Gebruikersidentiteit en aanmelding voor HoloLens beheren
Notitie
Dit artikel is een technische naslaginformatie voor IT-professionals en technische liefhebbers. Als u op zoek bent naar instructies voor het instellen van HoloLens, leest u 'Uw HoloLens (1e generatie) instellen' of 'Uw HoloLens 2instellen'.
Tip
HoloLens 2 is geconfigureerd als een aan Microsoft Entra ID gekoppeld apparaat en biedt geen ondersteuning voor on-premises Active Directory. In de meeste gevallen kan verificatie worden uitgevoerd met behulp van een beheerde Entra-id-identiteit of een federatieve entra-id-identiteit. Als uw federatieservice echter verificatieproblemen veroorzaakt, moet u ervoor zorgen dat u zich kunt aanmelden vanaf een Entra-id die alleen lid is van een Pc met Windows 10 of Windows 11. Veel verificatieproblemen zijn het gevolg van configuraties die alleen entra-id's hebben, in plaats van een specifiek HoloLens-probleem. Het oplossen van deze uitdagingen is veel eenvoudiger vanaf een Windows 10- of Windows-pc.
Net als andere Windows-apparaten werkt HoloLens altijd onder een gebruikerscontext. Er is altijd een gebruikersidentiteit. HoloLens behandelt identiteit op bijna dezelfde manier als een Windows 10- of Windows 11-apparaat. Tijdens de installatie wordt een gebruikersprofiel gemaakt op HoloLens waarin apps en gegevens worden opgeslagen. Hetzelfde account biedt ook eenmalige aanmelding voor apps, zoals Microsoft Edge of Dynamics 365 Remote Assist, met behulp van de Windows Account Manager-API's.
HoloLens ondersteunt verschillende soorten gebruikersidentiteiten. U kunt elk van deze drie accounttypen kiezen, maar we raden u ten zeerste aan Microsoft Entra ID te gebruiken, omdat het het beste is voor het beheren van apparaten. Alleen Microsoft Entra-accounts ondersteunen meerdere gebruikers.
Identiteitstype | Accounts per apparaat | Verificatieopties |
---|---|---|
Microsoft Entra ID1 | 63 |
|
|
1 |
|
Lokaal account3 | 1 | Wachtwoord |
gedeelde Microsoft Entra-id | 1 | Certificate-Based verificatie (CBA) |
Cloud-verbonden accounts (Microsoft Entra ID en MSA) bieden meer functies omdat ze Azure-services kunnen gebruiken.
Belangrijk
1 - Microsoft Entra ID P1 of P2 is niet vereist om u aan te melden bij het apparaat. Het is echter vereist voor andere functies van een cloudimplementatie met weinig aanraking, zoals Automatische inschrijving en Autopilot.
Notitie
2 - Hoewel een HoloLens 2-apparaat maximaal 63 Microsoft Entra-accounts en één systeemaccount voor een totaal van 64 accounts kan ondersteunen, moeten maximaal 10 van deze accounts worden ingeschreven bij Iris Authentication. Dit is afgestemd op andere biometrische verificatieopties voor Windows Hello voor Bedrijven. Hoewel meer dan 10 accounts kunnen worden ingeschreven bij Iris-verificatie, verhoogt dit het aantal fout-positieven en wordt niet aanbevolen.
Belangrijk
3 - Een lokaal account kan alleen worden ingesteld op een apparaat via een inrichtingspakket tijdens OOBE, het kan later niet worden toegevoegd in de instellingen-app. Als u een lokaal account wilt gebruiken op een apparaat dat al is ingesteld, moet u het apparaat opnieuw instellen of opnieuw instellen.
Als u beleid toepast voor aanmelding, wordt het beleid altijd gerespecteerd. Als er geen beleid voor aanmelding wordt toegepast, zijn dit de standaardgedragen voor elk accounttype:
- Microsoft Entra ID: vraagt standaard om verificatie en configureerbaar door Instellingen om niet langer om verificatie te vragen.
- Microsoft-account: het vergrendelingsgedrag is anders, maar aanmeldingsverificatie is nog steeds vereist bij het opnieuw opstarten.
