Verwalten von Benutzeridentität und Anmeldung für HoloLens
Hinweis
Dieser Artikel ist eine technische Referenz für IT-Experten und Technologie-Enthusiasten. Wenn Sie nach Anweisungen zum Einrichten von HoloLens suchen, lesen Sie "Einrichten Ihrer HoloLens (1. Generation)" oder "Einrichten Ihrer HoloLens 2".
Tipp
HoloLens 2 ist als Microsoft Entra ID verbundenes Gerät konfiguriert und unterstützt kein lokales Active Directory. In den meisten Fällen kann die Authentifizierung entweder mit einer verwalteten Entra-ID-Identität oder einer Verbund-Entra-ID-Identität durchgeführt werden. Wenn Ihr Verbunddienst jedoch zu Authentifizierungsproblemen führt, sollten Sie sicherstellen, dass Sie sich von einer Nur Windows 10 oder Windows 11 PC eingebundenen Entra-ID anmelden können. Viele Authentifizierungsprobleme sind das Ergebnis von Nur-Entra-ID-Konfigurationen und nicht auf ein HoloLens-spezifisches Problem. Die Behandlung dieser Herausforderungen ist viel einfacher auf einem Windows 10- oder Windows-PC.
Lassen Sie uns über das Einrichten der Benutzeridentität für HoloLens 2
Wie andere Windows-Geräte arbeitet HoloLens immer unter einem Benutzerkontext. Es gibt immer eine Benutzeridentität. HoloLens behandelt Die Identität fast auf die gleiche Weise wie ein Windows 10- oder Windows 11-Gerät. Wenn Sie sich während des Setups anmelden, wird ein Benutzerprofil auf HoloLens erstellt, in dem Apps und Daten gespeichert werden. Dasselbe Konto bietet auch einmaliges Anmelden für Apps wie Microsoft Edge oder Dynamics 365 Remote Assist mithilfe der Windows Account Manager-APIs.
HoloLens unterstützt verschiedene Arten von Benutzeridentitäten. Sie können einen dieser drei Kontotypen auswählen. Es wird jedoch dringend empfohlen, Microsoft Entra ID zu verwenden, da dies für die Verwaltung von Geräten am besten geeignet ist. Nur Microsoft Entra Konten unterstützen mehrere Benutzer.
| Identitätstyp | Konten pro Gerät | Authentifizierungsoptionen |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft-Konto (MSA) | 1 |
|
| Lokales Konto3 | 1 | Kennwort |
| Freigegebene Microsoft Entra ID | 1 | Certificate-Based-Authentifizierung (CBA) |
Mit der Cloud verbundene Konten (Microsoft Entra ID und MSA) bieten mehr Features, da sie Azure-Dienste verwenden können.
Wichtig
1 – Microsoft Entra ID P1 oder P2 ist nicht erforderlich, um sich beim Gerät anzumelden. Sie ist jedoch für andere Features einer cloudbasierten Bereitstellung mit geringer Toucheingabe erforderlich, z. B. automatische Registrierung und Autopilot.
Hinweis
2 – Während ein HoloLens 2 Gerät bis zu 63 Microsoft Entra Konten sowie ein Systemkonto für insgesamt 64 Konten unterstützen kann, sollten sich nur bis zu 10 dieser Konten bei der Iris-Authentifizierung registrieren. Dies ist an anderen biometrischen Authentifizierungsoptionen für Windows Hello for Business ausgerichtet. Obwohl mehr als 10 Konten bei der Iris-Authentifizierung registriert werden können, erhöht dies die Rate falsch positiver Ergebnisse und wird nicht empfohlen.
Wichtig
3 – Ein lokales Konto kann nur auf einem Gerät über ein Bereitstellungspaket während der OOBE eingerichtet werden. Es kann nicht später in der Einstellungs-App hinzugefügt werden. Wenn Sie ein lokales Konto auf einem bereits eingerichteten Gerät verwenden möchten, müssen Sie das Gerät erneut flashen oder zurücksetzen.
