Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Zarządzanie tożsamością użytkownika i logowaniem dla urządzenia HoloLens

Uwaga

Ten artykuł jest dokumentacją techniczną dla informatyków i entuzjastów technologii. Jeśli szukasz instrukcji dotyczących konfigurowania urządzenia HoloLens, przeczytaj "Konfigurowanie urządzenia HoloLens (1. generacji)" lub "Konfigurowanie urządzenia HoloLens 2".

Porada

Urządzenie HoloLens 2 jest skonfigurowane jako urządzenie przyłączone do identyfikatora Entra firmy Microsoft i nie obsługuje lokalnej usługi Active Directory. W większości przypadków uwierzytelnianie można wykonać przy użyciu tożsamości zarządzanego identyfikatora entra lub tożsamości federacyjnego identyfikatora entra. Jeśli jednak usługa federacyjna powoduje problemy z uwierzytelnianiem, upewnij się, że możesz zalogować się z komputera z systemem Windows 10 lub Windows 11 tylko do identyfikatora Entra. Wiele problemów z uwierzytelnianiem jest wynikiem tylko konfiguracji identyfikatora Entra, a nie konkretnego problemu z urządzeniem HoloLens. Rozwiązywanie tych problemów jest znacznie prostsze z komputera z systemem Windows 10 lub Windows.

Porozmawiajmy o konfigurowaniu tożsamości użytkownika dla urządzenia HoloLens 2

Podobnie jak inne urządzenia z systemem Windows, urządzenie HoloLens zawsze działa w kontekście użytkownika. Zawsze istnieje tożsamość użytkownika. Urządzenie HoloLens traktuje tożsamość w niemal taki sam sposób jak urządzenie z systemem Windows 10 lub Windows 11. Logowanie podczas konfigurowania powoduje utworzenie profilu użytkownika na urządzeniu HoloLens, który przechowuje aplikacje i dane. To samo konto zapewnia również logowanie jednokrotne dla aplikacji, takich jak Microsoft Edge lub Dynamics 365 Remote Assist, przy użyciu interfejsów API Menedżera kont systemu Windows.

Urządzenie HoloLens obsługuje kilka rodzajów tożsamości użytkowników. Możesz wybrać jeden z tych trzech typów kont, ale zdecydowanie zalecamy użycie identyfikatora Entra firmy Microsoft, ponieważ najlepiej zarządzać urządzeniami. Tylko konta Microsoft Entra obsługują wielu użytkowników.

Typ tożsamości Konta na urządzenie Opcje uwierzytelniania
identyfikator entra firmy Microsoft1 63
  • Dostawca poświadczeń internetowych platformy Azure
  • Aplikacja Azure Authenticator
  • Biometryczne (Iris) — holoLens 2 tylko2
  • Klucz zabezpieczeń FIDO2
  • Numer PIN — opcjonalny dla urządzenia HoloLens (1. generacji), wymagany dla urządzenia HoloLens 2
  • Hasło
konta Microsoft (MSA) 1
  • Biometryczne (irysy) — tylko holoLens 2
  • Numer PIN — opcjonalny dla urządzenia HoloLens (1. generacji), wymagany dla urządzenia HoloLens 2
  • Hasło
konto lokalne3 1 Hasło
identyfikator entra firmy Microsoft 1 Uwierzytelnianie Certificate-Based (CBA)

Konta połączone z chmurą (Microsoft Entra ID i MSA) oferują więcej funkcji, ponieważ mogą korzystać z usług platformy Azure.

Ważne

1 — Do zalogowania się na urządzeniu nie jest wymagany identyfikator Entra ID P1 lub P2. Jednak jest to wymagane w przypadku innych funkcji wdrożenia opartego na chmurze z małą obsługą dotykową, takich jak automatyczna rejestracja i rozwiązanie Autopilot.

