Gerenciar a identidade do usuário e o logon do HoloLens
Observação
Este artigo é uma referência técnica para profissionais de TI e entusiastas de tecnologia. Se você estiver procurando instruções de configuração do HoloLens, leia "Configurando seu HoloLens (1ª geração)" ou "Configurando seu HoloLens 2".
Dica
O HoloLens 2 está configurado como um dispositivo ingressado na ID do Microsoft Entra e não dá suporte ao Active Directory Local. Na maioria dos casos, a autenticação pode ser executada usando uma Identidade de ID de Entra Gerenciada ou uma Identidade de ID de Entra Federada. No entanto, se o serviço de federação estiver causando desafios de autenticação, você deverá garantir que seja capaz de entrar em uma ID do Entra ingressada apenas no Computador Windows 10 ou Windows 11. Muitos problemas de autenticação são resultado de configurações somente de ID do Entra, em vez de um problema específico do HoloLens. A solução de problemas desses desafios é muito mais simples de um computador Windows 10 ou Windows.
Assim como outros dispositivos Windows, o HoloLens sempre opera em um contexto de usuário. Há sempre uma identidade de usuário. O HoloLens trata a identidade da mesma maneira que um dispositivo Windows 10 ou Windows 11. Entrar durante a instalação cria um perfil de usuário no HoloLens que armazena aplicativos e dados. A mesma conta também fornece logon único para aplicativos, como o Microsoft Edge ou o Dynamics 365 Remote Assist, usando as APIs do Gerenciador de Contas do Windows.
O HoloLens dá suporte a vários tipos de identidades de usuário. Você pode escolher qualquer um desses três tipos de conta, mas recomendamos fortemente a ID do Microsoft Entra, pois é melhor para gerenciar dispositivos. Somente contas do Microsoft Entra dão suporte a vários usuários.
Tipo de identidade | Contas por dispositivo | Opções de autenticação |
---|---|---|
microsoft entra ID1 | 63 |
|
da MSA (Conta da Microsoft) |
1 |
|
conta local3 | 1 | Senha |
de ID compartilhada do Microsoft Entra | 1 | Autenticação Certificate-Based (CBA) |
As contas conectadas à nuvem (Microsoft Entra ID e MSA) oferecem mais recursos porque podem usar os serviços do Azure.
Importante
1 – O Microsoft Entra ID P1 ou P2 não é necessário para entrar no dispositivo. No entanto, ele é necessário para outros recursos de uma implantação baseada em nuvem com pouco toque, como o registro automático e o Autopilot.
Observação
2 – Embora um dispositivo HoloLens 2 possa dar suporte a até 63 contas do Microsoft Entra, bem como a uma conta do sistema para um total de 64 contas, apenas até 10 dessas contas devem se registrar na Autenticação iris. Isso está alinhado com outras opções de autenticação biométrica para o Windows Hello para Empresas. Embora mais de 10 contas possam ser registradas na autenticação do Iris, isso aumenta a taxa de falsos positivos e não é recomendado.
Importante
3 – Uma conta local só pode ser configurada em um dispositivo por meio de um pacote de provisionamento duranteOOBE, ela não pode ser adicionada posteriormente no aplicativo de configurações. Se você quiser usar uma conta local em um dispositivo que já está configurado, precisará reflash ou redefinir o dispositivo.
Se você aplicar políticas de entrada, a política será sempre respeitada. Se nenhuma política de logon for aplicada, estes serão os comportamentos padrão para cada tipo de conta:
- de ID do Microsoft Entra: solicita a autenticação por padrão e configurável configurações para não pedir mais autenticação.
- conta da Microsoft: o comportamento de bloqueio é diferente, permitindo o desbloqueio automático, no entanto, a autenticação de entrada ainda é necessária na reinicialização.
- conta local: sempre solicita a autenticação na forma de uma senha, não configurável em configurações de
Observação
Atualmente, não há suporte para temporizadores de inatividade, o que significa que a política AllowIdleReturnWithoutPassword só é respeitada quando o dispositivo entra em Espera.
Os dados biométricos (incluindo movimentos cabeça/mão/olho, verificação de íris) coletados por esse dispositivo são usados para calibragem, para melhorar as interações confiáveis e melhorar a experiência do usuário. Assim como acontece com outros dispositivos Windows, aplicativos de terceiros no dispositivo podem acessar seus dados no dispositivo com a finalidade de fornecer determinadas funcionalidades e recursos. Vá para a Seção de Privacidade nas Configurações para obter detalhes sobre o Contrato de Licença e a Política de Privacidade da Microsoft.
O logon do HoloLens Iris é criado com base no Windows Hello. O HoloLens armazena dados biométricos que são usados para implementar o Windows Hello com segurança apenas no dispositivo local. Os dados biométricos não são perambulando e nunca são enviados para dispositivos ou servidores externos. Como o Windows Hello armazena apenas dados de identificação biométrica no dispositivo, não há um único ponto de coleta que um invasor possa comprometer para roubar dados biométricos.
