Hantera användaridentitet och inloggning för HoloLens
Anteckning
Den här artikeln är en teknisk referens för IT-proffs och teknikentusiaster. Om du letar efter HoloLens-konfigurationsinstruktioner läser du "Konfigurera holoLens (första generationen)" eller "Konfigurera din HoloLens 2-".
Tips
HoloLens 2 har konfigurerats som en Microsoft Entra ID-ansluten enhet och stöder inte lokal Active Directory. I de flesta fall kan autentisering utföras med antingen en hanterad Entra-ID-identitet eller en federerad Entra-ID-identitet. Men om federationstjänsten orsakar autentiseringsutmaningar bör du se till att du kan logga in från en Entra-ID Endast ansluten Windows 10- eller Windows 11-dator. Många autentiseringsproblem beror bara på konfigurationer av Entra-ID i stället för ett HoloLens-specifikt problem. Det är mycket enklare att felsöka dessa utmaningar från en Windows 10- eller Windows-dator.
Precis som andra Windows-enheter fungerar HoloLens alltid under en användarkontext. Det finns alltid en användaridentitet. HoloLens behandlar identitet på nästan samma sätt som en Windows 10- eller Windows 11-enhet. När du loggar in under installationen skapas en användarprofil på HoloLens som lagrar appar och data. Samma konto tillhandahåller även enkel inloggning för appar, till exempel Microsoft Edge eller Dynamics 365 Remote Assist, med hjälp av Windows Account Manager-API:erna.
HoloLens stöder flera typer av användaridentiteter. Du kan välja någon av dessa tre kontotyper, men vi rekommenderar starkt Microsoft Entra-ID eftersom det är bäst för att hantera enheter. Endast Microsoft Entra-konton stöder flera användare.
Identitetstyp | Konton per enhet | Autentiseringsalternativ |
---|---|---|
Microsoft Entra ID1 | 63 |
|
Microsoft-konto (MSA) | 1 |
|
Lokalt konto3 | 1 | Lösenord |
Delat Microsoft Entra-ID | 1 | Certificate-Based-autentisering (CBA) |
Molnanslutna konton (Microsoft Entra ID och MSA) erbjuder fler funktioner eftersom de kan använda Azure-tjänster.
Viktigt
1 – Microsoft Entra ID P1 eller P2 krävs inte för att logga in på enheten. Det krävs dock för andra funktioner i en molnbaserad distribution med låg touch, till exempel automatisk registrering och Autopilot.
Anteckning
2 – Medan en HoloLens 2-enhet har stöd för upp till 63 Microsoft Entra-konton samt ett systemkonto för totalt 64 konton, bör endast upp till 10 av dessa konton registreras i Iris-autentisering. Detta är i linje med andra biometriska autentiseringsalternativ för Windows Hello för företag. Fler än 10 konton kan vara registrerade i Iris-autentisering, men detta ökar antalet falska positiva identifieringar och rekommenderas inte.
Viktigt
3 – Ett lokalt konto kan bara konfigureras på en enhet via ett etableringspaket under OOBE-. Det går inte att lägga till det senare i inställningsappen. Om du vill använda ett lokalt konto på en enhet som redan har konfigurerats måste du omvänt snedstreck eller återställa enheten.
Om du tillämpar principer för inloggning respekteras principen alltid. Om ingen princip för inloggning tillämpas är det här standardbeteendena för varje kontotyp:
- Microsoft Entra-ID: ber om autentisering som standard och kan konfigureras med Inställningar att inte längre be om autentisering.
- Microsoft-konto: Låsbeteendet skiljer sig åt för automatisk upplåsning, men inloggningsautentisering krävs fortfarande vid omstart.
- Lokalt konto: frågar alltid efter autentisering i form av ett lösenord, inte kan konfigureras i Inställningar
Anteckning
Inaktivitetstimers stöds för närvarande inte, vilket innebär att principen AllowIdleReturnWithoutPassword endast respekteras när enheten går in i StandBy.
Biometriska data (inklusive huvud-/hand-/ögonrörelser, irisgenomsökning) som denna enhet samlar in används för kalibrering, för att förbättra tillförlitliga interaktioner och för att förbättra användarupplevelsen. Precis som med andra Windows-enheter kan appar från tredje part på enheten komma åt dina data på enheten i syfte att leverera vissa funktioner och funktioner. Gå till avsnittet Sekretess i Inställningar för mer information om licensavtalet och Microsofts sekretesspolicy.
HoloLens Iris-inloggning bygger på Windows Hello. HoloLens lagrar biometriska data som används för att implementera Windows Hello på ett säkert sätt på den lokala enheten. Biometriska data flyttas inte och skickas aldrig till externa enheter eller servrar. Eftersom Windows Hello bara lagrar biometriska identifieringsdata på enheten finns det ingen enskild insamlingsplats som en angripare kan kompromettera för att stjäla biometriska data.
