관리자가 없는 운영 체제
HoloLens 2는 관리자 그룹에 대한 지원을 비활성화하고 모든 타사 UWP 애플리케이션 코드가 AppContainer 샌드박스 내에서 표준 사용자로만 실행되도록 제한하여 권한 상승에 대한 노출 영역을 최소화합니다. 이 코드는 모든 AppContainers에 액세스할 수 있는 리소스 외에, 애플리케이션에서 명시적으로 명시한 기능으로 보호되는 리소스에 대한 액세스 권한만 부여됩니다. 이러한 애플리케이션 기능에는 3계층 분류 모델이 계속 있습니다.
- 일반
- 제한
- Windows
Windows 구성 요소는 시스템 UWP를 통해 AppContainer 샌드박스를 활용할 수도 있습니다. UWP(유니버설 Windows 플랫폼)에 대한 자세한 내용은 UWP 설명서
마지막으로 디바이스를 테넌트 또는 사용자 관리에 조인하는 것과 같은 특정 디바이스 전체 작업의 실행은 "디바이스 소유자"에 대해서만 허용됩니다. 이 그룹은 다음 단계 중 하나를 통해 디바이스의 사용자가 채웁니다.
- 디바이스의 첫 번째 사용자는 항상 소유자로 지정됩니다.
중요
Microsoft Entra 사용자의 경우 이 규칙의 예외는 디바이스가 Autopilot을 통해 가입된 Microsoft Entra이거나 실제가 아닌 사용자를 사용하는 대량 Microsoft Entra 등록인 경우입니다. 이 경우 사용자에게 Azure Portal에서 할당된 "전역 관리자" 또는 "Microsoft Entra 조인 디바이스 로컬 관리자" 역할이 없는 한 디바이스에 로그인하는 첫 번째 Microsoft Entra 사용자가 자동으로 디바이스 소유자가 되지 않을 수 있습니다. 자세한 내용은 아래 참고를 참조하세요.
- 사용자가 디바이스의 다른 소유자에 의해 설정 UX에서 소유자로 승격되는 경우
- 디바이스 소유자가 더 이상 사용할 수 없고(회사를 떠나) 디바이스가 Microsoft Entra에 가입된 경우 테넌트 관리자는 Azure Portal에서 디바이스 소유자를 새 사용자로 변경할 수 있습니다. Microsoft Entra 테넌트에서 전역 관리자 및 Microsoft Entra 조인 디바이스 로컬 관리자는 이전 단계 중 하나를 요구하지 않고 디바이스에서 소유자로 암시적으로 로그인됩니다.
IT 관리자는 개인 정보 보호 정책을 통해 액세스할 수 있는 앱을 관리할 수 있습니다.
참고
Microsoft Entra 조인 디바이스에서 디바이스 소유자가 된 사용자에 대한 자세한 내용은 "로컬 관리자 할당" 설명서 참조하세요(그러나 HoloLens에 관리자가 없기 때문에 '로컬 관리자'를 '디바이스 소유자'로 읽어보세요).
중요
가장 적은 권한으로 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 높은 권한의 역할입니다.