O HoloLens executa a autenticação de íris com base em códigos de bit armazenados. Os usuários têm controle total sobre se registram sua conta de usuário para logon do Iris para autenticação. E os administradores de TI podem desabilitar os recursos do Windows Hello por meio de seus servidores MDM. Consulte Gerenciar o Windows Hello para Empresas em sua organização.
Observação
As contas de ID compartilhadas do Microsoft Entra não dão suporte ao logon do Iris no HoloLens. Veja mais detalhes sobre os benefícios e limitações do uso de contas compartilhadas do Microsoft Entra.
O HoloLens 2 dá suporte à autenticação iris. O Iris é baseado na tecnologia do Windows Hello e tem suporte para uso tanto pela ID do Microsoft Entra quanto pelas Contas da Microsoft. O Iris é implementado da mesma maneira que outras tecnologias do Windows Hello e obtém a segurança biométrica FAR de 1/100 mil.
Consulte os requisitos biométricos e as especificações do para o Windows Hello para obter mais informações. Saiba mais sobre Windows Hello e Windows Hello para Empresas.
As informações biométricas do Iris são armazenadas localmente em cada holoLens por especificações do Windows Hello. Ele não é compartilhado e é protegido por duas camadas de criptografia. Ele não é acessível a outros usuários, mesmo um administrador, porque não há nenhuma conta de administrador em um HoloLens.
Não, você pode ignorar essa etapa durante a instalação.
O HoloLens 2 fornece muitas opções diferentes para autenticação, incluindo chaves de segurança FIDO2.
Sim, você pode removê-lo manualmente em Configurações.
Há duas maneiras de configurar um novo usuário no HoloLens. A maneira mais comum é durante a OOBE (experiência pronta para uso) do HoloLens. Se estiver usando a ID do Microsoft Entra, outros usuários poderão fazer logon após o OOBE usando suas credenciais do Microsoft Entra. Os dispositivos HoloLens inicialmente configurados com uma MSA ou conta local durante o OOBE não dão suporte a vários usuários. Consulte Como configurar seu HoloLens (1ª geração) ou HoloLens 2.
Se você usar uma conta corporativa ou organizacional para entrar no HoloLens, o HoloLens se registrará na infraestrutura de TI da organização. Esse registro permite que o administrador de TI configure o MDM (Gerenciamento de Dispositivo Móvel) para enviar políticas de grupo para o HoloLens.
Assim como o Windows em outros dispositivos, entrar durante a instalação cria um perfil de usuário no dispositivo. O perfil do usuário armazena aplicativos e dados. A mesma conta também fornece logon único para aplicativos, como o Microsoft Edge ou a Microsoft Store, usando as APIs do Gerenciador de Contas do Windows.
Por padrão, quanto a outros dispositivos Windows 10, você precisa entrar novamente quando o HoloLens é reiniciado ou retomado de espera. Você pode usar o aplicativo Configurações para alterar esse comportamento ou o comportamento pode ser controlado pela política de grupo.
Dica
Se mais de um usuário usa um dispositivo, é importante manter o visor limpo. Consulte de perguntas frequentes de limpeza do HoloLens 2 para obter detalhes sobre como limpar o dispositivo. Recomendamos que você limpe o visor entre cada usuário. Essa prática recomendada é particularmente importante se você usar a autenticação iris.
Assim como na versão desktop do Windows, você pode vincular outras credenciais de conta Web à sua conta do HoloLens. Essa vinculação facilita o acesso a recursos entre ou dentro de aplicativos (como a Loja) ou a combinação de acesso a recursos pessoais e de trabalho. Depois de conectar uma conta ao dispositivo, você pode conceder permissão para usar o dispositivo em aplicativos para que você não precise entrar em cada aplicativo individualmente.
A vinculação de contas não separa os dados do usuário criados no dispositivo, como imagens ou downloads.
O HoloLens dá suporte a vários usuários do mesmo locatário do Microsoft Entra. Para usar esse recurso, você deve usar uma conta que pertence à sua organização para configurar o dispositivo. Posteriormente, outros usuários do mesmo locatário podem entrar no dispositivo na tela de entrada ou tocando no bloco do usuário no painel Iniciar. Somente um usuário pode ser conectado por vez. Quando um usuário entra, o HoloLens desconecta o usuário anterior.
Importante
O primeiro usuário no dispositivo é considerado o proprietário do dispositivo, exceto no caso da junção do Microsoft Entra, saiba mais sobre os proprietários de dispositivos.
Todos os usuários podem usar os aplicativos instalados no dispositivo. No entanto, cada usuário tem seus próprios dados e preferências de aplicativo. Remover um aplicativo do dispositivo o remove para todos os usuários.