- lokaal account: vraagt altijd om verificatie in de vorm van een wachtwoord, niet te configureren in Instellingen
Notitie
Timers voor inactiviteit worden momenteel niet ondersteund, wat betekent dat het AllowIdleReturnWithoutPassword beleid alleen wordt gerespecteerd wanneer het apparaat in StandBy gaat.
Biometrische gegevens (inclusief hoofd-/hand-/oogbewegingen, irisscan) die door dit apparaat worden verzameld, worden gebruikt voor kalibratie, om betrouwbare interacties te verbeteren en de gebruikerservaring te verbeteren. Net als bij andere Windows-apparaten hebben apps van derden op het apparaat toegang tot uw gegevens op het apparaat voor het leveren van bepaalde functionaliteit en functies. Ga naar de sectie Privacy in Instellingen voor meer informatie over de gebruiksrechtovereenkomst en de Privacyverklaring van Microsoft.
HoloLens Iris-aanmelding is gebouwd op Windows Hello-. HoloLens slaat biometrische gegevens op die worden gebruikt voor het veilig implementeren van Windows Hello op het lokale apparaat. De biometrische gegevens worden niet geroerd en worden nooit verzonden naar externe apparaten of servers. Omdat Windows Hello alleen biometrische identificatiegegevens opslaat op het apparaat, is er geen enkel verzamelpunt dat een aanvaller kan in gevaar komen om biometrische gegevens te stelen.
HoloLens voert irisverificatie uit op basis van opgeslagen bitcodes. Gebruikers hebben volledige controle over of ze hun gebruikersaccount registreren voor Iris-aanmelding voor verificatie. En IT-beheerders kunnen Windows Hello-mogelijkheden uitschakelen via hun MDM-servers. Zie Windows Hello voor Bedrijven beheren in uw organisatie.
Notitie
Gedeelde Microsoft Entra ID-accounts bieden geen ondersteuning voor Iris-aanmelding op de HoloLens. Zie meer informatie over de voordelen en beperkingen van het gebruik van gedeelde Microsoft Entra-accounts.
HoloLens 2 ondersteunt Iris-verificatie. Iris is gebaseerd op Windows Hello-technologie en wordt ondersteund voor gebruik door zowel Microsoft Entra ID als Microsoft-accounts. Iris wordt op dezelfde manier geïmplementeerd als andere Windows Hello-technologieën en bereikt biometrische beveiliging FAR van 1/100K.
Zie de biometrische vereisten en specificaties voor Windows Hello voor meer informatie. Meer informatie over Windows Hello en Windows Hello voor Bedrijven.
Biometrische gegevens van Iris worden lokaal opgeslagen op elke HoloLens per Windows Hello-specificaties. Het wordt niet gedeeld en wordt beveiligd door twee versleutelingslagen. Het is niet toegankelijk voor andere gebruikers, zelfs een beheerder, omdat er geen beheerdersaccount op een HoloLens is.
Nee, u kunt deze stap overslaan tijdens de installatie.
HoloLens 2 biedt veel verschillende opties voor verificatie, waaronder FIDO2-beveiligingssleutels.
Ja, u kunt deze handmatig verwijderen in Instellingen.
Er zijn twee manieren om een nieuwe gebruiker in te stellen op de HoloLens. De meest voorkomende manier is tijdens de Out-Of-Box Experience (OOBE) van HoloLens. Als u Microsoft Entra ID gebruikt, kunnen andere gebruikers zich aanmelden na OOBE met hun Microsoft Entra-referenties. HoloLens-apparaten die in eerste instantie zijn ingesteld met een MSA- of lokaal account tijdens OOBE bieden geen ondersteuning voor meerdere gebruikers. Zie Uw HoloLens (1e generatie) instellen of HoloLens 2.
Als u een ondernemings- of organisatieaccount gebruikt om u aan te melden bij HoloLens, registreert HoloLens zich bij de IT-infrastructuur van de organisatie. Met deze inschrijving kan uw IT-beheerder MDM (Mobile Device Management) configureren om groepsbeleid naar uw HoloLens te verzenden.
Net als Windows op andere apparaten wordt tijdens de installatie een gebruikersprofiel op het apparaat gemaakt. In het gebruikersprofiel worden apps en gegevens opgeslagen. Hetzelfde account biedt ook eenmalige aanmelding voor apps, zoals Microsoft Edge of de Microsoft Store, met behulp van de Windows Account Manager-API's.
