Gestire l'identità utente e l'accesso per HoloLens
Nota
Questo articolo è un riferimento tecnico per professionisti IT e appassionati di tecnologia. Se stai cercando le istruzioni di configurazione di HoloLens, leggi "Configurazione di HoloLens (prima generazione)" o "Configurazione del HoloLens 2".
Consiglio
HoloLens 2 è configurato come dispositivo aggiunto Microsoft Entra ID e non supporta Active Directory locale. Nella maggior parte dei casi, l'autenticazione può essere eseguita usando un'identità id entra gestita o un'identità di ID entra federato. Tuttavia, se il servizio federativo causa problemi di autenticazione, è necessario assicurarsi di essere in grado di accedere da un ID Entra aggiunto solo Windows 10 o Windows 11 PC. Molti problemi di autenticazione sono il risultato delle configurazioni solo dell'ID Entra, anziché di un problema specifico di HoloLens. La risoluzione di questi problemi è molto più semplice da un PC Windows 10 o Windows.
Verrà ora parlato della configurazione dell'identità utente per HoloLens 2
Come altri dispositivi Windows, HoloLens opera sempre in un contesto utente. Esiste sempre un'identità utente. HoloLens tratta l'identità quasi allo stesso modo di un dispositivo Windows 10 o Windows 11. L'accesso durante l'installazione crea un profilo utente in HoloLens che archivia app e dati. Lo stesso account fornisce anche l'accesso Single Sign-On per le app, ad esempio Microsoft Edge o Dynamics 365 Remote Assist, usando le API di Gestione account Windows.
HoloLens supporta diversi tipi di identità utente. È possibile scegliere uno di questi tre tipi di account, ma è consigliabile Microsoft Entra ID perché è preferibile per la gestione dei dispositivi. Solo gli account Microsoft Entra supportano più utenti.
| Tipo di identità | Account per dispositivo | Opzioni di autenticazione |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Account Microsoft (MSA) | 1 |
|
| Account locale3 | 1 | Password |
| Microsoft Entra ID condiviso | 1 | Certificate-Based Authentication (CBA) |
Gli account connessi al cloud (Microsoft Entra ID e MSA) offrono più funzionalità perché possono usare i servizi di Azure.
Importante
1 - Microsoft Entra ID P1 o P2 non è necessario per accedere al dispositivo. Tuttavia, è necessario per altre funzionalità di una distribuzione basata sul cloud a basso tocco, ad esempio registrazione automatica e Autopilot.
Nota
2 - Anche se un dispositivo HoloLens 2 può supportare fino a 63 account Microsoft Entra e un account di sistema per un totale di 64 account, solo fino a 10 di questi account devono essere registrati nell'autenticazione Iris. Questa opzione è allineata ad altre opzioni di autenticazione biometrica per Windows Hello for Business. Anche se più di 10 account possono essere registrati nell'autenticazione Iris, questo aumenta la frequenza di falsi positivi e non è consigliabile.
Importante
3 - Un account locale può essere configurato solo in un dispositivo tramite un pacchetto di provisioning durante la Configurazione guidata, non può essere aggiunto più avanti nell'app delle impostazioni. Se si vuole usare un account locale in un dispositivo già configurato, è necessario modificare o reimpostare il dispositivo.
In che modo il tipo di account influisce sul comportamento di accesso?
Se si applicano criteri per l'accesso, i criteri vengono sempre rispettati. Se non viene applicato alcun criterio per l'accesso, questi sono i comportamenti predefiniti per ogni tipo di account:
- Microsoft Entra ID: richiede l'autenticazione per impostazione predefinita e configurabile da Impostazioni per non richiedere più l'autenticazione.
- Account Microsoft: il comportamento del blocco è diverso, consentendo lo sblocco automatico, ma l'autenticazione di accesso è ancora necessaria al riavvio.
