HoloLens のユーザー ID とログインを管理する

• 適用対象:

  HoloLens (1st gen), HoloLens 2

Note

この記事は、IT プロフェッショナルおよび技術愛好家向けのテクニカル リファレンスです。 HoloLens のセットアップ手順を探している場合は、HoloLens (第 1 世代) のセットアップ または "HoloLens 2 のセットアップを参照してください。

ヒント

HoloLens 2は、Microsoft Entra ID参加済みデバイスとして構成されており、オンプレミスの Active Directory をサポートしていません。 ほとんどの場合、認証はマネージド Entra ID ID またはフェデレーション Entra ID ID のいずれかを使用して実行できます。 ただし、フェデレーション サービスが認証の課題を引き起こしている場合は、Entra ID Only joined Windows 10または Windows 11 PC からサインオンできることを確認する必要があります。 認証の問題の多くは、HoloLens 固有の問題ではなく、Entra ID のみの構成の結果です。 これらの課題のトラブルシューティングは、Windows 10または Windows PC からはるかに簡単です。

HoloLens 2 のユーザー ID をセットアップする方法について説明します

他の Windows デバイスと同様に、HoloLens は常にユーザー コンテキストで動作します。 ユーザー ID は常に存在します。 HoloLens は、Windows 10またはWindows 11 デバイスとほぼ同じ方法で ID を扱います。 セットアップ中にサインインすると、HoloLens にアプリとデータを格納するユーザー プロファイルが作成されます。 同じアカウントでは、Windows アカウント マネージャー API を使用して、Microsoft Edge やDynamics 365 Remote Assistなどのアプリにシングル サインオンも提供されます。

HoloLens では、複数の種類のユーザー ID がサポートされています。 これらの 3 つのアカウントの種類のいずれかを選択できますが、デバイスの管理に最適であるため、Microsoft Entra IDを強くお勧めします。 複数のユーザーをサポートするのは、Microsoft Entraアカウントのみです。

ID の種類	デバイスごとのアカウント数	認証オプション
Microsoft Entra ID1	63	Azure Web 資格情報プロバイダー Azure Authenticator アプリ 生体認証 (虹彩) - HoloLens 2 のみ2 FIDO2 セキュリティ キー PIN - HoloLens (第 1 世代) にはオプション、HoloLens 2 には必須 Password
Microsoft アカウント (MSA)	1	生体認証 (虹彩) - HoloLens 2 のみ PIN - HoloLens (第 1 世代) にはオプション、HoloLens 2 には必須 Password
ローカル アカウント3	1	Password
共有Microsoft Entra ID	1	Certificate-Based 認証 (CBA)

クラウドに接続されたアカウント (Microsoft Entra IDと MSA) では、Azure サービスを使用できるため、より多くの機能が提供されます。

重要

1 - P1 または P2 Microsoft Entra IDデバイスにサインインする必要はありません。 ただし、自動登録やオートパイロットなど、ロータッチのクラウドベースのデプロイのその他の機能にはそれが必要です。

Note

2 - HoloLens 2 デバイスでは、最大 63 個のMicrosoft Entra アカウントと合計 64 アカウントの 1 つのシステム アカウントをサポートできますが、Iris 認証に登録する必要があるのは、これらのアカウントのうち最大 10 個のみです。 これは、Windows Hello for Business の他の生体認証オプションに合わせて調整されています。 Iris 認証には 10 を超えるアカウントが登録されている可能性があります。これにより、誤検知の割合が増加し、推奨されません。

重要

3 - ローカル アカウントは、OOBE 中にプロビジョニング パッケージを使用してのみ、デバイスにセットアップでき、後で設定アプリで追加することはできません。 既に設定されているデバイスでローカル アカウントを使用する場合は、デバイスを再フラッシュまたはリセットする必要があります。

アカウントの種類によって、サインイン動作にどのような影響がありますか?

