Zarządzanie tożsamością użytkownika i logowaniem dla urządzenia HoloLens
Uwaga
Ten artykuł jest dokumentacją techniczną dla informatyków i entuzjastów technologii. Jeśli szukasz instrukcji dotyczących konfigurowania urządzenia HoloLens, przeczytaj "Konfigurowanie urządzenia HoloLens (1. generacji)" lub "Konfigurowanie urządzenia HoloLens 2".
Porada
Urządzenie HoloLens 2 jest skonfigurowane jako urządzenie przyłączone do identyfikatora Entra firmy Microsoft i nie obsługuje lokalnej usługi Active Directory. W większości przypadków uwierzytelnianie można wykonać przy użyciu tożsamości zarządzanego identyfikatora entra lub tożsamości federacyjnego identyfikatora entra. Jeśli jednak usługa federacyjna powoduje problemy z uwierzytelnianiem, upewnij się, że możesz zalogować się z komputera z systemem Windows 10 lub Windows 11 tylko do identyfikatora Entra. Wiele problemów z uwierzytelnianiem jest wynikiem tylko konfiguracji identyfikatora Entra, a nie konkretnego problemu z urządzeniem HoloLens. Rozwiązywanie tych problemów jest znacznie prostsze z komputera z systemem Windows 10 lub Windows.
Podobnie jak inne urządzenia z systemem Windows, urządzenie HoloLens zawsze działa w kontekście użytkownika. Zawsze istnieje tożsamość użytkownika. Urządzenie HoloLens traktuje tożsamość w niemal taki sam sposób jak urządzenie z systemem Windows 10 lub Windows 11. Logowanie podczas konfigurowania powoduje utworzenie profilu użytkownika na urządzeniu HoloLens, który przechowuje aplikacje i dane. To samo konto zapewnia również logowanie jednokrotne dla aplikacji, takich jak Microsoft Edge lub Dynamics 365 Remote Assist, przy użyciu interfejsów API Menedżera kont systemu Windows.
Urządzenie HoloLens obsługuje kilka rodzajów tożsamości użytkowników. Możesz wybrać jeden z tych trzech typów kont, ale zdecydowanie zalecamy użycie identyfikatora Entra firmy Microsoft, ponieważ najlepiej zarządzać urządzeniami. Tylko konta Microsoft Entra obsługują wielu użytkowników.
Typ tożsamości | Konta na urządzenie | Opcje uwierzytelniania |
---|---|---|
identyfikator entra firmy Microsoft1 | 63 |
|
konta Microsoft (MSA) |
1 |
|
konto lokalne3 | 1 | Hasło |
identyfikator entra firmy Microsoft | 1 | Uwierzytelnianie Certificate-Based (CBA) |
Konta połączone z chmurą (Microsoft Entra ID i MSA) oferują więcej funkcji, ponieważ mogą korzystać z usług platformy Azure.
Ważne
1 — Do zalogowania się na urządzeniu nie jest wymagany identyfikator Entra ID P1 lub P2. Jednak jest to wymagane w przypadku innych funkcji wdrożenia opartego na chmurze z małą obsługą dotykową, takich jak automatyczna rejestracja i rozwiązanie Autopilot.
Uwaga
2 — Urządzenie HoloLens 2 może obsługiwać maksymalnie 63 konta Microsoft Entra, a także jedno konto systemowe dla łącznie 64 kont, tylko do 10 z tych kont powinno zostać zarejestrowanych w uwierzytelnianiu Iris. Jest to zgodne z innymi opcjami uwierzytelniania biometrycznego dla usługi Windows Hello dla firm. Chociaż w uwierzytelnianiu Iris może być zarejestrowanych więcej niż 10 kont, zwiększa to szybkość wyników fałszywie dodatnich i nie jest zalecana.
Ważne
3 — Konto lokalne można skonfigurować tylko na urządzeniu za pośrednictwem pakietu aprowizacji podczasOOBE , nie można go dodać później w aplikacji ustawień. Jeśli chcesz użyć konta lokalnego na już skonfigurowanym urządzeniu, musisz odciąć lub zresetować urządzenie.
W przypadku stosowania zasad logowania zasady są zawsze przestrzegane. Jeśli nie zastosowano żadnych zasad logowania, są to domyślne zachowania dla każdego typu konta:
- Identyfikator entra firmy Microsoft: domyślnie prosi o uwierzytelnianie i można go konfigurować za pomocą Ustawienia, aby nie prosić już o uwierzytelnienie.
