管理 HoloLens 的使用者身分識別和登入
注意
本文是 IT 專業人員和技術愛好者的技術參考。 如果您要尋找 HoloLens 設定指示,請閱讀「設定 HoloLens (第 1 代) 」或「設定您的 HoloLens 2」。
提示
HoloLens 2 設定為已加入 Microsoft Entra ID 裝置,且不支持內部部署 Active Directory。 在大部分情況下,可以使用受控專案標識碼識別或同盟專案標識碼識別來執行驗證。 不過,如果您的同盟服務造成驗證挑戰,您應該確定您可以從 [僅加入專案標識符] Windows 10 或 Windows 11 計算機登入。 許多驗證問題都是只有 Entra ID 組態的結果,而不是 HoloLens 特定問題。 從 Windows 10 或 Windows 計算機對這些挑戰進行疑難解答會比較簡單。
讓我們討論如何設定 HoloLens 2 的使用者身分識別
與其他 Windows 裝置一樣,HoloLens 一律會在用戶內容下運作。 一律會有使用者身分識別。 HoloLens 會以幾乎與 Windows 10 或 Windows 11 裝置相同的方式來處理身分識別。 在安裝期間登入會在 HoloLens 上建立使用者配置檔,以儲存應用程式和數據。 相同的帳戶也會使用 Windows 帳戶管理員 API 為應用程式提供單一登錄,例如 Microsoft Edge 或 Dynamics 365 Remote Assist。
HoloLens 支援數種使用者身分識別。 您可以選擇這三種帳戶類型中的任何一種,但強烈建議您 Microsoft Entra ID,因為最適合管理裝置。 只有 Microsoft Entra 帳戶支援多個使用者。
| 身分識別類型 | 每個裝置的帳戶 | 驗證選項 |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft 帳戶 (MSA) | 1 |
|
| 本機帳戶3 | 1 | 密碼 |
| 共用 Microsoft Entra ID | 1 | Certificate-Based 驗證 (CBA) |
雲端連線的帳戶 (Microsoft Entra ID 和 MSA) 提供更多功能,因為它們可以使用 Azure 服務。
重要
1 - Microsoft Entra ID P1 或 P2 不需要登入裝置。 不過,需要低觸控雲端式部署的其他功能,例如自動註冊和 Autopilot。
注意
2 - 雖然 HoloLens 2 裝置最多可支援 63 個 Microsoft Entra 帳戶,以及總共 64 個帳戶的一個系統帳戶,但最多 10 個帳戶應該註冊鳶尾花驗證。 這與 Windows Hello 企業版的其他生物特徵辨識驗證選項一致。 雖然在鳶尾花驗證中可能會註冊超過 10 個帳戶,但這會增加誤判率,不建議這麼做。
重要
3 - 本機帳戶只能在裝置上透過 OOBE 期間的布建套件進行設定,稍後無法在設定應用程式中新增。 如果您想要在已設定的裝置上使用本機帳戶,您需要 重新快顯或重設裝置。
帳戶類型如何影響登入行為?
如果套用登入原則,您需要隨時遵守原則。 如果未套用登入原則,這些是每個帳戶類型的預設行為:
- Microsoft Entra ID:預設會要求驗證,且設定可設定為不再要求驗證。
- Microsoft 帳戶:鎖定行為不同,允許自動解除鎖定,不過重新啟動時仍然需要登入驗證。
- 本機帳戶:一律會以密碼形式要求驗證,無法在 [設定] 中設定
注意
目前不支援非活動定時器,這表示只有在裝置進入 StandBy 時, 才會遵守 AllowIdleReturnWithoutPassword 原則。
鳶尾花登入
HoloLens 的生物特徵辨識數據收集
生物特徵辨識數據 (包括頭部/手/眼部移動、鳶尾花掃描) 用於校正、改善可靠互動,以及增強用戶體驗。 如同其他 Windows 裝置,裝置上的第三方應用程式可能會存取裝置上的數據,以便提供特定功能和功能。 如需許可協定和 Microsoft 隱私聲明的詳細資訊,請移至 [設定] 中的 [隱私權] 區段。
HoloLens Iris 登入建置在 Windows Hello 之上。 HoloLens 只會儲存用來安全地在本機裝置上實作 Windows Hello 生物特徵辨識數據。 生物特徵辨識資料不會漫遊,也不會傳送至外部裝置或伺服器。 由於 Windows Hello 僅在裝置上儲存生物特徵辨識資料,因此攻擊者無法利用單一集合點來竊取生物特徵辨識資料。
HoloLens 會根據預存位碼執行鳶尾花驗證。 用戶可完全控制是否註冊其用戶帳戶以進行鳶尾花登入以進行驗證。 IT 系統管理員可以透過其 MDM 伺服器停用 Windows Hello 功能。 請參閱管理組織中的 Windows Hello 企業版。
注意
共用 Microsoft Entra ID 帳戶不支援 HoloLens 上的鳶尾花登入。 如需使用共用 Microsoft Entra 帳戶的優點和限制的詳細資訊,請參閱。
常見問題
如何在 HoloLens 2 上實作鳶尾花生物特徵辨識驗證?
HoloLens 2 支援鳶尾花驗證。 鳶尾花是以 Windows Hello 技術為基礎,支援 Microsoft Entra ID 和 Microsoft 帳戶使用。 鳶尾花的實作方式與其他 Windows Hello 技術相同,並達到 1/100K 生物特徵辨識安全性 FAR。
如需詳細資訊,請參閱 Windows Hello 生物特徵辨識需求和規格。 深入瞭解 Windows Hello和 Windows Hello 企業版。
鳶尾花生物特徵辨識資訊儲存在哪裡?
鳶尾花生物特徵辨識資訊會儲存在每個 HoloLens 上,每個 Windows Hello 規格。 它不會共用,而且受到兩層加密的保護。 即使系統管理員也無法存取其他使用者,因為 HoloLens 上沒有系統管理員帳戶。
我是否需要使用鳶尾花驗證?
否,您可以在安裝期間略過此步驟。
HoloLens 2 提供許多不同的驗證選項,包括 FIDO2 安全性金鑰。
是否可以從 HoloLens 中移除鳶尾花資訊?
是,您可以在 [設定] 中手動將其移除。
設定使用者
在 HoloLens 上設定新使用者的方法有兩種。 最常見的方式是在 HoloLens 現成體驗期間, (OOBE) 。 如果使用 Microsoft Entra ID,其他使用者可以使用其 Microsoft Entra 認證登入 OOBE。 在 OOBE 期間,一開始以 MSA 或本機帳戶設定的 HoloLens 裝置不支援多個使用者。 請參閱設定 HoloLens (第 1 代) 或 HoloLens 2。
如果您使用企業或組織帳戶登入 HoloLens,HoloLens 會在組織的 IT 基礎結構中註冊。 此註冊可讓您的 IT 管理員 設定 Mobile 裝置管理 (MDM) ,以將組策略傳送至 HoloLens。
如同其他裝置上的 Windows,在安裝期間登入會在裝置上建立使用者配置檔。 使用者配置檔會儲存應用程式和數據。 相同的帳戶也會使用 Windows 帳戶管理員 API 為應用程式提供單一登錄,例如 Microsoft Edge 或 Microsoft Store。
根據預設,如同其他 Windows 10 裝置,您必須在 HoloLens 重新啟動或從待命恢復時再次登入。 您可以使用 [設定] 應用程式來變更此行為,或行為可由組策略控制。
提示
如果有多個使用者使用裝置,請務必讓 visor 保持乾淨。 如需如何清除裝置的詳細資訊,請參閱 HoloLens 2 清除常見問題。 建議您清除每個使用者之間的 visor。 如果您使用鳶尾花驗證,這個最佳做法特別重要。
連結的帳戶
如同 Windows 的桌面版本,您可以將其他 Web 帳戶認證連結至 HoloLens 帳戶。 這類連結可讓您更輕鬆地跨應用程式存取資源, (例如市集) 或結合個人和工作資源的存取權。 將帳戶連線到裝置之後,您可以將使用裝置的許可權授與應用程式,如此您就不需要個別登入每個應用程式。
鏈接帳戶不會分隔裝置上建立的用戶數據,例如影像或下載。
僅設定多用戶支援 (Microsoft Entra)
HoloLens 支援來自相同 Microsoft Entra 租使用者的多個使用者。 若要使用這項功能,您必須使用屬於貴組織的帳戶來設定裝置。 之後,來自相同租使用者的其他使用者可以從登入畫面或點選 [開始] 面板上的使用者磚登入裝置。 一次只能登入一個使用者。 當使用者登入時,HoloLens 會註銷先前的使用者。
重要
裝置上的第一位使用者會被視為裝置擁有者,但 Microsoft Entra 加入的情況下,請深入瞭解裝置擁有者。
所有使用者都可以使用安裝在裝置上的應用程式。 不過,每個使用者都有自己的應用程式數據和喜好設定。 從裝置移除應用程式會移除所有使用者的應用程式。
注意
在多位用戶之間共用的裝置,另一個選項是在裝置上建立共用 Microsoft Entra ID 帳戶。 如需如何在裝置上設定此帳戶的詳細資訊,請參閱 HoloLens 中的共用 Microsoft Entra 帳戶。