Wie wirkt sich der Kontotyp auf das Anmeldeverhalten aus?
Wenn Sie Richtlinien für die Anmeldung anwenden, wird die Richtlinie immer beachtet. Wenn keine Richtlinie für die Anmeldung angewendet wird, sind dies die Standardverhaltensweisen für jeden Kontotyp:
- Microsoft Entra ID: Fordert standardmäßig zur Authentifizierung auf und kann über Einstellungen so konfiguriert werden, dass keine Authentifizierung mehr verlangt wird.
- Microsoft-Konto: Das Sperrverhalten ist anders, sodass die automatische Entsperrung möglich ist, aber die Anmeldeauthentifizierung ist beim Neustart weiterhin erforderlich.
- Lokales Konto: Fordert immer zur Authentifizierung in Form eines Kennworts auf, nicht in den Einstellungen konfigurierbar
Hinweis
Inaktivitätszeitgeber werden derzeit nicht unterstützt. Dies bedeutet, dass die AllowIdleReturnWithoutPassword-Richtlinie nur eingehalten wird, wenn das Gerät in StandBy wechselt.
Iris Login
Erfassung biometrischer Daten durch HoloLens
Biometrische Daten (einschließlich Kopf-/ Hand-/Augenbewegungen, Iris-Scan), die dieses Gerät sammelt, werden für die Kalibrierung verwendet, um zuverlässige Interaktionen zu verbessern und die Benutzererfahrung zu verbessern. Wie bei anderen Windows-Geräten können Apps von Drittanbietern auf dem Gerät auf Ihre Daten auf dem Gerät zugreifen, um bestimmte Funktionen und Features bereitzustellen. Ausführliche Informationen zum Lizenzvertrag und zur Microsoft-Datenschutzerklärung finden Sie im Abschnitt "Datenschutz" in den Einstellungen.
HoloLens Iris-Anmeldung basiert auf Windows Hello. HoloLens speichert biometrische Daten, die verwendet werden, um Windows Hello sicher auf dem lokalen Gerät zu implementieren. Die biometrischen Daten werden nicht übertragen und nie an externe Geräte oder Server gesendet. Da Windows Hello nur biometrische Identifikationsdaten auf dem Gerät speichert, gibt es keine einzelne Sammelstelle, die angegriffen werden kann, um biometrische Daten zu stehlen.
HoloLens führt die Irisauthentifizierung basierend auf gespeicherten Bitcodes durch. Benutzer haben die vollständige Kontrolle darüber, ob sie ihr Benutzerkonto für die Iris-Anmeldung für die Authentifizierung registrieren. It-Administratoren können Windows Hello Funktionen über ihre MDM-Server deaktivieren. Weitere Informationen finden Sie unter Verwalten von Windows Hello for Business in Ihrem organization.
Hinweis
Freigegebene Microsoft Entra ID-Konten unterstützen keine Iris-Anmeldung auf der HoloLens. Weitere Informationen zu den Vorteilen und Einschränkungen der Verwendung von freigegebenen Microsoft Entra-Konten finden Sie hier.
Häufig gestellte Fragen zu Iris
Wie wird die biometrische Iris-Authentifizierung auf HoloLens 2 implementiert?
HoloLens 2 unterstützt die Iris-Authentifizierung. Iris basiert auf Windows Hello Technologie und wird sowohl für Microsoft Entra ID- als auch für Microsoft-Konten unterstützt. Iris wird auf die gleiche Weise wie andere Windows Hello Technologien implementiert und erreicht biometrische Sicherheit FAR von 1/100K.
Weitere Informationen finden Sie in den biometrischen Anforderungen und Spezifikationen für Windows Hello. Erfahren Sie mehr über Windows Hello und Windows Hello for Business.
Wo werden biometrische Iris-Informationen gespeichert?
