Gebruikersidentiteit en aanmelding beheren voor HoloLens
Opmerking
Dit artikel is een technische referentie voor IT-professionals en techliefhebbers. Als u op zoek bent naar instructies voor het instellen van HoloLens, leest u 'Uw HoloLens instellen (1e generatie)' of 'Uw HoloLens 2 instellen'.
Tip
HoloLens 2 is geconfigureerd als een Microsoft Entra ID gekoppeld apparaat en biedt geen ondersteuning voor on-premises Active Directory. In de meeste gevallen kan verificatie worden uitgevoerd met behulp van een beheerde Entra ID-identiteit of een federatieve Entra ID-identiteit. Als uw federation-service echter verificatieproblemen veroorzaakt, moet u ervoor zorgen dat u zich kunt aanmelden vanaf een entra-id die alleen is gekoppeld Windows 10 of Windows 11 pc. Veel verificatieproblemen zijn het gevolg van alleen Entra ID-configuraties, in plaats van een specifiek HoloLens-probleem. Het oplossen van deze uitdagingen is veel eenvoudiger vanaf een Windows 10 of Windows-pc.
Laten we het hebben over het instellen van de gebruikersidentiteit voor HoloLens 2
Net als andere Windows-apparaten werkt HoloLens altijd onder een gebruikerscontext. Er is altijd een gebruikersidentiteit. HoloLens behandelt identiteit op bijna dezelfde manier als een Windows 10 of Windows 11 apparaat. Als u zich aanmeldt tijdens de installatie, maakt u een gebruikersprofiel op HoloLens waarin apps en gegevens worden opgeslagen. Hetzelfde account biedt ook eenmalige aanmelding voor apps, zoals Microsoft Edge of Dynamics 365 Remote Assist, met behulp van de Windows Account Manager-API's.
HoloLens ondersteunt verschillende soorten gebruikersidentiteiten. U kunt een van deze drie accounttypen kiezen, maar we raden u ten zeerste aan Microsoft Entra ID omdat dit het beste is voor het beheren van apparaten. Alleen Microsoft Entra-accounts ondersteunen meerdere gebruikers.
| Identiteitstype | Accounts per apparaat | Verificatieopties |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft-account (MSA) | 1 |
|
| Lokaal account3 | 1 | Wachtwoord |
| Gedeelde Microsoft Entra ID | 1 | Certificate-Based Authentication (CBA) |
Cloud-verbonden accounts (Microsoft Entra ID en MSA) bieden meer functies omdat ze Azure-services kunnen gebruiken.
Belangrijk
1 - Microsoft Entra ID P1 of P2 is niet vereist om u aan te melden bij het apparaat. Dit is echter vereist voor andere functies van een cloudimplementatie met weinig aanraakfunctionaliteit, zoals Automatische inschrijving en Autopilot.
Opmerking
2 - Hoewel een HoloLens 2-apparaat maximaal 63 Microsoft Entra accounts en één systeemaccount kan ondersteunen voor een totaal van 64 accounts, moeten slechts 10 van deze accounts worden ingeschreven bij Iris Authentication. Dit is afgestemd op andere opties voor biometrische verificatie voor Windows Hello voor Bedrijven. Hoewel er meer dan 10 accounts kunnen worden ingeschreven bij Iris-verificatie, verhoogt dit het aantal fout-positieven en wordt niet aanbevolen.
Belangrijk
3 - Een lokaal account kan alleen worden ingesteld op een apparaat via een inrichtingspakket tijdens OOBE. Het kan later niet worden toegevoegd in de instellingen-app. Als u een lokaal account wilt gebruiken op een apparaat dat al is ingesteld, moet u het apparaat opnieuw inschakelen of opnieuw instellen.
Hoe is het type account van invloed op het aanmeldingsgedrag?
Als u beleidsregels toepast voor aanmelding, wordt het beleid altijd gerespecteerd. Als er geen beleid voor aanmelding wordt toegepast, zijn dit de standaardgedragingen voor elk accounttype:
- Microsoft Entra ID: vraagt standaard om verificatie en kan worden geconfigureerd door Instellingen om niet langer om verificatie te vragen.
- Microsoft-account: het vergrendelingsgedrag is anders waardoor automatisch ontgrendelen wordt toegestaan, maar aanmeldingsverificatie is nog steeds vereist bij het opnieuw opstarten.
- Lokaal account: vraagt altijd om verificatie in de vorm van een wachtwoord, niet configureerbaar in Instellingen
Opmerking
Timers voor inactiviteit worden momenteel niet ondersteund, wat betekent dat het beleid AllowIdleReturnWithoutPassword alleen wordt gerespecteerd wanneer het apparaat overgaat naar StandBy.
Iris Login
Biometrische gegevens verzamelen door HoloLens
Biometrische gegevens (inclusief hoofd-/hand-/oogbewegingen, irisscan) die dit apparaat verzamelt, worden gebruikt voor kalibratie, om betrouwbare interacties te verbeteren en de gebruikerservaring te verbeteren. Net als bij andere Windows-apparaten hebben apps van derden op het apparaat toegang tot uw gegevens op het apparaat met het doel bepaalde functionaliteit en functies te leveren. Ga naar de sectie Privacy in Instellingen voor meer informatie over de gebruiksrechtovereenkomst en privacyverklaring van Microsoft.