使用 Microsoft Entra 帳戶設定的裝置不允許使用 Microsoft 帳戶登入裝置。 所有後續使用的帳戶都必須從與裝置相同的租使用者 Microsoft Entra 帳戶。 您仍然可以 使用 Microsoft 帳戶登入 支援 (的應用程式,例如 Microsoft Store) 。 若要從使用 Microsoft Entra 帳戶變更為 Microsoft 帳戶以登入裝置,您必須重新刷新裝置。
注意
HoloLens (第 1 代) 開始在 Windows 10 2018 年 4 月更新中支援多個 Microsoft Entra 使用者,作為 Windows Holographic for Business 的一部分。
登入畫面上會列出多個使用者
先前登入畫面只顯示最近登入的使用者,以及「其他使用者」進入點。 我們收到客戶的意見反應,指出如果多個使用者已登入裝置,就不夠。 他們仍然需要重新輸入其用戶名稱等。
在 Windows Holographic 21H1 版中引進,選取 [PIN 輸入] 字段右側的 [ 其他使用者 ] 時,[登入] 畫面會顯示先前已登入裝置的多個使用者。 這可讓使用者選取其使用者配置檔,然後使用其 Windows Hello 認證登入。 您也可以透過 [新增帳戶] 按鈕,從這個其他用戶頁面將新的使用者新增至裝置。
在 [ 其他使用者 ] 功能表中,[ 其他使用者 ] 按鈕會顯示上次登入裝置的使用者。 選取此按鈕以返回此使用者的登入畫面。
拿掉使用者
您可以移至 [ 設定>帳戶>] [其他人],從裝置移除使用者。 此動作也會藉由從裝置移除所有使用者的應用程式數據來回收空間。
在應用程式中使用單一登錄
身為應用程式開發人員,您可以使用 Windows 帳戶管理員 API,利用 HoloLens 上連結的身分識別,就像在其他 Windows 裝置上一樣。 GitHub 上提供這些 API 的一些程式代碼範例: Web 帳戶管理範例。
當應用程式要求驗證令牌時,必須處理可能發生的任何帳戶中斷,例如要求使用者同意帳戶資訊、雙因素驗證等等。
如果您的應用程式需要先前尚未連結的特定帳戶類型,您的應用程式可以要求系統提示使用者新增一個帳戶類型。 此要求會觸發帳戶設定窗格,以啟動為應用程式的強制回應子系。 針對 2D 應用程式,此視窗會直接呈現在應用程式的中央。 對於 Unity 應用程式,此要求會短暫地讓用戶離開全像攝影應用程式,以轉譯子視窗。 如需自定義此窗格上命令和動作的相關信息,請參閱 WebAccountCommand類別。
企業和其他驗證
如果您的應用程式使用其他類型的驗證,例如 NTLM、Basic 或 Kerberos,您可以使用 Windows 認證 UI 來收集、處理及儲存使用者的認證。 收集這些認證的用戶體驗類似於其他雲端驅動帳戶中斷,並顯示為 2D 應用程式上方的子應用程式,或短暫暫停 Unity 應用程式以顯示 UI。
已被取代的 API
針對 HoloLens 進行開發的其中一種方式與針對桌面開發不同,就是不支援 OnlineIDAuthenticator API。 雖然 API 會在主要帳戶處於良好位置時傳回令牌,但本文所述的中斷不會向用戶顯示任何 UI,而且無法正確驗證帳戶。
HoloLens (第 1 代) 上的 Windows Hello 企業版 支援
HoloLens (第 1 代) 支援使用 PIN 登入) 的 Windows Hello 企業版 (。 若要在 HoloLens (第 1 代) 上允許 Windows Hello 企業版 PIN 登入:
- HoloLens 裝置必須由 MDM 管理。
- 您必須為裝置啟用 Windows Hello 企業版。 (請參閱 Microsoft Intune 的指示。)
- 在 HoloLens 裝置上,使用者接著>可以使用 [設定登入選項>] [新增 PIN] 來設定 PIN。
注意
使用 Microsoft 帳戶登入的使用者也可以在 [設定登入選項>] [新增 PIN] 中>設定 PIN。 此 PIN 與 Windows Hello 相關聯,而不是 Windows Hello 企業版。
其他資源
深入瞭解 Windows 10 安全性和身分識別檔上的使用者身分識別保護和驗證。
透過 Azure 混合式身分識別檔深入瞭解如何設定混合式身分識別基礎結構。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應