Freigeben über


Verwalten von Benutzeridentität und Anmeldung für HoloLens

Anmerkung

Dieser Artikel ist eine technische Referenz für IT-Experten und Technische Enthusiasten. Wenn Sie nach Den anweisungen für HoloLens suchen, lesen Sie "Einrichten Ihrer HoloLens (1. Generation)" oder "Einrichten Ihrer HoloLens 2".

Trinkgeld

HoloLens 2 ist als in Microsoft Entra ID eingebundenes Gerät konfiguriert und unterstützt kein lokales Active Directory. In den meisten Fällen kann die Authentifizierung entweder mithilfe einer verwalteten Entra-ID-Identität oder einer Verbund-Entra-ID-Identität ausgeführt werden. Wenn Ihr Verbunddienst jedoch Authentifizierungsprobleme verursacht, sollten Sie sicherstellen, dass Sie sich über eine Entra-ID anmelden können, die nur mit Windows 10 oder Windows 11 verbunden ist. Viele Authentifizierungsprobleme führen nur zu Entra-ID-Konfigurationen und nicht zu einem holoLens-spezifischen Problem. Die Problembehandlung für diese Herausforderungen ist von einem Windows 10- oder Windows-PC wesentlich einfacher.

Sprechen wir über das Einrichten der Benutzeridentität für HoloLens 2

Wie andere Windows-Geräte arbeitet HoloLens immer unter einem Benutzerkontext. Es gibt immer eine Benutzeridentität. HoloLens behandelt die Identität nahezu auf die gleiche Weise wie ein Windows 10- oder Windows 11-Gerät. Die Anmeldung während des Setups erstellt ein Benutzerprofil auf HoloLens, das Apps und Daten speichert. Dasselbe Konto bietet auch einmaliges Anmelden für Apps, z. B. Microsoft Edge oder Dynamics 365 Remote Assist, mithilfe der Windows Account Manager-APIs.

HoloLens unterstützt verschiedene Arten von Benutzeridentitäten. Sie können einen dieser drei Kontotypen auswählen, wir empfehlen jedoch dringend die Microsoft Entra-ID, da sie für die Verwaltung von Geräten am besten geeignet ist. Nur Microsoft Entra-Konten unterstützen mehrere Benutzer.

Identitätstyp Konten pro Gerät Authentifizierungsoptionen
Microsoft Entra ID1 63
  • Azure Web-Anmeldeinformationsanbieter
  • Azure Authenticator-App
  • Biometrie (Iris) – HoloLens 2 nur2
  • FIDO2-Sicherheitsschlüssel
  • PIN – Optional für HoloLens (1. Generation), erforderlich für HoloLens 2
  • Passwort
Microsoft-Konto (MSA) 1
  • Biometrie (Iris) – Nur HoloLens 2
  • PIN – Optional für HoloLens (1. Generation), erforderlich für HoloLens 2
  • Passwort
Lokales Konto3 1 Passwort
Shared Microsoft Entra ID 1 Certificate-Based-Authentifizierung (CBA)

Mit der Cloud verbundene Konten (Microsoft Entra ID und MSA) bieten mehr Features, da sie Azure-Dienste verwenden können.

Wichtig

1 – Microsoft Entra ID P1 oder P2 ist nicht erforderlich, um sich beim Gerät anzumelden. Es ist jedoch für andere Features einer cloudbasierten Low Touch-Bereitstellung erforderlich, z. B. autoregistrierung und Autopilot.

Anmerkung

2 – Während ein HoloLens 2-Gerät bis zu 63 Microsoft Entra-Konten sowie ein Systemkonto für insgesamt 64 Konten unterstützen kann, sollten sich nur bis zu 10 dieser Konten bei der Irisauthentifizierung registrieren. Dies ist an anderen biometrischen Authentifizierungsoptionen für Windows Hello for Business ausgerichtet. Während mehr als 10 Konten bei der Irisauthentifizierung registriert werden können, erhöht sich die Rate falsch positiver Ergebnisse und wird nicht empfohlen.

