Zarządzanie tożsamością użytkownika i logowaniem dla urządzenia HoloLens

  • Artykuł
  • Dotyczy:
    HoloLens (1st gen), HoloLens 2

Uwaga

Ten artykuł jest dokumentacją techniczną dla informatyków i entuzjastów technologii. Jeśli szukasz instrukcji dotyczących konfigurowania urządzenia HoloLens, przeczytaj "Konfigurowanie urządzenia HoloLens (1. gen)" lub "Konfigurowanie HoloLens 2".

Porada

HoloLens 2 jest konfigurowany jako urządzenie przyłączone do Tożsamość Microsoft Entra i nie obsługuje lokalnej usługi Active Directory. W większości przypadków uwierzytelnianie można wykonać przy użyciu tożsamości zarządzanego identyfikatora entra lub tożsamości federacyjnej Entra ID. Jeśli jednak usługa federacyjna powoduje wyzwania związane z uwierzytelnianiem, upewnij się, że możesz zalogować się przy użyciu identyfikatora Entra tylko przyłączonego Windows 10 lub komputera Windows 11. Wiele problemów z uwierzytelnianiem jest wynikiem tylko konfiguracji identyfikatora Entra, a nie problemu specyficznego dla urządzenia HoloLens. Rozwiązywanie tych problemów jest znacznie prostsze w przypadku Windows 10 lub komputera z systemem Windows.

Porozmawiajmy o konfigurowaniu tożsamości użytkownika dla HoloLens 2

Podobnie jak inne urządzenia z systemem Windows, urządzenie HoloLens zawsze działa w kontekście użytkownika. Zawsze istnieje tożsamość użytkownika. Urządzenie HoloLens traktuje tożsamość w niemal taki sam sposób jak urządzenie Windows 10 lub Windows 11. Logowanie podczas konfigurowania powoduje utworzenie profilu użytkownika na urządzeniu HoloLens, który przechowuje aplikacje i dane. To samo konto zapewnia również logowanie jednokrotne dla aplikacji, takich jak Microsoft Edge lub Dynamics 365 Remote Assist, przy użyciu interfejsów API Menedżera kont systemu Windows.

Urządzenie HoloLens obsługuje kilka rodzajów tożsamości użytkowników. Możesz wybrać jeden z tych trzech typów kont, ale zdecydowanie zalecamy Tożsamość Microsoft Entra, ponieważ najlepiej zarządzać urządzeniami. Tylko konta Microsoft Entra obsługują wielu użytkowników.

Typ tożsamości Konta na urządzenie Opcje uwierzytelniania
Tożsamość Microsoft Entra1 63
  • Dostawca poświadczeń internetowych platformy Azure
  • Aplikacja Azure Authenticator
  • Biometryczne (Iris) — HoloLens 2 tylko2
  • Klucz zabezpieczeń FIDO2
  • Numer PIN — opcjonalny dla urządzenia HoloLens (1. generacji), wymagany do HoloLens 2
  • Hasło
Konto Microsoft (MSA) 1
  • Biometryczne (Iris) — tylko HoloLens 2
  • Numer PIN — opcjonalny dla urządzenia HoloLens (1. generacji), wymagany do HoloLens 2
  • Hasło
Konto lokalne3 1 Hasło
Udostępnione Tożsamość Microsoft Entra 1 Uwierzytelnianie Certificate-Based (CBA)

Konta połączone z chmurą (Tożsamość Microsoft Entra i MSA) oferują więcej funkcji, ponieważ mogą korzystać z usług platformy Azure.

Ważne

1 — Tożsamość Microsoft Entra P1 lub P2 nie jest wymagane do zalogowania się do urządzenia. Jest to jednak wymagane w przypadku innych funkcji wdrożenia opartego na chmurze z małą obsługą dotykową, takiego jak automatyczna rejestracja i rozwiązanie Autopilot.

