Správa identity uživatele a přihlášení pro HoloLens
Poznámka
Tento článek je technická reference pro IT profesionály a technické nadšence. Pokud hledáte pokyny k nastavení HoloLensu, přečtěte siNastaveníHoloLens (1. generace) nebo "Nastavení HoloLens 2".
Spropitné
HoloLens 2 je nakonfigurované jako zařízení připojené k Microsoft Entra ID a nepodporuje místní službu Active Directory. Ve většině případů je možné ověřování provést pomocí spravované identity ID Entra nebo identity federovaného ID Entra. Pokud ale vaše federační služba způsobuje problémy s ověřováním, měli byste se ujistit, že se můžete přihlásit jenom z počítače s Windows 10 nebo Windows 11 připojeným k Entra ID. Mnoho problémů s ověřováním je výsledkem konfigurace pouze ID Entra, nikoli kvůli konkrétnímu problému s HoloLensem. Řešení těchto problémů je mnohem jednodušší z počítače s Windows 10 nebo Windows.
Pojďme si promluvit o nastavení identity uživatele pro HoloLens 2.
Stejně jako ostatní zařízení s Windows holoLens vždy pracuje v kontextu uživatele. Vždy existuje identita uživatele. HoloLens považuje identitu téměř stejným způsobem jako zařízení s Windows 10 nebo Windows 11. Přihlášení během instalace vytvoří profil uživatele na HoloLensu, který ukládá aplikace a data. Stejný účet také poskytuje jednotné přihlašování pro aplikace, jako je Microsoft Edge nebo Dynamics 365 Remote Assist, pomocí rozhraní API Správce účtů Systému Windows.
HoloLens podporuje několik druhů identit uživatelů. Můžete si vybrat libovolný z těchto tří typů účtů, ale důrazně doporučujeme, aby bylo id Microsoft Entra nejlepší pro správu zařízení. Více uživatelů podporují jenom účty Microsoft Entra.
Typ identity | Účty na zařízení | Možnosti ověřování |
---|---|---|
Microsoft Entra ID1 | 63 |
|
účtu Microsoft (MSA) | 1 |
|
místní účet3 | 1 | Heslo |
Shared Microsoft Entra ID | 1 | ověřování Certificate-Based (CBA) |
Účty připojené ke cloudu (Microsoft Entra ID a MSA) nabízejí více funkcí, protože můžou využívat služby Azure.
Důležitý
1 – Microsoft Entra ID P1 nebo P2 se nevyžaduje pro přihlášení k zařízení. Vyžaduje se ale i pro další funkce cloudového nasazení s nízkým dotykovým ovládáním, jako je automatická registrace a Autopilot.
Poznámka
2 – Zařízení HoloLens 2 může podporovat až 63 účtů Microsoft Entra a také jeden systémový účet pro celkem 64 účtů, ale pouze 10 z těchto účtů by se mělo zaregistrovat do ověřování Iris. To je v souladu s dalšími možnostmi biometrického ověřování pro Windows Hello pro firmy. I když do ověřování Iris může být zaregistrovaných více než 10 účtů, zvyšuje se míra falešně pozitivních výsledků a nedoporučuje se.
Důležitý
3 – Místní účet je možné nastavit pouze na zařízení prostřednictvím zřizovacího balíčku běhemOOBE , nelze ho přidat později v aplikaci nastavení. Pokud chcete použít místní účet na zařízení, které je už nastavené, musíte reflash nebo resetovat zařízení.
Jaký vliv má typ účtu na chování při přihlašování?
Pokud použijete zásady pro přihlášení, zásada se vždy respektuje. Pokud se nepoužijí žádné zásady pro přihlášení, jedná se o výchozí chování pro každý typ účtu:
Microsoft Entra ID: ve výchozím nastavení žádá o ověření a je možné ho konfigurovat pomocí Nastavení , aby se už nepožádá o ověření. - účtu Microsoft: Chování zámku se liší tím, že umožňuje automatické odemknutí, ale při restartování se stále vyžaduje ověřování přihlášení.
místní účet : vždy žádá o ověření ve formě hesla, není možné konfigurovat v nastavení
Poznámka
Časovače nečinnosti se v současné době nepodporují, což znamená, že zásady AllowIdleReturnWithoutPassword se respektují jenom v případě, že zařízení přejde do StandBy.
