sistema di richiedere all'utente di aggiungerne una. Questa richiesta attiva il riquadro delle impostazioni dell'account per l'avvio come elemento figlio modale dell'app. Per le app 2D, questa finestra esegue il rendering direttamente sul centro dell'app. Per le app Unity, questa richiesta richiede brevemente all'utente di uscire dall'app olografica per eseguire il rendering della finestra figlio. Per informazioni sulla personalizzazione dei comandi e delle azioni in questo riquadro, vedere Classe WebAccountCommand.

Enterprise e altre autenticazioni

Se l'app usa altri tipi di autenticazione, ad esempio NTLM, Basic o Kerberos, puoi usare dell'interfaccia utente delle credenziali di Windows per raccogliere, elaborare e archiviare le credenziali dell'utente. L'esperienza utente per la raccolta di queste credenziali è simile ad altri interrupt di account basati sul cloud e viene visualizzata come app figlio sopra l'app 2D o sospende brevemente un'app Unity per mostrare l'interfaccia utente.

API deprecate

Un modo in cui lo sviluppo per HoloLens è diverso dallo sviluppo per Desktop è che l'API OnlineIDAuthenticator non è completamente supportata. Anche se l'API restituisce un token se l'account primario è in buona posizione, gli interrupt, ad esempio quelli descritti in questo articolo, non visualizzano alcuna interfaccia utente per l'utente e non riescono a autenticare correttamente l'account.

Supporto di Windows Hello for Business in HoloLens (prima generazione)

Windows Hello for Business (che supporta l'uso di un PIN per l'accesso) è supportato per HoloLens (prima generazione). Per consentire l'accesso al PIN di Windows Hello for Business in HoloLens (prima generazione):

  1. Il dispositivo HoloLens deve essere gestito da MDM.
  2. È necessario abilitare Windows Hello for Business per il dispositivo. (Vedere le istruzioni per Microsoft Intune.)
  3. Nel dispositivo HoloLens l'utente può quindi usare Impostazioni>Opzioni di accesso>Aggiungi PIN per configurare un PIN.

Nota

Gli utenti che accedono usando un account Microsoft possono anche configurare un PIN in Impostazioni impostazioni>Opzioni di accesso>Aggiungi PIN. Questo PIN è associato a Windows Hello, anziché Windows Hello for Business.

Risorse aggiuntive

Per altre informazioni sulla protezione e l'autenticazione dell'identità utente, vedere la documentazione sulla sicurezza e l'identità di Windows 10.

Altre informazioni sulla configurazione dell'infrastruttura ibrida di gestione delle identità tramite la documentazione sull'identità ibrida di Azure .