Uwaga

2 — Chociaż urządzenie HoloLens 2 może obsługiwać maksymalnie 63 konta Microsoft Entra, a także jedno konto systemowe dla łącznie 64 kont, tylko do 10 tych kont powinno być zarejestrowanych w uwierzytelnianiu Iris. Jest to zgodne z innymi opcjami uwierzytelniania biometrycznego dla Windows Hello dla firm. Chociaż w uwierzytelnieniu Iris może być zarejestrowanych więcej niż 10 kont, zwiększa to szybkość wyników fałszywie dodatnich i nie jest zalecana.

Ważne

3 — Konto lokalne można skonfigurować tylko na urządzeniu za pośrednictwem pakietu aprowizacji podczas OOBE. Nie można go dodać później w aplikacji ustawień. Jeśli chcesz użyć konta lokalnego na urządzeniu, które jest już skonfigurowane, musisz przywrócić lub zresetować urządzenie.

Jak typ konta wpływa na zachowanie logowania?

W przypadku stosowania zasad logowania zasady są zawsze przestrzegane. Jeśli nie zastosowano żadnych zasad logowania, są to domyślne zachowania dla każdego typu konta:

  • Tożsamość Microsoft Entra: domyślnie prosi o uwierzytelnienie i można go skonfigurować przez ustawienia, aby nie prosić o uwierzytelnienie.
  • Konto Microsoft: zachowanie blokady różni się w przypadku automatycznego odblokowywania, jednak uwierzytelnianie logowania jest nadal wymagane podczas ponownego uruchamiania.
  • Konto lokalne: zawsze prosi o uwierzytelnienie w postaci hasła, które nie można skonfigurować w ustawieniach

Uwaga

Czasomierze braku aktywności nie są obecnie obsługiwane, co oznacza, że zasady AllowIdleReturnWithoutPassword są przestrzegane tylko wtedy, gdy urządzenie przechodzi do trybu wstrzymania.

Identyfikator logowania irysów

Zbieranie danych biometrycznych przez urządzenie HoloLens

Dane biometryczne (w tym ruchy głowy/ręki/oczu, skany irysów), które zbiera to urządzenie, są używane do kalibracji, w celu poprawy niezawodnych interakcji i poprawy środowiska użytkownika. Podobnie jak w przypadku innych urządzeń z systemem Windows, aplikacje innych firm na urządzeniu mogą uzyskiwać dostęp do danych na urządzeniu w celu dostarczania określonych funkcji i funkcji. Przejdź do sekcji Prywatność w obszarze Ustawienia, aby uzyskać szczegółowe informacje na temat umowy licencyjnej i zasad zachowania poufności informacji firmy Microsoft.

Logowanie holoLens Iris jest oparte na Windows Hello. Urządzenie HoloLens przechowuje dane biometryczne używane do implementowania Windows Hello bezpiecznie tylko na urządzeniu lokalnym. Dane biometryczne nie są przesyłane i nigdy nie są wysyłane do urządzeń zewnętrznych lub serwerów. Ponieważ Windows Hello przechowuje tylko dane biometryczne na urządzeniu, nie ma pojedynczego punktu zbierania danych, który atakujący może naruszyć bezpieczeństwo w celu kradzieży danych biometrycznych.

Urządzenie HoloLens wykonuje uwierzytelnianie irysów na podstawie przechowywanych kodów bitów. Użytkownicy mają pełną kontrolę nad tym, czy rejestrują swoje konto użytkownika na potrzeby logowania Iris na potrzeby uwierzytelniania. Administratorzy IT mogą wyłączyć Windows Hello możliwości za pośrednictwem serwerów MDM. Zobacz Zarządzanie Windows Hello dla firm w organizacji.

Uwaga

Udostępnione konta Tożsamość Microsoft Entra nie obsługują logowania Iris na urządzeniu HoloLens. Zobacz więcej szczegółów na temat korzyści i ograniczeń korzystania z kont udostępnionych Microsoft Entra.

Często zadawane pytania dotyczące irysów

Jak jest zaimplementowane uwierzytelnianie biometryczne Iris w HoloLens 2?