サインイン用のポリシーを適用する場合、ポリシーは常に考慮されます。 ログイン用のポリシーが適用されていない場合、各アカウントの種類の既定の動作は次のとおりです。

• Microsoft Entra ID: 既定で認証を要求し、[設定] で構成して認証を要求しなくなりました。
• Microsoft アカウント: ロック動作が異なり、自動ロック解除を許可しますが、再起動時には引き続きサインイン認証が必要です。
• ローカル アカウント: 常にパスワードの形式で認証を要求し、[設定] で構成できません

Note

非アクティブ タイマーは現在サポートされていません、つまり、AllowIdleReturnWithoutPassword ポリシーは、デバイスがスタンバイ モードになるときにのみ考慮されます。

Iris Login

HoloLens による生体認証データ収集

このデバイスが収集する生体認証データ (頭/手/目の動き、虹彩スキャンを含む) は、調整、信頼性の高い対話の向上、ユーザー エクスペリエンスの向上に使用されます。 他の Windows デバイスと同様に、デバイス上のサード パーティ製アプリは、特定の機能を提供するためにデバイス上のデータにアクセスする場合があります。 使用許諾契約書と Microsoft プライバシーに関する声明の詳細については、[設定] の [プライバシー] セクションを参照してください。

HoloLens Iris ログインは、Windows Helloの上に構築されています。 HoloLens は、ローカル デバイスにのみ安全にWindows Helloを実装するために使用される生体認証データを格納します。 生体認証データは、ローミングされたり、外付けデバイスやサーバーに送信されたりすることはありません。 Windows Hello は、デバイス上に生体認証識別データのみを保存するため、攻撃者が生体認証データを盗むために侵害できる場所は 1 つもありません。

HoloLens は、格納されているビット コードに基づいて虹彩認証を実行します。 ユーザーは、認証のために Iris ログイン用にユーザー アカウントを登録するかどうかを完全に制御できます。 IT 管理者は、MDM サーバーを介してWindows Hello機能を無効にすることができます。 「organizationでWindows Hello for Businessを管理する」を参照してください。

注意

共有Microsoft Entra ID アカウントでは、HoloLens での Iris ログインはサポートされていません。 共有Microsoft Entra アカウントを使用する利点と制限事項の詳細を参照してください。

アヤメに関してよく寄せられる質問

虹彩生体認証は、HoloLens 2 にどのように実装されていますか?

HoloLens 2 では虹彩認証がサポートされています。 Iris はWindows Helloテクノロジに基づいており、Microsoft Entra IDと Microsoft アカウントの両方で使用できます。 虹彩認証は、他の Windows Hello テクノロジと同じように実装され、1/100K の生体認証セキュリティ FAR が実現されます。

詳細については、Windows Hello の生体認証の要件と仕様に関するページを参照してください。 Windows Hello と Windows Hello for Business の詳細を確認してください。

虹彩生体認証情報はどこに格納されますか?

虹彩生体認証情報は、Windows Hello 仕様に従って、各 HoloLens にローカルに保存されます。 これは共有されておらず、2 つの暗号化レイヤーによって保護されます。 HoloLens に管理者アカウントがないため、管理者であっても他のユーザーはアクセスできません。

虹彩認証を使用する必要がありますか?

いいえ。セットアップ時にこの手順をスキップできます。

HoloLens 2 では、FIDO2 セキュリティ キーなど、認証のためのさまざまなオプションが提供されています。

虹彩認証情報を HoloLens から削除できますか?

はい、[設定] で手動で削除できます。

ユーザーのセットアップ

HoloLens に新しいユーザーをセットアップするには、2 つの方法があります。 最も一般的な方法は、HoloLens の Out-Of-Box Experience (OOBE) 時です。 Microsoft Entra IDを使用している場合、他のユーザーは、Microsoft Entra資格情報を使用して OOBE の後にログインできます。 OOBE 中に MSA またはローカル アカウントで最初に設定された HoloLens デバイスは、複数のユーザーをサポートしていません。 HoloLens (第 1 世代) または HoloLens 2 のセットアップを参照してください。