Net als bij andere Windows 10-apparaten moet u zich standaard opnieuw aanmelden wanneer HoloLens opnieuw wordt opgestart of hervat vanaf stand-by. U kunt de app Instellingen gebruiken om dit gedrag te wijzigen of het gedrag kan worden beheerd door groepsbeleid.
Tip
Als meer dan één gebruiker een apparaat gebruikt, is het belangrijk om het vizier schoon te houden. Zie Veelgestelde vragen over het opschonen van HoloLens 2 voor meer informatie over het opschonen van het apparaat. U wordt aangeraden het vizier tussen elke gebruiker te reinigen. Deze best practice is met name belangrijk als u Iris-verificatie gebruikt.
Net als in de bureaubladversie van Windows kunt u andere webaccountreferenties koppelen aan uw HoloLens-account. Een dergelijke koppeling maakt het eenvoudiger om toegang te krijgen tot resources in of binnen apps (zoals de Store) of om de toegang tot persoonlijke en werkbronnen te combineren. Nadat u een account hebt verbonden met het apparaat, kunt u toestemming verlenen om het apparaat te gebruiken voor apps, zodat u zich niet afzonderlijk hoeft aan te melden bij elke app.
Door accounts te koppelen worden de gebruikersgegevens die op het apparaat zijn gemaakt, zoals afbeeldingen of downloads, niet gescheiden.
HoloLens ondersteunt meerdere gebruikers van dezelfde Microsoft Entra-tenant. Als u deze functie wilt gebruiken, moet u een account gebruiken dat deel uitmaakt van uw organisatie om het apparaat in te stellen. Vervolgens kunnen andere gebruikers van dezelfde tenant zich via het aanmeldingsscherm aanmelden bij het apparaat of door op de tegel Gebruiker in het deelvenster Start te tikken. Er kan slechts één gebruiker tegelijk worden aangemeld. Wanneer een gebruiker zich aanmeldt, meldt HoloLens zich af bij de vorige gebruiker.
Belangrijk
De eerste gebruiker op het apparaat wordt beschouwd als de eigenaar van het apparaat, behalve in het geval van Microsoft Entra join, meer informatie over apparaateigenaren.
Alle gebruikers kunnen de apps gebruiken die op het apparaat zijn geïnstalleerd. Elke gebruiker heeft echter zijn eigen app-gegevens en -voorkeuren. Als u een app van het apparaat verwijdert, wordt deze voor alle gebruikers verwijderd.
Notitie
Een andere optie voor apparaten die worden gedeeld tussen meerdere gebruikers, is het maken van een gedeeld Microsoft Entra ID-account op het apparaat. Zie Gedeelde Microsoft Entra-accounts in HoloLens voor gedetailleerde informatie over het configureren van dit account op uw apparaat.
Apparaten die zijn ingesteld met Microsoft Entra-accounts, staan aanmelden bij het apparaat met een Microsoft-account niet toe. Alle volgende accounts die worden gebruikt, moeten Microsoft Entra-accounts zijn van dezelfde tenant als het apparaat. U kunt zich nog steeds aanmelden met een Microsoft-account voor apps die dit ondersteunen (zoals de Microsoft Store). Als u wilt overschakelen van het gebruik van Microsoft Entra-accounts naar Microsoft-accounts om u aan te melden bij het apparaat, moet u het apparaat
Notitie
HoloLens (1e generatie) begon met het ondersteunen van meerdere Microsoft Entra-gebruikers in de Windows 10 april 2018 Update als onderdeel van Windows Holographic for Business.
Eerder werd in het aanmeldingsscherm alleen de laatst aangemelde gebruiker en het invoerpunt 'Andere gebruiker' weergegeven. We hebben feedback van klanten ontvangen dat het niet voldoende is als meerdere gebruikers zich hebben aangemeld bij het apparaat. Ze moesten nog steeds hun gebruikersnaam opnieuw invoeren, enzovoort.
