Partilhar via


Gerencie a identidade do usuário e o login do HoloLens

Observação

Este artigo é uma referência técnica para profissionais de TI e entusiastas de tecnologia. Se você estiver procurando instruções de configuração do HoloLens, leia "Configurando seu HoloLens (1ª geração)" ou "Configurando seu HoloLens 2".

Dica

O HoloLens 2 está configurado como um dispositivo associado ao Microsoft Entra ID e não suporta o Ative Directory local. Na maioria dos casos, a autenticação pode ser executada usando uma Identidade de ID Entra Gerenciada ou uma Identidade de ID Entra Federada. No entanto, se o seu serviço de federação estiver a causar desafios de autenticação, deve certificar-se de que consegue iniciar sessão a partir de um ID do Entra Apenas aderiu ao Windows 10 ou Windows 11 PC. Muitos problemas de autenticação são resultado de configurações apenas do Entra ID, em vez de um problema específico do HoloLens. Solucionar esses desafios é muito mais simples em um PC com Windows 10 ou Windows.

Vamos falar sobre como configurar a identidade do usuário para o HoloLens 2

Como outros dispositivos Windows, HoloLens sempre opera sob um contexto de usuário. Há sempre uma identidade de usuário. O HoloLens trata a identidade quase da mesma maneira que um dispositivo Windows 10 ou Windows 11. O início de sessão durante a configuração cria um perfil de utilizador no HoloLens que armazena aplicações e dados. A mesma conta também fornece o Logon Único para aplicativos, como o Microsoft Edge ou a Assistência Remota do Dynamics 365, usando as APIs do Gerenciador de Contas do Windows.

O HoloLens suporta vários tipos de identidades de usuário. Pode escolher qualquer um destes três tipos de conta, mas recomendamos vivamente o Microsoft Entra ID, uma vez que é melhor para gerir dispositivos. Apenas as contas Microsoft Entra suportam vários utilizadores.

Tipo de identidade Contas por dispositivo Opções de autenticação
Microsoft Entra ID1 63
  • Provedor de credenciais da Web do Azure
  • Aplicativo Azure Authenticator
  • Biométrico (Iris) – HoloLens 2 apenas2
  • FIDO2 Chave de segurança
  • PIN – Opcional para HoloLens (1ª geração), necessário para HoloLens 2
  • Palavra-passe
conta da Microsoft (MSA) 1
  • Biométrico (Iris) – HoloLens 2 apenas
  • PIN – Opcional para HoloLens (1ª geração), necessário para HoloLens 2
  • Palavra-passe
Conta local3 1 Palavra-passe
Shared Microsoft Entra ID 1 Autenticação Certificate-Based (CBA)

As contas conectadas à nuvem (Microsoft Entra ID e MSA) oferecem mais recursos porque podem usar os serviços do Azure.

Importante

1 - Microsoft Entra ID P1 ou P2 não é necessário para entrar no dispositivo. No entanto, ele é necessário para outros recursos de uma implantação baseada em nuvem de baixo toque, como o registro automático e o piloto automático.

Observação

2 - Enquanto um dispositivo HoloLens 2 pode suportar até 63 contas Microsoft Entra, bem como uma conta de sistema para um total de 64 contas, apenas até 10 dessas contas devem se inscrever na Autenticação Iris. Isso está alinhado com outras opções de autenticação biométrica para o Windows Hello for Business. Embora mais de 10 contas possam estar inscritas na autenticação Iris, isso aumenta a taxa de falsos positivos e não é recomendado.

Importante

3 - Uma conta local só pode ser configurada em um dispositivo através de um pacote de provisionamento durante o OOBE, ela não pode ser adicionada posteriormente no aplicativo de configurações. Se você quiser usar uma conta local em um dispositivo que já está configurado, você precisa reflash ou redefinir o dispositivo.

Como é que o tipo de conta afeta o comportamento de início de sessão?