Přihlášení Iris
Biometrické shromažďování údajů od HoloLens
Biometrická data (včetně pohybů hlavy/ruky/očí, skenování duhovky), které toto zařízení shromažďuje, se používají ke kalibraci, ke zlepšení spolehlivých interakcí a k vylepšení uživatelského prostředí. Stejně jako u jiných zařízení s Windows můžou aplikace třetích stran na zařízení přistupovat k vašim datům na zařízení za účelem poskytování určitých funkcí a funkcí. Podrobnosti o licenční smlouvě a prohlášení o zásadách ochrany osobních údajů najdete v části Nastavení.
Přihlášení HoloLens Iris je postaveno na Windows Hello. HoloLens ukládá biometrická data, která se používají k zabezpečené implementaci Windows Hello pouze na místním zařízení. Biometrická data se neposílají a nikdy se neodesílají do externích zařízení nebo serverů. Vzhledem k tomu, že Windows Hello ukládá na zařízení jenom biometrická identifikační data, neexistuje žádný bod shromažďování, který by útočník mohl ohrozit krádež biometrických dat.
HoloLens provádí ověřování duhovky na základě uložených kódů bitů. Uživatelé mají úplnou kontrolu nad tím, jestli si zaregistrují svůj uživatelský účet pro přihlášení Iris k ověřování. Správci IT můžou zakázat funkce Windows Hello prostřednictvím serverů MDM. Viz Správa Windows Hello pro firmy ve vaší organizaci.
Poznámka
Sdílené účty ID Microsoft Entra nepodporují přihlášení Iris v HoloLensu. Další podrobnosti o výhodách a omezeních používání sdílených účtů Microsoft Entra.
Nejčastější dotazy k Iris
Jak se v HoloLens 2 implementuje biometrické ověřování Iris?
HoloLens 2 podporuje ověřování Iris. Iris je založená na technologii Windows Hello a podporuje se pro použití v účtech Microsoft Entra i účtů Microsoft. Iris se implementuje stejně jako ostatní technologie Windows Hello a dosahuje biometrické zabezpečení FAR 1/100K.
Další informace najdete v biometrických požadavcích a specifikacích pro Windows Hello. Přečtěte si další informace o Windows Hello a windows Hello pro firmy.
Kde jsou uložené biometrické informace Iris?
Biometrické informace Iris jsou uloženy místně na každém HoloLens na specifikace Windows Hello. Není sdílená a je chráněná dvěma vrstvami šifrování. Není přístupná jiným uživatelům, ani správci, protože v HoloLensu není žádný účet správce.
Musím použít ověřování Iris?
Ne, tento krok můžete během instalace přeskočit.
HoloLens 2 nabízí mnoho různých možností ověřování, včetně klíčů zabezpečení FIDO2.
Dají se informace o Iris odebrat z HoloLensu?
Ano, můžete ho ručně odebrat v Nastavení.
Nastavení uživatelů
Existují dva způsoby, jak nastavit nového uživatele v HoloLensu. Nejběžnějším způsobem je použití zařízení HoloLens (OOBE). Pokud používáte Microsoft Entra ID, ostatní uživatelé se můžou přihlásit po OOBE pomocí svých přihlašovacích údajů Microsoft Entra. Zařízení HoloLens, která jsou původně nastavená pomocí MSA nebo místního účtu během OOBE, nepodporují více uživatelů. Viz Nastavení HoloLens (1. generace) nebo HoloLens 2.
Pokud k přihlášení k HoloLensu použijete podnikový nebo organizační účet, HoloLens se zaregistruje do it infrastruktury organizace. Tato registrace umožňuje správci IT nakonfigurovat správu mobilních zařízení (MDM) tak, aby do vašeho HoloLensu odesílala zásady skupiny.
Podobně jako Windows na jiných zařízeních se při přihlašování během instalace vytvoří na zařízení profil uživatele. Profil uživatele ukládá aplikace a data. Stejný účet také poskytuje jednotné přihlašování pro aplikace, jako je Microsoft Edge nebo Microsoft Store, pomocí rozhraní API Správce účtů systému Windows.
Ve výchozím nastavení, stejně jako u jiných zařízení s Windows 10, se při restartování nebo obnovení HoloLensu z úsporného režimu musíte znovu přihlásit. Toto chování můžete změnit pomocí aplikace Nastavení nebo toto chování můžete řídit zásadami skupiny.
Spropitné
Pokud zařízení používá více než jeden uživatel, je důležité, aby byl visor čistý. Podrobnosti o čištění zařízení najdete v tématu Čištění HoloLens 2. Doporučujeme vyčistit visor mezi jednotlivými uživateli. Tento osvědčený postup je zvlášť důležitý, pokud používáte ověřování Iris.
Propojené účty
Stejně jako v desktopové verzi Windows můžete s účtem HoloLens propojit další přihlašovací údaje k webovému účtu. Takové propojení usnadňuje přístup k prostředkům v aplikacích nebo v aplikacích (například Ve Storu) nebo ke kombinování přístupu k osobním a pracovním prostředkům. Po připojení účtu k zařízení můžete udělit oprávnění k používání zařízení aplikacím, abyste se nemuseli k jednotlivým aplikacím přihlašovat jednotlivě.
Propojení účtů neodděluje uživatelská data vytvořená v zařízení, jako jsou obrázky nebo soubory ke stažení.
Nastavení podpory více uživatelů (pouze Microsoft Entra)
HoloLens podporuje více uživatelů ze stejného tenanta Microsoft Entra. Pokud chcete tuto funkci použít, musíte k nastavení zařízení použít účet, který patří vaší organizaci. Následně se ostatní uživatelé ze stejného tenanta můžou k zařízení přihlásit z přihlašovací obrazovky nebo klepnutím na dlaždici uživatele na panelu Start. Najednou se může přihlásit jenom jeden uživatel. Když se uživatel přihlásí, HoloLens odhlásí předchozího uživatele.
Důležitý
První uživatel na zařízení se považuje za vlastníka zařízení, s výjimkou případu připojení Microsoft Entra, další informace o vlastnících zařízení.
Všichni uživatelé můžou používat aplikace nainstalované v zařízení. Každý uživatel ale má svá vlastní data a předvolby aplikace. Odebrání aplikace ze zařízení ji odebere pro všechny uživatele.
Poznámka
Další možností pro zařízení, která jsou sdílená mezi více uživateli, je vytvořit na zařízení účet sdíleného ID Microsoft Entra. Podrobné informace o konfiguraci tohoto účtu na vašem zařízení najdete v tématu Sdílené účty Microsoft Entra v HoloLens.
Zařízení nastavená pomocí účtů Microsoft Entra neumožňují přihlášení k zařízení pomocí účtu Microsoft. Všechny následující účty musí být účty Microsoft Entra ze stejného tenanta jako zařízení. Stále se můžete přihlásit pomocí účtu Microsoft k aplikacím, které ho podporují (například Microsoft Store). Pokud chcete změnit používání účtů Microsoft Entra na účty Microsoft pro přihlášení k zařízení, musíte reflash zařízení.
Poznámka
HoloLens (1. generace) začal podporovat více uživatelů Microsoft Entra v Windows 10 Duben 2018 Update jako součást Windows Holographic for Business.
Na přihlašovací obrazovce je uvedeno více uživatelů.
Na přihlašovací obrazovce se dříve zobrazoval jenom naposledy přihlášený uživatel a vstupní bod Jiného uživatele. Obdrželi jsme zpětnou vazbu zákazníků, že není dostačující, pokud se k zařízení přihlásilo více uživatelů. Stále museli znovu zadávat svoje uživatelské jméno atd.