Uwaga

2 — Urządzenie HoloLens 2 może obsługiwać maksymalnie 63 konta Microsoft Entra, a także jedno konto systemowe dla łącznie 64 kont, tylko do 10 z tych kont powinno zostać zarejestrowanych w uwierzytelnianiu Iris. Jest to zgodne z innymi opcjami uwierzytelniania biometrycznego dla usługi Windows Hello dla firm. Chociaż w uwierzytelnianiu Iris może być zarejestrowanych więcej niż 10 kont, zwiększa to szybkość wyników fałszywie dodatnich i nie jest zalecana.

Ważne

3 — Konto lokalne można skonfigurować tylko na urządzeniu za pośrednictwem pakietu aprowizacji podczasOOBE , nie można go dodać później w aplikacji ustawień. Jeśli chcesz użyć konta lokalnego na już skonfigurowanym urządzeniu, musisz odciąć lub zresetować urządzenie.

Jak typ konta wpływa na zachowanie logowania?

W przypadku stosowania zasad logowania zasady są zawsze przestrzegane. Jeśli nie zastosowano żadnych zasad logowania, są to domyślne zachowania dla każdego typu konta:

  • Identyfikator entra firmy Microsoft: domyślnie prosi o uwierzytelnianie i można go konfigurować za pomocą Ustawienia, aby nie prosić już o uwierzytelnienie.
  • konto Microsoft: zachowanie blokady różni się od zezwalaniem na automatyczne odblokowywanie, jednak uwierzytelnianie logowania jest nadal wymagane podczas ponownego uruchamiania.
  • konto lokalne: zawsze prosi o uwierzytelnienie w postaci hasła, które nie można skonfigurować w ustawieniach

Uwaga

Czasomierze braku aktywności nie są obecnie obsługiwane, co oznacza, że zasady AllowIdleReturnWithoutPassword są przestrzegane tylko wtedy, gdy urządzenie przechodzi do trybu wstrzymania.

Logowanie irysów

Zbieranie danych biometrycznych przez urządzenie HoloLens

Dane biometryczne (w tym ruchy głowy/ręki/oczu, skanowanie tęczówki), które zbiera to urządzenie, są używane do kalibracji, w celu poprawy niezawodnych interakcji i ulepszenia środowiska użytkownika. Podobnie jak w przypadku innych urządzeń z systemem Windows, aplikacje innych firm na urządzeniu mogą uzyskiwać dostęp do danych na urządzeniu w celu dostarczania pewnych funkcji i funkcji. Przejdź do sekcji Prywatność w obszarze Ustawienia, aby uzyskać szczegółowe informacje na temat umowy licencyjnej i zasad zachowania poufności informacji firmy Microsoft.

Logowanie holoLens Iris jest oparte na windows Hello. Urządzenie HoloLens przechowuje dane biometryczne używane do bezpiecznego implementowania funkcji Windows Hello tylko na urządzeniu lokalnym. Dane biometryczne nie wędrują i nigdy nie są wysyłane do urządzeń zewnętrznych lub serwerów. Ponieważ usługa Windows Hello przechowuje tylko dane biometryczne na urządzeniu, nie ma pojedynczego punktu zbierania danych, który osoba atakująca może naruszyć bezpieczeństwo w celu kradzieży danych biometrycznych.

Urządzenie HoloLens wykonuje uwierzytelnianie irysów na podstawie przechowywanych kodów bitów. Użytkownicy mają pełną kontrolę nad tym, czy rejestrują swoje konto użytkownika na potrzeby logowania irysów na potrzeby uwierzytelniania. Administratorzy IT mogą wyłączyć funkcje usługi Windows Hello za pośrednictwem serwerów MDM. Zobacz Zarządzanie usługą Windows Hello dla firm w organizacji.

Uwaga

Udostępnione konta identyfikatorów Entra firmy Microsoft nie obsługują logowania Iris na urządzeniu HoloLens. Zobacz więcej szczegółów na temat korzyści i ograniczeń dotyczących korzystania z udostępnionych kont Microsoft Entra.

Często zadawane pytania dotyczące irysów

Jak jest zaimplementowane uwierzytelnianie biometryczne Iris na urządzeniu HoloLens 2?