Se você aplicar políticas para entrar, a política será sempre respeitada. Se nenhuma política de login for aplicada, estes são os comportamentos padrão para cada tipo de conta:

  • Microsoft Entra ID: solicita autenticação por padrão e configurável por Configurações para não solicitar mais autenticação.
  • conta Microsoft: o comportamento de bloqueio é diferente, permitindo o desbloqueio automático, no entanto, a autenticação de início de sessão ainda é necessária na reinicialização.
  • Conta local: sempre pede autenticação na forma de uma senha, não configurável no Configurações

Observação

Atualmente, não há suporte para temporizadores de inatividade, o que significa que a política de AllowIdleReturnWithoutPassword do só é respeitada quando o dispositivo entra em modo de espera.

Íris Login

Recolha de dados biométricos por HoloLens

Os dados biométricos (incluindo movimentos da cabeça/mão/olhos, varredura da íris) que este dispositivo recolhe são utilizados para calibração, para melhorar interações fiáveis e para melhorar a experiência do utilizador. Tal como acontece com outros dispositivos Windows, as aplicações de terceiros no dispositivo podem aceder aos seus dados no dispositivo com a finalidade de fornecer determinadas funcionalidades e funcionalidades. Vá para a Seção Privacidade em Configurações para obter detalhes sobre o Contrato de Licença e a Declaração de Privacidade da Microsoft.

O login do HoloLens Iris é construído sobre Windows Hello. O HoloLens armazena dados biométricos que são usados para implementar o Windows Hello com segurança apenas no dispositivo local. Os dados biométricos não se deslocam e nunca são enviados para dispositivos ou servidores externos. Como o Windows Hello armazena apenas dados de identificação biométrica no dispositivo, não há um único ponto de coleta que um invasor possa comprometer para roubar dados biométricos.

O HoloLens realiza a autenticação da íris com base em códigos de bits armazenados. Os usuários têm controle total sobre se registram sua conta de usuário para login Iris para autenticação. E os administradores de TI podem desativar os recursos do Windows Hello por meio de seus servidores MDM. Consulte Gerir o Windows Hello para Empresas na sua organização.

Observação

As contas partilhadas do Microsoft Entra ID não suportam o início de sessão Iris no HoloLens. Veja mais detalhes sobre os benefícios e limitações do uso de contas compartilhadas do Microsoft Entra.

Perguntas frequentes sobre Iris

Como a autenticação biométrica Iris é implementada no HoloLens 2?

O HoloLens 2 suporta autenticação Iris. O Iris é baseado na tecnologia Windows Hello e é suportado para uso pelo Microsoft Entra ID e Contas da Microsoft. O Iris é implementado da mesma forma que outras tecnologias do Windows Hello e alcança segurança biométrica FAR de 1/100K.

Consulte os requisitos biométricos e especificações para o Windows Hello para obter mais informações. Saiba mais sobre Windows Hello e Windows Hello for Business.

Onde são armazenadas as informações biométricas do Iris?

As informações biométricas da íris são armazenadas localmente em cada HoloLens por especificações do Windows Hello. Não é partilhado e está protegido por duas camadas de encriptação. Ele não é acessível a outros usuários, nem mesmo a um administrador, porque não há uma conta de administrador em um HoloLens.

Tenho que usar a autenticação Iris?

Não, pode ignorar este passo durante a configuração.

Configuração Iris.

O HoloLens 2 oferece muitas opções diferentes para autenticação, incluindo chaves de segurança FIDO2.

As informações do Iris podem ser removidas do HoloLens?

Sim, você pode removê-lo manualmente em Configurações.

Configurando usuários

Há duas maneiras de configurar um novo usuário no HoloLens. A maneira mais comum é durante a experiência out-of-box (OOBE) HoloLens. Se estiver usando o ID do Microsoft Entra, outros usuários poderão fazer logon após a OOBE usando suas credenciais do Microsoft Entra. Os dispositivos HoloLens que são inicialmente configurados com uma conta MSA ou local durante a OOBE não suportam vários usuários. Consulte Configurar o HoloLens (1.ª geração) ou HoloLens 2.

Se você usar uma conta corporativa ou organizacional para entrar no HoloLens, o HoloLens se inscreverá na infraestrutura de TI da organização. Esse registro permite que o administrador de TI configure o Gerenciamento de Dispositivos Móveis (MDM) para enviar políticas de grupo para o HoloLens.