- Account locale: richiede sempre l'autenticazione sotto forma di password, non configurabile in Impostazioni
Nota
I timer di inattività non sono attualmente supportati, il che significa che i criteri AllowIdleReturnWithoutPassword vengono rispettati solo quando il dispositivo entra in StandBy.
Accesso iris
Raccolta di dati biometrici di HoloLens
I dati biometrici (inclusi i movimenti di testa/mano/occhio, scansione dell'iride) raccolti da questo dispositivo vengono usati per la calibrazione, per migliorare interazioni affidabili e migliorare l'esperienza utente. Come per altri dispositivi Windows, le app di terze parti nel dispositivo possono accedere ai dati nel dispositivo allo scopo di fornire determinate funzionalità e funzionalità. Passare alla sezione Privacy in Impostazioni per informazioni dettagliate sul Contratto di licenza e sull'Informativa sulla privacy Microsoft.
L'accesso a HoloLens Iris si basa su Windows Hello. HoloLens archivia i dati biometrici usati per implementare Windows Hello in modo sicuro solo nel dispositivo locale. I dati biometrici non vengono messi in circolazione e non sono mai inviati a dispositivi o server esterni. Poiché Windows Hello archivia i dati di identificazione biometrica solo nel dispositivo, non esiste alcun punto di raccolta che un utente malintenzionato possa compromettere per sottrarre tali dati.
HoloLens esegue l'autenticazione iris in base ai codici bit archiviati. Gli utenti hanno il controllo completo sulla registrazione dell'account utente per l'accesso Iris per l'autenticazione. Inoltre, gli amministratori IT possono disabilitare le funzionalità di Windows Hello tramite i server MDM. Vedere Gestire Windows Hello for Business nell'organizzazione.
Nota
Gli account Microsoft Entra ID condivisi non supportano l'accesso Iris in HoloLens. Vedere altri dettagli sui vantaggi e le limitazioni dell'uso degli account Microsoft Entra condivisi.
Domande frequenti su Iris
Come viene implementata l'autenticazione biometrica Iris in HoloLens 2?
HoloLens 2 supporta l'autenticazione Iris. Iris è basato sulla tecnologia Windows Hello ed è supportato per l'uso sia da Microsoft Entra ID che da account Microsoft. Iris viene implementato allo stesso modo di altre tecnologie Windows Hello e raggiunge la sicurezza biometrica FAR di 1/100K.
Per altre informazioni, vedere i requisiti biometrici e le specifiche per Windows Hello. Altre informazioni su Windows Hello e Windows Hello for Business.
Dove vengono archiviate le informazioni biometriche di Iris?
Le informazioni biometriche iris vengono archiviate localmente in ogni specifica di HoloLens in base alle specifiche di Windows Hello. Non è condiviso ed è protetto da due livelli di crittografia. Non è accessibile ad altri utenti, nemmeno a un amministratore, perché non esiste un account amministratore in un HoloLens.
È necessario usare l'autenticazione Iris?
No, è possibile ignorare questo passaggio durante l'installazione.
HoloLens 2 offre molte opzioni diverse per l'autenticazione, incluse le chiavi di sicurezza FIDO2.
Le informazioni iris possono essere rimosse da HoloLens?
Sì, è possibile rimuoverlo manualmente in Impostazioni.
Configurazione degli utenti
Esistono due modi per configurare un nuovo utente in HoloLens. Il modo più comune è durante la configurazione guidata di HoloLens. Se si usa Microsoft Entra ID, gli altri utenti possono accedere dopo configurazione guidata usando le proprie credenziali di Microsoft Entra. I dispositivi HoloLens configurati inizialmente con un account del servizio gestito o un account locale durante la Configurazione guidata non supportano più utenti. Vedere Configurazione di HoloLens (prima generazione) o HoloLens 2.
Se si usa un account aziendale o aziendale per accedere a HoloLens, HoloLens si iscrive all'infrastruttura IT dell'organizzazione. Questa registrazione consente al Amministrazione IT di configurare Mobile Gestione dispositivi (MDM) per inviare criteri di gruppo a HoloLens.
