HoloLens のユーザー ID とログインを管理する
注:
この記事は、IT 担当者や技術愛好家向けのテクニカル リファレンスです。 HoloLens のセットアップ手順を探している場合は、「HoloLens (第 1 世代) のセットアップ」または「HoloLens 2の設定」を参照してください。
ヒント
HoloLens 2は、Microsoft Entra ID参加済みデバイスとして構成されており、オンプレミスの Active Directory をサポートしていません。 ほとんどの場合、マネージド Entra ID ID またはフェデレーション Entra ID ID を使用して認証を実行できます。 ただし、フェデレーション サービスが認証の課題を引き起こしている場合は、Entra ID のみ参加済みの Windows 10 または Windows 11 PC からサインオンできることを確認する必要があります。 多くの認証の問題は、HoloLens 固有の問題ではなく、Entra ID のみの構成の結果です。 これらの課題のトラブルシューティングは、Windows 10または Windows PC からはるかに簡単です。
HoloLens 2のユーザー ID の設定について説明します
他の Windows デバイスと同様に、HoloLens は常にユーザー コンテキストで動作します。 ユーザー ID は常に存在します。 HoloLens は、Windows 10またはWindows 11 デバイスとほぼ同じ方法で ID を扱います。 セットアップ中にサインインすると、アプリとデータを格納する HoloLens にユーザー プロファイルが作成されます。 同じアカウントでは、Windows アカウント マネージャー API を使用して、Microsoft Edge や Dynamics 365 Remote Assist などのアプリにシングル サインオンも提供されます。
HoloLens では、さまざまな種類のユーザー ID がサポートされています。 これらの 3 つのアカウントの種類のいずれかを選択できますが、デバイスの管理に最適であるため、Microsoft Entra IDを強くお勧めします。 Microsoft Entraアカウントのみが複数のユーザーをサポートします。
| ID の種類 | デバイスあたりのアカウント数 | 認証オプション |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft アカウント (MSA) | 1 |
|
| ローカル アカウント3 | 1 | Password |
| 共有Microsoft Entra ID | 1 | Certificate-Based 認証 (CBA) |
クラウドに接続されたアカウント (Microsoft Entra IDと MSA) では、Azure サービスを使用できるため、より多くの機能が提供されます。
重要
1 - P1 または P2 Microsoft Entra IDデバイスにサインインする必要はありません。 ただし、自動登録や Autopilot など、低タッチのクラウドベースのデプロイの他の機能には必要です。
注:
2 - HoloLens 2 デバイスでは、最大 63 個のMicrosoft Entra アカウントと、合計 64 アカウントの 1 つのシステム アカウントをサポートできますが、Iris 認証に登録する必要があるのは、そのうちの 10 個までのアカウントのみです。 これは、Windows Hello for Businessの他の生体認証オプションと一致しています。 Iris 認証には 10 を超えるアカウントが登録されている可能性があります。これにより、誤検知の割合が増加し、推奨されません。
重要
3 - ローカル アカウントは 、OOBE 中にプロビジョニング パッケージを介してのみデバイスに設定できます。設定アプリで後で追加することはできません。 既に設定されているデバイスでローカル アカウントを使用する場合は、デバイスを再フラッシュまたはリセットする必要があります。
アカウントの種類はサインインの動作にどのような影響を与えますか?
サインインにポリシーを適用する場合、ポリシーは常に尊重されます。 ログインのポリシーが適用されていない場合、各アカウントの種類の既定の動作は次のとおりです。
- Microsoft Entra ID: 既定で認証を要求し、[設定] で構成して認証を要求しなくなりました。
- Microsoft アカウント: ロック動作は異なり、自動ロック解除を許可しますが、再起動時にはサインイン認証が必要です。
- ローカル アカウント: 常にパスワードの形式で認証を求めます。[設定] では構成できません
注:
非アクティブ タイマーは現在サポートされていません。つまり、 AllowIdleReturnWithoutPassword ポリシーは、デバイスが StandBy に入ったときにのみ尊重されます。
Iris Login
HoloLens による生体認証データ収集
このデバイスが収集する生体認証データ (頭/手/目の動き、虹彩スキャンを含む) は、キャリブレーション、信頼性の高い相互作用の向上、ユーザー エクスペリエンスの向上に使用されます。 他の Windows デバイスと同様に、デバイス上のサード パーティ製アプリは、特定の機能と機能を提供するためにデバイス上のデータにアクセスする場合があります。 使用許諾契約と Microsoft プライバシーに関する声明の詳細については、「設定」の「プライバシー」セクションを参照してください。
HoloLens Iris ログインは、Windows Helloの上に構築されています。 HoloLens には、ローカル デバイスにのみ安全にWindows Hello実装するために使用される生体認証データが格納されます。 生体認証データはローミングされず、外部のデバイスやサーバーに送信されることもありません。 Windows Hello は生体認証データをデバイス上にしか保存しないため、攻撃者が生体認証データを盗むために侵害できる単一の収集ポイントはありません。
HoloLens は、格納されているビット コードに基づいて虹彩認証を実行します。 ユーザーは、認証のために Iris ログインに自分のユーザー アカウントを登録するかどうかを完全に制御できます。 IT 管理者は、MDM サーバーを介してWindows Hello機能を無効にすることができます。 organizationのWindows Hello for Businessの管理に関するページを参照してください。
注:
共有Microsoft Entra ID アカウントでは、HoloLens での Iris ログインはサポートされていません。 共有Microsoft Entra アカウントを使用する利点と制限事項の詳細を参照してください。
よく寄せられる虹彩に関する質問
虹彩生体認証はどのようにHoloLens 2に実装されますか?