HoloLens 2 obsługuje uwierzytelnianie Iris. Iris jest oparta na technologii Windows Hello i jest obsługiwana do użycia zarówno przez konta Tożsamość Microsoft Entra, jak i Microsoft. Iris jest implementowany w taki sam sposób jak inne technologie Windows Hello i osiąga bezpieczeństwo biometryczne FAR 1/100K.

Aby uzyskać więcej informacji, zobacz wymagania biometryczne i specyfikacje dotyczące Windows Hello. Dowiedz się więcej o Windows Hello i Windows Hello dla firm.

Gdzie są przechowywane dane biometryczne Iris?

Iris biometryczne informacje są przechowywane lokalnie na każdym urządzeniu HoloLens na specyfikację Windows Hello. Nie jest ona udostępniana i jest chroniona przez dwie warstwy szyfrowania. Nie jest ona dostępna dla innych użytkowników, nawet administrator, ponieważ nie ma konta administratora na urządzeniu HoloLens.

Czy muszę używać uwierzytelniania Iris?

Nie, możesz pominąć ten krok podczas instalacji.

Konfigurowanie irysów.

HoloLens 2 oferuje wiele różnych opcji uwierzytelniania, w tym kluczy zabezpieczeń FIDO2.

Czy informacje o irysach można usunąć z urządzenia HoloLens?

Tak, możesz usunąć ją ręcznie w obszarze Ustawienia.

Konfigurowanie użytkowników

Istnieją dwa sposoby konfigurowania nowego użytkownika na urządzeniu HoloLens. Najczęstszym sposobem jest środowisko gotowe do użycia urządzenia HoloLens (OOBE). W przypadku korzystania z Tożsamość Microsoft Entra inni użytkownicy mogą logować się po usłudze OOBE przy użyciu poświadczeń Microsoft Entra. Urządzenia HoloLens, które są początkowo konfigurowane przy użyciu konta MSA lub konta lokalnego podczas OOBE, nie obsługują wielu użytkowników. Zobacz Konfigurowanie urządzenia HoloLens (1. generacji) lub HoloLens 2.

Jeśli logujesz się do urządzenia HoloLens przy użyciu konta przedsiębiorstwa lub organizacji, urządzenie HoloLens rejestruje się w infrastrukturze IT organizacji. Ta rejestracja umożliwia usłudze IT Administracja skonfigurowanie usługi Mobile Zarządzanie urządzeniami (MDM) w celu wysyłania zasad grupy do urządzenia HoloLens.

Podobnie jak system Windows na innych urządzeniach, logowanie podczas instalacji powoduje utworzenie profilu użytkownika na urządzeniu. Profil użytkownika przechowuje aplikacje i dane. To samo konto zapewnia również logowanie jednokrotne dla aplikacji, takich jak Microsoft Edge lub Microsoft Store, przy użyciu interfejsów API Menedżera kont systemu Windows.

Domyślnie, podobnie jak w przypadku innych urządzeń Windows 10, należy zalogować się ponownie po ponownym uruchomieniu lub wznowieniu działania urządzenia HoloLens z trybu wstrzymania. Możesz użyć aplikacji Ustawienia, aby zmienić to zachowanie lub zachowanie może być kontrolowane przez zasady grupy.

Porada

Jeśli więcej niż jeden użytkownik korzysta z urządzenia, ważne jest, aby zachować czyszczenie wizjerów. Aby uzyskać szczegółowe informacje na temat czyszczenia urządzenia, zobacz HoloLens 2 często zadawane pytania. Zalecamy czyszczenie visoru między poszczególnymi użytkownikami. To najlepsze rozwiązanie jest szczególnie ważne, jeśli używasz uwierzytelniania irysów.

Połączone konta

Podobnie jak w wersji klasycznej systemu Windows, możesz połączyć inne poświadczenia konta internetowego z kontem urządzenia HoloLens. Takie łączenie ułatwia dostęp do zasobów w aplikacjach (takich jak Sklep) lub łączenie dostępu do zasobów osobistych i służbowych. Po połączeniu konta z urządzeniem możesz udzielić uprawnień do używania urządzenia do aplikacji, aby nie trzeba było logować się do każdej aplikacji osobno.