Wichtig

3 – Ein lokales Konto kann nur auf einem Gerät über ein Bereitstellungspaket während der Windows-Willkommensseiteeingerichtet werden, es kann später in der Einstellungs-App nicht hinzugefügt werden. Wenn Sie ein lokales Konto auf einem bereits eingerichteten Gerät verwenden möchten, müssen Sie das Gerät erneut oder das Gerät zurücksetzen.

Wie wirkt sich der Kontotyp auf das Anmeldeverhalten aus?

Wenn Sie Richtlinien für die Anmeldung anwenden, wird die Richtlinie immer beachtet. Wenn keine Richtlinie für die Anmeldung angewendet wird, sind dies die Standardverhaltensweisen für jeden Kontotyp:

  • Microsoft Entra ID: fordert standardmäßig die Authentifizierung an und kann durch Einstellungen konfiguriert werden, die Authentifizierung nicht mehr anfordern zu können.
  • Microsoft-Konto: Das Sperrverhalten unterscheidet sich von der automatischen Entsperrung, die Anmeldeauthentifizierung ist jedoch weiterhin beim Neustart erforderlich.
  • Lokales Konto: fordert immer die Authentifizierung in Form eines Kennworts auf, nicht konfigurierbar in Einstellungen

Anmerkung

Inaktivitätszeitgeber werden derzeit nicht unterstützt, was bedeutet, dass die AllowIdleReturnWithoutPassword- Richtlinie nur berücksichtigt wird, wenn das Gerät in "StandBy" wechselt.

Iris Login

Biometrische Datensammlung durch HoloLens

Biometrische Daten (einschließlich Kopf-/Hand-/Augenbewegungen, Irisscan), die dieses Gerät sammelt, werden zur Kalibrierung verwendet, um zuverlässige Interaktionen zu verbessern und die Benutzererfahrung zu verbessern. Wie bei anderen Windows-Geräten können Apps von Drittanbietern auf dem Gerät zum Zweck der Bereitstellung bestimmter Funktionen und Features auf Ihre Daten auf dem Gerät zugreifen. Weitere Informationen zum Lizenzvertrag und zu den Microsoft-Datenschutzbestimmungen finden Sie im Abschnitt "Datenschutz" in den Einstellungen.

Die HoloLens Iris-Anmeldung basiert auf Windows Hello. HoloLens speichert biometrische Daten, die zum sicheren Implementieren von Windows Hello auf dem lokalen Gerät verwendet werden. Die biometrischen Daten werden nicht übertragen und niemals an externe Geräte oder Server gesendet. Da Windows Hello nur biometrische Identifikationsdaten auf dem Gerät speichert, gibt es keinen einzigen Sammlungspunkt, an dem ein Angreifer kompromittiert werden kann, um biometrische Daten zu stehlen.

HoloLens führt irisauthentifizierung basierend auf gespeicherten Bitcodes aus. Benutzer haben die vollständige Kontrolle darüber, ob sie ihr Benutzerkonto für die Iris-Anmeldung für die Authentifizierung registrieren. It-Administratoren können Windows Hello-Funktionen über ihre MDM-Server deaktivieren. Siehe Verwalten von Windows Hello for Business in Ihrer Organisation.

Anmerkung

Freigegebene Microsoft Entra-ID-Konten unterstützen die Iris-Anmeldung auf der HoloLens nicht. Weitere Informationen zu den Vorteilen und Einschränkungen der Verwendung freigegebener Microsoft Entra-Konten.

Häufig gestellte Fragen zu Iris

Wie wird die iris biometrische Authentifizierung auf HoloLens 2 implementiert?

HoloLens 2 unterstützt die Irisauthentifizierung. Iris basiert auf der Windows Hello-Technologie und wird für die Verwendung sowohl von Microsoft Entra-ID als auch von Microsoft-Konten unterstützt. Iris wird auf die gleiche Weise wie andere Windows Hello-Technologien implementiert und erreicht biometrische Sicherheit FAR von 1/100K.

