HoloLens のユーザー ID とログインを管理する

• 適用対象:

  HoloLens (1st gen), HoloLens 2

手記

この記事は、IT 担当者や技術愛好家向けのテクニカル リファレンスです。 HoloLens のセットアップ手順については、「HoloLens (第 1 世代)のセットアップ」または「HoloLens 2のセットアップ」を参照してください。

先端

HoloLens 2 は Microsoft Entra ID 参加済みデバイスとして構成されており、オンプレミスの Active Directory をサポートしていません。 ほとんどの場合、認証はマネージド Entra ID ID またはフェデレーション Entra ID ID を使用して実行できます。 ただし、フェデレーション サービスが認証の課題を引き起こしている場合は、Entra ID のみ参加済みの Windows 10 または Windows 11 PC からサインオンできることを確認する必要があります。 認証の問題の多くは、HoloLens 固有の問題ではなく、Entra ID のみの構成の結果です。 これらの課題のトラブルシューティングは、Windows 10 または Windows PC からはるかに簡単です。

HoloLens 2 のユーザー ID の設定について説明します

他の Windows デバイスと同様に、HoloLens は常にユーザー コンテキストで動作します。 ユーザー ID は常に存在します。 HoloLens は、Windows 10 または Windows 11 デバイスとほぼ同じ方法で ID を扱います。 セットアップ中にサインインすると、アプリとデータを格納するユーザー プロファイルが HoloLens に作成されます。 同じアカウントでは、Windows アカウント マネージャー API を使用して、Microsoft Edge や Dynamics 365 Remote Assist などのアプリにシングル サインオンも提供されます。

HoloLens では、いくつかの種類のユーザー ID がサポートされています。 これら 3 つのアカウントの種類のいずれかを選択できますが、デバイスの管理に最適な Microsoft Entra ID を強くお勧めします。 Microsoft Entra アカウントのみが複数のユーザーをサポートします。

ID の種類	デバイスあたりのアカウント数	認証オプション
Microsoft Entra ID1	63	Azure Web 資格情報プロバイダー Azure Authenticator アプリ 生体認証 (Iris) – HoloLens 22 のみ FIDO2 セキュリティ キー PIN – HoloLens (第 1 世代) の場合は省略可能。HoloLens 2 に必要 パスワード
Microsoft アカウント (MSA)	1	生体認証 (虹彩) – HoloLens 2 のみ PIN – HoloLens (第 1 世代) の場合は省略可能。HoloLens 2 に必要 パスワード
ローカル アカウント3	1	パスワード
共有 Microsoft Entra ID を する	1	Certificate-Based 認証 (CBA)

クラウドに接続されたアカウント (Microsoft Entra ID と MSA) では、Azure サービスを使用できるため、より多くの機能が提供されます。

大事な

1 - デバイスにサインインするために Microsoft Entra ID P1 または P2 は必要ありません。 ただし、自動登録や Autopilot など、低タッチのクラウドベースのデプロイの他の機能には必要です。

手記

2 - HoloLens 2 デバイスでは、最大 63 個の Microsoft Entra アカウントと合計 64 個のアカウントに対して 1 つのシステム アカウントをサポートできますが、Iris Authentication に登録する必要があるのは、これらのアカウントのうち最大 10 個のみです。 これは、Windows Hello for Business の他の生体認証オプションと一致しています。 10 を超えるアカウントが Iris 認証に登録されている可能性がありますが、これにより誤検知の割合が増加し、推奨されません。

大事な

3 - ローカル アカウントは、OOBE中にプロビジョニング パッケージを介して デバイス上でのみ設定できます。設定アプリで後で追加することはできません。 既に設定されているデバイスでローカル アカウントを使用する場合は、デバイスの再フラッシュまたはリセットを する必要があります。

アカウントの種類はサインイン動作にどのように影響しますか?

