Administrationslöst operativsystem
HoloLens 2 minimerar ytan för behörighetseskalering genom att inaktivera stöd för gruppen Administratörer och begränsa all UWP-programkod från tredje part till att endast köras som standardanvändare i sandbox-miljön i AppContainer. Den här koden beviljas endast åtkomst till de resurser som skyddas av funktioner som uttryckligen visas i programmet för en icke-relevant användare utöver resurser som är tillgängliga för alla AppContainers. Dessa programfunktioner fortsätter att ha klassificeringsmodellen med tre nivåer:
- Allmänt
- Begränsad
- Windows
Windows-komponenter kan också använda sandbox-miljön AppContainer via System UWPs. Mer information om UWP (Universal Windows Platform) finns i UWP-dokumentation. Dessutom använder Windows-komponenter med större behörighetsminskningsbehov (t.ex. webbläsarinnehållssidor eller parsers) sandbox-miljön Mindre privilegierad AppContainer (LPAC), vilket minskar åtkomsten till den uppsättning resurser som är tillgängliga för alla AppContainers.
Enhetsägare
Slutligen är körning av specifika enhetsomfattande åtgärder, till exempel att ansluta enheten till en klientorganisation eller användarhantering, endast tillåtet för "enhetsägare". Den här gruppen fylls i av användare på enheten genom något av följande steg:
- Den första användaren på enheten är alltid utsedd till ägare.
Viktig
För Microsoft Entra-användare är undantaget till den här regeln att om enheten är Microsoft Entra-ansluten via Autopilot eller massregistrering av Microsoft Entra, som använder en icke-verklig användare. I det här fallet kanske den första Microsoft Entra-användaren som loggar in på enheten inte blir enhetsägare automatiskt om inte användaren har rollen "Global administratör" eller "Microsoft Entra-ansluten lokal administratör för enhet" tilldelad i Azure-portalen. Mer information finns i anteckningen nedan.
- När en användare befordras till ägare från inställningsgränssnittet av en annan ägare på enheten.
- Om enhetsägaren inte längre är tillgänglig (lämnar företaget) och enheten är Microsoft Entra-ansluten kan innehavaradministratören ändra enhetsägaren till en ny användare i Azure-portalen. Globala administratörer och Microsoft Entra-anslutna lokala enhetsadministratörer för en Microsoft Entra-klientorganisation är implicit inloggade som ägare på enheten utan att behöva något av föregående steg.
IT-administratörer kan hantera vilka appar som kan kommas åt via Sekretess principer.
Not
Mer information om vem som blir enhetsägare på en Microsoft Entra-ansluten enhet finns i dokumentationen "Tilldela lokal administratör" (men läs "lokal administratör" som "enhetsägare" eftersom administratören inte finns på HoloLens).
Viktig
Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för