HoloLens utför irisautentisering baserat på lagrade bitkoder. Användarna har fullständig kontroll över om de registrerar sitt användarkonto för Iris-inloggning för autentisering. OCH IT-administratörer kan inaktivera Windows Hello-funktioner via sina MDM-servrar. Se Hantera Windows Hello för företag i din organisation.
Anteckning
Delade Microsoft Entra-ID-konton stöder inte Iris-inloggning på HoloLens. Mer information om fördelar och begränsningar med att använda delade Microsoft Entra-konton.
HoloLens 2 stöder Iris-autentisering. Iris är baserat på Windows Hello-teknik och stöds för användning av både Microsoft Entra-ID och Microsoft-konton. Iris implementeras på samma sätt som andra Windows Hello-tekniker och uppnår biometrisk säkerhet FAR på 1/100K.
Mer information finns i biometriska krav och specifikationer för Windows Hello. Läs mer om Windows Hello och Windows Hello för företag.
Biometrisk Iris-information lagras lokalt på varje HoloLens per Windows Hello-specifikationer. Den delas inte och skyddas av två krypteringslager. Det är inte tillgängligt för andra användare, inte ens en administratör, eftersom det inte finns något administratörskonto på en HoloLens.
Nej, du kan hoppa över det här steget under installationen.
HoloLens 2 innehåller många olika alternativ för autentisering, inklusive FIDO2-säkerhetsnycklar.
Ja, du kan ta bort den manuellt i Inställningar.
Det finns två sätt att konfigurera en ny användare på HoloLens. Det vanligaste sättet är under HoloLens out-of-box-upplevelsen (OOBE). Om du använder Microsoft Entra-ID kan andra användare logga in efter OOBE med sina Microsoft Entra-autentiseringsuppgifter. HoloLens-enheter som ursprungligen har konfigurerats med ett MSA- eller lokalt konto under OOBE stöder inte flera användare. Se Konfigurera din HoloLens (första generationen) eller HoloLens 2.
Om du använder ett företags- eller organisationskonto för att logga in på HoloLens registreras HoloLens i organisationens IT-infrastruktur. Med den här registreringen kan IT-administratören konfigurera hantering av mobila enheter (MDM) för att skicka grupprinciper till dina HoloLens.
Precis som Windows på andra enheter skapar inloggning under installationen en användarprofil på enheten. Användarprofilen lagrar appar och data. Samma konto tillhandahåller även enkel inloggning för appar, till exempel Microsoft Edge eller Microsoft Store, med hjälp av API:erna för Windows Account Manager.
Som standard, precis som för andra Windows 10-enheter, måste du logga in igen när HoloLens startar om eller återupptar från vänteläge. Du kan använda appen Inställningar för att ändra det här beteendet, eller så kan beteendet styras av en grupprincip.
Tips
Om fler än en användare använder en enhet är det viktigt att hålla visorn ren. Mer information om hur du rensar enheten finns i Vanliga frågor och svar om HoloLens 2-rengöring. Vi rekommenderar att du rensar visorn mellan varje användare. Den här bästa metoden är särskilt viktig om du använder Iris-autentisering.
Precis som i Skrivbordsversionen av Windows kan du länka andra autentiseringsuppgifter för webbkonton till ditt HoloLens-konto. Sådan länkning gör det enklare att komma åt resurser över eller i appar (till exempel Store) eller att kombinera åtkomst till personliga resurser och arbetsresurser. När du har anslutit ett konto till enheten kan du bevilja behörighet att använda enheten till appar så att du inte behöver logga in på varje app individuellt.
Länkningskonton separerar inte användardata som skapats på enheten, till exempel bilder eller nedladdningar.
HoloLens stöder flera användare från samma Microsoft Entra-klientorganisation. Om du vill använda den här funktionen måste du använda ett konto som tillhör din organisation för att konfigurera enheten. Därefter kan andra användare från samma klientorganisation logga in på enheten från inloggningsskärmen eller genom att trycka på användarpanelen på startpanelen. Endast en användare kan loggas in i taget. När en användare loggar in loggar HoloLens ut den tidigare användaren.
Viktigt
Den första användaren på enheten anses vara enhetens ägare, förutom när det gäller Microsoft Entra-anslutning lära dig mer om enhetsägare.
Alla användare kan använda de appar som är installerade på enheten. Varje användare har dock sina egna appdata och inställningar. Om du tar bort en app från enheten tas den bort för alla användare.
