Administracja bez systemu operacyjnego
HoloLens 2 minimalizuje obszar powierzchni pod kątem eskalacji uprawnień, wyłączając obsługę grupy Administratorzy i ograniczając cały kod aplikacji platformy UWP innych firm do wykonywania tylko jako użytkownicy standardowi w piaskownicy appContainer. Ten kod jest udzielany tylko dostęp do tych zasobów chronionych przez możliwości jawnie manifestowane w aplikacji dla niezauważonego użytkownika oprócz zasobów dostępnych dla wszystkich aplikacji AppContainers. Te możliwości aplikacji nadal mają model klasyfikacji trójwarstwowej:
- Ogólne
- Z ograniczeniami
- Windows
Składniki systemu Windows mogą również korzystać z piaskownicy appContainer za pośrednictwem systemowych platform UWPs. Aby dowiedzieć się więcej o platforma uniwersalna systemu Windows (UWP), zobacz dokumentację platformy UWP. Ponadto składniki systemu Windows z większymi potrzebami redukcji uprawnień (na przykład strony zawartości przeglądarki lub analizatory) korzystają z piaskownicy Mniej uprzywilejowanych aplikacji (LPAC), która odcina dostęp do zestawu zasobów dostępnych dla wszystkich elementów AppContainers.
Właściciel urządzenia
Na koniec wykonywanie określonych operacji na całym urządzeniu, takich jak dołączanie urządzenia do dzierżawy lub zarządzania użytkownikami, jest dozwolone tylko dla "właścicieli urządzeń". Ta grupa jest wypełniana przez użytkowników na urządzeniu za pomocą jednego z następujących kroków:
- Pierwszy użytkownik na urządzeniu jest zawsze wyznaczony jako właściciel.
Ważne
W przypadku użytkowników Microsoft Entra wyjątkiem od tej reguły jest to, że jeśli urządzenie jest Microsoft Entra przyłączone za pośrednictwem rozwiązania Autopilot lub rejestracji zbiorczej Microsoft Entra, która używa użytkownika innego niż rzeczywisty. W takim przypadku pierwszy użytkownik Microsoft Entra do zalogowania się na urządzeniu może nie zostać automatycznie właścicielem urządzenia, chyba że ten użytkownik ma rolę "administratora globalnego" lub "administratora urządzeń" przypisaną w Azure Portal. Aby uzyskać więcej informacji, zobacz poniższą notatkę.
- Gdy użytkownik zostanie podwyższony do poziomu właściciela z poziomu środowiska użytkownika ustawień przez innego właściciela na urządzeniu.
- Jeśli właściciel urządzenia nie jest już dostępny (opuszcza firmę), a urządzenie zostanie Microsoft Entra dołączone, Administracja dzierżawy może zmienić właściciela urządzenia na nowego użytkownika w Azure Portal. Administratorzy globalni i administratorzy urządzeń dzierżawy Microsoft Entra są niejawnie zalogowani jako właściciele na urządzeniu bez konieczności wykonania dowolnego z poprzednich kroków.
Administratorzy IT mogą zarządzać aplikacjami, do których mogą uzyskiwać dostęp za pośrednictwem zasad ochrony prywatności .
Uwaga
Aby dowiedzieć się więcej o tym, kto jest właścicielem urządzenia na urządzeniu dołączonym do Microsoft Entra, zobacz dokumentację "Assign Local Administracja" (ale przeczytaj "local admin" jako "właściciel urządzenia", ponieważ administrator nie istnieje na urządzeniu HoloLens).
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla