無管理員作業系統

• 適用於:

  HoloLens (1st gen), HoloLens 2

HoloLens 2藉由停用 Administrators 群組的支援，並限制所有協力廠商 UWP 應用程式程式碼只以 AppContainer 沙箱內的標準使用者身分執行，將許可權提升的介面區降至最低。 除了所有 AppContainers 可存取的資源之外，此程式碼只會授與應用程式內明確資訊清單的功能所保護的資源存取權。 這些應用程式功能會繼續有三層式分類模型：

• 一般
• 受限制
• Windows

Windows 元件也可以透過系統 UWP 利用 AppContainer 沙箱。 若要深入瞭解 UWP) 通用 Windows 平臺 (，請參閱UWP 檔。 此外，具有更高許可權的 Windows 元件需要 (，例如瀏覽器內容頁面或剖析器，) 使用較少特殊許可權的 AppContainer (LPAC) 沙箱，這可減少存取所有 AppContainers 可存取的資源集。

裝置擁有者

最後，只允許「裝置擁有者」執行特定全裝置作業，例如將裝置加入租使用者或使用者管理。 透過下列步驟之一，裝置上的使用者會填入此群組：

• 裝置上的第一個使用者一律會指定擁有者。

重要

對於Microsoft Entra使用者，此規則的例外狀況是，如果裝置Microsoft Entra透過 Autopilot 或大量Microsoft Entra註冊加入，則會使用非實際使用者。 在此情況下，除非該使用者具有Azure 入口網站中指派的「全域管理員」或「裝置系統管理員」角色，否則無法自動將裝置擁有者登入裝置的第一個Microsoft Entra使用者。 如需詳細資訊，請參閱下列附注。

• 當使用者從裝置上的另一個擁有者，將使用者升階為設定 UX 的擁有者時。
• 如果裝置擁有者已無法使用， (離開公司) 且裝置 Microsoft Entra已加入，租使用者管理員可以將裝置擁有者變更為Azure 入口網站中的新使用者。 Microsoft Entra租使用者的全域系統管理員和裝置系統管理員會隱含地以裝置上的擁有者身分登入，而不需要上述其中一個步驟。

IT 系統管理員可以管理哪些應用程式可以透過 隱私 策略存取。

注意

To understand more about who is made a device owner on a Microsoft Entra joined device, see “Assign Local Admin” documentation (but read ‘local admin’ as ‘device owner’ since admin does not exist on HoloLens).