Urządzenie HoloLens 2 obsługuje uwierzytelnianie Iris. Iris jest oparta na technologii Windows Hello i jest obsługiwana do użycia zarówno przez microsoft Entra ID, jak i konta Microsoft. Iris jest implementowany w taki sam sposób jak inne technologie funkcji Windows Hello i osiąga zabezpieczenia biometryczne FAR 1/100K.

Aby uzyskać więcej informacji, zobacz wymagania biometryczne i specyfikacje dotyczące usługi Windows Hello. Dowiedz się więcej o windows Hello i windows Hello dla firm.

Gdzie są przechowywane dane biometryczne Iris?

Iris informacje biometryczne są przechowywane lokalnie na każdym urządzeniu HoloLens na specyfikacji funkcji Windows Hello. Nie jest on udostępniany i jest chroniony przez dwie warstwy szyfrowania. Nie jest ona dostępna dla innych użytkowników, nawet administrator, ponieważ nie ma konta administratora na urządzeniu HoloLens.

Czy muszę używać uwierzytelniania irysów?

Nie. Ten krok można pominąć podczas instalacji.

Set-up Iris.

Urządzenie HoloLens 2 oferuje wiele różnych opcji uwierzytelniania, w tym kluczy zabezpieczeń FIDO2.

Czy można usunąć informacje o tęczówce z urządzenia HoloLens?

Tak, możesz usunąć go ręcznie w obszarze Ustawienia.

Konfigurowanie użytkowników

Istnieją dwa sposoby konfigurowania nowego użytkownika na urządzeniu HoloLens. Najczęstszym sposobem jest środowisko gotowe do użycia urządzenia HoloLens (OOBE). Jeśli używasz identyfikatora Entra firmy Microsoft, inni użytkownicy mogą logować się po użyciu poświadczeń usługi OOBE przy użyciu poświadczeń firmy Microsoft Entra. Urządzenia HoloLens, które są początkowo konfigurowane przy użyciu konta MSA lub konta lokalnego podczas OOBE, nie obsługują wielu użytkowników. Zobacz Konfigurowanie HoloLens (1. generacji) lub HoloLens 2.

Jeśli używasz konta przedsiębiorstwa lub organizacji do logowania się do urządzenia HoloLens, urządzenie HoloLens rejestruje się w infrastrukturze IT organizacji. Ta rejestracja umożliwia administratorowi IT skonfigurowanie zarządzania urządzeniami przenośnymi (MDM) w celu wysyłania zasad grupy do urządzenia HoloLens.

Podobnie jak system Windows na innych urządzeniach, logowanie podczas instalacji powoduje utworzenie profilu użytkownika na urządzeniu. Profil użytkownika przechowuje aplikacje i dane. To samo konto zapewnia również logowanie jednokrotne dla aplikacji, takich jak Microsoft Edge lub Microsoft Store, przy użyciu interfejsów API Menedżera kont systemu Windows.

Domyślnie, podobnie jak w przypadku innych urządzeń z systemem Windows 10, musisz zalogować się ponownie po ponownym uruchomieniu lub wznowieniu działania urządzenia HoloLens z trybu wstrzymania. Możesz użyć aplikacji Ustawienia, aby zmienić to zachowanie lub zachowanie może być kontrolowane przez zasady grupy.

Porada

Jeśli więcej niż jeden użytkownik używa urządzenia, ważne jest, aby zachować czyszczenie wizjerów. Aby uzyskać szczegółowe informacje na temat czyszczenia urządzenia, zobacz HoloLens 2 — często zadawane pytania, aby uzyskać szczegółowe informacje na temat sposobu czyszczenia urządzenia. Zalecamy czyszczenie wizjera między poszczególnymi użytkownikami. To najlepsze rozwiązanie jest szczególnie ważne, jeśli używasz uwierzytelniania Iris.

Połączone konta

Podobnie jak w wersji klasycznej systemu Windows, możesz połączyć inne poświadczenia konta internetowego z kontem urządzenia HoloLens. Takie łączenie ułatwia dostęp do zasobów w aplikacjach (takich jak Sklep) lub łączenie dostępu do zasobów osobistych i służbowych. Po połączeniu konta z urządzeniem możesz udzielić uprawnień do używania urządzenia do aplikacji, aby nie trzeba było logować się indywidualnie do każdej aplikacji.

