Gerir a identidade do utilizador e iniciar sessão no HoloLens
Nota
Este artigo é uma referência técnica para profissionais de TI e entusiastas da tecnologia. Se estiver à procura de instruções de configuração do HoloLens, leia "Configurar o HoloLens (1.ª geração)" ou "Configurar a sua HoloLens 2".
Dica
HoloLens 2 está configurado como um dispositivo associado Microsoft Entra ID e não suporta o Active Directory no Local. Na maioria dos casos, a autenticação pode ser efetuada utilizando uma Identidade de ID de Entra Gerida ou uma Identidade de ID de Entra Federada. No entanto, se o serviço de federação estiver a causar desafios de autenticação, deve certificar-se de que consegue iniciar sessão a partir de um WINDOWS 10 associado apenas a um Entra ID ou Windows 11 PC. Muitos problemas de autenticação são o resultado de configurações apenas do Entra ID, em vez de um problema específico do HoloLens. Resolver estes desafios é muito mais simples a partir de um PC Windows 10 ou Windows.
Vamos falar sobre como configurar a identidade de utilizador para HoloLens 2
À semelhança de outros dispositivos Windows, o HoloLens funciona sempre num contexto de utilizador. Existe sempre uma identidade de utilizador. O HoloLens trata a identidade da mesma forma que um dispositivo Windows 10 ou Windows 11. Iniciar sessão durante a configuração cria um perfil de utilizador no HoloLens que armazena aplicações e dados. A mesma conta também fornece Início de Sessão Único para aplicações, como o Microsoft Edge ou Dynamics 365 Assistência Remota, através das APIs do Gestor de Conta do Windows.
O HoloLens suporta vários tipos de identidades de utilizador. Pode escolher qualquer um destes três tipos de conta, mas recomendamos vivamente Microsoft Entra ID, uma vez que é melhor para gerir dispositivos. Apenas Microsoft Entra contas suportam vários utilizadores.
| Tipo de identidade | Contas por dispositivo | Opções de autenticação |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Conta Microsoft (MSA) | 1 |
|
| Conta local3 | 1 | Palavra-passe |
| Microsoft Entra ID partilhados | 1 | Autenticação Certificate-Based (CBA) |
As contas ligadas à cloud (Microsoft Entra ID e MSA) oferecem mais funcionalidades porque podem utilizar os serviços do Azure.
Importante
1 - Microsoft Entra ID P1 ou P2 não é necessário para iniciar sessão no dispositivo. No entanto, é necessário para outras funcionalidades de uma implementação baseada na cloud de baixo toque, como a Inscrição automática e o Autopilot.
Nota
2 - Embora um dispositivo HoloLens 2 possa suportar até 63 contas Microsoft Entra, bem como uma conta de sistema para um total de 64 contas, apenas até 10 dessas contas devem inscrever-se na Autenticação iris. Esta ação está alinhada com outras opções de autenticação Biométrica para Windows Hello para Empresas. Embora mais de 10 contas possam estar inscritas na autenticação iris, isto aumenta a taxa de falsos positivos e não é recomendado.
Importante
3 - Uma conta local só pode ser configurada num dispositivo através de um pacote de aprovisionamento durante o OOBE. Não pode ser adicionada mais tarde na aplicação de definições. Se quiser utilizar uma conta local num dispositivo que já esteja configurado, terá de reiniciar ou repor o dispositivo.
Como é que o tipo de conta afeta o comportamento de início de sessão?
Se aplicar políticas para o início de sessão, a política é sempre respeitada. Se não for aplicada nenhuma política de início de sessão, estes são os comportamentos predefinidos para cada tipo de conta:
- Microsoft Entra ID: pede autenticação por predefinição e configurável por Definições para deixar de pedir autenticação.
- Conta Microsoft: o comportamento de bloqueio é diferente ao permitir o desbloqueio automático, no entanto, a autenticação de início de sessão ainda é necessária no reinício.
