Управление удостоверением пользователя и именем входа для HoloLens
Заметка
Эта статья является технической ссылкой для ИТ-специалистов и энтузиастов технологий. Если вы ищете инструкции по настройке HoloLens, ознакомьтесь снастройке holoLens (1-го поколения)" или "Настройка HoloLens 2".
Кончик
HoloLens 2 настраивается как устройство, присоединенное к идентификатору Microsoft Entra, и не поддерживает локальную службу Active Directory. В большинстве случаев проверка подлинности может выполняться с помощью управляемого удостоверения элемента записи или удостоверения федеративного идентификатора записи. Однако если служба федерации вызывает проблемы с проверкой подлинности, убедитесь, что вы сможете войти с компьютера Только для Windows 10 или Windows 11. Многие проблемы проверки подлинности являются результатом только конфигураций идентификатора Записи, а не конкретной проблемы HoloLens. Устранение этих проблем гораздо проще на компьютере с Windows 10 или Windows.
Давайте поговорим о настройке удостоверения пользователя для HoloLens 2
Как и другие устройства Windows, HoloLens всегда работает в контексте пользователя. Всегда есть удостоверение пользователя. HoloLens обрабатывает удостоверение почти так же, как устройство с Windows 10 или Windows 11. При входе во время установки создается профиль пользователя в HoloLens, в который хранятся приложения и данные. Эта же учетная запись также предоставляет единый вход для приложений, таких как Microsoft Edge или Dynamics 365 Remote Assist, с помощью API диспетчера учетных записей Windows.
HoloLens поддерживает несколько типов удостоверений пользователей. Вы можете выбрать любой из этих трех типов учетных записей, но настоятельно рекомендуется использовать идентификатор Microsoft Entra, так как лучше всего управлять устройствами. Только учетные записи Microsoft Entra поддерживают несколько пользователей.
Тип удостоверения | Учетные записи на устройство | Параметры проверки подлинности |
---|---|---|
идентификатор Microsoft Entra ID1 | 63 |
|
учетной записи Майкрософт (MSA) |
1 |
|
Локальная учетная запись3 | 1 | Пароль |
общий идентификатор Microsoft Entra ID | 1 | проверка подлинности Certificate-Based (CBA) |
Облачные учетные записи (Идентификатор Microsoft Entra и MSA) предлагают дополнительные возможности, так как они могут использовать службы Azure.
Важный
1. Идентификатор Microsoft Entra ID P1 или P2 не требуется для входа на устройство. Однако для других функций облачного развертывания с низким уровнем сенсорного ввода, таких как автоматическая регистрация и Autopilot.
Заметка
2. Хотя устройство HoloLens 2 может поддерживать до 63 учетных записей Microsoft Entra, а также одну системную учетную запись в общей сложности 64 учетных записей, только до 10 этих учетных записей должны регистрироваться в Iris Authentication. Это соответствует другим параметрам биометрической проверки подлинности для Windows Hello для бизнеса. Хотя более 10 учетных записей могут быть зарегистрированы в проверке подлинности Iris, это увеличивает частоту ложных срабатываний и не рекомендуется.
Важный
3. Локальная учетная запись может быть настроена только на устройстве через пакет подготовки во времяOOBE, его нельзя добавить позже в приложение параметров. Если вы хотите использовать локальную учетную запись на устройстве, которое уже настроено, необходимо перезагрузить или сбросить устройство.
Как тип учетной записи влияет на поведение входа?
Если вы применяете политики для входа, политика всегда учитывается. Если политика входа не применяется, это поведение по умолчанию для каждого типа учетной записи:
- идентификатор Microsoft Entra ID: запрашивает проверку подлинности по умолчанию и настраивается с помощью параметров , чтобы больше не запрашивать проверку подлинности.
- учетной записи Майкрософт: поведение блокировки отличается от автоматической разблокировки, однако при перезагрузке по-прежнему требуется проверка подлинности входа.
- локальная учетная запись: всегда запрашивает проверку подлинности в виде пароля, не настраиваемой в параметрах
Заметка
Таймеры бездействия в настоящее время не поддерживаются, что означает, что политика AllowIdleReturnWithoutPassword учитывается только при переходе устройства в StandBy.
Вход iris
Биометрическая сбор данных HoloLens
Биометрические данные (включая движения головы или руки или глаза, сканирование ириса), которые собирает это устройство для калибровки, для повышения надежности взаимодействия и улучшения взаимодействия с пользователем. Как и на других устройствах Windows, сторонние приложения на устройстве могут получить доступ к данным на устройстве для предоставления определенных функций и функций. Перейдите в раздел "Конфиденциальность" в разделе "Параметры" для получения сведений о лицензионном соглашении и заявлении о конфиденциальности Майкрософт.
Имя входа HoloLens Iris основано на Windows Hello. HoloLens хранит биометрические данные, которые используются для безопасной реализации Windows Hello только на локальном устройстве. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. Так как Windows Hello хранит только биометрические данные идентификации на устройстве, злоумышленник не может компрометировать биометрические данные.