Łączenie kont nie oddziela danych użytkownika utworzonych na urządzeniu, takich jak obrazy lub pliki do pobrania.

Konfigurowanie obsługi wielu użytkowników (tylko firma Microsoft Entra)

Urządzenie HoloLens obsługuje wielu użytkowników z tej samej dzierżawy firmy Microsoft Entra. Aby użyć tej funkcji, musisz użyć konta należącego do organizacji, aby skonfigurować urządzenie. Następnie inni użytkownicy z tej samej dzierżawy mogą zalogować się do urządzenia z ekranu logowania lub naciskając kafelek użytkownika na panelu Start. Tylko jeden użytkownik może być zalogowany naraz. Gdy użytkownik się zaloguje, urządzenie HoloLens wyjmuje poprzedniego użytkownika.

Ważne

Pierwszy użytkownik na urządzeniu jest uważany za właściciela urządzenia, z wyjątkiem sytuacji dołączania firmy Microsoft Entra, dowiedzieć się więcej o właścicielach urządzeń.

Wszyscy użytkownicy mogą używać aplikacji zainstalowanych na urządzeniu. Jednak każdy użytkownik ma własne dane i preferencje aplikacji. Usunięcie aplikacji z urządzenia spowoduje usunięcie jej dla wszystkich użytkowników.

Uwaga

Inną opcją dla urządzeń, które są współużytkowane przez wielu użytkowników, jest utworzenie konta udostępnionego identyfikatora Microsoft Entra na urządzeniu. Aby uzyskać szczegółowe informacje na temat konfigurowania tego konta na urządzeniu, zobacz Udostępnione konta Microsoft Entra na urządzeniu.

Urządzenia skonfigurowane przy użyciu kont Microsoft Entra nie zezwalają na logowanie się na urządzeniu przy użyciu konta Microsoft. Wszystkie używane konta muszą być kontami Microsoft Entra z tej samej dzierżawy co urządzenie. Nadal możesz zalogować się przy użyciu konta Microsoft w aplikacjach, które go obsługują (np. Microsoft Store). Aby zmienić użycie kont Microsoft Entra na konta Microsoft w celu zalogowania się na urządzeniu, należy reflash urządzenia.

Uwaga

HoloLens (1. generacji) zaczął obsługiwać wielu użytkowników firmy Microsoft Entra w windows 10 kwietnia 2018 Update w ramach Windows Holographic for Business.

Wielu użytkowników jest wyświetlanych na ekranie logowania

Wcześniej ekran logowania pokazywał tylko ostatnio zalogowanego użytkownika i punkt wejścia "Inny użytkownik". Otrzymaliśmy opinię klienta, że nie wystarczy, jeśli wielu użytkowników zalogowało się na urządzeniu. Nadal wymagane było ponowne wpisywanie nazwy użytkownika itp.

Wprowadzony w Windows Holographic, wersja 21H1, podczas wybierania Inny użytkownik, który znajduje się po prawej stronie pola wprowadzania numeru PIN, ekran logowania wyświetla wielu użytkowników, którzy wcześniej zalogowali się do urządzenia. Dzięki temu użytkownicy mogą wybrać swój profil użytkownika, a następnie zalogować się przy użyciu poświadczeń funkcji Windows Hello. Nowy użytkownik można również dodać do urządzenia z tego innych użytkowników strony za pomocą przycisku Dodaj konto.

W menu Inni użytkownicy przycisk Inni użytkownicy wyświetla ostatni użytkownik zalogowany na urządzeniu. Wybierz ten przycisk, aby powrócić do ekranu logowania dla tego użytkownika.

domyślny ekran logowania.


ekran logowania innych użytkowników.

Usuwanie użytkowników

Możesz usunąć użytkownika z urządzenia, przechodząc do Ustawienia>Konta>Inne osoby. Ta akcja umożliwia również odzyskanie miejsca przez usunięcie wszystkich danych aplikacji tego użytkownika z urządzenia.