Observação
Outra opção para dispositivos compartilhados entre vários usuários é criar uma conta de ID compartilhada do Microsoft Entra no dispositivo. Consulte contas compartilhadas do Microsoft Entra no HoloLens para obter informações detalhadas sobre como configurar essa conta em seu dispositivo.
Os dispositivos configurados com contas do Microsoft Entra não permitem entrar no dispositivo com uma conta da Microsoft. Todas as contas subsequentes usadas devem ser contas do Microsoft Entra do mesmo locatário que o dispositivo. Você ainda pode entrar usando uma conta da Microsoft para aplicativos que dão suporte a ele (como a Microsoft Store). Para mudar do uso de contas do Microsoft Entra para contas da Microsoft para entrar no dispositivo, você deve reflatar o dispositivo.
Observação
HoloLens (1ª geração) começou a dar suporte a vários usuários do Microsoft Entra no de Atualização do Windows 10 de abril de 2018 como parte do Windows Holographic for Business.
Anteriormente, a tela de entrada mostrava apenas o usuário conectado mais recentemente e um ponto de entrada 'Outro usuário'. Recebemos comentários dos clientes de que não é suficiente se vários usuários entraram no dispositivo. Eles ainda eram necessários para digitar novamente seu nome de usuário etc.
Introduzida no Windows Holographic, versão 21H1, ao selecionar Outro usuário que está localizado à direita do campo de entrada pin, a tela de entrada exibe vários usuários com conectados anteriormente ao dispositivo. Isso permite que os usuários selecionem seu perfil de usuário e, em seguida, entrem usando suas credenciais do Windows Hello. Um novo usuário também pode ser adicionado ao dispositivo desse
Quando no menu Outros usuários, o botão Outros usuários exibe o último usuário conectado ao dispositivo. Selecione este botão para retornar à tela de entrada desse usuário.
Você pode remover um usuário do dispositivo acessando Configurações>Contas>Outras pessoas. Essa ação também recupera o espaço removendo todos os dados do aplicativo desse usuário do dispositivo.
Como desenvolvedor de aplicativos, você pode aproveitar as identidades vinculadas no HoloLens usando as APIs do Gerenciador de Contas do Windows, assim como faria em outros dispositivos Windows. Alguns exemplos de código para essas APIs estão disponíveis no GitHub: exemplo de gerenciamento de conta Web.
Quaisquer interrupções de conta que possam ocorrer, como solicitar consentimento do usuário para informações de conta, autenticação de dois fatores e assim por diante, devem ser tratadas quando o aplicativo solicita um token de autenticação.
Se seu aplicativo exigir um tipo de conta específico que não tenha sido vinculado anteriormente, seu aplicativo poderá pedir ao sistema para solicitar que o usuário adicione um. Essa solicitação dispara o painel de configurações da conta a ser iniciado como um filho modal do seu aplicativo. Para aplicativos 2D, essa janela é renderizada diretamente pelo centro do aplicativo. Para aplicativos do Unity, essa solicitação tira brevemente o usuário do seu aplicativo holográfico para renderizar a janela filho. Para obter informações sobre como personalizar os comandos e ações neste painel, consulte de classe WebAccountCommand.
Se o aplicativo usar outros tipos de autenticação, como NTLM, Basic ou Kerberos, você poderá usar de interface do usuário da Credencial do Windows para coletar, processar e armazenar as credenciais do usuário. A experiência do usuário para coletar essas credenciais é semelhante a outras interrupções de conta controladas pela nuvem e aparece como um aplicativo filho em cima do aplicativo 2D ou suspende brevemente um aplicativo do Unity para mostrar a interface do usuário.
Uma maneira pela qual o desenvolvimento para o HoloLens difere do desenvolvimento para Área de Trabalho é que o OnlineIDAuthenticator API não tem suporte total. Embora a API retorne um token se a conta primária estiver em boa posição, interrupções como as descritas neste artigo não exibem nenhuma interface do usuário e não conseguem autenticar corretamente a conta.
O Windows Hello para Empresas (que dá suporte ao uso de um PIN para entrar) tem suporte para o HoloLens (1ª Geração). Para permitir a entrada do PIN do Windows Hello para Empresas no HoloLens (1ª geração):
- O dispositivo HoloLens deve ser gerenciado pelo MDM.
- Você deve habilitar o Windows Hello para Empresas para o dispositivo. (Veja as instruções do Microsoft Intune.)
- No dispositivo HoloLens, o usuário pode usar Configurações>Opções de Entrada>Adicionar pin para configurar um PIN.
Observação
Os usuários que se conectam usando uma conta da Microsoft também podem configurar um PIN nas Opções de Entrada
Leia muito mais sobre a proteção e autenticação de identidade do usuário no documentação de segurança e identidade do Windows 10.
Saiba mais sobre como configurar a infraestrutura de identidade híbrida por meio do de documentação de identidade híbrida do Azure.