- Conta local: pede sempre autenticação na forma de uma palavra-passe, não configurável nas Definições
Nota
Atualmente, os temporizadores de inatividade não são suportados, o que significa que a política AllowIdleReturnWithoutPassword só é respeitada quando o dispositivo entra em Modo de Espera.
Início de Sessão de Íris
Recolha de dados biométricos pelo HoloLens
Os dados biométricos (incluindo movimentos de cabeça/mão/olho, análise de íris) que este dispositivo recolhe são utilizados para calibragem, para melhorar interações fiáveis e melhorar a experiência do utilizador. Tal como acontece com outros dispositivos Windows, as aplicações de terceiros no dispositivo podem aceder aos seus dados no dispositivo com o objetivo de fornecer determinadas funcionalidades e funcionalidades. Aceda à Secção Privacidade em Definições para obter detalhes sobre o Contrato de Licença e a Declaração de Privacidade da Microsoft.
O início de sessão do HoloLens Iris foi criado sobre Windows Hello. O HoloLens armazena dados biométricos que são utilizados para implementar Windows Hello em segurança apenas no dispositivo local. Os dados biométricos não circulam e nunca são enviados para dispositivos ou servidores externos. Uma vez que Windows Hello apenas armazena dados de identificação biométrica no dispositivo, não existe um único ponto de recolha que um atacante possa comprometer para roubar dados biométricos.
O HoloLens efetua a autenticação da íris com base em códigos de bits armazenados. Os utilizadores têm controlo total sobre se inscrevem a respetiva conta de utilizador para o início de sessão da Iris para autenticação. Além disso, os administradores de TI podem desativar Windows Hello capacidades através dos respetivos servidores MDM. Consulte Gerir Windows Hello para Empresas na sua organização.
Nota
As contas Microsoft Entra ID partilhadas não suportam o início de sessão de Iris no HoloLens. Veja mais detalhes sobre as vantagens e limitações da utilização de contas de Microsoft Entra partilhadas.
Perguntas mais frequentes sobre Iris
Como é implementada a autenticação biométrica da Iris no HoloLens 2?
HoloLens 2 suporta a autenticação iris. A Íris baseia-se na tecnologia Windows Hello e é suportada para utilização por Microsoft Entra ID e Contas Microsoft. A Iris é implementada da mesma forma que outras tecnologias de Windows Hello e obtém a segurança biométrica FAR de 1/100 K.
Veja os requisitos biométricos e as especificações para Windows Hello para obter mais informações. Saiba mais sobre Windows Hello e Windows Hello para Empresas.
Onde estão armazenadas as informações biométricas da Iris?
As informações biométricas da íris são armazenadas localmente em cada HoloLens por Windows Hello especificações. Não é partilhado e está protegido por duas camadas de encriptação. Não é acessível a outros utilizadores, mesmo a um administrador, porque não existe uma conta de administrador num HoloLens.
Tenho de utilizar a autenticação iris?
Não, pode ignorar este passo durante a configuração.
HoloLens 2 fornece várias opções diferentes para autenticação, incluindo chaves de segurança FIDO2.
As informações da Íris podem ser removidas do HoloLens?
Sim, pode removê-lo manualmente nas Definições.
Configurar utilizadores
Existem duas formas de configurar um novo utilizador no HoloLens. A forma mais comum é durante a experiência do HoloLens (OOBE). Se utilizar Microsoft Entra ID, os outros utilizadores podem iniciar sessão após o OOBE com as respetivas credenciais de Microsoft Entra. Os dispositivos HoloLens que são inicialmente configurados com uma CONTA MSA ou local durante o OOBE não suportam vários utilizadores. Consulte Configurar o HoloLens (1.ª geração) ou HoloLens 2.
Se utilizar uma conta empresarial ou organizacional para iniciar sessão no HoloLens, o HoloLens inscreve-se na infraestrutura de TI da organização. Esta inscrição permite que a sua Administração de TI configure a Gestão de Dispositivos Móvel (MDM) para enviar políticas de grupo para o HoloLens.
