Compartilhar via


Sistema operacional sem administrador

O HoloLens 2 minimiza a área de superfície para escalonamento de privilégios desabilitando o suporte para o grupo Administradores e limitando todo o código do aplicativo UWP de terceiros a ser executado apenas como usuários padrão na área restrita appContainer. Esse código só recebe acesso a esses recursos protegidos por recursos explicitamente manifestados no aplicativo para um usuário nãolevado, além de recursos acessíveis a todos os AppContainers. Esses recursos de aplicativo continuam a ter o modelo de classificação em três camadas:

  • Geral
  • Restrito
  • Windows

Os componentes do Windows também podem aproveitar a área restrita appContainer por meio de UWPs do sistema. Para saber mais sobre a UWP (Plataforma Universal do Windows), consulte documentação da UWP. Além disso, os componentes do Windows com maiores necessidades de redução de privilégio (como páginas de conteúdo do navegador ou analisadores) usam a área restrita LPAC (Less Privileged AppContainer), que corta o acesso ao conjunto de recursos acessível a todos os AppContainers.

Proprietário do dispositivo

Por fim, a execução de operações específicas em todo o dispositivo, como a junção do dispositivo a um locatário ou gerenciamento de usuário, só é permitida para "proprietários de dispositivos". Esse grupo é preenchido pelos usuários no dispositivo por meio de uma das seguintes etapas:

  • O primeiro usuário no dispositivo sempre é designado como Proprietário.

Importante

Para usuários do Microsoft Entra, a exceção a essa regra é que, se o dispositivo for o Microsoft Entra ingressado por meio do Autopilot ou registro do Microsoft Entra em massa, que usa um usuário não real. Nesse caso, o primeiro usuário do Microsoft Entra a entrar no dispositivo pode não ser automaticamente proprietário do dispositivo, a menos que esse usuário tenha a função "Administrador Global" ou "Administrador Local do Dispositivo Ingressado no Microsoft Entra" atribuída no portal do Azure. Para obter mais informações, consulte a observação abaixo.

  • Quando um usuário é promovido a proprietário da UX Configurações por outro Proprietário no dispositivo.
  • Se o proprietário do dispositivo não estiver mais disponível (sair da empresa) e o dispositivo for ingressado no Microsoft Entra, o Administrador do Locatário poderá alterar o proprietário do dispositivo para um novo usuário no portal do Azure. Administradores globais e administradores locais de dispositivo ingressados no Microsoft Entra de um locatário do Microsoft Entra são implicitamente conectados como Proprietários no dispositivo sem exigir nenhuma das etapas anteriores.

Os administradores de TI podem gerenciar quais aplicativos podem acessar por meio de políticas de de Privacidade .

Nota

Para entender mais sobre quem se tornou um proprietário de dispositivo em um dispositivo ingressado no Microsoft Entra, consulte documentação "Atribuir administrador local" (mas leia 'administrador local' como 'proprietário do dispositivo' já que o administrador não existe no HoloLens).

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. O uso de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.