Administración de la identidad de usuario y el inicio de sesión de HoloLens
Nota:
Este artículo es una referencia técnica para profesionales de TI y entusiastas de la tecnología. Si busca instrucciones de configuración de HoloLens, lea "Configuración de HoloLens (1.ª generación)" o "Configuración del HoloLens 2".
Sugerencia
HoloLens 2 se configura como un dispositivo unido a Microsoft Entra ID y no admite Active Directory local. En la mayoría de los casos, la autenticación se puede realizar mediante una identidad de id. de entra administrada o una identidad de id. de entra federada. Sin embargo, si el servicio de federación está provocando problemas de autenticación, debe asegurarse de que puede iniciar sesión desde un equipo unido a Entra ID Only Windows 10 o Windows 11. Muchos problemas de autenticación son el resultado de configuraciones de id. de entra solo, en lugar de un problema específico de HoloLens. Solucionar estos desafíos es mucho más sencillo desde un equipo Windows 10 o Windows.
Hablemos sobre la configuración de la identidad de usuario para HoloLens 2
Al igual que otros dispositivos Windows, HoloLens siempre funciona en un contexto de usuario. Siempre hay una identidad de usuario. HoloLens trata la identidad casi de la misma manera que un dispositivo Windows 10 o Windows 11. El inicio de sesión durante la instalación crea un perfil de usuario en HoloLens que almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Microsoft Edge o Dynamics 365 Remote Assist, mediante las API del Administrador de cuentas de Windows.
HoloLens admite varios tipos de identidades de usuario. Puede elegir cualquiera de estos tres tipos de cuenta, pero se recomienda encarecidamente Microsoft Entra ID, ya que es lo mejor para administrar dispositivos. Solo Microsoft Entra cuentas admiten varios usuarios.
| Tipo de identidad | Cuentas por dispositivo | Opciones de autenticación |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Cuenta Microsoft (MSA) | 1 |
|
| Cuenta local3 | 1 | Password |
| Microsoft Entra ID compartido | 1 | Autenticación de Certificate-Based (CBA) |
Las cuentas conectadas a la nube (Microsoft Entra ID y MSA) ofrecen más características porque pueden usar servicios de Azure.
Importante
1: no es necesario Microsoft Entra ID P1 o P2 para iniciar sesión en el dispositivo. Sin embargo, es necesario para otras características de una implementación basada en la nube táctil, como la inscripción automática y Autopilot.
Nota:
2 - Aunque un dispositivo HoloLens 2 puede admitir hasta 63 cuentas Microsoft Entra, así como una cuenta del sistema para un total de 64 cuentas, solo 10 de esas cuentas deben inscribirse en Iris Authentication. Esto se alinea con otras opciones de autenticación biométrica para Windows Hello para empresas. Aunque se pueden inscribir más de 10 cuentas en la autenticación iris, esto aumenta la tasa de falsos positivos y no se recomienda.
Importante
3- Una cuenta local solo se puede configurar en un dispositivo a través de un paquete de aprovisionamiento durante OOBE, no se puede agregar más adelante en la aplicación de configuración. Si desea usar una cuenta local en un dispositivo que ya está configurado, debe volver a activar o restablecer el dispositivo.
¿Cómo afecta el tipo de cuenta al comportamiento del inicio de sesión?
Si aplica directivas para el inicio de sesión, siempre se respeta la directiva. Si no se aplica ninguna directiva para el inicio de sesión, estos son los comportamientos predeterminados de cada tipo de cuenta:
- Microsoft Entra ID: solicita la autenticación de forma predeterminada y se puede configurar mediante Configuración para que ya no solicite la autenticación.
- Cuenta microsoft: el comportamiento del bloqueo es diferente, lo que permite el desbloqueo automático, pero la autenticación de inicio de sesión sigue siendo necesaria al reiniciar.
