Hantera användaridentitet och inloggning för HoloLens
Anteckning
Den här artikeln är en teknisk referens för IT-proffs och teknikentusiaster. Om du letar efter HoloLens-konfigurationsinstruktioner läser du "Konfigurera HoloLens (första generationen)" eller "Konfigurera din HoloLens 2".
Tips
HoloLens 2 har konfigurerats som en Microsoft Entra ID ansluten enhet och stöder inte lokal Active Directory. I de flesta fall kan autentisering utföras med antingen en hanterad Entra-ID-identitet eller en federerad Entra-ID-identitet. Men om federationstjänsten orsakar autentiseringsproblem bör du se till att du kan logga in från ett Entra-ID som endast är anslutet Windows 10 eller Windows 11 pc. Många autentiseringsproblem beror endast på konfigurationer av Entra-ID i stället för ett HoloLens-specifikt problem. Det är mycket enklare att felsöka dessa utmaningar från en Windows 10- eller Windows-dator.
Nu ska vi prata om att konfigurera användaridentitet för HoloLens 2
Precis som andra Windows-enheter fungerar HoloLens alltid i en användarkontext. Det finns alltid en användaridentitet. HoloLens behandlar identitet på nästan samma sätt som en Windows 10 eller Windows 11 enhet. När du loggar in under installationen skapas en användarprofil på HoloLens som lagrar appar och data. Samma konto tillhandahåller även enkel inloggning för appar, till exempel Microsoft Edge eller Dynamics 365 Remote Assist, med hjälp av API:erna för Windows-kontohanteraren.
HoloLens stöder flera typer av användaridentiteter. Du kan välja någon av dessa tre kontotyper, men vi rekommenderar starkt Microsoft Entra ID eftersom det är bäst för att hantera enheter. Endast Microsoft Entra konton stöder flera användare.
| Identitetstyp | Konton per enhet | Autentiseringsalternativ |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft-konto (MSA) | 1 |
|
| Lokalt konto3 | 1 | Lösenord |
| Delad Microsoft Entra ID | 1 | Certificate-Based-autentisering (CBA) |
Molnanslutna konton (Microsoft Entra ID och MSA) erbjuder fler funktioner eftersom de kan använda Azure-tjänster.
Viktigt
1 – Microsoft Entra ID P1 eller P2 krävs inte för att logga in på enheten. Det krävs dock för andra funktioner i en molnbaserad distribution med låg touch, till exempel automatisk registrering och Autopilot.
Anteckning
2 – Även om en HoloLens 2-enhet har stöd för upp till 63 Microsoft Entra konton samt ett systemkonto för totalt 64 konton, bör endast upp till 10 av dessa konton registreras i Iris-autentisering. Detta är i linje med andra biometriska autentiseringsalternativ för Windows Hello för företag. Även om fler än 10 konton kan registreras i Iris-autentisering ökar detta antalet falska positiva identifieringar och rekommenderas inte.
Viktigt
3 – Ett lokalt konto kan bara konfigureras på en enhet via ett etableringspaket under OOBE. Det går inte att lägga till det senare i inställningsappen. Om du vill använda ett lokalt konto på en enhet som redan har konfigurerats måste du omvänt snedstrecka eller återställa enheten.
Hur påverkar kontotypen inloggningsbeteendet?
Om du tillämpar principer för inloggning respekteras alltid principen. Om ingen inloggningsprincip tillämpas är detta standardbeteendena för varje kontotyp:
- Microsoft Entra ID: begär autentisering som standard och kan konfigureras av Inställningar för att inte längre be om autentisering.
- Microsoft-konto: låsbeteendet skiljer sig åt så att automatisk upplåsning tillåts, men inloggningsautentisering krävs fortfarande vid omstart.
- Lokalt konto: frågar alltid efter autentisering i form av ett lösenord, kan inte konfigureras i Inställningar
Anteckning
Inaktivitetstimers stöds för närvarande inte, vilket innebär att principen AllowIdleReturnWithoutPassword endast respekteras när enheten hamnar i StandBy.
Iris-inloggning
HoloLens insamling av biometriska data
Biometriska data (inklusive huvud-/hand-/ögonrörelser, irisskanning) som denna enhet samlar in används för kalibrering, för att förbättra tillförlitliga interaktioner och för att förbättra användarupplevelsen. Precis som med andra Windows-enheter kan appar från tredje part på enheten komma åt dina data på enheten i syfte att leverera vissa funktioner. Gå till sekretessavsnittet i Inställningar för mer information om licensavtalet och Microsofts sekretesspolicy.
HoloLens Iris-inloggning bygger på Windows Hello. HoloLens lagrar biometriska data som används för att implementera Windows Hello på ett säkert sätt endast på den lokala enheten. Biometriska data flyttas inte och skickas aldrig till externa enheter eller servrar. Eftersom Windows Hello bara lagrar biometriska identifieringsdata på enheten finns det ingen enskild insamlingsplats som en angripare kan kompromettera för att stjäla biometriska data.