Weitere Informationen finden Sie in den biometrischen Anforderungen und Spezifikationen für Windows Hello. Erfahren Sie mehr über Windows Hello und Windows Hello for Business.

Wo werden biometrische Irisinformationen gespeichert?

Iris-biometrische Informationen werden lokal auf den einzelnen HoloLens pro Windows Hello-Spezifikationengespeichert. Sie wird nicht freigegeben und durch zwei Verschlüsselungsebenen geschützt. Es ist nicht für andere Benutzer zugänglich, sogar für einen Administrator, da es kein Administratorkonto auf einer HoloLens gibt.

Muss ich irisauthentifizierung verwenden?

Nein, Sie können diesen Schritt während des Setups überspringen.

Einrichten von Iris.

HoloLens 2 bietet viele verschiedene Optionen für die Authentifizierung, einschließlich FIDO2-Sicherheitsschlüsseln.

Können Irisinformationen aus der HoloLens entfernt werden?

Ja, Sie können sie manuell in den Einstellungen entfernen.

Einrichten von Benutzern

Es gibt zwei Möglichkeiten, einen neuen Benutzer auf der HoloLens einzurichten. Die häufigste Methode ist während der Out-of-Box-Erfahrung (OOBE) von HoloLens. Wenn Sie Microsoft Entra-ID verwenden, können sich andere Benutzer nach der OOBE mit ihren Microsoft Entra-Anmeldeinformationen anmelden. HoloLens-Geräte, die anfänglich mit einem MSA- oder lokalen Konto während der Windows-Willkommensseite eingerichtet sind, unterstützen nicht mehrere Benutzer. Siehe Einrichten Ihrer HoloLens (1. Generation) oder HoloLens 2.

Wenn Sie ein Unternehmens- oder Organisationskonto zum Anmelden bei HoloLens verwenden, registriert Sich HoloLens in der IT-Infrastruktur der Organisation. Diese Registrierung ermöglicht Es Ihrem IT-Administrator, die Verwaltung mobiler Geräte (Mobile Device Management, MDM) so zu konfigurieren, dass Gruppenrichtlinien an Ihre HoloLens gesendet werden.

Wie Windows auf anderen Geräten erstellt die Anmeldung während des Setups ein Benutzerprofil auf dem Gerät. Das Benutzerprofil speichert Apps und Daten. Dasselbe Konto bietet auch einmaliges Anmelden für Apps, z. B. Microsoft Edge oder den Microsoft Store, mithilfe der Windows Account Manager-APIs.

Wie bei anderen Windows 10-Geräten müssen Sie sich standardmäßig erneut anmelden, wenn HoloLens neu gestartet oder aus dem Standbymodus fortgesetzt wird. Sie können die Einstellungs-App verwenden, um dieses Verhalten zu ändern, oder das Verhalten kann durch Gruppenrichtlinien gesteuert werden.

Trinkgeld

Wenn mehrere Benutzer ein Gerät verwenden, ist es wichtig, das Visier sauber zu halten. Ausführliche Informationen zum Bereinigen des Geräts finden Sie unter HoloLens 2–Reinigungs-. Es wird empfohlen, das Visier zwischen jedem Benutzer zu bereinigen. Diese bewährte Methode ist besonders wichtig, wenn Sie irisauthentifizierung verwenden.

Verknüpfte Konten

Wie in der Desktopversion von Windows können Sie andere Webkontoanmeldeinformationen mit Ihrem HoloLens-Konto verknüpfen. Eine solche Verknüpfung erleichtert den Zugriff auf Ressourcen über oder innerhalb von Apps (z. B. store) oder um den Zugriff auf persönliche und geschäftliche Ressourcen zu kombinieren. Nachdem Sie ein Konto mit dem Gerät verbunden haben, können Sie die Berechtigung erteilen, das Gerät für Apps zu verwenden, damit Sie sich nicht einzeln bei jeder App anmelden müssen.

