System operacyjny bez administratora
Urządzenie HoloLens 2 minimalizuje obszar powierzchni na potrzeby eskalacji uprawnień, wyłączając obsługę grupy Administratorzy i ograniczając cały kod aplikacji platformy UWP innych firm do wykonywania tylko jako użytkownicy standardowi w piaskownicy usługi AppContainer. Ten kod jest udzielany tylko dostęp do tych zasobów chronionych przez funkcje jawnie manifestowane w aplikacji dla niezauważonego użytkownika oprócz zasobów dostępnych dla wszystkich aplikacji AppContainers. Te możliwości aplikacji nadal mają model klasyfikacji trójwarstwowej:
- Ogólne
- Ograniczone
- Windows
Składniki systemu Windows mogą również korzystać z piaskownicy usługi AppContainer za pośrednictwem systemu uwPs. Aby dowiedzieć się więcej na temat platformy uniwersalnej systemu Windows (UWP), zobacz dokumentację platformy uniwersalnej systemu Windows . Ponadto składniki systemu Windows z większymi potrzebami redukcji uprawnień (np. stron zawartości przeglądarki lub analizatorów) korzystają z piaskownicy Mniej uprzywilejowanych aplikacji (LPAC), która odcina dostęp do zestawu zasobów dostępnych dla wszystkich aplikacji AppContainers.
Właściciel urządzenia
Na koniec wykonywanie określonych operacji dotyczących całego urządzenia, takich jak dołączanie urządzenia do dzierżawy lub zarządzania użytkownikami, jest dozwolone tylko dla "właścicieli urządzeń". Ta grupa jest wypełniana przez użytkowników na urządzeniu za pomocą jednego z następujących kroków:
- Pierwszy użytkownik na urządzeniu jest zawsze wyznaczony jako właściciel.
Ważny
W przypadku użytkowników firmy Microsoft Entra wyjątkiem jest to, że jeśli urządzenie jest przyłączone przez firmę Microsoft Entra za pośrednictwem rozwiązania Autopilot lub zbiorczej rejestracji firmy Microsoft, która używa użytkownika innego niż rzeczywisty. W takim przypadku pierwszy użytkownik firmy Microsoft Entra, który zaloguje się do urządzenia, może nie zostać automatycznie właścicielem urządzenia, chyba że ten użytkownik ma rolę "Administrator globalny" lub "Administrator lokalny urządzenia dołączonego do firmy Microsoft" przypisany w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz poniższą notatkę.
- Gdy użytkownik zostanie podwyższony do właściciela w środowisku użytkownika ustawień przez innego właściciela na urządzeniu.
- Jeśli właściciel urządzenia nie jest już dostępny (opuszcza firmę), a urządzenie jest dołączone do firmy Microsoft Entra, administrator dzierżawy może zmienić właściciela urządzenia na nowego użytkownika w witrynie Azure Portal. Administratorzy globalni i administratorzy lokalni urządzeń dołączonych do firmy Microsoft firmy Microsoft są niejawnie zalogowani jako właściciele na urządzeniu bez konieczności wykonania żadnego z poprzednich kroków.
Administratorzy IT mogą zarządzać aplikacjami, do których mogą uzyskiwać dostęp za pośrednictwem zasad
Nuta
Aby dowiedzieć się więcej o tym, kto jest właścicielem urządzenia na urządzeniu dołączonym do firmy Microsoft Entra, zobacz dokumentacji "Przypisz administratora lokalnego" (ale przeczytaj "administrator lokalny" jako "właściciel urządzenia", ponieważ administrator nie istnieje na urządzeniu HoloLens).
Ważny
Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Korzystanie z niższych kont z uprawnieniami pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.