Łączenie kont nie oddziela danych użytkownika utworzonych na urządzeniu, takich jak obrazy lub pliki do pobrania.

Konfigurowanie obsługi wielu użytkowników (tylko Microsoft Entra)

Urządzenie HoloLens obsługuje wielu użytkowników z tej samej dzierżawy Microsoft Entra. Aby użyć tej funkcji, musisz użyć konta należącego do organizacji, aby skonfigurować urządzenie. Następnie inni użytkownicy z tej samej dzierżawy mogą zalogować się do urządzenia na ekranie logowania lub naciskając kafelek użytkownika na panelu Start. Tylko jeden użytkownik może być zalogowany jednocześnie. Gdy użytkownik się zaloguje, urządzenie HoloLens wy wylogowało poprzedniego użytkownika.

Ważne

Pierwszy użytkownik na urządzeniu jest uważany za właściciela urządzenia, z wyjątkiem przypadków dołączania Microsoft Entra, dowiedz się więcej na temat właścicieli urządzeń.

Wszyscy użytkownicy mogą używać aplikacji zainstalowanych na urządzeniu. Jednak każdy użytkownik ma własne dane i preferencje aplikacji. Usunięcie aplikacji z urządzenia spowoduje usunięcie jej dla wszystkich użytkowników.

Uwaga

Inną opcją dla urządzeń, które są współużytkowane przez wielu użytkowników, jest utworzenie konta udostępnionego Tożsamość Microsoft Entra na urządzeniu. Aby uzyskać szczegółowe informacje na temat konfigurowania tego konta na urządzeniu, zobacz Shared Microsoft Entra accounts in HoloLens (Konta udostępnione Microsoft Entra na urządzeniu).

Urządzenia skonfigurowane przy użyciu kont Microsoft Entra nie zezwalają na logowanie się do urządzenia przy użyciu konta Microsoft. Wszystkie kolejne używane konta muszą być Microsoft Entra konta z tej samej dzierżawy co urządzenie. Nadal możesz zalogować się przy użyciu konta Microsoft do aplikacji , które go obsługują (na przykład w Sklepie Microsoft). Aby zmienić użycie kont Microsoft Entra na konta Microsoft w celu zalogowania się na urządzeniu, musisz odeprzeć urządzenie.

Uwaga

Urządzenie HoloLens (1. generacji) zaczęło obsługiwać wielu użytkowników Microsoft Entra w aktualizacji z Windows 10 kwietnia 2018 r. w ramach Windows Holographic for Business.

Wielu użytkowników jest wyświetlanych na ekranie logowania

Wcześniej na ekranie logowania był wyświetlany tylko ostatnio zalogowany użytkownik i punkt wejścia "Inny użytkownik". Otrzymaliśmy opinię klientów, że nie wystarczy, jeśli wielu użytkowników zalogowało się na urządzeniu. Nadal wymagane było ponowne wpisywanie nazwy użytkownika itp.

Wprowadzony w systemie Windows Holographic w wersji 21H1 po wybraniu pozycji Inny użytkownik znajdujący się po prawej stronie pola wprowadzania numeru PIN na ekranie logowania jest wyświetlanych wielu użytkowników, którzy wcześniej zalogowali się do urządzenia. Dzięki temu użytkownicy mogą wybrać swój profil użytkownika, a następnie zalogować się przy użyciu poświadczeń Windows Hello. Nowy użytkownik można również dodać do urządzenia na tej stronie innych użytkowników za pomocą przycisku Dodaj konto .

W menu Inni użytkownicy przycisk Inne użytkownicy wyświetla ostatni użytkownik zalogowany na urządzeniu. Wybierz ten przycisk, aby powrócić do ekranu logowania dla tego użytkownika.

Domyślny ekran logowania.


Ekran logowania innych użytkowników.

Usuwanie użytkowników

Możesz usunąć użytkownika z urządzenia, przechodząc do pozycji Ustawienia>Konta>Inne osoby. Ta akcja umożliwia również odzyskanie miejsca przez usunięcie wszystkich danych aplikacji tego użytkownika z urządzenia.