Tal como o Windows noutros dispositivos, iniciar sessão durante a configuração cria um perfil de utilizador no dispositivo. O perfil de utilizador armazena aplicações e dados. A mesma conta também fornece Início de Sessão Único para aplicações, como o Microsoft Edge ou a Microsoft Store, através das APIs do Gestor de Contas do Windows.
Por predefinição, tal como noutros dispositivos Windows 10, tem de iniciar sessão novamente quando o HoloLens reiniciar ou retomar a partir do modo de espera. Pode utilizar a aplicação Definições para alterar este comportamento ou o comportamento pode ser controlado pela política de grupo.
Dica
Se mais do que um utilizador utilizar um dispositivo, é importante manter o visor limpo. Veja HoloLens 2 FAQ sobre limpeza para obter detalhes sobre como limpar o dispositivo. Recomendamos que limpe o visor entre cada utilizador. Esta melhor prática é particularmente importante se utilizar a autenticação Iris.
Contas ligadas
Tal como na versão de Ambiente de Trabalho do Windows, pode ligar outras credenciais de conta Web à sua conta do HoloLens. Esta ligação torna mais fácil aceder a recursos em aplicações ou em aplicações (como a Loja) ou combinar o acesso a recursos pessoais e de trabalho. Depois de ligar uma conta ao dispositivo, pode conceder permissão para utilizar o dispositivo em aplicações para que não tenha de iniciar sessão em cada aplicação individualmente.
Ligar contas não separa os dados de utilizador criados no dispositivo, como imagens ou transferências.
Configurar o suporte para vários utilizadores (apenas Microsoft Entra)
O HoloLens suporta vários utilizadores do mesmo inquilino Microsoft Entra. Para utilizar esta funcionalidade, tem de utilizar uma conta que pertença à sua organização para configurar o dispositivo. Posteriormente, outros utilizadores do mesmo inquilino podem iniciar sessão no dispositivo a partir do ecrã de início de sessão ou ao tocar no mosaico do utilizador no painel Iniciar. Apenas um utilizador pode ter sessão iniciada de cada vez. Quando um utilizador inicia sessão, o HoloLens termina a sessão do utilizador anterior.
Importante
O primeiro utilizador no dispositivo é considerado o proprietário do dispositivo, exceto no caso de Microsoft Entra associação, saiba mais sobre os proprietários de dispositivos.
Todos os utilizadores podem utilizar as aplicações instaladas no dispositivo. No entanto, cada utilizador tem os seus próprios dados e preferências de aplicação. Remover uma aplicação do dispositivo remove-a para todos os utilizadores.
Nota
Outra opção para dispositivos partilhados entre vários utilizadores é criar uma conta de Microsoft Entra ID Partilhada no dispositivo. Consulte Contas de Microsoft Entra partilhadas no HoloLens para obter informações detalhadas sobre como configurar esta conta no seu dispositivo.
Os dispositivos configurados com Microsoft Entra contas não permitem iniciar sessão no dispositivo com uma Conta Microsoft. Todas as contas subsequentes utilizadas têm de ser Microsoft Entra contas do mesmo inquilino que o dispositivo. Ainda pode iniciar sessão com uma Conta Microsoft para aplicações que a suportem (como a Microsoft Store). Para mudar da utilização de contas Microsoft Entra para contas Microsoft para iniciar sessão no dispositivo, tem de voltar a barrar o dispositivo.
Nota
O HoloLens (1.ª geração) começou a suportar vários Microsoft Entra utilizadores na Atualização de abril de 2018 do Windows 10 como parte da Windows Holographic for Business.
Vários utilizadores estão listados no ecrã Início de sessão
Anteriormente, o ecrã de início de sessão mostrava apenas o utilizador com sessão iniciada mais recentemente e um ponto de entrada "Outro utilizador". Recebemos comentários dos clientes de que não é suficiente se vários utilizadores iniciarem sessão no dispositivo. Ainda eram obrigados a escrever novamente o nome de utilizador, etc.