Korzystanie z logowania jednokrotnego w aplikacji

Jako deweloper aplikacji możesz korzystać z połączonych tożsamości na urządzeniu HoloLens przy użyciu interfejsów API menedżera kont systemu Windows , podobnie jak na innych urządzeniach z systemem Windows. Niektóre przykłady kodu dla tych interfejsów API są dostępne w witrynie GitHub: przykład zarządzania kontami internetowymi.

Wszelkie przerwania konta, które mogą wystąpić, takie jak żądanie zgody użytkownika na informacje o koncie, uwierzytelnianie dwuskładnikowe i tak dalej, muszą być obsługiwane, gdy aplikacja żąda tokenu uwierzytelniania.

Jeśli aplikacja wymaga określonego typu konta, które nie zostało wcześniej połączone, aplikacja może poprosić system o monit o dodanie go przez użytkownika. To żądanie wyzwala okienko ustawień konta w celu uruchomienia jako modalnego elementu podrzędnego aplikacji. W przypadku aplikacji 2D to okno jest renderowane bezpośrednio w środku aplikacji. W przypadku aplikacji aparatu Unity to żądanie na krótko wyprowadza użytkownika z aplikacji holograficznej, aby renderować okno podrzędne. Aby uzyskać informacje na temat dostosowywania poleceń i akcji w tym okienku, zobacz WebAccountCommand Class.

Przedsiębiorstwo i inne uwierzytelnianie

Jeśli aplikacja używa innych typów uwierzytelniania, takich jak NTLM, Basic lub Kerberos, możesz użyć interfejsu użytkownika poświadczeń systemu Windows do zbierania, przetwarzania i przechowywania poświadczeń użytkownika. Środowisko użytkownika do zbierania tych poświadczeń jest podobne do innych przerwań konta opartego na chmurze i jest wyświetlane jako aplikacja podrzędna w aplikacji 2D lub na krótko zawiesza aplikację aparatu Unity w celu wyświetlenia interfejsu użytkownika.

Przestarzałe interfejsy API

Jednym ze sposobów, w jaki programowanie dla urządzenia HoloLens różni się od opracowywania aplikacji desktop, jest to, że interfejs API OnlineIDAuthenticator nie jest w pełni obsługiwany. Mimo że interfejs API zwraca token, jeśli konto podstawowe jest w dobrej kondycji, przerwania takie jak opisane w tym artykule nie wyświetlają żadnego interfejsu użytkownika i nie mogą poprawnie uwierzytelniać konta.

Obsługa usługi Windows Hello dla firm na urządzeniu HoloLens (1. generacji)

Usługa Windows Hello dla firm (która obsługuje logowanie przy użyciu numeru PIN) jest obsługiwana w przypadku urządzenia HoloLens (1. generacji). Aby zezwolić na logowanie przy użyciu numeru PIN usługi Windows Hello dla firm na urządzeniu HoloLens (1. generacji):

  1. Urządzenie HoloLens musi być zarządzane przez usługę MDM.
  2. Musisz włączyć usługę Windows Hello dla firm dla urządzenia. (Zobacz instrukcje dotyczące usługi Microsoft Intune.)
  3. Na urządzeniu HoloLens użytkownik może następnie użyć Ustawienia>Opcje logowania>Dodaj numeru PIN w celu skonfigurowania numeru PIN.

Uwaga

Użytkownicy logujący się przy użyciu konta Microsoft mogą również skonfigurować numer PIN w ustawieniach >Opcje logowania>Dodawanienumeru PIN. Ten numer PIN jest skojarzony z windows Hello, a nie windows Hello dla firm.

Dodatkowe zasoby

Przeczytaj o wiele więcej na temat ochrony tożsamości użytkowników i uwierzytelniania w dokumentacji zabezpieczeń i tożsamości systemu Windows 10.

Dowiedz się więcej na temat konfigurowania infrastruktury tożsamości hybrydowej za pomocą dokumentacji tożsamości hybrydowej platformy Azure.