Biometrische Iris-Informationen werden lokal auf jeder HoloLens gemäß Windows Hello Spezifikationen gespeichert. Es wird nicht freigegeben und durch zwei Verschlüsselungsebenen geschützt. Es ist nicht für andere Benutzer zugänglich, nicht einmal für einen Administrator, da es kein Administratorkonto auf einer HoloLens gibt.
Muss ich die Iris-Authentifizierung verwenden?
Nein, Sie können diesen Schritt während des Setups überspringen.
HoloLens 2 bietet viele verschiedene Optionen für die Authentifizierung, einschließlich FIDO2-Sicherheitsschlüsseln.
Können Iris-Informationen aus der HoloLens entfernt werden?
Ja, Sie können es manuell in den Einstellungen entfernen.
Einrichten von Benutzern
Es gibt zwei Möglichkeiten, einen neuen Benutzer auf der HoloLens einzurichten. Der häufigste Weg ist während der HoloLens-Out-of-Box-Erfahrung (OOBE). Wenn Sie Microsoft Entra ID verwenden, können sich andere Benutzer nach OOBE mit ihren Microsoft Entra Anmeldeinformationen anmelden. HoloLens-Geräte, die während der OOBE anfänglich mit einem MSA oder einem lokalen Konto eingerichtet wurden, unterstützen nicht mehrere Benutzer. Weitere Informationen finden Sie unter Einrichten Ihrer HoloLens (1. Generation) oder HoloLens 2.
Wenn Sie ein Unternehmens- oder Organisationskonto verwenden, um sich bei HoloLens anzumelden, registriert sich HoloLens bei der IT-Infrastruktur des organization. Diese Registrierung ermöglicht es Ihren IT-Admin, Mobile Geräteverwaltung (MDM) so zu konfigurieren, dass Gruppenrichtlinien an Ihre HoloLens gesendet werden.
Wie bei Windows auf anderen Geräten erstellt die Anmeldung während des Setups ein Benutzerprofil auf dem Gerät. Das Benutzerprofil speichert Apps und Daten. Dasselbe Konto bietet auch einmaliges Anmelden für Apps wie Microsoft Edge oder den Microsoft Store mithilfe der Windows Account Manager-APIs.
Standardmäßig müssen Sie sich wie bei anderen Windows 10 Geräten erneut anmelden, wenn HoloLens neu gestartet oder aus dem Standbymodus fortgesetzt wird. Sie können die Einstellungs-App verwenden, um dieses Verhalten zu ändern, oder das Verhalten kann durch Eine Gruppenrichtlinie gesteuert werden.
Tipp
Wenn mehrere Benutzer ein Gerät verwenden, ist es wichtig, das Visier sauber. Weitere Informationen zum sauber des Geräts finden Sie unter häufig gestellte Fragen zur HoloLens 2 Reinigung. Es wird empfohlen, das Visier zwischen den einzelnen Benutzern sauber. Diese bewährte Methode ist besonders wichtig, wenn Sie die Iris-Authentifizierung verwenden.
Verknüpfte Konten
Wie bei der Desktopversion von Windows können Sie andere Webkontoanmeldeinformationen mit Ihrem HoloLens-Konto verknüpfen. Eine solche Verknüpfung erleichtert den Zugriff auf Ressourcen in oder innerhalb von Apps (z. B. im Store) oder das Kombinieren des Zugriffs auf persönliche und geschäftliche Ressourcen. Nachdem Sie ein Konto mit dem Gerät verbunden haben, können Sie die Berechtigung zum Verwenden des Geräts für Apps erteilen, sodass Sie sich nicht bei jeder App einzeln anmelden müssen.
Durch das Verknüpfen von Konten werden die auf dem Gerät erstellten Benutzerdaten wie Bilder oder Downloads nicht getrennt.
