無系統管理員作業系統
HoloLens 2 藉由停用 Administrators 群組的支援,並將所有第三方 UWP 應用程式程式代碼限制為只在 AppContainer 沙箱中以標準使用者身分執行,將許可權提升的介面區降到最低。 除了所有 AppContainers 可存取的資源之外,此程式代碼只會授與應用程式中明確顯示的功能所保護之資源的存取權。 這些應用程式功能會繼續有三層式分類模型:
- 常規
- 限制
- 窗戶
Windows 元件也可以透過系統 UVP 利用 AppContainer 沙箱。 若要深入瞭解通用 Windows 平臺 (UWP),請參閱 UWP 檔。 此外,具有更高許可權縮減需求的 Windows 元件(例如瀏覽器內容頁面或剖析器)使用較少許可權的 AppContainer (LPAC) 沙箱,這會切斷存取所有 AppContainers 可存取的資源集。
裝置擁有者
最後,只有「裝置擁有者」才允許執行特定的全裝置作業,例如將裝置加入租用戶或使用者管理。 透過下列步驟之一,裝置上的使用者會填入此群組:
- 裝置上的第一個使用者一律會指定「擁有者」。
重要
對於Microsoft Entra 使用者,此規則的例外狀況是,如果裝置 Microsoft是透過 Autopilot 或大量Microsoft Entra 註冊加入的,它會使用非實際使用者。 在此情況下,除非該使用者在 Azure 入口網站中指派「全域管理員」或「Microsoft已加入 Entra 的裝置本機系統管理員」角色,否則第一 Microsoft個登入裝置的 Entra 使用者可能不會自動成為裝置擁有者。 如需詳細資訊,請參閱下列附注。
- 當使用者從裝置上的另一個擁有者從 [設定UX] 升階為擁有者時。
- 如果裝置擁有者已無法使用(離開公司),且裝置已Microsoft加入 Entra,則租用戶系統管理員可以將裝置擁有者變更為 Azure 入口網站中的新使用者。 Microsoft Entra 租使用者的全域管理員和Microsoft已加入 Entra 的裝置本機系統管理員,會隱含地以裝置上的擁有者身分登入,而不需要先前的步驟之一。
IT 系統管理員可以透過 隱私權 原則來管理哪些應用程式可以存取。
注意
若要深入瞭解誰在已加入Microsoft的裝置上成為裝置擁有者,請參閱 「指派本機系統管理員」檔(但讀取「本機系統管理員」為「裝置擁有者」,因為系統管理員不存在 HoloLens 上)。
重要
Microsoft建議您使用具有最少許可權的角色。 使用較低許可權的帳戶可協助改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。