HoloLens 2では、Iris 認証がサポートされています。 Iris はWindows Helloテクノロジに基づいており、Microsoft Entra IDと Microsoft アカウントの両方で使用するためにサポートされています。 Iris は他のWindows Hello テクノロジと同じように実装され、1/100K の生体認証セキュリティ FAR を実現します。
詳細については、Windows Helloの生体認証要件と仕様に関するページを参照してください。 Windows HelloとWindows Hello for Businessの詳細については、こちらをご覧ください。
虹彩生体認証情報はどこに保存されますか?
虹彩生体認証情報は、Windows Hello仕様ごとに各 HoloLens にローカルに格納されます。 これは共有されておらず、2 つの暗号化レイヤーによって保護されます。 HoloLens に管理者アカウントがないため、管理者であっても他のユーザーにはアクセスできません。
Iris 認証を使用する必要がありますか?
いいえ、セットアップ中にこの手順をスキップできます。
HoloLens 2には、FIDO2 セキュリティ キーなど、さまざまな認証オプションが用意されています。
HoloLens から Iris 情報を削除できますか?
はい。手動で [設定] で削除できます。
ユーザーの設定
HoloLens で新しいユーザーを設定するには、2 つの方法があります。 最も一般的な方法は、HoloLens のすぐに使えるエクスペリエンス (OOBE) の間です。 Microsoft Entra IDを使用している場合、他のユーザーは、Microsoft Entra資格情報を使用して OOBE の後にログインできます。 OOBE 中に MSA またはローカル アカウントで最初に設定された HoloLens デバイスは、複数のユーザーをサポートしていません。 HoloLens (第 1 世代) またはHoloLens 2の設定に関するページを参照してください。
企業または組織のアカウントを使用して HoloLens にサインインする場合、HoloLens はorganizationの IT インフラストラクチャに登録します。 この登録により、IT 管理は、グループ ポリシーを HoloLens に送信するように Mobile デバイス管理 (MDM) を構成できます。
他のデバイスの Windows と同様に、セットアップ中にサインインすると、デバイスにユーザー プロファイルが作成されます。 ユーザー プロファイルには、アプリとデータが格納されます。 同じアカウントでは、Windows アカウント マネージャー API を使用して、Microsoft Edge や Microsoft Store などのアプリにシングル サインオンも提供されます。
既定では、他のWindows 10 デバイスに関しては、HoloLens が再起動するか、スタンバイから再開するときに、もう一度サインインする必要があります。 設定アプリを使用してこの動作を変更することも、グループ ポリシーによって動作を制御することもできます。
ヒント
複数のユーザーがデバイスを使用する場合は、バイザーをクリーンしておくことが重要です。 デバイスをクリーンする方法の詳細については、「HoloLens 2クリーニングに関する FAQ」を参照してください。 各ユーザー間でバイザーをクリーンすることをお勧めします。 このベスト プラクティスは、Iris 認証を使用する場合に特に重要です。
リンクされたアカウント
Windows のデスクトップ バージョンと同様に、他の Web アカウントの資格情報を HoloLens アカウントにリンクできます。 このようなリンクを使用すると、アプリ (ストアなど) 内のリソースにアクセスしたり、個人用リソースと作業リソースへのアクセスを組み合わせたりしやすくなります。 アカウントをデバイスに接続した後は、各アプリに個別にサインインする必要がないように、デバイスをアプリに使用するアクセス許可を付与できます。
アカウントをリンクしても、デバイスで作成されたユーザー データ (画像やダウンロードなど) は分離されません。
マルチユーザー サポートの設定 (Microsoft Entraのみ)
HoloLens では、同じMicrosoft Entra テナントから複数のユーザーがサポートされます。 この機能を使用するには、organizationに属するアカウントを使用してデバイスを設定する必要があります。 その後、同じテナントの他のユーザーは、サインイン画面から、または [スタート] パネルの [ユーザー] タイルをタップして、デバイスにサインインできます。 一度にサインインできるユーザーは 1 人だけです。 ユーザーがサインインすると、HoloLens は前のユーザーをサインアウトします。
重要
デバイス上の最初のユーザーはデバイス所有者と見なされます。ただし、Microsoft Entra参加の場合を除き、デバイス所有者の詳細を確認してください。
すべてのユーザーは、デバイスにインストールされているアプリを使用できます。 ただし、各ユーザーには独自のアプリ データと設定があります。 デバイスからアプリを削除すると、すべてのユーザーに対してアプリが削除されます。
注:
複数のユーザー間で共有されるデバイスのもう 1 つのオプションは、デバイスに共有Microsoft Entra ID アカウントを作成することです。 デバイスでこのアカウントを構成する方法の詳細については、「HoloLens の共有Microsoft Entra アカウント」を参照してください。