Tal como o Windows noutros dispositivos, iniciar sessão durante a configuração cria um perfil de utilizador no dispositivo. O perfil de usuário armazena aplicativos e dados. A mesma conta também fornece o Logon Único para aplicativos, como o Microsoft Edge ou a Microsoft Store, usando as APIs do Gerenciador de Contas do Windows.

Por padrão, como para outros dispositivos Windows 10, você precisa entrar novamente quando o HoloLens for reiniciado ou retomado do modo de espera. Você pode usar o aplicativo Configurações para alterar esse comportamento ou o comportamento pode ser controlado pela política de grupo.

Dica

Se mais de um usuário usar um dispositivo, é importante manter a viseira limpa. Consulte de perguntas frequentes sobre limpeza do HoloLens 2 para obter detalhes sobre como limpar o dispositivo. Recomendamos que limpe a viseira entre cada utilizador. Essa prática recomendada é particularmente importante se você usar a autenticação Iris.

Contas vinculadas

Tal como na versão Desktop do Windows, pode associar outras credenciais de conta Web à sua conta HoloLens. Essa vinculação facilita o acesso a recursos dentro ou dentro de aplicativos (como a Loja) ou a combinação de acesso a recursos pessoais e de trabalho. Depois de ligar uma conta ao dispositivo, pode conceder permissão para utilizar o dispositivo para aplicações para não ter de iniciar sessão em cada aplicação individualmente.

A vinculação de contas não separa os dados do usuário criados no dispositivo, como imagens ou downloads.

Configurando o suporte multiusuário (somente Microsoft Entra)

O HoloLens suporta vários usuários do mesmo locatário do Microsoft Entra. Para usar esse recurso, você deve usar uma conta que pertença à sua organização para configurar o dispositivo. Posteriormente, outros utilizadores do mesmo inquilino podem iniciar sessão no dispositivo a partir do ecrã de início de sessão ou tocando no mosaico do utilizador no painel Iniciar. Apenas um utilizador pode iniciar sessão de cada vez. Quando um usuário faz login, o HoloLens desconecta o usuário anterior.

Importante

O primeiro usuário no dispositivo é considerado o proprietário do dispositivo, exceto no caso de ingresso do Microsoft Entra, saiba mais sobre os proprietários de dispositivos.

Todos os usuários podem usar os aplicativos instalados no dispositivo. No entanto, cada usuário tem seus próprios dados e preferências do aplicativo. A remoção de uma aplicação do dispositivo remove-a para todos os utilizadores.

Observação

Outra opção para dispositivos que são compartilhados entre vários usuários é criar uma conta compartilhada do Microsoft Entra ID no dispositivo. Consulte contas compartilhadas do Microsoft Entra no HoloLens para obter informações detalhadas sobre como configurar essa conta no seu dispositivo.

Os dispositivos configurados com contas Microsoft Entra não permitirão iniciar sessão no dispositivo com uma Conta Microsoft. Todas as contas subsequentes usadas devem ser contas do Microsoft Entra do mesmo locatário do dispositivo. Você ainda pode entrar usando uma Conta da Microsoft em aplicativos que oferecem suporte a ela (como a Microsoft Store). Para mudar de usar contas do Microsoft Entra para Contas da Microsoft para entrar no dispositivo, você deve reflash o dispositivo.

Observação

HoloLens (1ª geração) começou a oferecer suporte a vários usuários do Microsoft Entra no Windows 10 April 2018 Update como parte do Windows Holographic for Business.

Vários usuários são listados na tela de entrada

Anteriormente, o ecrã de início de sessão mostrava apenas o utilizador com sessão iniciada mais recentemente e um ponto de entrada "Outro utilizador". Recebemos comentários de clientes de que não é suficiente se vários usuários tiverem entrado no dispositivo. Eles ainda eram obrigados a digitar novamente seu nome de usuário, etc.