Představeno v Windows Holographic, verze 21H1, když vyberete Jiný uživatel, který se nachází napravo od pole pro zadání KÓDU PIN, přihlašovací obrazovka zobrazí více uživatelů s dříve přihlášenými k zařízení. To umožňuje uživatelům vybrat svůj profil uživatele a pak se přihlásit pomocí svých přihlašovacích údajů Windows Hello. Na zařízení se dá přidat také nový uživatel z této jiného uživatele stránce pomocí tlačítka Přidat účet.
Když v nabídce Jiní uživatelé, zobrazí se na tlačítku Ostatní uživatelé poslední přihlášený uživatel k zařízení. Výběrem tohoto tlačítka se vrátíte na přihlašovací obrazovku tohoto uživatele.
Odebrání uživatelů
Uživatele ze zařízení můžete odebrat tak, že přejdete na Nastavení>Účty>Jiní uživatelé. Tato akce také uvolní místo odebráním všech dat aplikace daného uživatele ze zařízení.
Použití jednotného přihlašování v aplikaci
Jako vývojář aplikací můžete využívat propojené identity na HoloLensu pomocí rozhraní API správce účtů systému Windows stejně jako na jiných zařízeních s Windows. Některé ukázky kódu pro tato rozhraní API jsou k dispozici na GitHubu: ukázku správy webových účtů.
Jakékoli přerušení účtu, ke kterému může dojít, například vyžádání souhlasu uživatele s informacemi o účtu, dvoufaktorové ověřování atd., se musí zpracovat, když aplikace požádá o ověřovací token.
Pokud vaše aplikace vyžaduje konkrétní typ účtu, který nebyl dříve propojený, může vaše aplikace požádat systém, aby uživatele požádal, aby ho přidal. Tento požadavek aktivuje podokno nastavení účtu, které se spustí jako modální podřízená položka vaší aplikace. U 2D aplikací se toto okno vykreslí přímo přes střed aplikace. U aplikací Unity tento požadavek stručně vynese uživatele z holografické aplikace, aby vykreslil podřízené okno. Informace o přizpůsobení příkazů a akcí v tomto podokně naleznete v tématu WebAccountCommand Třídy.
Podnikové a jiné ověřování
Pokud vaše aplikace používá jiné typy ověřování, jako je NTLM, Basic nebo Kerberos, můžete ke shromažďování, zpracování a ukládání přihlašovacích údajů uživatele použít
Zastaralá rozhraní API
Jedním ze způsobů, jak se vývoj pro HoloLens liší od vývoje pro Desktop, je to, že rozhraní API OnlineIDAuthenticator není plně podporované. I když rozhraní API vrátí token, pokud je primární účet v dobrém stavu, přeruší, například ty, které jsou popsány v tomto článku, nezobrazují žádné uživatelské rozhraní pro uživatele a nedaří se správně ověřit účet.
Podpora Windows Hello pro firmy na HoloLensu (1. generace)
Pro HoloLens (1. generace) se podporuje Windows Hello pro firmy (který podporuje použití kódu PIN pro přihlášení). Povolení přihlášení k PIN kódu Windows Hello pro firmy na HoloLensu (1. generace):
- Zařízení HoloLens musí být spravovanéMDM .
- Pro zařízení musíte povolit Windows Hello pro firmy. (Viz pokyny pro Microsoft Intune.)
- Na zařízení HoloLens pak uživatel může k nastavení PIN kódu použít Nastavení>Možnosti přihlášení>Přidat PIN.
Poznámka
Uživatelé, kteří se přihlašují pomocí účtu Microsoft, můžou také nastavit PIN kód v nastavení >Možnosti přihlášení>Přidat PIN. Tento PIN kód je přidružený k Windows Hellomísto windows Hello pro firmy.
Další zdroje informací
Přečtěte si mnohem více o ochraně identit a ověřování uživatelů v dokumentaci k zabezpečení a identitě systému Windows 10.
Další informace o nastavení infrastruktury hybridní identity najdete v dokumentaci k hybridní identitě Azure.