Analogamente a Windows in altri dispositivi, l'accesso durante l'installazione crea un profilo utente nel dispositivo. Il profilo utente archivia app e dati. Lo stesso account fornisce anche l'accesso Single Sign-On per le app, ad esempio Microsoft Edge o Microsoft Store, usando le API di Gestione account Windows.
Per impostazione predefinita, come per altri dispositivi Windows 10, è necessario eseguire di nuovo l'accesso quando HoloLens viene riavviato o ripreso dallo standby. È possibile usare l'app Impostazioni per modificare questo comportamento oppure il comportamento può essere controllato da Criteri di gruppo.
Consiglio
Se più utenti usano un dispositivo, è importante mantenere pulita la visiera. Per informazioni dettagliate su come pulire il dispositivo, vedere HoloLens 2 domande frequenti sulla pulizia. È consigliabile pulire la visiera tra ogni utente. Questa procedura consigliata è particolarmente importante se si usa l'autenticazione Iris.
Account collegati
Come nella versione desktop di Windows, è possibile collegare altre credenziali dell'account Web all'account HoloLens. Questo collegamento semplifica l'accesso alle risorse all'interno o all'interno di app (ad esempio lo Store) o la combinazione dell'accesso alle risorse personali e lavorative. Dopo aver connesso un account al dispositivo, è possibile concedere l'autorizzazione per l'uso del dispositivo alle app in modo da non dover accedere singolarmente a ogni app.
Il collegamento degli account non separa i dati utente creati nel dispositivo, ad esempio immagini o download.
Configurazione del supporto per più utenti (solo Microsoft Entra)
HoloLens supporta più utenti dello stesso tenant Microsoft Entra. Per usare questa funzionalità, è necessario usare un account appartenente all'organizzazione per configurare il dispositivo. Successivamente, altri utenti dello stesso tenant possono accedere al dispositivo dalla schermata di accesso o toccando il riquadro utente nel pannello Start. È possibile accedere solo a un utente alla volta. Quando un utente accede, HoloLens disconnette l'utente precedente.
Importante
Il primo utente nel dispositivo è considerato il proprietario del dispositivo, ad eccezione del caso di Microsoft Entra partecipare, per altre informazioni sui proprietari del dispositivo.
Tutti gli utenti possono usare le app installate nel dispositivo. Tuttavia, ogni utente ha i propri dati e preferenze dell'app. La rimozione di un'app dal dispositivo lo rimuove per tutti gli utenti.
Nota
Un'altra opzione per i dispositivi condivisi tra più utenti consiste nel creare un account di Microsoft Entra ID condiviso nel dispositivo. Per informazioni dettagliate su come configurare questo account nel dispositivo, vedere Account Microsoft Entra condivisi in HoloLens.
I dispositivi configurati con account Microsoft Entra non consentono l'accesso al dispositivo con un account Microsoft. Tutti gli account successivi usati devono essere Microsoft Entra account dello stesso tenant del dispositivo. È comunque possibile accedere usando un account Microsoft alle app che lo supportano,ad esempio Microsoft Store. Per passare dall'uso degli account Microsoft Entra agli account Microsoft per l'accesso al dispositivo, è necessario ripetere ilflash del dispositivo.
Nota
HoloLens (prima generazione) ha iniziato a supportare più utenti Microsoft Entra nell'aggiornamento Windows 10 aprile 2018 come parte di Windows Holographic for Business.
Più utenti sono elencati nella schermata di accesso
In precedenza la schermata di accesso mostrava solo l'utente connesso più di recente e un punto di ingresso "Altro utente". Il feedback dei clienti indica che non è sufficiente se più utenti hanno eseguito l'accesso al dispositivo. Erano ancora tenuti a digitare di nuovo il nome utente e così via.