Einrichten der Unterstützung für mehrere Benutzer (nur Microsoft Entra)
HoloLens unterstützt mehrere Benutzer aus demselben Microsoft Entra Mandanten. Um dieses Feature verwenden zu können, müssen Sie ein Konto verwenden, das zu Ihrem organization gehört, um das Gerät einzurichten. Anschließend können sich andere Benutzer desselben Mandanten über den Anmeldebildschirm oder durch Tippen auf die Benutzerkachel im Startbereich beim Gerät anmelden. Es kann jeweils nur ein Benutzer angemeldet werden. Wenn sich ein Benutzer anmeldet, meldet HoloLens den vorherigen Benutzer ab.
Wichtig
Der erste Benutzer auf dem Gerät gilt als Gerätebesitzer, außer im Falle Microsoft Entra Beitritts. Weitere Informationen zu Gerätebesitzern finden Sie hier.
Alle Benutzer können die auf dem Gerät installierten Apps verwenden. Jeder Benutzer verfügt jedoch über eigene App-Daten und -Einstellungen. Wenn Sie eine App vom Gerät entfernen, wird sie für alle Benutzer entfernt.
Hinweis
Eine weitere Option für Geräte, die von mehreren Benutzern gemeinsam genutzt werden, besteht darin, ein freigegebenes Microsoft Entra ID-Konto auf dem Gerät zu erstellen. Ausführliche Informationen zum Konfigurieren dieses Kontos auf Ihrem Gerät finden Sie unter Freigegebene Microsoft Entra-Konten in HoloLens.
Geräte, die mit Microsoft Entra Konten eingerichtet wurden, lassen die Anmeldung beim Gerät mit einem Microsoft-Konto nicht zu. Alle nachfolgenden Konten, die verwendet werden, müssen Microsoft Entra Konten aus demselben Mandanten wie das Gerät sein. Sie können sich weiterhin mit einem Microsoft-Konto bei Apps anmelden , die dies unterstützen (z. B. den Microsoft Store). Um von der Verwendung von Microsoft Entra-Konten zu Microsoft-Konten für die Anmeldung beim Gerät zu wechseln, müssen Sie das Gerät erneut flashen.
Hinweis
HoloLens (1. Generation) hat im Windows 10-Update vom April 2018 begonnen, mehrere Microsoft Entra Benutzer als Teil von Windows Holographic for Business zu unterstützen.
Mehrere Benutzer sind auf dem Anmeldebildschirm aufgeführt.
Zuvor wurden auf dem Anmeldebildschirm nur der zuletzt angemeldete Benutzer und ein Einstiegspunkt "Anderer Benutzer" angezeigt. Wir haben Kundenfeedback erhalten, dass es nicht ausreicht, wenn sich mehrere Benutzer beim Gerät angemeldet haben. Sie mussten ihren Benutzernamen usw. erneut eingeben.
Eingeführt in Windows Holographic, Version 21H1. Wenn Sie andere Benutzer auswählen, die sich rechts neben dem PIN-Eingabefeld befindet, zeigt der Anmeldebildschirm mehrere Benutzer an, die sich zuvor beim Gerät angemeldet haben. Dadurch können Benutzer ihr Benutzerprofil auswählen und sich dann mit ihren Windows Hello Anmeldeinformationen anmelden. Ein neuer Benutzer kann dem Gerät auch von dieser Seite mit anderen Benutzern über die Schaltfläche Konto hinzufügen hinzugefügt werden.
Im Menü Andere Benutzer wird auf der Schaltfläche Andere Benutzer der letzte Benutzer angezeigt, der sich beim Gerät angemeldet hat. Wählen Sie diese Schaltfläche aus, um zum Anmeldebildschirm für diesen Benutzer zurückzukehren.
Entfernen von Benutzern
Sie können einen Benutzer vom Gerät entfernen, indem Sie zu Einstellungen>Konten>Andere Personen wechseln. Diese Aktion gibt auch Speicherplatz frei, indem alle App-Daten dieses Benutzers vom Gerät entfernt werden.
