管理 HoloLens 的用户标识和登录
注意
本文是面向 IT 专业人员和技术爱好者的技术参考。 如果你正在寻找 HoloLens 设置说明,请参阅“设置 HoloLens(第 1 代)”或“设置 HoloLens 2”。
提示
HoloLens 2配置为已加入Microsoft Entra ID的设备,不支持本地 Active Directory。 在大多数情况下,可以使用托管 Entra ID 标识或联合 Entra ID 标识执行身份验证。 但是,如果联合身份验证服务导致身份验证质询,应确保能够从“仅已加入 Entra ID”Windows 10或Windows 11电脑登录。 许多身份验证问题是由于 Entra ID 仅配置造成的,而不是 HoloLens 特定的问题。 从Windows 10或 Windows 电脑中排查这些挑战要简单得多。
我们来讨论如何设置 HoloLens 2 的用户标识
与其他 Windows 设备一样,HoloLens 始终在用户上下文中运行。 始终存在用户标识。 HoloLens 对标识的处理方式与Windows 10或Windows 11设备几乎相同。 在设置过程中登录会在 HoloLens 上创建一个存储应用和数据的用户配置文件。 同一帐户还通过使用 Windows 帐户管理器 API 为应用(如 Microsoft Edge 或 Dynamics 365 Remote Assist)提供单一登录。
HoloLens 支持多种用户标识。 可以选择这三种帐户类型中的任何一种,但我们强烈建议Microsoft Entra ID,因为它最适合管理设备。 只有Microsoft Entra帐户支持多个用户。
| 标识类型 | 每个设备的帐户数 | 身份验证选项 |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft 帐户 (MSA) | 1 |
|
| 本地帐户3 | 1 | 密码 |
| 共享Microsoft Entra ID | 1 | Certificate-Based 身份验证 (CBA) |
(Microsoft Entra ID 和 MSA) 云连接的帐户提供更多功能,因为它们可以使用 Azure 服务。
重要
1 - Microsoft Entra ID P1 或 P2 无需登录设备。 但是,基于云的低接触部署的其他功能(如自动注册和 Autopilot)需要使用它。
注意
2 - 虽然HoloLens 2设备最多可以支持 63 个Microsoft Entra帐户以及一个系统帐户,但最多只能有 10 个帐户注册 Iris 身份验证。 这与适用于 Windows Hello 企业版的其他生物特征身份验证选项一致。 虽然 Iris 身份验证中可能注册了 10 个以上的帐户,但这会增加误报率,不建议这样做。
重要
3 - 只能在 OOBE 期间通过预配程序包在设备上设置本地帐户,无法之后在设置应用中添加本地帐户。 如果要在已设置的设备上使用本地帐户,则需要 重新刷写或重置设备。
帐户类型如何影响登录行为?
如果应用登录策略,则会始终遵循该策略。 如果未应用登录策略,则每种帐户类型的默认行为如下:
- Microsoft Entra ID:默认要求进行身份验证,并通过“设置”进行配置,以便不再请求身份验证。
- Microsoft 帐户:锁定行为不同,允许自动解锁,但在重启时仍需进行登录身份验证。
- 本地帐户:始终要求以密码形式进行身份验证,无法在“设置”中配置
注意
当前不支持非活动状态计时器,这意味着仅当设备进入待机状态时才遵循 AllowIdleReturnWithoutPassword 策略。
Iris 登录
HoloLens 生物识别数据收集
生物识别数据 (包括头/手/眼运动、虹膜扫描) ,该设备收集用于校准、改善可靠的交互并增强用户体验。 与其他 Windows 设备一样,设备上的第三方应用可能会访问设备上的数据,以提供某些功能和功能。 若要详细了解许可协议和 Microsoft 隐私声明,请转到“设置”中的“隐私”部分。
HoloLens Iris 登录是基于Windows Hello构建的。 HoloLens 仅存储用于在本地设备上安全实现Windows Hello的生物识别数据。 生物数据不会漫游,并且从不发送到外部设备或服务器。 由于 Windows Hello 仅在设备上存储生物识别标识数据,因此不存在攻击者可以损害以窃取生物识别数据的单个集合点。
HoloLens 根据存储的位代码执行 iris 身份验证。 用户可以完全控制是否注册其用户帐户进行 Iris 登录进行身份验证。 IT 管理员可以通过其 MDM 服务器禁用Windows Hello功能。 请参阅管理组织中的Windows Hello 企业版。
注意
共享Microsoft Entra ID帐户不支持 HoloLens 上的 Iris 登录。 有关使用共享Microsoft Entra帐户的优点和限制的详细信息。
鸢尾花常见问题
如何在 HoloLens 2 上实现虹膜生物特征身份验证?