Microsoft Entra アカウントで設定されたデバイスでは、Microsoft アカウントを使用したデバイスへのサインインは許可されません。 以降に使用されるすべてのアカウントは、デバイスと同じテナントのアカウントMicrosoft Entraする必要があります。 引き続き 、Microsoft アカウントを使用して 、それをサポートするアプリ (Microsoft Store など) にサインインできます。 Microsoft Entra アカウントを使用してデバイスにサインインするために Microsoft アカウントに変更するには、デバイスを再フラッシュする必要があります。
注:
HoloLens (第 1 世代) は、Windows Holographic for Businessの一環として、Windows 10 April 2018 Update で複数のMicrosoft Entra ユーザーのサポートを開始しました。
サインイン画面に複数のユーザーが表示される
以前は、サインイン画面には、最近サインインしたユーザーと "その他のユーザー" エントリ ポイントのみが表示されました。 複数のユーザーがデバイスにサインインしている場合は十分ではないというお客様からのフィードバックを受け取っています。 彼らはまだ自分のユーザー名などを再入力する必要がありました。
Windows Holographic バージョン 21H1 で導入され、PIN 入力フィールドの右側にある [その他のユーザー] を選択すると、サインイン画面に、以前にデバイスにサインインしている複数のユーザーが表示されます。 これにより、ユーザーは自分のユーザー プロファイルを選択し、Windows Hello資格情報を使用してサインインできます。 [アカウントの追加] ボタンを使用して、この 他のユーザー ページから新しいユーザーをデバイスに 追加 することもできます。
[ その他のユーザー ] メニューの [ その他のユーザー ] ボタンに、デバイスに最後にサインインしたユーザーが表示されます。 このボタンを選択すると、このユーザーのサインイン画面に戻ります。
ユーザーの削除
デバイスからユーザーを削除するには、[設定>Accounts>その他のユーザー] に移動します。 このアクションでは、そのユーザーのアプリ データをすべてデバイスから削除することで、領域も解放されます。
アプリ内でのシングル サインオンの使用
アプリ開発者は、他の Windows デバイスと同様に 、Windows アカウント マネージャー API を使用して HoloLens のリンクされた ID を利用できます。 これらの API の一部のコード サンプルは、GitHub: Web アカウント管理サンプルで入手できます。
アカウント情報のユーザーの同意の要求、2 要素認証など、発生する可能性のあるアカウント割り込みは、アプリが認証トークンを要求するときに処理する必要があります。
以前にリンクされていない特定のアカウントの種類がアプリに必要な場合、アプリはユーザーに追加を求めるメッセージをシステムに求めることができます。 この要求により、アカウント設定ウィンドウがトリガーされ、アプリのモーダル子として起動されます。 2D アプリの場合、このウィンドウはアプリの中央に直接レンダリングされます。 Unity アプリの場合、この要求により、ユーザーがホログラフィック アプリから簡単に取り出され、子ウィンドウがレンダリングされます。 このウィンドウでコマンドとアクションをカスタマイズする方法については、「 WebAccountCommand クラス」を参照してください。
エンタープライズおよびその他の認証
アプリで NTLM、Basic、Kerberos などの他の種類の認証を使用している場合は、 Windows 資格情報 UI を使用して、ユーザーの資格情報を収集、処理、格納できます。 これらの資格情報を収集するためのユーザー エクスペリエンスは、他のクラウド駆動型アカウント割り込みに似ています。また、2D アプリの上に子アプリとして表示されるか、UI を表示するためにUnity アプリを一時的に中断します。
非推奨の API
HoloLens 用の開発とデスクトップ向けの開発が異なる 1 つの方法は、 OnlineIDAuthenticator API が完全にサポートされていないことです。 プライマリ アカウントが正常な状態にある場合、API はトークンを返しますが、この記事で説明するような割り込みはユーザーの UI を表示せず、アカウントを正しく認証できません。
HoloLens (第 1 世代) でのWindows Hello for Businessサポート
HoloLens (第 1 世代) では、Windows Hello for Business (PIN を使用したサインインをサポート) がサポートされています。 HoloLens (第 1 世代) Windows Hello for Business PIN サインインを許可するには:
- HoloLens デバイスは MDM によって管理する必要があります。
- デバイスのWindows Hello for Businessを有効にする必要があります。 (Microsoft Intuneの手順を参照してください)。
- HoloLens デバイスでは、ユーザーは [設定]>[サインイン オプション]>[PIN の追加] を使用して PIN を設定できます。
注:
Microsoft アカウントを使用してサインインするユーザーは、[設定]> [サインイン オプション]> [PIN の追加] で PIN を設定することもできます。 この PIN は、Windows Hello for Businessではなく、Windows Helloに関連付けられています。
その他のリソース
ユーザー ID の保護と認証の詳細については、Windows 10のセキュリティと ID に関するドキュメントを参照してください。
ハイブリッド ID インフラストラクチャの設定の詳細については、 Azure ハイブリッド ID に関するドキュメントを参照してください。