无管理员操作系统
HoloLens 2 通过禁用对 Administrators 组的支持并将所有第三方 UWP 应用程序代码限制为仅在 AppContainer 沙盒中作为标准用户执行,从而最大程度地减少特权提升的外围应用。 除了可供所有 AppContainers 访问的资源之外,此代码仅授予对应用程序中显式显示的功能保护的那些资源的访问权限。 这些应用程序功能继续具有三层分类模型:
- 常规
- 限制
- 窗户
Windows 组件还可以通过系统 UVP 利用 AppContainer 沙盒。 若要详细了解通用 Windows 平台(UWP),请参阅 UWP 文档。 此外,具有更高特权减少需求的 Windows 组件(如浏览器内容页或分析程序)使用更少的特权 AppContainer (LPAC) 沙盒,从而切断了对所有 AppContainers 可访问的资源集的访问。
设备所有者
最后,仅允许“设备所有者”执行特定的设备范围操作,例如将设备加入租户或用户管理。 此组由设备上的用户通过以下步骤之一填充:
- 设备上的第一个用户始终被指定为所有者。
重要
对于Microsoft Entra 用户,此规则的例外是,如果设备Microsoft通过 Autopilot 加入的 Entra 或批量Microsoft Entra 注册(使用非真实用户)。 在这种情况下,除非该用户具有 Azure 门户中分配的“全局管理员”或“Microsoft已加入 Entra 的设备本地管理员”角色,否则无法自动将登录设备的第一个Microsoft用户设为设备所有者。 有关详细信息,请参阅下面的说明。
- 当用户从设备上的另一个所有者的“设置 UX”提升为“所有者”时。
- 如果设备所有者不再可用(离开公司),并且设备Microsoft已加入 Entra,则租户管理员可以将设备所有者更改为 Azure 门户中的新用户。 Microsoft Entra 租户的全局管理员和Microsoft已加入 Entra 的设备本地管理员以所有者身份隐式登录,而无需执行上述任一步骤。
IT 管理员可以通过 隐私 策略来管理哪些应用可以访问。
注意
若要详细了解谁在已加入 Microsoft Entra 的设备上成为设备所有者,请参阅 “分配本地管理员”文档(但读取“本地管理员”作为“设备所有者”,因为 HoloLens 上不存在管理员)。
重要
Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个高度特权的角色,当无法使用现有角色时,该角色应仅限于紧急方案。