- konto Microsoft: zachowanie blokady różni się od zezwalaniem na automatyczne odblokowywanie, jednak uwierzytelnianie logowania jest nadal wymagane podczas ponownego uruchamiania.
- konto lokalne: zawsze prosi o uwierzytelnienie w postaci hasła, które nie można skonfigurować w ustawieniach
Uwaga
Czasomierze braku aktywności nie są obecnie obsługiwane, co oznacza, że zasady AllowIdleReturnWithoutPassword są przestrzegane tylko wtedy, gdy urządzenie przechodzi do trybu wstrzymania.
Dane biometryczne (w tym ruchy głowy/ręki/oczu, skanowanie tęczówki), które zbiera to urządzenie, są używane do kalibracji, w celu poprawy niezawodnych interakcji i ulepszenia środowiska użytkownika. Podobnie jak w przypadku innych urządzeń z systemem Windows, aplikacje innych firm na urządzeniu mogą uzyskiwać dostęp do danych na urządzeniu w celu dostarczania pewnych funkcji i funkcji. Przejdź do sekcji Prywatność w obszarze Ustawienia, aby uzyskać szczegółowe informacje na temat umowy licencyjnej i zasad zachowania poufności informacji firmy Microsoft.
Logowanie holoLens Iris jest oparte na windows Hello. Urządzenie HoloLens przechowuje dane biometryczne używane do bezpiecznego implementowania funkcji Windows Hello tylko na urządzeniu lokalnym. Dane biometryczne nie wędrują i nigdy nie są wysyłane do urządzeń zewnętrznych lub serwerów. Ponieważ usługa Windows Hello przechowuje tylko dane biometryczne na urządzeniu, nie ma pojedynczego punktu zbierania danych, który osoba atakująca może naruszyć bezpieczeństwo w celu kradzieży danych biometrycznych.
Urządzenie HoloLens wykonuje uwierzytelnianie irysów na podstawie przechowywanych kodów bitów. Użytkownicy mają pełną kontrolę nad tym, czy rejestrują swoje konto użytkownika na potrzeby logowania irysów na potrzeby uwierzytelniania. Administratorzy IT mogą wyłączyć funkcje usługi Windows Hello za pośrednictwem serwerów MDM. Zobacz Zarządzanie usługą Windows Hello dla firm w organizacji.
Uwaga
Udostępnione konta identyfikatorów Entra firmy Microsoft nie obsługują logowania Iris na urządzeniu HoloLens. Zobacz więcej szczegółów na temat korzyści i ograniczeń dotyczących korzystania z udostępnionych kont Microsoft Entra.
Urządzenie HoloLens 2 obsługuje uwierzytelnianie Iris. Iris jest oparta na technologii Windows Hello i jest obsługiwana do użycia zarówno przez microsoft Entra ID, jak i konta Microsoft. Iris jest implementowany w taki sam sposób jak inne technologie funkcji Windows Hello i osiąga zabezpieczenia biometryczne FAR 1/100K.
Aby uzyskać więcej informacji, zobacz wymagania biometryczne i specyfikacje dotyczące usługi Windows Hello. Dowiedz się więcej o windows Hello i windows Hello dla firm.
Iris informacje biometryczne są przechowywane lokalnie na każdym urządzeniu HoloLens na specyfikacji funkcji Windows Hello. Nie jest on udostępniany i jest chroniony przez dwie warstwy szyfrowania. Nie jest ona dostępna dla innych użytkowników, nawet administrator, ponieważ nie ma konta administratora na urządzeniu HoloLens.
Nie. Ten krok można pominąć podczas instalacji.
Urządzenie HoloLens 2 oferuje wiele różnych opcji uwierzytelniania, w tym kluczy zabezpieczeń FIDO2.
Tak, możesz usunąć go ręcznie w obszarze Ustawienia.
Istnieją dwa sposoby konfigurowania nowego użytkownika na urządzeniu HoloLens. Najczęstszym sposobem jest środowisko gotowe do użycia urządzenia HoloLens (OOBE). Jeśli używasz identyfikatora Entra firmy Microsoft, inni użytkownicy mogą logować się po użyciu poświadczeń usługi OOBE przy użyciu poświadczeń firmy Microsoft Entra. Urządzenia HoloLens, które są początkowo konfigurowane przy użyciu konta MSA lub konta lokalnego podczas OOBE, nie obsługują wielu użytkowników. Zobacz Konfigurowanie HoloLens (1. generacji) lub HoloLens 2.