HoloLens выполняет проверку подлинности iris на основе хранимых битовых кодов. Пользователи имеют полный контроль над регистрацией учетной записи пользователя для входа iris для проверки подлинности. Ит-администраторы могут отключить возможности Windows Hello с помощью серверов MDM. См. управление Windows Hello для бизнеса в организации.
Заметка
Общие учетные записи идентификатора Microsoft Entra не поддерживают вход Iris в HoloLens. Дополнительные сведения об преимуществах и ограничениях использования общих учетных записей Microsoft Entra.
Часто задаваемые вопросы об Iris
Как реализована биометрическая проверка подлинности Iris в HoloLens 2?
HoloLens 2 поддерживает проверку подлинности Iris. Iris основан на технологии Windows Hello и поддерживается как идентификатором Microsoft Entra, так и учетными записями Майкрософт. Ирис реализуется так же, как и другие технологии Windows Hello, и достигает биометрических данных far 1/100K.
Дополнительные сведения см. в биометрических требованиях и спецификациях Windows Hello. Дополнительные сведения о Windows Hello и Windows Hello для бизнеса.
Где хранятся биометрические данные iris?
Биометрические данные Iris хранятся локально на каждом устройстве HoloLens на спецификации Windows Hello. Он не является общим и защищен двумя уровнями шифрования. Он недоступен другим пользователям, даже администратору, так как в HoloLens нет учетной записи администратора.
Нужно ли использовать проверку подлинности Iris?
Нет, этот шаг можно пропустить во время установки.
HoloLens 2 предоставляет множество различных вариантов проверки подлинности, включая ключи безопасности FIDO2.
Можно ли удалить данные iris из HoloLens?
Да, его можно удалить вручную в параметрах.
Настройка пользователей
Существует два способа настройки нового пользователя в HoloLens. Самый распространенный способ — во время встроенного интерфейса HoloLens (OOBE). При использовании идентификатора Microsoft Entra другие пользователи могут войти в систему после OOBE с помощью учетных данных Microsoft Entra. Устройства HoloLens, изначально настроенные с помощью MSA или локальной учетной записи во время OOBE, не поддерживают нескольких пользователей. См. раздел "Настройка HoloLens (1-го поколения) или HoloLens 2.
Если вы используете корпоративную или организационную учетную запись для входа в HoloLens, HoloLens регистрируется в ИТ-инфраструктуре организации. Эта регистрация позволяет ИТ-администратору настроить управление мобильными устройствами (MDM) для отправки групповых политик в HoloLens.
Как и Windows на других устройствах, вход во время установки создает профиль пользователя на устройстве. Профиль пользователя хранит приложения и данные. Эта же учетная запись также предоставляет единый вход для приложений, таких как Microsoft Edge или Microsoft Store, с помощью API диспетчера учетных записей Windows.
По умолчанию, как и для других устройств с Windows 10, необходимо снова войти, когда HoloLens перезапускается или возобновляется из резервного копирования. Вы можете использовать приложение "Параметры", чтобы изменить это поведение, или поведение можно контролировать с помощью групповой политики.
Кончик
Если несколько пользователей используют устройство, важно сохранить очистку визора. Дополнительные сведения о том, как очистить устройство, см. вопросы и ответы по очистке HoloLens 2. Рекомендуется очистить визор между каждым пользователем. Это особенно важно, если вы используете проверку подлинности Iris.
Связанные учетные записи
Как и в классической версии Windows, вы можете связать другие учетные данные веб-учетной записи с учетной записью HoloLens. Такая компоновка упрощает доступ к ресурсам в приложениях или в приложениях (например, в Магазине) или к сочетанию доступа к личным и рабочим ресурсам. После подключения учетной записи к устройству вы можете предоставить разрешение на использование устройства для приложений, чтобы вам не пришлось входить в каждое приложение по отдельности.
Связывание учетных записей не отделяет данные пользователя, созданные на устройстве, например изображения или загрузки.
Настройка поддержки нескольких пользователей (только Microsoft Entra)
HoloLens поддерживает несколько пользователей из одного клиента Microsoft Entra. Чтобы использовать эту функцию, необходимо использовать учетную запись, принадлежащую вашей организации, для настройки устройства. Затем другие пользователи из того же клиента могут войти на устройство с экрана входа или коснитесь плитки пользователя на панели "Пуск". Только один пользователь может быть вошел в систему одновременно. При входе пользователя HoloLens выходит из предыдущего пользователя.
Важный
Первый пользователь на устройстве считается владельцем устройства, за исключением случае присоединения к Microsoft Entra, узнать больше о владельцах устройств.
Все пользователи могут использовать приложения, установленные на устройстве. Однако у каждого пользователя есть собственные данные и предпочтения приложения. Удаление приложения с устройства удаляет его для всех пользователей.