サインインにポリシーを適用する場合、ポリシーは常に尊重されます。 ログインのポリシーが適用されていない場合、各アカウントの種類の既定の動作は次のとおりです。

• Microsoft Entra ID: 既定で認証を要求し、設定 で構成でき、認証を要求しなくなります。
• Microsoft アカウントの: ロック動作は異なり、自動ロック解除を許可しますが、再起動時にはサインイン認証が必要です。
• ローカル アカウントの: 常にパスワードの形式で認証を要求します。設定

手記

非アクティブ タイマーは現在サポートされていません。つまり、AllowIdleReturnWithoutPassword ポリシーは、デバイスが StandBy に入ったときにのみ考慮されます。

Iris Login

HoloLens による生体認証データの収集

このデバイスが収集する生体認証データ (頭/手/目の動き、虹彩スキャンを含む) は、キャリブレーション、信頼性の高い対話の向上、およびユーザー エクスペリエンスの向上に使用されます。 他の Windows デバイスと同様に、デバイス上のサード パーティ製アプリは、特定の機能を提供するためにデバイス上のデータにアクセスする場合があります。 使用許諾契約書と Microsoft プライバシーに関する声明の詳細については、「設定」の「プライバシー」セクションを参照してください。

HoloLens Iris ログインは、Windows Hello上に構築されています。 HoloLens は、ローカル デバイスにのみ Windows Hello を安全に実装するために使用される生体認証データを格納します。 生体認証データはローミングせず、外部のデバイスやサーバーに送信されることもありません。 Windows Hello は生体認証識別データのみをデバイスに格納するため、攻撃者が生体認証データを盗むために侵害する可能性がある収集ポイントは 1 つもありません。

HoloLens は、格納されているビット コードに基づいて虹彩認証を実行します。 ユーザーは、認証のために Iris ログイン用にユーザー アカウントを登録するかどうかを完全に制御できます。 IT 管理者は、MDM サーバーを介して Windows Hello 機能を無効にすることができます。 組織 での Windows Hello for Business の管理に関するページを参照してください。

手記

共有 Microsoft Entra ID アカウントでは、HoloLens での Iris ログインはサポートされていません。 共有 Microsoft Entra アカウントを使用する の利点と制限事項の詳細を参照してください。

菖鉾に関してよく寄せられる質問

HoloLens 2 では、虹彩生体認証はどのように実装されますか?

HoloLens 2 では、Iris 認証がサポートされています。 Iris は Windows Hello テクノロジに基づいており、Microsoft Entra ID と Microsoft アカウントの両方で使用できます。 Iris は、他の Windows Hello テクノロジと同じ方法で実装され、1/100Kの生体認証セキュリティ FAR を実現します。

詳細については、Windows Hello の 生体認証の要件と仕様を参照してください。 Windows Hello for Businessの Windows Hello と について説明します。

あやめの生体認証情報はどこに保存されますか?

虹彩生体認証情報は、Windows Hello 仕様ごとに、各 HoloLens にローカルに格納されます。 共有されておらず、2 つの暗号化レイヤーによって保護されます。 HoloLens に管理者アカウントがないため、管理者であっても、他のユーザーはアクセスできません。

Iris 認証を使用する必要がありますか?

いいえ。セットアップ中にこの手順をスキップできます。

HoloLens 2 には、FIDO2 セキュリティ キーなど、さまざまな認証オプションが用意されています。

HoloLens から Iris 情報を削除できますか?

はい。[設定] で手動で削除できます。

ユーザーの設定

HoloLens で新しいユーザーを設定するには、2 つの方法があります。 最も一般的な方法は、HoloLens Out-of-Box Experience (OOBE) 中です。 Microsoft Entra ID を使用している場合、他 ユーザーは、Microsoft Entra 資格情報を使用して OOBE の後に ログインできます。 OOBE 中に MSA またはローカル アカウントで最初に設定された HoloLens デバイスは、複数のユーザーをサポートしていません。 「HoloLens (第 1 世代) または HoloLens 2を する」を参照してください。