Jeśli używasz konta przedsiębiorstwa lub organizacji do logowania się do urządzenia HoloLens, urządzenie HoloLens rejestruje się w infrastrukturze IT organizacji. Ta rejestracja umożliwia administratorowi IT skonfigurowanie zarządzania urządzeniami przenośnymi (MDM) w celu wysyłania zasad grupy do urządzenia HoloLens.
Podobnie jak system Windows na innych urządzeniach, logowanie podczas instalacji powoduje utworzenie profilu użytkownika na urządzeniu. Profil użytkownika przechowuje aplikacje i dane. To samo konto zapewnia również logowanie jednokrotne dla aplikacji, takich jak Microsoft Edge lub Microsoft Store, przy użyciu interfejsów API Menedżera kont systemu Windows.
Domyślnie, podobnie jak w przypadku innych urządzeń z systemem Windows 10, musisz zalogować się ponownie po ponownym uruchomieniu lub wznowieniu działania urządzenia HoloLens z trybu wstrzymania. Możesz użyć aplikacji Ustawienia, aby zmienić to zachowanie lub zachowanie może być kontrolowane przez zasady grupy.
Porada
Jeśli więcej niż jeden użytkownik używa urządzenia, ważne jest, aby zachować czyszczenie wizjerów. Aby uzyskać szczegółowe informacje na temat czyszczenia urządzenia, zobacz
Podobnie jak w wersji klasycznej systemu Windows, możesz połączyć inne poświadczenia konta internetowego z kontem urządzenia HoloLens. Takie łączenie ułatwia dostęp do zasobów w aplikacjach (takich jak Sklep) lub łączenie dostępu do zasobów osobistych i służbowych. Po połączeniu konta z urządzeniem możesz udzielić uprawnień do używania urządzenia do aplikacji, aby nie trzeba było logować się indywidualnie do każdej aplikacji.
Łączenie kont nie oddziela danych użytkownika utworzonych na urządzeniu, takich jak obrazy lub pliki do pobrania.
Urządzenie HoloLens obsługuje wielu użytkowników z tej samej dzierżawy firmy Microsoft Entra. Aby użyć tej funkcji, musisz użyć konta należącego do organizacji, aby skonfigurować urządzenie. Następnie inni użytkownicy z tej samej dzierżawy mogą zalogować się do urządzenia z ekranu logowania lub naciskając kafelek użytkownika na panelu Start. Tylko jeden użytkownik może być zalogowany naraz. Gdy użytkownik się zaloguje, urządzenie HoloLens wyjmuje poprzedniego użytkownika.
Ważne
Pierwszy użytkownik na urządzeniu jest uważany za właściciela urządzenia, z wyjątkiem sytuacji dołączania firmy Microsoft Entra, dowiedzieć się więcej o właścicielach urządzeń.
Wszyscy użytkownicy mogą używać aplikacji zainstalowanych na urządzeniu. Jednak każdy użytkownik ma własne dane i preferencje aplikacji. Usunięcie aplikacji z urządzenia spowoduje usunięcie jej dla wszystkich użytkowników.
Uwaga
Inną opcją dla urządzeń, które są współużytkowane przez wielu użytkowników, jest utworzenie konta udostępnionego identyfikatora Microsoft Entra na urządzeniu. Aby uzyskać szczegółowe informacje na temat konfigurowania tego konta na urządzeniu, zobacz Udostępnione konta Microsoft Entra na urządzeniu.
Urządzenia skonfigurowane przy użyciu kont Microsoft Entra nie zezwalają na logowanie się na urządzeniu przy użyciu konta Microsoft. Wszystkie używane konta muszą być kontami Microsoft Entra z tej samej dzierżawy co urządzenie. Nadal możesz zalogować się przy użyciu konta Microsoft w aplikacjach, które go obsługują (np. Microsoft Store). Aby zmienić użycie kont Microsoft Entra na konta Microsoft w celu zalogowania się na urządzeniu, należy reflash urządzenia.
Uwaga
HoloLens (1. generacji) zaczął obsługiwać wielu użytkowników firmy Microsoft Entra w windows 10 kwietnia 2018 Update w ramach Windows Holographic for Business.
Wcześniej ekran logowania pokazywał tylko ostatnio zalogowanego użytkownika i punkt wejścia "Inny użytkownik". Otrzymaliśmy opinię klienta, że nie wystarczy, jeśli wielu użytkowników zalogowało się na urządzeniu. Nadal wymagane było ponowne wpisywanie nazwy użytkownika itp.