エンタープライズまたは組織アカウントを使用して HoloLens にサインインすると、HoloLens が組織の IT インフラストラクチャに登録されます。 この登録により、IT 管理者は、HoloLens にグループ ポリシーを送信するようにモバイル デバイス管理 (MDM) を構成できます。

他のデバイスでの Windows と同様に、セットアップ中にサインインすると、デバイスにユーザー プロファイルが作成されます。 ユーザー プロファイルには、アプリとデータが格納されます。 同じアカウントでは、Windows アカウント マネージャー API を使用して、Microsoft Edge や Microsoft Store などのアプリにシングル サインオンも提供されます。

既定では、他のWindows 10 デバイスの場合は、HoloLens が再起動またはスタンバイから再開したときに、もう一度サインインする必要があります。 設定アプリを使用してこの動作を変更することも、グループ ポリシーで動作を制御することもできます。

ヒント

複数のユーザーがデバイスを使用する場合は、バイザーのクリーンを維持することが重要です。 デバイスをクリーンする方法の詳細については、「HoloLens 2クリーニングに関する FAQ」を参照してください。 各ユーザー間でバイザーをクリーンすることをお勧めします。 このベスト プラクティスは、Iris 認証を使用する場合に特に重要です。

リンク済みのアカウント

Windows のデスクトップ バージョンと同様に、他の Web アカウントの資格情報を HoloLens アカウントにリンクすることができます。 このようなリンクにより、(Store などの) アプリ間またはアプリ内でのリソースへのアクセスが容易になり、個人のリソースと職場のリソースへのアクセスを組み合わせることができます。 アカウントをデバイスに接続した後、アプリにデバイスを使用するアクセス許可を付与して、各アプリに個別にサインインする必要がないようにすることができます。

アカウントをリンクしても、画像やダウンロードなど、デバイスで作成されたユーザー データは分離されません。

マルチユーザー サポートの設定 (Microsoft Entraのみ)

HoloLens では、同じMicrosoft Entra テナントの複数のユーザーがサポートされます。 この機能を使用するには、組織に属しているアカウントを使用してデバイスをセットアップする必要があります。 その後、同じテナントの他のユーザーは、サインイン画面から、または [スタート] パネルのユーザー タイルをタップして、デバイスにサインインできます。 一度にサインインできるユーザーは 1 人だけです。 ユーザーがサインインすると、HoloLens によって前のユーザーがサインアウトされます。

重要

デバイス上の最初のユーザーはデバイス所有者と見なされます。ただし、参加Microsoft Entra場合を除き、デバイス所有者の詳細を確認してください。

すべてのユーザーは、デバイスにインストールされているアプリを使用できます。 ただし、各ユーザーには独自のアプリ データと設定があります。 デバイスからアプリを削除すると、すべてのユーザーに対してそれが削除されます。

注意

複数のユーザー間で共有されているデバイスのもう 1 つのオプションは、デバイスで共有Microsoft Entra ID アカウントを作成することです。 デバイスでこのアカウントを構成する方法の詳細については、「HoloLens の共有Microsoft Entra アカウント」を参照してください。

Microsoft Entra アカウントで設定されたデバイスでは、Microsoft アカウントを使用してデバイスにサインインすることはできません。 以降に使用されるすべてのアカウントは、デバイスと同じテナントのアカウントMicrosoft Entraする必要があります。 Microsoft アカウントをサポートするアプリ (Microsoft Store など) に Microsoft アカウントを使用して、サインインすることもできます。 Microsoft Entra アカウントの使用からデバイスへのサインインに Microsoft アカウントに変更するには、デバイスを再フラッシュする必要があります。

注意

HoloLens (第 1 世代) は、Windows Holographic for Businessの一環として、2018 年 4 月の更新プログラムWindows 10で複数のMicrosoft Entra ユーザーのサポートを開始しました。

サインイン画面に複数のユーザーが表示される

これまでサインイン画面には、最近サインインしたユーザーと "他のユーザー" エントリ ポイントのみが表示されていました。 複数のユーザーがデバイスにサインインしている場合に、それは十分ではないというお客様からのフィードバックを受け取りました。 さらに、それぞれのユーザー名などを再入力する必要がありました。