Beim Verknüpfen von Konten werden die auf dem Gerät erstellten Benutzerdaten nicht getrennt, z. B. Bilder oder Downloads.

Einrichten der Unterstützung für mehrere Benutzer (nur Microsoft Entra)

HoloLens unterstützt mehrere Benutzer aus demselben Microsoft Entra-Mandanten. Um dieses Feature zu verwenden, müssen Sie ein Konto verwenden, das zu Ihrer Organisation gehört, um das Gerät einzurichten. Anschließend können sich andere Benutzer aus demselben Mandanten über den Anmeldebildschirm oder durch Tippen auf die Benutzerkachel im Startbereich beim Gerät anmelden. Es kann jeweils nur ein Benutzer angemeldet werden. Wenn sich ein Benutzer anmeldet, meldet holoLens den vorherigen Benutzer ab.

Wichtig

Der erste Benutzer auf dem Gerät gilt als Gerätebesitzer, außer im Falle der Microsoft Entra-Verknüpfung, weitere Informationen zu Gerätebesitzern.

Alle Benutzer können die auf dem Gerät installierten Apps verwenden. Jeder Benutzer verfügt jedoch über eigene App-Daten und -Einstellungen. Durch das Entfernen einer App vom Gerät wird sie für alle Benutzer entfernt.

Anmerkung

Eine weitere Option für Geräte, die von mehreren Benutzern gemeinsam genutzt werden, ist das Erstellen eines freigegebenen Microsoft Entra ID-Kontos auf dem Gerät. Ausführliche Informationen zum Konfigurieren dieses Kontos auf Ihrem Gerät finden Sie unter freigegebenen Microsoft Entra-Konten in HoloLens.

Geräte, die mit Microsoft Entra-Konten eingerichtet sind, lassen die Anmeldung beim Gerät mit einem Microsoft-Konto nicht zu. Alle nachfolgenden Konten, die verwendet werden, müssen Microsoft Entra-Konten aus demselben Mandanten wie das Gerät sein. Möglicherweise Sie sich weiterhin mit einem Microsoft-Konto bei Apps anmelden, die es unterstützen (z. B. den Microsoft Store). Um von der Verwendung von Microsoft Entra-Konten zu Microsoft-Konten für die Anmeldung am Gerät zu wechseln, müssen Sie das Gerät neu flashen.

Anmerkung

HoloLens (1. Generation) begann, mehrere Microsoft Entra-Benutzer im Windows 10 April 2018 Update als Teil von Windows Holographic for Businesszu unterstützen.

Mehrere Benutzer werden auf dem Anmeldebildschirm aufgelistet.

Zuvor wurde auf dem Anmeldebildschirm nur der zuletzt angemeldete Benutzer und ein Einstiegspunkt "Anderer Benutzer" angezeigt. Wir haben Kundenfeedback erhalten, dass es nicht ausreicht, wenn mehrere Benutzer sich bei dem Gerät angemeldet haben. Sie mussten noch ihren Benutzernamen erneut eingeben usw.

In Windows Holographic, Version 21H1eingeführt, zeigt der Anmeldebildschirm beim Auswählen von Andere Benutzer rechts neben dem PIN-Eingabefeld mehrere Benutzer an, die sich zuvor beim Gerät angemeldet haben. Auf diese Weise können Benutzer ihr Benutzerprofil auswählen und sich dann mit ihren Windows Hello-Anmeldeinformationen anmelden. Ein neuer Benutzer kann dem Gerät auch über diese andere Benutzer Seite über die Schaltfläche Konto hinzufügen hinzugefügt werden.

Wenn sie im Menü Andere Benutzer, zeigt die Schaltfläche Andere Benutzer den letzten Benutzer an, der am Gerät angemeldet ist. Wählen Sie diese Schaltfläche aus, um zum Anmeldebildschirm für diesen Benutzer zurückzukehren.

Standard für den Anmeldebildschirm.


Anmeldebildschirm für andere Benutzer.