Introdotto in Windows Holographic versione 21H1, quando si seleziona Altro utente che si trova a destra del campo di immissione del PIN, nella schermata di accesso vengono visualizzati più utenti con accesso precedente al dispositivo. In questo modo gli utenti possono selezionare il proprio profilo utente e quindi accedere usando le credenziali di Windows Hello. È anche possibile aggiungere un nuovo utente al dispositivo da questa pagina di altri utenti tramite il pulsante Aggiungi account .
Quando nel menu Altri utenti , il pulsante Altri utenti visualizza l'ultimo utente che ha eseguito l'accesso al dispositivo. Selezionare questo pulsante per tornare alla schermata di accesso per l'utente.
Rimozione degli utenti
È possibile rimuovere un utente dal dispositivo passando a Impostazioni>Account>Altre persone. Questa azione recupera anche spazio rimuovendo tutti i dati dell'app dell'utente dal dispositivo.
Uso dell'accesso Single Sign-On all'interno di un'app
Gli sviluppatori di app possono sfruttare le identità collegate in HoloLens usando le API di Gestione account Windows, proprio come in altri dispositivi Windows. Alcuni esempi di codice per queste API sono disponibili in GitHub: Esempio di gestione degli account Web.
Qualsiasi interruzione dell'account che potrebbe verificarsi, ad esempio la richiesta del consenso dell'utente per le informazioni sull'account, l'autenticazione a due fattori e così via, deve essere gestita quando l'app richiede un token di autenticazione.
Se l'app richiede un tipo di account specifico che non è stato collegato in precedenza, l'app può chiedere al sistema di richiedere all'utente di aggiungerne uno. Questa richiesta attiva il riquadro delle impostazioni dell'account per l'avvio come figlio modale dell'app. Per le app 2D, viene eseguito il rendering di questa finestra direttamente sul centro dell'app. Per le app Unity, questa richiesta elimina brevemente l'utente dall'app olografica per eseguire il rendering della finestra figlio. Per informazioni sulla personalizzazione dei comandi e delle azioni in questo riquadro, vedere Classe WebAccountCommand.
Autenticazione enterprise e di altro tipo
Se l'app usa altri tipi di autenticazione, ad esempio NTLM, Basic o Kerberos, puoi usare l'interfaccia utente delle credenziali di Windows per raccogliere, elaborare e archiviare le credenziali dell'utente. L'esperienza utente per la raccolta di queste credenziali è simile ad altre interruzioni dell'account basate sul cloud e viene visualizzata come app figlio sopra l'app 2D o sospende brevemente un'app Unity per visualizzare l'interfaccia utente.
API deprecate
Uno dei modi in cui lo sviluppo per HoloLens differisce dallo sviluppo per desktop consiste nel fatto che l'API OnlineIDAuthenticator non è completamente supportata. Anche se l'API restituisce un token se l'account primario è valido, gli interrupt come quelli descritti in questo articolo non visualizzano alcuna interfaccia utente per l'utente e non riescono a autenticare correttamente l'account.
Windows Hello for Business supporto in HoloLens (prima generazione)
Windows Hello for Business (che supporta l'uso di un PIN per l'accesso) è supportato per HoloLens (prima generazione). Per consentire l'accesso Windows Hello for Business PIN in HoloLens (prima generazione):
- Il dispositivo HoloLens deve essere gestito da MDM.
- È necessario abilitare Windows Hello for Business per il dispositivo. Vedere le istruzioni per Microsoft Intune.
- Nel dispositivo HoloLens l'utente può quindi usare Impostazioni> Opzioni >di accessoAggiungi PIN per configurare un PIN.
Nota
Gli utenti che accedono usando un account Microsoft possono anche configurare un PIN in Impostazioni Opzioni>>di accessoAggiungi PIN. Questo PIN è associato a Windows Hello anziché a Windows Hello for Business.
Risorse aggiuntive
Per altre informazioni sulla protezione e l'autenticazione delle identità degli utenti, vedere la documentazione relativa alla sicurezza e all'identità Windows 10.
Per altre informazioni sulla configurazione dell'infrastruttura di identità ibrida, vedere la documentazione sull'identità ibrida di Azure.