- Cuenta local: siempre pide autenticación en forma de contraseña, no configurable en Configuración
Nota:
Actualmente no se admiten los temporizadores de inactividad, lo que significa que la directiva AllowIdleReturnWithoutPassword solo se respeta cuando el dispositivo entra en StandBy.
Iris Login
Recopilación de datos biométricos de HoloLens
Los datos biométricos (incluidos los movimientos de la cabeza, la mano y los ojos, el escaneo de iris) que recopila este dispositivo se usan para la calibración, para mejorar las interacciones confiables y mejorar la experiencia del usuario. Al igual que con otros dispositivos Windows, las aplicaciones de terceros del dispositivo pueden acceder a los datos del dispositivo con el fin de ofrecer ciertas funciones y características. Vaya a la sección Privacidad de Configuración para obtener más información sobre el Contrato de licencia y la Declaración de privacidad de Microsoft.
El inicio de sesión de HoloLens Iris se basa en Windows Hello. HoloLens almacena datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. Los datos biométricos no usan un perfil itinerante y nunca se envían a servidores o dispositivos externos. Como Windows Hello solo almacena datos de identificación biométrica en el dispositivo, no hay un único punto de recopilación en el que un atacante pueda robar datos biométricos.
HoloLens realiza la autenticación de iris en función de los códigos de bits almacenados. Los usuarios tienen control total sobre si inscriben su cuenta de usuario para el inicio de sesión de Iris para la autenticación. Además, los administradores de TI pueden deshabilitar las funcionalidades de Windows Hello a través de sus servidores MDM. Consulte Administración de Windows Hello para empresas en su organización.
Nota:
Las cuentas de Microsoft Entra ID compartidas no admiten el inicio de sesión de Iris en HoloLens. Consulte más detalles sobre las ventajas y limitaciones del uso de cuentas de Microsoft Entra compartidas.
Preguntas frecuentes sobre Iris
¿Cómo se implementa la autenticación biométrica iris en HoloLens 2?
HoloLens 2 admite la autenticación de Iris. Iris se basa en Windows Hello tecnología y es compatible con el uso de Microsoft Entra ID y cuentas de Microsoft. Iris se implementa de la misma manera que otras tecnologías de Windows Hello y logra una seguridad biométrica de 1/100 000.
Consulte los requisitos biométricos y las especificaciones de Windows Hello para obtener más información. Obtenga más información sobre Windows Hello y Windows Hello para empresas.
¿Dónde se almacena la información biométrica de Iris?
La información biométrica de Iris se almacena localmente en cada HoloLens por Windows Hello especificaciones. No se comparte y está protegido por dos capas de cifrado. No es accesible para otros usuarios, ni siquiera para un administrador, porque no hay ninguna cuenta de administrador en HoloLens.
¿Tengo que usar la autenticación de Iris?
No, puede omitir este paso durante la instalación.
HoloLens 2 proporciona muchas opciones diferentes para la autenticación, incluidas las claves de seguridad FIDO2.
¿Se puede quitar la información de Iris de HoloLens?
Sí, puede quitarlo manualmente en Configuración.
Configuración de usuarios
Hay dos maneras de configurar un nuevo usuario en HoloLens. La manera más común es durante la experiencia integrada (OOBE) de HoloLens. Si usa Microsoft Entra ID, otros usuarios pueden iniciar sesión después de OOBE con sus credenciales de Microsoft Entra. Los dispositivos HoloLens que se configuran inicialmente con una cuenta local o MSA durante OOBE no admiten varios usuarios. Consulte Configuración de HoloLens (1.ª generación) o HoloLens 2.
Si usa una cuenta empresarial o organizativa para iniciar sesión en HoloLens, HoloLens se inscribe en la infraestructura de TI de la organización. Esta inscripción permite que el Administración de TI configure Mobile Administración de dispositivos (MDM) para enviar directivas de grupo a HoloLens.
Al igual que Windows en otros dispositivos, el inicio de sesión durante la instalación crea un perfil de usuario en el dispositivo. El perfil de usuario almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Microsoft Edge o Microsoft Store, mediante las API del Administrador de cuentas de Windows.