Wprowadzony w Windows Holographic, wersja 21H1, podczas wybierania Inny użytkownik, który znajduje się po prawej stronie pola wprowadzania numeru PIN, ekran logowania wyświetla wielu użytkowników, którzy wcześniej zalogowali się do urządzenia. Dzięki temu użytkownicy mogą wybrać swój profil użytkownika, a następnie zalogować się przy użyciu poświadczeń funkcji Windows Hello. Nowy użytkownik można również dodać do urządzenia z tego innych użytkowników strony za pomocą przycisku Dodaj konto.
W menu Inni użytkownicy przycisk Inni użytkownicy wyświetla ostatni użytkownik zalogowany na urządzeniu. Wybierz ten przycisk, aby powrócić do ekranu logowania dla tego użytkownika.
Możesz usunąć użytkownika z urządzenia, przechodząc do Ustawienia>Konta>Inne osoby. Ta akcja umożliwia również odzyskanie miejsca przez usunięcie wszystkich danych aplikacji tego użytkownika z urządzenia.
Jako deweloper aplikacji możesz korzystać z połączonych tożsamości na urządzeniu HoloLens przy użyciu interfejsów API menedżera kont systemu Windows , podobnie jak na innych urządzeniach z systemem Windows. Niektóre przykłady kodu dla tych interfejsów API są dostępne w witrynie GitHub: przykład zarządzania kontami internetowymi.
Wszelkie przerwania konta, które mogą wystąpić, takie jak żądanie zgody użytkownika na informacje o koncie, uwierzytelnianie dwuskładnikowe i tak dalej, muszą być obsługiwane, gdy aplikacja żąda tokenu uwierzytelniania.
Jeśli aplikacja wymaga określonego typu konta, które nie zostało wcześniej połączone, aplikacja może poprosić system o monit o dodanie go przez użytkownika. To żądanie wyzwala okienko ustawień konta w celu uruchomienia jako modalnego elementu podrzędnego aplikacji. W przypadku aplikacji 2D to okno jest renderowane bezpośrednio w środku aplikacji. W przypadku aplikacji aparatu Unity to żądanie na krótko wyprowadza użytkownika z aplikacji holograficznej, aby renderować okno podrzędne. Aby uzyskać informacje na temat dostosowywania poleceń i akcji w tym okienku, zobacz WebAccountCommand Class.
Jeśli aplikacja używa innych typów uwierzytelniania, takich jak NTLM, Basic lub Kerberos, możesz użyć interfejsu użytkownika poświadczeń systemu Windows do zbierania, przetwarzania i przechowywania poświadczeń użytkownika. Środowisko użytkownika do zbierania tych poświadczeń jest podobne do innych przerwań konta opartego na chmurze i jest wyświetlane jako aplikacja podrzędna w aplikacji 2D lub na krótko zawiesza aplikację aparatu Unity w celu wyświetlenia interfejsu użytkownika.
Jednym ze sposobów, w jaki programowanie dla urządzenia HoloLens różni się od opracowywania aplikacji desktop, jest to, że interfejs API
Usługa Windows Hello dla firm (która obsługuje logowanie przy użyciu numeru PIN) jest obsługiwana w przypadku urządzenia HoloLens (1. generacji). Aby zezwolić na logowanie przy użyciu numeru PIN usługi Windows Hello dla firm na urządzeniu HoloLens (1. generacji):
- Urządzenie HoloLens musi być zarządzane przez usługę MDM.
- Musisz włączyć usługę Windows Hello dla firm dla urządzenia. (Zobacz instrukcje dotyczące usługi Microsoft Intune.)
- Na urządzeniu HoloLens użytkownik może następnie użyć Ustawienia>Opcje logowania>Dodaj numeru PIN w celu skonfigurowania numeru PIN.
Uwaga
Użytkownicy logujący się przy użyciu konta Microsoft mogą również skonfigurować numer PIN w ustawieniach >Opcje logowania>Dodawanienumeru PIN. Ten numer PIN jest skojarzony z windows Hello, a nie windows Hello dla firm.
Przeczytaj o wiele więcej na temat ochrony tożsamości użytkowników i uwierzytelniania w dokumentacji zabezpieczeń i tożsamości systemu Windows 10.
Dowiedz się więcej na temat konfigurowania infrastruktury tożsamości hybrydowej za pomocą dokumentacji tożsamości hybrydowej platformy Azure.