HoloLens utför irisautentisering baserat på lagrade bitkoder. Användarna har fullständig kontroll över om de registrerar sitt användarkonto för Iris-inloggning för autentisering. IT-administratörer kan också inaktivera Windows Hello funktioner via sina MDM-servrar. Se Hantera Windows Hello för företag i din organisation.
Anteckning
Delade Microsoft Entra ID-konton stöder inte Iris-inloggning på HoloLens. Mer information om fördelarna och begränsningarna med att använda delade Microsoft Entra-konton.
Vanliga frågor och svar om Iris
Hur implementeras Iris biometrisk autentisering på HoloLens 2?
HoloLens 2 stöder Iris-autentisering. Iris baseras på Windows Hello teknik och stöds för användning av både Microsoft Entra ID och Microsoft-konton. Iris implementeras på samma sätt som andra Windows Hello tekniker och uppnår biometrisk säkerhet PÅ LÅNGT 1/100 000.
Mer information finns i biometriska krav och specifikationer för Windows Hello. Läs mer om Windows Hello och Windows Hello för företag.
Var lagras biometrisk Iris-information?
Biometrisk Iris-information lagras lokalt på varje HoloLens per Windows Hello specifikationer. Den delas inte och skyddas av två krypteringslager. Det är inte tillgängligt för andra användare, inte ens en administratör, eftersom det inte finns något administratörskonto på en HoloLens.
Måste jag använda Iris-autentisering?
Nej, du kan hoppa över det här steget under installationen.
HoloLens 2 innehåller många olika alternativ för autentisering, inklusive FIDO2-säkerhetsnycklar.
Kan Iris-information tas bort från HoloLens?
Ja, du kan ta bort den manuellt i Inställningar.
Konfigurera användare
Det finns två sätt att konfigurera en ny användare på HoloLens. Det vanligaste sättet är under HoloLens out-of-box experience (OOBE). Om du använder Microsoft Entra ID kan andra användare logga in efter OOBE med sina Microsoft Entra autentiseringsuppgifter. HoloLens-enheter som ursprungligen konfigureras med ett MSA- eller lokalt konto under OOBE stöder inte flera användare. Se Konfigurera HoloLens (första generationen) eller HoloLens 2.
Om du använder ett företags- eller organisationskonto för att logga in på HoloLens registreras HoloLens i organisationens IT-infrastruktur. Med den här registreringen kan IT-Admin konfigurera Mobile Enhetshantering (MDM) för att skicka grupprinciper till HoloLens.
Precis som Windows på andra enheter skapar inloggning under installationen en användarprofil på enheten. Användarprofilen lagrar appar och data. Samma konto tillhandahåller även enkel inloggning för appar, till exempel Microsoft Edge eller Microsoft Store, med hjälp av Api:er för Windows-kontohanteraren.
Som standard, liksom för andra Windows 10 enheter, måste du logga in igen när HoloLens startas om eller återupptas från vänteläge. Du kan använda appen Inställningar för att ändra det här beteendet, eller så kan beteendet styras av en grupprincip.
Tips
Om fler än en användare använder en enhet är det viktigt att hålla visorn ren. Mer information om hur du rensar enheten finns i vanliga frågor och svar om HoloLens 2 rensning. Vi rekommenderar att du rensar visorn mellan varje användare. Den här bästa metoden är särskilt viktig om du använder Iris-autentisering.
Länkade konton
Precis som i Skrivbordsversionen av Windows kan du länka andra autentiseringsuppgifter för webbkonton till ditt HoloLens-konto. Sådan länkning gör det enklare att komma åt resurser över eller i appar (till exempel Store) eller att kombinera åtkomst till personliga resurser och arbetsresurser. När du har anslutit ett konto till enheten kan du bevilja behörighet att använda enheten till appar så att du inte behöver logga in på varje app individuellt.
Länkningskonton separerar inte användardata som skapats på enheten, till exempel bilder eller nedladdningar.
Konfigurera stöd för flera användare (endast Microsoft Entra)
HoloLens stöder flera användare från samma Microsoft Entra klientorganisation. Om du vill använda den här funktionen måste du använda ett konto som tillhör din organisation för att konfigurera enheten. Därefter kan andra användare från samma klientorganisation logga in på enheten från inloggningsskärmen eller genom att trycka på användarpanelen på Start-panelen. Endast en användare kan loggas in i taget. När en användare loggar in loggar HoloLens ut den tidigare användaren.
Viktigt
Den första användaren på enheten anses vara enhetens ägare, förutom när det gäller Microsoft Entra ansluta, läs mer om enhetsägare.
Alla användare kan använda de appar som är installerade på enheten. Varje användare har dock sina egna appdata och inställningar. Om du tar bort en app från enheten tas den bort för alla användare.