De forma predeterminada, al igual que con otros dispositivos Windows 10, tendrá que iniciar sesión de nuevo cuando HoloLens se reinicie o se reanude desde el modo de espera. Puede usar la aplicación Configuración para cambiar este comportamiento o el comportamiento se puede controlar mediante la directiva de grupo.
Sugerencia
Si más de un usuario usa un dispositivo, es importante mantener el visor limpio. Consulta HoloLens 2 preguntas más frecuentes sobre limpieza para obtener más información sobre cómo limpiar el dispositivo. Se recomienda limpiar el visor entre cada usuario. Este procedimiento recomendado es especialmente importante si usa la autenticación de Iris.
Cuentas vinculadas
Al igual que en la versión de escritorio de Windows, puede vincular otras credenciales de cuenta web a su cuenta de HoloLens. Esta vinculación facilita el acceso a los recursos a través de aplicaciones (como la Tienda) o a combinar el acceso a los recursos personales y profesionales. Después de conectar una cuenta al dispositivo, puede conceder permiso para usar el dispositivo a las aplicaciones para que no tenga que iniciar sesión en cada aplicación de forma individual.
La vinculación de cuentas no separa los datos de usuario creados en el dispositivo, como imágenes o descargas.
Configuración de la compatibilidad con varios usuarios (solo Microsoft Entra)
HoloLens admite varios usuarios del mismo inquilino Microsoft Entra. Para usar esta característica, debe usar una cuenta que pertenezca a su organización para configurar el dispositivo. Posteriormente, otros usuarios del mismo inquilino pueden iniciar sesión en el dispositivo desde la pantalla de inicio de sesión o pulsando el icono de usuario en el panel Inicio. Solo un usuario puede iniciar sesión a la vez. Cuando un usuario inicia sesión, HoloLens cierra la sesión del usuario anterior.
Importante
El primer usuario del dispositivo se considera el propietario del dispositivo, excepto en el caso de Microsoft Entra unión, para obtener más información sobre los propietarios del dispositivo.
Todos los usuarios pueden usar las aplicaciones instaladas en el dispositivo. Sin embargo, cada usuario tiene sus propios datos y preferencias de la aplicación. Al quitar una aplicación del dispositivo, se quita para todos los usuarios.
Nota:
Otra opción para los dispositivos que se comparten entre varios usuarios es crear una cuenta de Microsoft Entra ID compartida en el dispositivo. Consulte Cuentas de Microsoft Entra compartidas en HoloLens para obtener información detallada sobre cómo configurar esta cuenta en el dispositivo.
Los dispositivos configurados con cuentas de Microsoft Entra no permitirán iniciar sesión en el dispositivo con una cuenta microsoft. Todas las cuentas posteriores usadas deben ser Microsoft Entra cuentas del mismo inquilino que el dispositivo. Es posible que sigas iniciando sesión con una cuenta Microsoft en aplicaciones que la admitan (como Microsoft Store). Para cambiar de usar cuentas de Microsoft Entra a cuentas de Microsoft para iniciar sesión en el dispositivo, debe volver a iniciar sesión en el dispositivo.
Nota:
HoloLens (1.ª generación) comenzó a admitir varios usuarios de Microsoft Entra en la actualización Windows 10 de abril de 2018 como parte de Windows Holographic for Business.
Varios usuarios aparecen en la pantalla de inicio de sesión
Anteriormente, la pantalla de inicio de sesión mostraba solo el usuario que inició sesión más recientemente y un punto de entrada "Otro usuario". Hemos recibido comentarios de los clientes de que no es suficiente si varios usuarios han iniciado sesión en el dispositivo. Todavía tenían que volver a escribir su nombre de usuario, etc.