HoloLens 2 支持虹膜身份验证。 Iris 基于Windows Hello技术,支持Microsoft Entra ID和 Microsoft 帐户使用。 虹膜的实现方式与其他 Windows Hello 技术相同,并实现了 1/100K 的生物特征识别安全性 FAR。
有关详细信息,请参阅 Windows Hello的生物特征识别要求和规范。 了解有关 Windows Hello 和 Windows Hello 企业版的详细信息。
虹膜生物特征信息存储在何处?
虹膜生物特征信息根据 Windows Hello 规范本地存储在每台 HoloLens 上。 它不是共享的,受两层加密的保护。 其他用户(甚至管理员)无法访问它,因为 HoloLens 上没有管理员帐户。
是否必须使用虹膜身份验证?
否,可以在设置过程中跳过此步骤。
HoloLens 2 提供许多不同的身份验证选项,包括 FIDO2 安全密钥。
是否可以从 HoloLens 中删除虹膜信息?
是,可以在“设置”中手动将其删除。
设置用户
可采用两种方法在 HoloLens 上设置新用户。 最常见的方法是在 HoloLens 开箱体验 (OOBE) 期间进行设置。 如果使用 Microsoft Entra ID,其他用户可以在 OOBE 后使用其Microsoft Entra凭据登录。 在 OOBE 期间最初使用 MSA 或本地帐户设置的 HoloLens 设备不支持多个用户。 请参阅设置 HoloLens(第 1 代)或 HoloLens 2。
如果使用企业或组织帐户登录 HoloLens,HoloLens 会注册到组织的 IT 基础结构中。 此注册使 IT 管理员能够配置移动设备管理 (MDM),以将组策略发送到 HoloLens。
与其他设备上的 Windows 一样,在安装过程中登录会在设备上创建一个用户配置文件。 用户配置文件用于存储应用和数据。 同一帐户还通过使用 Windows 帐户管理器 API 为应用(如 Microsoft Edge 或 Microsoft Store)提供单一登录。
默认情况下,与其他Windows 10设备一样,在 HoloLens 重启或从待机状态恢复时,必须重新登录。 可以使用设置应用更改此行为,也可以由组策略控制此行为。
提示
如果多个用户使用设备,请务必保持面罩清洁。 有关如何清洁设备的详细信息,请参阅HoloLens 2清洁常见问题解答。 建议清理每个用户之间的遮阳板。 如果使用 Iris 身份验证,此最佳做法尤其重要。
关联的帐户
与 Windows 桌面版一样,可以将其他 Web 帐户凭据链接到 HoloLens 帐户。 通过此类链接,可以更轻松地跨应用或在应用内(例如 Store)访问资源或合并个人和工作资源的访问权限。 将帐户连接到设备后,可以向应用授予使用设备的权限,这样就不必单独登录到每个应用。
链接帐户不会分离设备上创建的用户数据,例如图像或下载。
仅) 设置多用户支持 (Microsoft Entra
HoloLens 支持来自同一Microsoft Entra租户的多个用户。 若要使用此功能,必须使用属于组织的帐户来设置设备。 随后,来自同一租户的其他用户可以从登录屏幕或通过点击“开始”面板上的用户磁贴登录设备。 一次仅一位用户可以登录。 用户登录时,HoloLens 会注销前一位用户。
重要
设备上的第一个用户被视为设备所有者,除非Microsoft Entra加入,否则请详细了解设备所有者。
所有用户都可以使用设备上安装的应用。 但是,每位用户都有自己的应用数据和偏好设置。 从设备中删除某个应用会为所有用户删除该应用。
注意
对于在多个用户之间共享的设备,另一个选项是在设备上创建共享Microsoft Entra ID帐户。 有关如何在设备上配置此帐户的详细信息,请参阅 HoloLens 中的共享Microsoft Entra帐户。