Заметка
Другим вариантом для устройств, совместно используемых несколькими пользователями, является создание общей учетной записи идентификатора Microsoft Entra на устройстве. Дополнительные сведения о настройке этой учетной записи на устройстве см. в
Устройства, настроенные с помощью учетных записей Microsoft Entra, не разрешают вход на устройство с помощью учетной записи Майкрософт. Все последующие учетные записи должны быть учетными записями Microsoft Entra из того же клиента, что и устройство. Вы по-прежнему можете войти с помощью учетной записи Майкрософт для приложений, которые поддерживают его (например, Microsoft Store). Чтобы изменить использование учетных записей Microsoft Entra в учетные записи Майкрософт для входа на устройство, необходимо повторно перезапустить устройство.
Заметка
HoloLens (1-го поколения) начал поддерживать несколько пользователей Microsoft Entra в обновлении Windows 10 апреля 2018 г. в рамках Windows Holographic for Business.
На экране входа отображается несколько пользователей
Ранее на экране входа отображается только последний вход пользователя и точка входа другого пользователя. Мы получили отзыв о клиенте, что недостаточно, если несколько пользователей вошли на устройство. Они по-прежнему должны были повторно ввести имя пользователя и т. д.
Представлено в Windows Holographic версии 21H1при выборе других пользователей, расположенных справа от поля записи ПИН-кода, на экране входа отображается несколько пользователей с ранее вошедшей на устройство. Это позволяет пользователям выбирать свой профиль пользователя, а затем выполнять вход с помощью учетных данных Windows Hello. Новый пользователь также можно добавить на устройство из этой других пользователей страницу с помощью кнопки Добавить учетную запись.
Когда в меню другие пользователи, кнопка Другие пользователи отображает последнего пользователя, вошедшего на устройство. Нажмите эту кнопку, чтобы вернуться на экран входа для этого пользователя.
Удаление пользователей
Вы можете удалить пользователя с устройства, перейдя на Параметры>учетные записи>других пользователей. Это действие также освобождает пространство, удаляя все данные приложения этого пользователя с устройства.
Использование единого входа в приложении
В качестве разработчика приложений вы можете воспользоваться связанными удостоверениями в HoloLens с помощью API диспетчера учетных записей Windows, как и на других устройствах Windows. Некоторые примеры кода для этих API доступны на сайте GitHub: пример управления веб-учетными записями.
Любые прерывания учетной записи, которые могут возникать, например запрашивать согласие пользователя на сведения об учетной записи, двухфакторную проверку подлинности и т. д., необходимо обрабатывать при запросе маркера проверки подлинности приложения.
Если приложению требуется определенный тип учетной записи, не связанный ранее, приложение может попросить систему попросить пользователя добавить его. Этот запрос активирует панель параметров учетной записи для запуска в качестве модального дочернего элемента приложения. Для 2D-приложений это окно отображается непосредственно в центре приложения. Для приложений Unity этот запрос кратко принимает пользователя из голографического приложения, чтобы отобразить дочернее окно. Сведения о настройке команд и действий на этой панели см. в классе WebAccountCommand.
Корпоративная и другая проверка подлинности
Если приложение использует другие типы проверки подлинности, такие как NTLM, Basic или Kerberos, вы можете использовать пользовательского интерфейса учетных данных Windows для сбора, обработки и хранения учетных данных пользователя. Пользовательский интерфейс для сбора этих учетных данных аналогичен другим прерываниям облачной учетной записи и отображается как дочернее приложение на вершине 2D-приложения или кратко приостанавливает приложение Unity для отображения пользовательского интерфейса.
Устаревшие API
Один из способов разработки holoLens отличается от разработки для Desktop— это то, что OnlineIDAuthenticator API не полностью поддерживается. Хотя API возвращает маркер, если основная учетная запись находится в хорошем положении, прерывания, такие как описанные в этой статье, не отображают пользовательский интерфейс для пользователя и не выполняют правильную проверку подлинности учетной записи.
Поддержка Windows Hello для бизнеса в HoloLens (1-го поколения)
Windows Hello для бизнеса (который поддерживает использование ПИН-кода для входа) поддерживается для HoloLens (1-го поколения). Чтобы разрешить вход WINDOWS Hello для бизнеса PIN-код в HoloLens (1-го поколения):
- Устройство HoloLens должно управлятьMDM.
- Для устройства необходимо включить Windows Hello для бизнеса. (См. инструкции по Microsoft Intune.)
- На устройстве HoloLens пользователь может использовать параметры >параметры входа>добавить ПИН-код для настройки ПИН-кода.
Заметка
Пользователи, которые войдите с помощью учетной записи Майкрософт, также могут настроить ПИН-код в параметрах >параметров входа>добавить ПИН-код. Этот ПИН-код связан с Windows Hello, а не Windows Hello для бизнеса.
Дополнительные ресурсы
Дополнительные сведения о защите идентификации пользователей и проверке подлинности см. в документации по безопасности и идентификации Windows 10.
Дополнительные сведения о настройке инфраструктуры гибридных удостоверений см. в документации по гибридному удостоверению Azure.