Introduzido no Windows Holographic, versão 21H1, ao selecionar Outro utilizador localizado à direita do campo de entrada de PIN, o ecrã Início de sessão apresenta vários utilizadores com sessão iniciada anteriormente no dispositivo. Isto permite que os utilizadores selecionem o respetivo perfil de utilizador e, em seguida, iniciem sessão com as respetivas credenciais de Windows Hello. Um novo utilizador também pode ser adicionado ao dispositivo a partir desta página de outros utilizadores através do botão Adicionar conta .
Quando estiver no menu Outros utilizadores , o botão Outros utilizadores apresenta o último utilizador com sessão iniciada no dispositivo. Selecione este botão para regressar ao ecrã de início de sessão deste utilizador.
Remover utilizadores
Pode remover um utilizador do dispositivo acedendo aContas>de Definições>Outras pessoas. Esta ação também recupera espaço ao remover todos os dados da aplicação desse utilizador do dispositivo.
Utilizar o início de sessão único numa aplicação
Enquanto programador de aplicações, pode tirar partido das identidades ligadas no HoloLens através das APIs do Gestor de Contas do Windows, tal como faria noutros dispositivos Windows. Alguns exemplos de código para estas APIs estão disponíveis no GitHub: exemplo de gestão de contas Web.
Quaisquer interrupções de conta que possam ocorrer, como pedir consentimento do utilizador para informações de conta, autenticação de dois fatores, etc., têm de ser processadas quando a aplicação pedir um token de autenticação.
Se a sua aplicação precisar de um tipo de conta específico que não tenha sido ligado anteriormente, a sua aplicação pode pedir ao sistema para pedir ao utilizador para adicionar um. Este pedido aciona o painel de definições da conta para iniciar como um subordinado modal da sua aplicação. Para aplicações 2D, esta janela é composta diretamente pelo centro da sua aplicação. Para aplicações do Unity, este pedido retira brevemente o utilizador da sua aplicação holográfica para compor a janela subordinada. Para obter informações sobre como personalizar os comandos e as ações neste painel, veja WebAccountCommand Class (Classe WebAccountCommand).
Autenticação empresarial e outra
Se a sua aplicação utilizar outros tipos de autenticação, como NTLM, Basic ou Kerberos, pode utilizar a IU de Credencial do Windows para recolher, processar e armazenar as credenciais do utilizador. A experiência de utilizador para recolher estas credenciais é semelhante a outras interrupções de conta baseadas na cloud e aparece como uma aplicação subordinada sobre a sua aplicação 2D ou suspende brevemente uma aplicação do Unity para mostrar a IU.
APIs preteridas
Uma forma de o desenvolvimento do HoloLens diferir do desenvolvimento para Ambiente de Trabalho é o facto de a API OnlineIDAuthenticator não ser totalmente suportada. Embora a API devolva um token se a conta primária estiver em boas condições, interrupções como as descritas neste artigo não apresentam qualquer IU para o utilizador e não conseguem autenticar corretamente a conta.
Windows Hello para Empresas suporte no HoloLens (1.ª geração)
Windows Hello para Empresas (que suporta a utilização de um PIN para iniciar sessão) é suportada para o HoloLens (1.ª Geração). Para permitir Windows Hello para Empresas início de sessão do PIN no HoloLens (1.ª geração):
- O dispositivo HoloLens tem de ser gerido pela MDM.
- Tem de ativar Windows Hello para Empresas para o dispositivo. (Consulte as instruções para Microsoft Intune.)
- No dispositivo HoloLens, o utilizador pode, em seguida, utilizar AsOpções> de Início de Sessão de Definições>Adicionar PIN para configurar um PIN.
Nota
Os utilizadores que iniciam sessão com uma conta Microsoft também podem configurar um PIN em Definições Opções>>de Início de SessãoAdicionar PIN. Este PIN está associado a Windows Hello, em vez de Windows Hello para Empresas.
Recursos adicionais
Leia muito mais sobre a proteção e autenticação de identidade do utilizador na documentação de segurança e identidade do Windows 10.
Saiba mais sobre como configurar a infraestrutura de identidade híbrida através da documentação de identidade híbrida do Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários