Sistema operacional sem administrador
O HoloLens 2 minimiza a área de superfície para escalonamento de privilégios, desativando o suporte para o grupo Administradores e limitando todo o código de aplicativo UWP de terceiros para executar apenas como usuários padrão dentro da área restrita do AppContainer. Esse código só tem acesso aos recursos protegidos por recursos explicitamente manifestados no aplicativo para um usuário não elevado, além de recursos acessíveis a todos os AppContainers. Esses recursos de aplicativo continuam a ter o modelo de classificação de três camadas:
- Geral
- Restrito
- Mac OS
Os componentes do Windows também podem aproveitar a área restrita do AppContainer por meio de UWPs do sistema. Para saber mais sobre a Plataforma Universal do Windows (UWP), consulte documentação da UWP. Além disso, os componentes do Windows com maiores necessidades de redução de privilégios (como páginas de conteúdo do navegador ou analisadores) usam a área restrita LPAC (Less Privileged AppContainer), que corta o acesso ao conjunto de recursos acessíveis a todos os AppContainers.
Proprietário do dispositivo
Finalmente, a execução de operações específicas em todo o dispositivo, como unir o dispositivo a um locatário ou gerenciamento de usuários, só é permitida para "proprietários de dispositivos". Esse grupo é preenchido por usuários no dispositivo por meio de uma das seguintes etapas:
- O primeiro utilizador no dispositivo é sempre designado como Proprietário.
Importante
Para usuários do Microsoft Entra, a exceção a essa regra é que, se o dispositivo for Microsoft Entra ingressado via Autopilot ou registro em massa do Microsoft Entra, que usa um usuário não real. Nesse caso, o primeiro usuário do Microsoft Entra a entrar no dispositivo pode não se tornar proprietário do dispositivo automaticamente, a menos que esse usuário tenha a função "Administrador Global" ou "Administrador Local de Dispositivo Ingressado no Microsoft Entra" atribuída no portal do Azure. Para mais informações, consulte a nota abaixo.
- Quando um usuário é promovido a Proprietário a partir das Configurações UX por outro Proprietário no dispositivo.
- Se o proprietário do dispositivo não estiver mais disponível (sair da empresa) e o dispositivo estiver associado ao Microsoft Entra, o Administrador do Locatário poderá alterar o proprietário do dispositivo para um novo usuário no portal do Azure. Administradores Globais e Administradores Locais de Dispositivo Ingressado no Microsoft Entra de um locatário do Microsoft Entra são implicitamente conectados como Proprietários no dispositivo sem exigir nenhuma das etapas anteriores.
Os administradores de TI podem gerenciar quais aplicativos podem acessar por meio políticas de de privacidade.
Observação
Para entender mais sobre quem se tornou proprietário de um dispositivo em um dispositivo associado ao Microsoft Entra, consulte de documentação "Atribuir administrador local" (mas leia "administrador local" como "proprietário do dispositivo", já que admin não existe no HoloLens).
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões inferiores ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.