Verwenden des einmaligen Anmeldens in einer App
Als App-Entwickler können Sie verknüpfte Identitäten auf HoloLens nutzen, indem Sie die Windows Account Manager-APIs wie auf anderen Windows-Geräten verwenden. Einige Codebeispiele für diese APIs sind auf GitHub verfügbar: Beispiel für die Webkontoverwaltung.
Alle Kontounterbrechungen, die auftreten können, z. B. das Anfordern der Benutzergenehmigung für Kontoinformationen, die zweistufige Authentifizierung usw., müssen behandelt werden, wenn die App ein Authentifizierungstoken anfordert.
Wenn Ihre App einen bestimmten Kontotyp erfordert, der noch nicht verknüpft wurde, kann Ihre App das System auffordern, den Benutzer aufzufordern, einen hinzuzufügen. Durch diese Anforderung wird der Bereich mit den Kontoeinstellungen als modales untergeordnetes Element Ihrer App gestartet. Für 2D-Apps wird dieses Fenster direkt über der Mitte Ihrer App gerendert. Bei Unity-Apps führt diese Anforderung den Benutzer kurz aus Ihrer holografischen App, um das untergeordnete Fenster zu rendern. Informationen zum Anpassen der Befehle und Aktionen in diesem Bereich finden Sie unter WebAccountCommand-Klasse.
Unternehmens- und andere Authentifizierung
Wenn Ihre App andere Authentifizierungstypen verwendet, z. B. NTLM, Basic oder Kerberos, können Sie die Anmeldeinformationen des Benutzers mithilfe der Windows-Benutzeroberfläche für Anmeldeinformationen sammeln, verarbeiten und speichern. Die Benutzeroberfläche für das Sammeln dieser Anmeldeinformationen ähnelt anderen cloudgesteuerten Kontounterbrechungen und wird als untergeordnete App über Ihrer 2D-App angezeigt oder eine Unity-App kurz angehalten, um die Benutzeroberfläche anzuzeigen.
Veraltete APIs
Eine Möglichkeit, in der sich die Entwicklung für HoloLens von der Entwicklung für Desktop unterscheidet, besteht darin, dass die OnlineIDAuthenticator-API nicht vollständig unterstützt wird. Obwohl die API ein Token zurückgibt, wenn das primäre Konto ordnungsgemäß ist, zeigen Unterbrechungen wie die in diesem Artikel beschriebenen keine Benutzeroberfläche für den Benutzer an und können das Konto nicht ordnungsgemäß authentifizieren.
Windows Hello for Business Unterstützung für HoloLens (1. Generation)
Windows Hello for Business (die die Verwendung einer PIN für die Anmeldung unterstützt) wird für HoloLens (1. Generation) unterstützt. So lassen Sie Windows Hello for Business PIN-Anmeldung auf HoloLens (1. Generation) zu:
- Das HoloLens-Gerät muss von MDM verwaltet werden.
- Sie müssen Windows Hello for Business für das Gerät aktivieren. (Siehe Anweisungen für Microsoft Intune.)
- Auf dem HoloLens-Gerät kann der Benutzer dann Einstellungen>Anmeldeoptionen>PIN hinzufügen verwenden, um eine PIN einzurichten.
Hinweis
Benutzer, die sich mit einemMicrosoft-Kontoanmelden, können auch eine PIN unter Einstellungen> Anmeldeoptionen >PIN hinzufügen einrichten. Diese PIN ist Windows Hello und nicht Windows Hello for Business zugeordnet.
Zusätzliche Ressourcen
Weitere Informationen zum Schutz und zur Authentifizierung von Benutzeridentitäten finden Sie in der Dokumentation zur Windows 10 Sicherheit und Identität.
Weitere Informationen zum Einrichten der Hybrididentitätsinfrastruktur finden Sie in der Dokumentation zur Azure-Hybrididentität.