Anteckning
Ett annat alternativ för enheter som delas mellan flera användare är att skapa ett delat Microsoft Entra ID konto på enheten. Mer information om hur du konfigurerar det här kontot på enheten finns i Delade Microsoft Entra-konton i HoloLens.
Enheter som konfigurerats med Microsoft Entra konton tillåter inte inloggning på enheten med ett Microsoft-konto. Alla efterföljande konton som används måste vara Microsoft Entra konton från samma klientorganisation som enheten. Du kan fortfarande logga in med ett Microsoft-konto till appar som stöder det (till exempel Microsoft Store). Om du vill ändra från att använda Microsoft Entra-konton till Microsoft-konton för att logga in på enheten måste du omvänt snedstrecka enheten.
Anteckning
HoloLens (första generationen) började stödja flera Microsoft Entra användare i uppdateringen Windows 10 april 2018 som en del av Windows Holographic for Business.
Flera användare visas på inloggningsskärmen
Tidigare visade inloggningsskärmen endast den senast inloggade användaren och en startpunkt för "Annan användare". Vi har fått kundfeedback om att det inte räcker om flera användare har loggat in på enheten. De var fortfarande skyldiga att skriva om sitt användarnamn osv.
Introducerades i Windows Holographic, version 21H1, när du väljer Annan användare som finns till höger om PIN-postfältet, visar inloggningsskärmen flera användare med tidigare har loggat in på enheten. På så sätt kan användarna välja sin användarprofil och sedan logga in med sina Windows Hello autentiseringsuppgifter. En ny användare kan också läggas till på enheten från den här sidan för andra användare via knappen Lägg till konto .
På menyn Andra användare visar knappen Andra användare den senaste användaren som loggades in på enheten. Välj den här knappen för att återgå till inloggningsskärmen för den här användaren.
Ta bort användare
Du kan ta bort en användare från enheten genom att gå till Inställningar>Konton>Andra personer. Den här åtgärden frigör också utrymme genom att ta bort alla användarens appdata från enheten.
Använda enkel inloggning i en app
Som apputvecklare kan du dra nytta av länkade identiteter på HoloLens med hjälp av API:er för Windows Account Manager, precis som på andra Windows-enheter. Vissa kodexempel för dessa API:er är tillgängliga på GitHub: Exempel på webbkontohantering.
Alla kontoavbrott som kan inträffa, till exempel begäran om användarmedgivande för kontoinformation, tvåfaktorautentisering och så vidare, måste hanteras när appen begär en autentiseringstoken.
Om din app kräver en specifik kontotyp som inte har länkats tidigare kan appen be systemet att uppmana användaren att lägga till en. Den här begäran utlöser fönstret kontoinställningar för att starta som ett modalt underordnat till din app. För 2D-appar renderas det här fönstret direkt över mitten av appen. För Unity-appar tar den här begäran kort användaren ut ur din holografiska app för att återge det underordnade fönstret. Information om hur du anpassar kommandon och åtgärder i det här fönstret finns i WebAccountCommand-klass.
Företag och annan autentisering
Om din app använder andra typer av autentisering, till exempel NTLM, Basic eller Kerberos, kan du använda Användargränssnittet för Windows-autentiseringsuppgifter för att samla in, bearbeta och lagra användarens autentiseringsuppgifter. Användarupplevelsen för att samla in dessa autentiseringsuppgifter liknar andra molndrivna kontoavbrott och visas som en underordnad app ovanpå din 2D-app eller pausar kort en Unity-app för att visa användargränssnittet.
Inaktuella API:er
Ett sätt att utveckla för HoloLens skiljer sig från att utveckla för Desktop är att API:et OnlineIDAuthenticator inte stöds fullt ut. Även om API:et returnerar en token om det primära kontot är i gott skick, visar avbrott som de som beskrivs i den här artikeln inget användargränssnitt för användaren och kan inte autentisera kontot korrekt.
Windows Hello för företag stöd för HoloLens (första generationen)
Windows Hello för företag (som stöder användning av en PIN-kod för att logga in) stöds för HoloLens (första generationen). Så här tillåter du Windows Hello för företag PIN-inloggning på HoloLens (första generationen):
- HoloLens-enheten måste hanteras av MDM.
- Du måste aktivera Windows Hello för företag för enheten. (Se anvisningar för Microsoft Intune.)
- På HoloLens-enheten kan användaren sedan använda Inställningar>Inloggningsalternativ>Lägg till PIN-kod för att konfigurera en PIN-kod.
Anteckning
Användare som loggar in med ett Microsoft-konto kan också konfigurera en PIN-kod i Inställningar>Inloggningsalternativ>Lägg till PIN-kod. Den här PIN-koden är associerad med Windows Hello i stället för Windows Hello för företag.
Ytterligare resurser
Läs mycket mer om användaridentitetsskydd och autentisering i dokumentationen om Windows 10 säkerhet och identitet.
Läs mer om hur du konfigurerar hybrididentitetsinfrastruktur via Azure Hybrid-identitetsdokumentationen.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för