Introducido en Windows Holographic, versión 21H1, al seleccionar Otro usuario que se encuentra a la derecha del campo de entrada pin, la pantalla de inicio de sesión muestra varios usuarios con sesión iniciada previamente en el dispositivo. Esto permite a los usuarios seleccionar su perfil de usuario y, a continuación, iniciar sesión con sus credenciales de Windows Hello. También se puede agregar un nuevo usuario al dispositivo desde esta página de otros usuarios mediante el botón Agregar cuenta .
Cuando se encuentra en el menú Otros usuarios , el botón Otros usuarios muestra el último usuario que ha iniciado sesión en el dispositivo. Seleccione este botón para volver a la pantalla de inicio de sesión de este usuario.
Eliminación de usuarios
Para quitar un usuario del dispositivo, vaya aCuentas>de configuración>Otras personas. Esta acción también recupera espacio mediante la eliminación de todos los datos de aplicación de ese usuario del dispositivo.
Uso del inicio de sesión único en una aplicación
Como desarrollador de aplicaciones, puede aprovechar las identidades vinculadas en HoloLens mediante las API del Administrador de cuentas de Windows, tal como lo haría en otros dispositivos Windows. Algunos ejemplos de código para estas API están disponibles en GitHub: ejemplo de administración de cuentas web.
Las interrupciones de cuenta que puedan producirse, como solicitar el consentimiento del usuario para obtener información de la cuenta, la autenticación en dos fases, etc., deben controlarse cuando la aplicación solicita un token de autenticación.
Si la aplicación requiere un tipo de cuenta específico que no se haya vinculado anteriormente, la aplicación puede pedir al sistema que pida al usuario que agregue uno. Esta solicitud desencadena el panel de configuración de la cuenta para que se inicie como un elemento secundario modal de la aplicación. En el caso de las aplicaciones 2D, esta ventana se representa directamente en el centro de la aplicación. En el caso de las aplicaciones de Unity, esta solicitud saca brevemente al usuario de la aplicación holográfica para representar la ventana secundaria. Para obtener información sobre cómo personalizar los comandos y las acciones en este panel, vea Clase WebAccountCommand.
Autenticación empresarial y de otro tipo
Si la aplicación usa otros tipos de autenticación, como NTLM, Basic o Kerberos, puedes usar la interfaz de usuario de credenciales de Windows para recopilar, procesar y almacenar las credenciales del usuario. La experiencia del usuario para recopilar estas credenciales es similar a otras interrupciones de cuenta controladas por la nube y aparece como una aplicación secundaria sobre la aplicación 2D o suspende brevemente una aplicación de Unity para mostrar la interfaz de usuario.
API en desuso
Una manera en la que el desarrollo para HoloLens difiere del desarrollo para escritorio es que la API OnlineIDAuthenticator no es totalmente compatible. Aunque la API devuelve un token si la cuenta principal está en buen estado, interrupciones como las descritas en este artículo no muestran ninguna interfaz de usuario para el usuario y no pueden autenticar correctamente la cuenta.
Windows Hello para empresas compatibilidad con HoloLens (1.ª generación)
Windows Hello para empresas (que admite el uso de un PIN para iniciar sesión) es compatible con HoloLens (1.ª generación). Para permitir Windows Hello para empresas inicio de sesión de PIN en HoloLens (1.ª generación):
- El dispositivo HoloLens debe administrarse mediante MDM.
- Debe habilitar Windows Hello para empresas para el dispositivo. (Consulte las instrucciones para Microsoft Intune).
- En el dispositivo HoloLens, el usuario puede usar Opciones>de inicio de sesiónConfiguración >Agregar PIN para configurar un PIN.
Nota:
Los usuarios que inician sesión con una cuenta de Microsoft también pueden configurar un PIN en Configuración Opciones>>de inicio de sesiónAgregar PIN. Este PIN está asociado a Windows Hello, en lugar de Windows Hello para empresas.
Recursos adicionales
Obtenga mucho más información sobre la autenticación y la protección de identidades de usuario en la documentación de seguridad e identidad de Windows 10.
Obtenga más información sobre cómo configurar la infraestructura de identidad híbrida mediante la documentación de identidad híbrida de Azure.