企業または組織のアカウントを使用して HoloLens にサインインすると、HoloLens は組織の IT インフラストラクチャに登録されます。 この登録により、IT 管理者は、グループ ポリシーを HoloLens に送信するようにモバイル デバイス管理 (MDM) を構成できます。

他のデバイスの Windows と同様に、セットアップ中にサインインすると、デバイスにユーザー プロファイルが作成されます。 ユーザー プロファイルには、アプリとデータが格納されます。 同じアカウントでは、Windows アカウント マネージャー API を使用して、Microsoft Edge や Microsoft Store などのアプリにシングル サインオンを提供します。

既定では、他の Windows 10 デバイスと同様に、HoloLens が再起動するか、スタンバイから再開したときに、もう一度サインインする必要があります。 設定アプリを使用してこの動作を変更することも、グループ ポリシーで動作を制御することもできます。

先端

複数のユーザーがデバイスを使用する場合は、バイザーを清潔に保つことが重要です。 デバイス クリーンアップする方法の詳細については、HoloLens 2 のクリーニングに関する FAQ を参照してください。 各ユーザー間でバイザーをクリーニングすることをお勧めします。 このベスト プラクティスは、Iris 認証を使用する場合に特に重要です。

リンクされたアカウント

デスクトップ バージョンの Windows と同様に、他の Web アカウントの資格情報を HoloLens アカウントにリンクできます。 このようなリンクにより、アプリ間またはアプリ内 (ストアなど) 間でリソースにアクセスしたり、個人用リソースと職場のリソースへのアクセスを組み合わせたりすることが容易になります。 デバイスにアカウントを接続した後は、デバイスを使用するアクセス許可をアプリに付与して、各アプリに個別にサインインする必要がないようにすることができます。

アカウントをリンクしても、画像やダウンロードなど、デバイスで作成されたユーザー データは分離されません。

マルチユーザー サポートの設定 (Microsoft Entra のみ)

HoloLens では、同じ Microsoft Entra テナントの複数のユーザーがサポートされています。 この機能を使用するには、組織に属するアカウントを使用してデバイスを設定する必要があります。 その後、同じテナントの他のユーザーは、サインイン画面から、またはスタート パネルのユーザー タイルをタップして、デバイスにサインインできます。 一度にサインインできるユーザーは 1 人だけです。 ユーザーがサインインすると、HoloLens は前のユーザーをサインアウトします。

大事な

デバイスの最初のユーザーは、Microsoft Entra 参加の場合を除き、デバイス所有者と見な 、デバイス所有者のについて詳しく説明します。

すべてのユーザーは、デバイスにインストールされているアプリを使用できます。 ただし、各ユーザーは独自のアプリ データと基本設定を持っています。 デバイスからアプリを削除すると、すべてのユーザーに対してアプリが削除されます。

手記

複数のユーザー間で共有されるデバイスのもう 1 つのオプションは、デバイスで共有 Microsoft Entra ID アカウントを作成することです。 デバイスでこのアカウント 構成する方法の詳細については、HoloLens の共有 Microsoft Entra アカウントを参照してください。

Microsoft Entra アカウントで設定されたデバイスでは、Microsoft アカウントを使用したデバイスへのサインインは許可されません。 以降に使用されるすべてのアカウントは、デバイスと同じテナントの Microsoft Entra アカウントである必要があります。 引き続き、Microsoft アカウントを使用して、それをサポートするアプリ (Microsoft Store など) にサインイン 場合があります。 デバイスへのサインインに Microsoft Entra アカウントを使用して Microsoft アカウントに変更するには、デバイスを再フラッシュ 必要があります。

手記

HoloLens (第 1 世代) は、Windows Holographic for Businessの一部として、Windows 10 April 2018 Update で複数の Microsoft Entra ユーザー サポートを開始しました。

サインイン画面に複数のユーザーが表示される

以前は、サインイン画面には、最近サインインしたユーザーと "その他のユーザー" エントリ ポイントのみが表示されました。 複数のユーザーがデバイスにサインインしている場合は不十分であるというお客様からのフィードバックを受け取りました。 彼らはまだ自分のユーザー名などを再入力する必要がありました。