Windows Holographic バージョン 21H1 で導入され、PIN 入力フィールドの右側にある [その他のユーザー] を選択すると、[サインイン] 画面に、デバイスに既にサインインしている複数のユーザーが表示されます。 これにより、ユーザーは自分のユーザー プロファイルを選択し、自分の Windows Hello 資格情報を使用してサインインできます。 この [他のユーザー] ページから、[アカウントの追加] ボタンを使用して、デバイスに新しいユーザーを追加することもできます。

[ その他のユーザー ] メニューの [ その他のユーザー ] ボタンには、デバイスに最後にサインインしたユーザーが表示されます。 このボタンを選択すると、このユーザーのサインイン画面に戻ります。

ユーザーの削除

デバイスからユーザーを削除するには、[設定]>[アカウント]>[他のユーザー] に移動します。 この操作によって、デバイスからユーザーのすべてのアプリ データが削除されることで、領域も解放されます。

アプリ内でのシングル サインオンの使用

アプリ開発者は、他の Windows デバイスの場合と同様に、Windows アカウント マネージャー API を使用して、HoloLens 上のリンクされた ID を利用できます。 これらの API のコード サンプルは、GitHub の Web アカウント管理のサンプルに関するページで入手できます。

アカウント情報に対するユーザーの同意の要求、2 要素認証など、発生する可能性のあるすべてのアカウント割り込みは、アプリで認証トークンが要求されたときに処理する必要があります。

アプリで、これまでリンクされたことがない特定のアカウントの種類が必要な場合は、アプリで、システムがユーザーに追加を求めるメッセージを表示するように要求できます。 この要求によって、アプリのモーダルな子として起動するアカウント設定ウィンドウをトリガーします。 2D アプリの場合、このウィンドウはアプリの中央に直接レンダリングされます。 Unity アプリの場合、この要求により、ユーザーがホログラフィック アプリから一時的に外され、子ウィンドウがレンダリングされます。 このウィンドウのコマンドとアクションのカスタマイズの詳細については、「WebAccountCommand クラス」を参照してください。

エンタープライズおよびその他の認証

アプリで NTLM、Basic、Kerberos などのその他の種類の認証を使用している場合は、Windows 資格情報 UI を使用して、ユーザーの資格情報を収集、処理、保存できます。 これらの資格情報を収集するためのユーザー エクスペリエンスは、他のクラウドに基づくアカウントの割り込みと似ており、2D アプリの上に子アプリとして表示されるか、または Unity アプリを一時的に中断して、UI が表示されます。

非推奨の API

HoloLens の開発とデスクトップ用の開発の違いの 1 つは、 OnlineIDAuthenticator API が完全にはサポートされていないことです。 プライマリ アカウントが正常な状態にある場合、API はトークンを返しますが、この記事で説明するような割り込みはユーザーの UI を表示せず、アカウントを正しく認証できません。

HoloLens (第 1 世代) でのWindows Hello for Businessサポート

Windows Hello for Business (PIN を使用したサインインをサポート) は、HoloLens (第 1 世代) でサポートされています。 HoloLens Windows Hello for Business PIN サインインを許可するには (第 1 世代):

1. HoloLens デバイスは、MDM によって管理する必要があります。
2. デバイスに対して Windows Hello for Business を有効にする必要があります。 (Microsoft Intune の手順を参照してください。)
3. HoloLens デバイスでは、ユーザーは [設定][サインイン オプション]> [PIN の追加]> を使用して PIN を設定できます。

注意

Microsoft アカウントを使用して、サインインするユーザーも、[設定]>[サインイン オプション]>[PIN の追加] で PIN をセットアップできます。 この PIN は、Windows Hello for Business ではなく、Windows Hello に関連付けられます。

その他のリソース

Windows 10 のセキュリティと ID に関するドキュメントで、ユーザー ID の保護と認証の詳細を参照してください。

ハイブリッド ID インフラストラクチャの設定の詳細については、 Azure ハイブリッド ID のドキュメントを参照してください。