Anteckning
Ett annat alternativ för enheter som delas mellan flera användare är att skapa ett delat Microsoft Entra-ID-konto på enheten. Mer information om hur du konfigurerar det här kontot på enheten finns i Delade Microsoft Entra-konton i HoloLens.
Enheter som har konfigurerats med Microsoft Entra-konton tillåter inte inloggning till enheten med ett Microsoft-konto. Alla efterföljande konton som används måste vara Microsoft Entra-konton från samma klientorganisation som enheten. Du kan fortfarande logga in med ett Microsoft-konto till appar som stöder det (till exempel Microsoft Store). Om du vill ändra från att använda Microsoft Entra-konton till Microsoft-konton för att logga in på enheten måste du omvänt snedstreck enheten.
Anteckning
HoloLens (första generationen) började stödja flera Microsoft Entra-användare i Windows 10 April 2018 Update som en del av Windows Holographic for Business.
Tidigare visade inloggningsskärmen endast den senast inloggade användaren och en startpunkt för "Annan användare". Vi har fått kundfeedback om att det inte räcker om flera användare har loggat in på enheten. De var fortfarande skyldiga att skriva om sitt användarnamn osv.
Introducerades i Windows Holographic, version 21H1, när du väljer Annan användare som finns till höger om FÄLTET PIN-kod, visar inloggningsskärmen flera användare med har tidigare loggat in på enheten. På så sätt kan användarna välja sin användarprofil och sedan logga in med sina Windows Hello-autentiseringsuppgifter. En ny användare kan också läggas till på enheten från den här andra användare sidan via knappen Lägg till konto.
I menyn Andra användare visar knappen Andra användare den senaste användaren som loggades in på enheten. Välj den här knappen för att återgå till inloggningsskärmen för den här användaren.
Du kan ta bort en användare från enheten genom att gå till Inställningar>Konton>Andra personer. Den här åtgärden frigör också utrymme genom att ta bort alla användarens appdata från enheten.
Som apputvecklare kan du dra nytta av länkade identiteter på HoloLens med hjälp av api:erna för Windows Account Manager, precis som på andra Windows-enheter. Vissa kodexempel för dessa API:er är tillgängliga på GitHub: exempel på webbkontohantering.
Alla kontoavbrott som kan inträffa, till exempel att begära användarmedgivande för kontoinformation, tvåfaktorautentisering och så vidare, måste hanteras när appen begär en autentiseringstoken.
Om din app kräver en specifik kontotyp som inte har länkats tidigare kan appen be systemet att uppmana användaren att lägga till en. Den här begäran utlöser fönstret kontoinställningar för att starta som ett modalt underordnat till din app. För 2D-appar renderas det här fönstret direkt över mitten av appen. För Unity-appar tar den här begäran kort användaren ut ur din holografiska app för att återge det underordnade fönstret. Information om hur du anpassar kommandon och åtgärder i det här fönstret finns i WebAccountCommand Class.
Om din app använder andra typer av autentisering, till exempel NTLM, Basic eller Kerberos, kan du använda Windows autentiseringsgränssnitt för att samla in, bearbeta och lagra användarens autentiseringsuppgifter. Användarupplevelsen för att samla in dessa autentiseringsuppgifter liknar andra molndrivna kontoavbrott och visas som en underordnad app ovanpå din 2D-app eller pausar kort en Unity-app för att visa användargränssnittet.
Ett sätt att utveckla för HoloLens skiljer sig från att utveckla för Desktop är att OnlineIDAuthenticator API inte stöds fullt ut. Api:et returnerar en token om det primära kontot är i gott skick, men avbrott som de som beskrivs i den här artikeln visar inget användargränssnitt för användaren och kan inte autentisera kontot korrekt.
Windows Hello för företag (som stöder användning av en PIN-kod för att logga in) stöds för HoloLens (första generationen). Så här tillåter du inloggning med PIN-kod för Windows Hello för företag på HoloLens (första generationen):
- HoloLens-enheten måste hanteras av MDM.
- Du måste aktivera Windows Hello för företag för enheten. (Se instruktioner för Microsoft Intune.)
- På HoloLens-enheten kan användaren sedan använda Inställningar>Inloggningsalternativ>Lägg till PIN-kod för att konfigurera en PIN-kod.
Anteckning
Användare som loggar in med ett Microsoft-konto kan också konfigurera en PIN-kod i Inställningar>Inloggningsalternativ>Lägg till PIN-kod. Den här PIN-koden är associerad med Windows Helloi stället för Windows Hello för företag.
Läs mycket mer om användaridentitetsskydd och autentisering på säkerhets- och identitetsdokumentationen för Windows 10.
Läs mer om hur du konfigurerar hybrididentitetsinfrastruktur via dokumentationen om Azure Hybrid-identiteter.