使用 Microsoft Entra 帐户设置的设备不允许使用 Microsoft 帐户登录到设备。 使用的所有后续帐户都必须是设备来自同一租户Microsoft Entra帐户。 你仍可以使用 Microsoft 帐户登录到支持该帐户的应用(例如 Microsoft Store)。 若要从使用 Microsoft Entra 帐户更改为 Microsoft 帐户以登录到设备,必须重新刷写设备。
注意
HoloLens (第一代) 在 2018 年 4 月Windows 10更新中开始支持多个Microsoft Entra用户,这是Windows Holographic for Business的一部分。
登录屏幕上列出多位用户
以前,登录屏幕只显示最近登录的用户和“其他用户”入口点。 我们已收到客户反馈,如果多位用户已登录到设备,这是不够的。 他们仍然需要重新键入其用户名等。
在 Windows Holographic 版本 21H1 中引入,在选择“PIN”输入字段右侧的 “其他用户 ”时,“登录”屏幕显示以前已登录到设备的多个用户。 这允许用户选择其用户配置文件,然后使用其 Windows Hello 凭据登录。 还可在此“其他用户”页面通过“添加帐户”按钮向设备添加新用户。
在“ 其他用户 ”菜单中,“ 其他用户 ”按钮显示登录设备的最后一个用户。 选择此按钮可返回到此用户的登录屏幕。
删除用户
可通过转到“设置”>“帐户”>“其他人”,从设备删除用户。 此操作还通过从设备中删除该用户的所有应用数据来回收空间。
在应用中使用单一登录
作为一名应用开发人员,你可以通过使用 Windows 帐户管理器 API 来利用 HoloLens 上的链接标识,就像在其他 Windows 设备上一样。 可在 GitHub 上获取有关这些 API 的一些代码示例:Web 帐户管理示例。
当应用请求身份验证令牌时,必须处理可能会发生的任何帐户中断,例如请求用户同意获取帐户信息、双因素身份验证等。
如果应用需要之前未链接的特定帐户类型,则可以要求系统提示用户添加此帐户类型。 此请求会触发帐户设置窗格作为应用的子模式启动。 对于 2D 应用,此窗口直接呈现在应用的中心位置。 对于 Unity 应用,此请求会暂时让用户从全息应用退出,以呈现子窗口。 有关如何自定义此窗格上的命令和操作的信息,请参阅 WebAccountCommand 类。
企业和其他身份验证
如果应用使用其他类型的身份验证(如 NTLM、Basic 或 Kerberos),你可以使用 Windows 凭据 UI 收集、处理和存储用户的凭据。 收集这些凭据的用户体验类似于其他云驱动的帐户中断,并显示为 2D 应用顶部的子应用,或短暂挂起 Unity 应用以显示 UI。
弃用的 API
针对 HoloLens 进行开发与针对桌面开发的不同之处在于 OnlineIDAuthenticator API 不受完全支持。 尽管如果主帐户处于良好状态,API 会返回令牌,但诸如本文中所述的中断不会为用户显示任何 UI,并且无法正确验证帐户。
holoLens (第一代) 上的Windows Hello 企业版支持
HoloLens(第 1 代)支持 Windows Hello 企业版(支持使用 PIN 登录)。 若要允许在 HoloLens 上Windows Hello 企业版 PIN 登录, (第一代) :
- HoloLens 设备必须由 MDM 管理。
- 必须为设备启用 Windows Hello 企业版。 (请参阅有关 Microsoft Intune 的说明。)
- 在 HoloLens 设备上,用户可以使用 “设置”>登录选项>“添加 PIN 来设置 PIN。
注意
使用 Microsoft 帐户登录的用户也可以在“设置”>“登录选项”>“添加 PIN”中设置 PIN。 此 PIN 与 Windows Hello 而非 Windows Hello 企业版相关联。
其他资源
有关用户标识保护和身份验证的详细信息,请参阅 Windows 10 安全性和标识文档。
通过 Azure 混合标识文档详细了解如何设置 混合标识基础结构。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