Geïntroduceerd in Windows Holographic, versie 21H1, bij het selecteren van Andere gebruiker die zich rechts van het invoerveld voor de pincode bevindt, worden in het aanmeldingsscherm meerdere gebruikers weergegeven met eerder aangemeld bij het apparaat. Hierdoor kunnen gebruikers hun gebruikersprofiel selecteren en zich vervolgens aanmelden met hun Windows Hello-referenties. Vanaf deze andere gebruikers kan ook een nieuwe gebruiker aan het apparaat worden toegevoegd via de knop Account toevoegen.
Wanneer u in het menu Andere gebruikers, wordt op de knop Andere gebruikers de laatste gebruiker weergegeven die is aangemeld bij het apparaat. Selecteer deze knop om terug te keren naar het aanmeldingsscherm voor deze gebruiker.
U kunt een gebruiker van het apparaat verwijderen door naar Instellingen>Accounts>Andere personente gaan. Met deze actie wordt ook ruimte vrijgemaakt door alle app-gegevens van die gebruiker van het apparaat te verwijderen.
Als app-ontwikkelaar kunt u gebruikmaken van gekoppelde identiteiten op HoloLens met behulp van de Windows Account Manager-API's, net zoals op andere Windows-apparaten. Sommige codevoorbeelden voor deze API's zijn beschikbaar op GitHub: voorbeeld van webaccountbeheer.
Elk account onderbreekt dat zich kan voordoen, zoals het aanvragen van gebruikerstoestemming voor accountgegevens, tweeledige verificatie, enzovoort, moet worden verwerkt wanneer de app een verificatietoken aanvraagt.
Als voor uw app een specifiek accounttype is vereist dat nog niet eerder is gekoppeld, kan uw app het systeem vragen om de gebruiker te vragen er een toe te voegen. Met deze aanvraag wordt het deelvenster accountinstellingen geactiveerd om te starten als een modaal kind van uw app. Voor 2D-apps wordt dit venster rechtstreeks boven het midden van uw app weergegeven. Voor Unity-apps haalt deze aanvraag de gebruiker kort uit uw holografische app om het onderliggende venster weer te geven. Zie WebAccountCommand Classvoor informatie over het aanpassen van de opdrachten en acties in dit deelvenster.
Als uw app andere typen verificatie gebruikt, zoals NTLM, Basic of Kerberos, kunt u Windows-referentiegebruikersinterface gebruiken om de referenties van de gebruiker te verzamelen, te verwerken en op te slaan. De gebruikerservaring voor het verzamelen van deze referenties is vergelijkbaar met andere cloudgestuurde accountonderbreken en wordt weergegeven als een onderliggende app boven op uw 2D-app of kort een Unity-app onderbreekt om de gebruikersinterface weer te geven.
Een manier waarop ontwikkelen voor HoloLens verschilt van ontwikkelen voor Desktop, is dat de OnlineIDAuthenticator API niet volledig wordt ondersteund. Hoewel de API een token retourneert als het primaire account in goede staat is, worden onderbroken, zoals de in dit artikel beschreven, geen gebruikersinterface voor de gebruiker weergegeven en kan het account niet correct worden geverifieerd.
Windows Hello voor Bedrijven (die ondersteuning biedt voor het gebruik van een pincode voor aanmelden) wordt ondersteund voor HoloLens (1e generatie). Aanmelden met pincode voor Windows Hello voor Bedrijven toestaan op HoloLens (eerste generatie):
- Het HoloLens-apparaat moet worden beheerd door MDM-.
- U moet Windows Hello voor Bedrijven voor het apparaat inschakelen. (Zie de instructies voor Microsoft Intune.)
- Op het HoloLens-apparaat kan de gebruiker vervolgens Settings>Sign-in Options>Add PIN gebruiken om een pincode in te stellen.
Notitie
Gebruikers die zich aanmelden met een Microsoft-account, kunnen ook een pincode instellen in Instellingen>Aanmeldingsopties>Pincode toevoegen. Deze pincode is gekoppeld aan Windows Hello-, in plaats van Windows Hello voor Bedrijven-.
Lees meer over identiteitsbeveiliging en verificatie van gebruikers op de documentatie over beveiliging en identiteit van Windows 10.
Meer informatie over het instellen van een hybride identiteitsinfrastructuur vindt u in de documentatie Azure Hybrid Identity.