Entfernen von Benutzern

Sie können einen Benutzer vom Gerät entfernen, indem Sie zu Einstellungen>Konten>Andere Personenwechseln. Diese Aktion gibt auch Platz frei, indem alle App-Daten dieses Benutzers vom Gerät entfernt werden.

Verwenden des einmaligen Anmeldens in einer App

Als App-Entwickler können Sie verknüpfte Identitäten auf HoloLens nutzen, indem Sie die Windows Account Manager-APIsverwenden, genau wie auf anderen Windows-Geräten. Einige Codebeispiele für diese APIs sind auf GitHub verfügbar: Webkontoverwaltungsbeispiel.

Alle Kontounterbrechungen, die auftreten können, z. B. das Anfordern der Zustimmung des Benutzers für Kontoinformationen, die zweistufige Authentifizierung usw., müssen behandelt werden, wenn die App ein Authentifizierungstoken anfordert.

Wenn Für Ihre App ein bestimmter Kontotyp erforderlich ist, der noch nicht verknüpft wurde, kann Ihre App das System bitten, den Benutzer aufzufordern, einen hinzuzufügen. Diese Anforderung löst den Bereich "Kontoeinstellungen" aus, um als modales untergeordnetes Element Ihrer App zu starten. Bei 2D-Apps wird dieses Fenster direkt über der Mitte Ihrer App gerendert. Bei Unity-Apps nimmt diese Anforderung den Benutzer kurz aus Ihrer holografischen App heraus, um das untergeordnete Fenster zu rendern. Informationen zum Anpassen der Befehle und Aktionen in diesem Bereich finden Sie unter WebAccountCommand Class.

Unternehmens- und andere Authentifizierung

Wenn Ihre App andere Authentifizierungstypen wie NTLM, Basic oder Kerberos verwendet, können Sie Windows-Anmeldeinformations-UI- verwenden, um die Anmeldeinformationen des Benutzers zu sammeln, zu verarbeiten und zu speichern. Die Benutzeroberfläche zum Sammeln dieser Anmeldeinformationen ähnelt anderen cloudgesteuerten Kontounterbrechungen und wird als untergeordnete App über Ihrer 2D-App angezeigt oder eine Unity-App kurz angehalten, um die Benutzeroberfläche anzuzeigen.

Veraltete APIs

Eine Möglichkeit, in der sich die Entwicklung für HoloLens von der Entwicklung für Desktop unterscheidet, besteht darin, dass die OnlineIDAuthenticator-API nicht vollständig unterstützt wird. Obwohl die API ein Token zurückgibt, wenn das primäre Konto gut steht, werden Unterbrechungen wie die in diesem Artikel beschriebenen Benutzeroberflächen nicht angezeigt und das Konto nicht ordnungsgemäß authentifiziert.

Windows Hello for Business-Support für HoloLens (1. Generation)

Windows Hello for Business (unterstützt die Verwendung einer PIN für die Anmeldung) wird für HoloLens (1. Generation) unterstützt. So lassen Sie die Windows Hello for Business-PIN-Anmeldung auf HoloLens (1. Generation) zu:

  1. Das HoloLens-Gerät muss von MDM-verwaltet werden.
  2. Sie müssen Windows Hello for Business für das Gerät aktivieren. (Siehe Anweisungen für Microsoft Intune.)
  3. Auf dem HoloLens-Gerät kann der Benutzer dann Einstellungen>Anmeldeoptionen verwenden,>PIN- hinzufügen, um eine PIN einzurichten.

Anmerkung

Benutzer, die sich mit einem Microsoft-Konto anmelden, können auch eine PIN in Einstellungen>Anmeldeoptionen einrichten,>PIN-hinzufügen. Diese PIN ist Windows Hellozugeordnet und nicht Windows Hello for Business.

Weitere Ressourcen

Weitere Informationen zum Schutz und zur Authentifizierung von Benutzern finden Sie in der Windows 10-Sicherheits- und Identitätsdokumentation.

Erfahren Sie mehr über das Einrichten der Hybrididentitätsinfrastruktur über die Azure Hybrid Identity-Dokumentation.