Korzystanie z logowania jednokrotnego w aplikacji

Jako deweloper aplikacji możesz korzystać z połączonych tożsamości na urządzeniu HoloLens przy użyciu interfejsów API Menedżera kont systemu Windows, podobnie jak na innych urządzeniach z systemem Windows. Niektóre przykłady kodu dla tych interfejsów API są dostępne w witrynie GitHub: przykład zarządzania kontami internetowymi.

Wszelkie przerwania konta, które mogą wystąpić, takie jak żądanie zgody użytkownika na informacje o koncie, uwierzytelnianie dwuskładnikowe i tak dalej, muszą być obsługiwane, gdy aplikacja żąda tokenu uwierzytelniania.

Jeśli aplikacja wymaga określonego typu konta, które nie zostało wcześniej połączone, aplikacja może poprosić system o monit o dodanie go przez użytkownika. To żądanie wyzwala okienko ustawień konta w celu uruchomienia jako modalnego elementu podrzędnego aplikacji. W przypadku aplikacji 2D to okno jest renderowane bezpośrednio przez środek aplikacji. W przypadku aplikacji aparatu Unity to żądanie krótko zabiera użytkownika z aplikacji holograficznej w celu renderowania okna podrzędnego. Aby uzyskać informacje na temat dostosowywania poleceń i akcji w tym okienku, zobacz WebAccountCommand Class (Klasa WebAccountCommand).

Przedsiębiorstwo i inne uwierzytelnianie

Jeśli aplikacja używa innych typów uwierzytelniania, takich jak NTLM, Basic lub Kerberos, możesz użyć interfejsu użytkownika poświadczeń systemu Windows do zbierania, przetwarzania i przechowywania poświadczeń użytkownika. Środowisko użytkownika do zbierania tych poświadczeń jest podobne do innych przerwań konta opartego na chmurze i pojawia się jako aplikacja podrzędna na podstawie aplikacji 2D lub na krótko zawiesza aplikację aparatu Unity w celu wyświetlenia interfejsu użytkownika.

Przestarzałe interfejsy API

Jednym ze sposobów opracowywania aplikacji dla urządzenia HoloLens jest to, że interfejs API OnlineIDAuthenticator nie jest w pełni obsługiwany. Mimo że interfejs API zwraca token, jeśli konto podstawowe jest w dobrej kondycji, przerwania takie jak opisane w tym artykule nie wyświetlają żadnego interfejsu użytkownika dla użytkownika i nie mogą poprawnie uwierzytelniać konta.

obsługa Windows Hello dla firm na urządzeniu HoloLens (1.Gen)

Windows Hello dla firm (które obsługuje logowanie przy użyciu numeru PIN) jest obsługiwane dla urządzenia HoloLens (1.Gen). Aby zezwolić na logowanie przy Windows Hello dla firm PIN na urządzeniu HoloLens (1. generacja):

  1. Urządzenie HoloLens musi być zarządzane przez rozwiązanie MDM.
  2. Należy włączyć Windows Hello dla firm dla urządzenia. (Zobacz instrukcje dotyczące Microsoft Intune).
  3. Na urządzeniu HoloLens użytkownik może następnie użyć opcjilogowania>Ustawienia>Dodaj numer PIN, aby skonfigurować numer PIN.

Uwaga

Użytkownicy, którzy logują się przy użyciu konta Microsoft, mogą również skonfigurować numer PIN w ustawieniach>Opcje> logowaniaDodaj numer PIN. Ten numer PIN jest skojarzony z Windows Hello, a nie z Windows Hello dla firm.

Dodatkowe zasoby

Przeczytaj o wiele więcej na temat ochrony tożsamości użytkowników i uwierzytelniania w dokumentacji zabezpieczeń i tożsamości Windows 10.

Dowiedz się więcej o konfigurowaniu infrastruktury tożsamości hybrydowej za pomocą dokumentacji tożsamości hybrydowej platformy Azure.