Introduzido no Windows Holographic, versão 21H1, ao selecionar Outro de usuário, localizado à direita do campo de entrada do PIN, a tela de entrada exibe vários usuários com login anterior no dispositivo. Isso permite que os usuários selecionem seu perfil de usuário e, em seguida, entrem usando suas credenciais do Windows Hello. Um novo utilizador também pode ser adicionado ao dispositivo a partir desta outros utilizadores página através do botão Adicionar conta.

Quando no menu Outros usuários, o botão Outros usuários exibe o último usuário conectado ao dispositivo. Selecione este botão para regressar ao ecrã de início de sessão deste utilizador.

Ecrã de início de sessão predefinido.


Ecrã de início de sessão a outros utilizadores.

Removendo usuários

Pode remover um utilizador do dispositivo acedendo a Definições>Contas>Outras pessoas. Essa ação também recupera espaço removendo todos os dados do aplicativo do usuário do dispositivo.

Usando o logon único em um aplicativo

Como desenvolvedor de aplicativos, você pode aproveitar as identidades vinculadas no HoloLens usando o APIs do Gerenciador de Contas do Windows, assim como faria em outros dispositivos Windows. Alguns exemplos de código para essas APIs estão disponíveis no GitHub: exemplo de gerenciamento de conta da Web.

Qualquer interrupção de conta que possa ocorrer, como solicitar o consentimento do usuário para informações da conta, autenticação de dois fatores e assim por diante, deve ser tratada quando o aplicativo solicita um token de autenticação.

Se o seu aplicativo exigir um tipo de conta específico que não tenha sido vinculado anteriormente, ele poderá solicitar ao sistema que solicite que o usuário adicione um. Essa solicitação aciona o painel de configurações da conta para iniciar como um filho modal do seu aplicativo. Para aplicativos 2D, essa janela é renderizada diretamente sobre o centro do seu aplicativo. Para aplicativos Unity, essa solicitação tira brevemente o usuário do seu aplicativo holográfico para renderizar a janela filho. Para obter informações sobre como personalizar os comandos e ações neste painel, consulte WebAccountCommand Class.

Autenticação empresarial e outras

Se seu aplicativo usa outros tipos de autenticação, como NTLM, Basic ou Kerberos, você pode usar da interface do usuário de credenciais do Windows para coletar, processar e armazenar as credenciais do usuário. A experiência do usuário para coletar essas credenciais é semelhante a outras interrupções de conta orientadas pela nuvem e aparece como um aplicativo filho na parte superior do seu aplicativo 2D ou suspende brevemente um aplicativo Unity para mostrar a interface do usuário.

APIs preteridas

Uma maneira pela qual o desenvolvimento para HoloLens difere do desenvolvimento para Desktop é que o OnlineIDAuthenticator API não é totalmente suportado. Embora a API retorne um token se a conta principal estiver em situação regular, interrupções como as descritas neste artigo não exibem nenhuma interface do usuário para o usuário e não conseguem autenticar corretamente a conta.

Suporte do Windows Hello for Business no HoloLens (1ª geração)

O Windows Hello for Business (que suporta a utilização de um PIN para iniciar sessão) é suportado pelo HoloLens (1.ª geração). Para permitir o início de sessão com PIN do Windows Hello para Empresas no HoloLens (1.ª geração):

  1. O dispositivo HoloLens deve ser gerenciado pelo MDM.
  2. Você deve habilitar o Windows Hello for Business para o dispositivo. (Consulte as instruções para o Microsoft Intune.)
  3. No dispositivo HoloLens, o usuário pode usar Configurações>Opções de entrada>Adicionar de PIN para configurar um PIN.

Observação

Os utilizadores que iniciam sessão utilizando uma conta Microsoft também podem configurar um PIN em Definições>Opções de Início de Sessão>Adicionar PIN. Este PIN está associado ao Windows Hello, em vez de Windows Hello for Business.

Recursos adicionais

Leia muito mais sobre a proteção e autenticação de identidade do usuário em a documentação de segurança e identidade do Windows 10.

Saiba mais sobre como configurar a infraestrutura de identidade híbrida por meio da documentação de identidade híbrida do Azure.