Windows Holographic バージョン 21H1で導入されました。PIN 入力フィールドの右側にある [その他のユーザー 選択すると、サインイン画面に、以前にデバイスにサインインした複数のユーザーが表示されます。 これにより、ユーザーは自分のユーザー プロファイルを選択し、Windows Hello 資格情報を使用してサインインできます。 [アカウント の追加] ボタンを使用して、この 他のユーザー ページから新しいユーザー デバイスに追加することもできます。

[その他のユーザー ] メニューの [他のユーザー ] ボタンに、デバイスに最後にサインインしたユーザーが表示されます。 このボタンを選択すると、このユーザーのサインイン画面に戻ります。

ユーザーの削除

[設定][アカウント][その他のユーザー]移動して、デバイスからユーザーを削除できます。 また、このアクションでは、そのユーザーのアプリ データをすべてデバイスから削除して領域を再利用します。

アプリ内でのシングル サインオンの使用

アプリ開発者は、他の Windows デバイスと同様に、Windows アカウント マネージャー APIを使用して、HoloLens のリンクされた ID を利用できます。 これらの API のいくつかのコード サンプルは、GitHub で入手できます。Web アカウント管理のサンプル。

アカウント情報のユーザーの同意の要求、2 要素認証など、発生する可能性のあるアカウント割り込みは、アプリが認証トークンを要求するときに処理する必要があります。

以前にリンクされていない特定のアカウントの種類がアプリに必要な場合、アプリはユーザーにアカウントの追加を求めるメッセージをシステムに求めることができます。 この要求により、アカウント設定ウィンドウがアプリのモーダル子として起動されます。 2D アプリの場合、このウィンドウはアプリの中央に直接レンダリングされます。 Unity アプリの場合、この要求により、ユーザーがホログラフィック アプリから簡単に取り出され、子ウィンドウがレンダリングされます。 このウィンドウでコマンドとアクションをカスタマイズする方法については、「WebAccountCommand クラス」を参照してください。

エンタープライズおよびその他の認証

アプリで NTLM、Basic、Kerberos などの他の種類の認証を使用している場合は、Windows 資格情報 UI 使用して、ユーザーの資格情報を収集、処理、格納できます。 これらの資格情報を収集するためのユーザー エクスペリエンスは、他のクラウド駆動型アカウント割り込みと似ています。また、2D アプリの上に子アプリとして表示されるか、UI を表示するために Unity アプリを一時的に中断します。

非推奨の API

HoloLens 用の開発とデスクトップ向けの開発が異なる 1 つの方法は、OnlineIDAuthenticator API が完全にはサポートされていないことです。 プライマリ アカウントが正常な状態にある場合、API はトークンを返しますが、この記事で説明するような割り込みはユーザーの UI を表示せず、アカウントを正しく認証できません。

HoloLens での Windows Hello for Business のサポート (第 1 世代)

Windows Hello for Business (PIN を使用したサインインをサポート) は、HoloLens (第 1 世代) でサポートされています。 HoloLens (第 1 世代) で Windows Hello for Business PIN サインインを許可するには:

1. HoloLens デバイスは、MDMによって管理 必要があります。
2. デバイスの Windows Hello for Business を有効にする必要があります。 (Microsoft Intune の手順を参照してください。)
3. HoloLens デバイスでは、ユーザーは [設定]>[サインイン オプション]>[PIN の追加] を使用して PIN を設定できます。

手記

Microsoft アカウントを使用してサインインするユーザーは、[設定]>[サインイン オプション]>[PINの追加] で PIN を設定することもできます。 この PIN は、Windows Hello for Businessではなく、Windows Hello関連付けられています。

その他のリソース

Windows 10 のセキュリティと ID に関するドキュメント で、ユーザー ID の保護と認証について詳しく説明します。

ハイブリッド ID インフラストラクチャの設定の詳細については、Azure ハイブリッド ID のドキュメントを参照してください。