HoloLens Iris-aanmelding is gebouwd op Windows Hello. HoloLens slaat biometrische gegevens op die worden gebruikt om Windows Hello veilig te implementeren, alleen op het lokale apparaat. De biometrische gegevens worden niet roamen en worden nooit verzonden naar externe apparaten of servers. Omdat Windows Hello alleen biometrische identificatiegegevens op het apparaat opslaat, is er geen enkel verzamelpunt dat een aanvaller kan insluiten om biometrische gegevens te stelen.
HoloLens voert irisverificatie uit op basis van opgeslagen bitcodes. Gebruikers hebben volledige controle over of ze hun gebruikersaccount registreren voor Iris-aanmelding voor verificatie. It-beheerders kunnen Windows Hello mogelijkheden uitschakelen via hun MDM-servers. Zie Windows Hello voor Bedrijven in uw organisatie beheren.
Opmerking
Gedeelde Microsoft Entra ID-accounts bieden geen ondersteuning voor Iris-aanmelding op de HoloLens. Meer informatie over de voordelen en beperkingen van het gebruik van gedeelde Microsoft Entra-accounts.
Veelgestelde vragen over Iris
Hoe wordt biometrische irisverificatie geïmplementeerd op HoloLens 2?
HoloLens 2 ondersteunt Iris-verificatie. Iris is gebaseerd op Windows Hello-technologie en wordt ondersteund voor gebruik door zowel Microsoft Entra ID- als Microsoft-accounts. Iris wordt op dezelfde manier geïmplementeerd als andere Windows Hello-technologieën en bereikt biometrische beveiliging FAR van 1/100K.
Zie de biometrische vereisten en specificaties voor Windows Hello voor meer informatie. Meer informatie over Windows Hello en Windows Hello voor Bedrijven.
Waar wordt biometrische irisgegevens opgeslagen?
Biometrische irisgegevens worden lokaal opgeslagen op elke HoloLens volgens Windows Hello specificaties. Deze wordt niet gedeeld en wordt beveiligd door twee versleutelingslagen. Het is niet toegankelijk voor andere gebruikers, zelfs niet voor een beheerder, omdat er geen beheerdersaccount op een HoloLens is.
Moet ik Iris-verificatie gebruiken?
Nee, u kunt deze stap overslaan tijdens de installatie.
HoloLens 2 biedt veel verschillende opties voor verificatie, waaronder FIDO2-beveiligingssleutels.
Kan Iris-informatie worden verwijderd uit de HoloLens?
Ja, u kunt deze handmatig verwijderen in Instellingen.
Gebruikers instellen
Er zijn twee manieren om een nieuwe gebruiker in te stellen op de HoloLens. De meest voorkomende manier is tijdens de HoloLens out-of-box experience (OOBE). Als u Microsoft Entra ID gebruikt, kunnen andere gebruikers zich na OOBE aanmelden met hun Microsoft Entra referenties. HoloLens-apparaten die in eerste instantie zijn ingesteld met een MSA- of lokaal account tijdens OOBE, bieden geen ondersteuning voor meerdere gebruikers. Zie Uw HoloLens (1e generatie) instellen of HoloLens 2.
Als u een bedrijfs- of organisatieaccount gebruikt om u aan te melden bij HoloLens, wordt HoloLens ingeschreven bij de IT-infrastructuur van de organisatie. Met deze inschrijving kan uw IT-Beheer Mobile Apparaatbeheer (MDM) configureren om groepsbeleid naar uw HoloLens te verzenden.
Net als bij Windows op andere apparaten maakt u als u zich aanmeldt tijdens de installatie een gebruikersprofiel op het apparaat. In het gebruikersprofiel worden apps en gegevens opgeslagen. Hetzelfde account biedt ook eenmalige aanmelding voor apps, zoals Microsoft Edge of de Microsoft Store, met behulp van de Windows Account Manager-API's.
Net als bij andere Windows 10 apparaten moet u zich standaard opnieuw aanmelden wanneer HoloLens opnieuw wordt opgestart of vanuit de stand-by wordt hervat. U kunt de app Instellingen gebruiken om dit gedrag te wijzigen, of het gedrag kan worden bepaald door groepsbeleid.
Tip
Als meer dan één gebruiker een apparaat gebruikt, is het belangrijk om het vizier schoon te houden. Zie HoloLens 2 veelgestelde vragen over het schoonmaken van het apparaat voor meer informatie over het reinigen van het apparaat. U wordt aangeraden het vizier tussen elke gebruiker schoon te maken. Deze best practice is met name belangrijk als u Iris-verificatie gebruikt.
Gekoppelde accounts
Net als in de bureaubladversie van Windows kunt u andere webaccountreferenties koppelen aan uw HoloLens-account. Een dergelijke koppeling maakt het gemakkelijker om toegang te krijgen tot resources in of binnen apps (zoals de Store) of om toegang tot persoonlijke en zakelijke resources te combineren. Nadat u een account met het apparaat hebt verbonden, kunt u toestemming verlenen om het apparaat te gebruiken voor apps, zodat u zich niet afzonderlijk hoeft aan te melden bij elke app.
Als u accounts koppelt, worden de gebruikersgegevens die op het apparaat zijn gemaakt, zoals afbeeldingen of downloads, niet gescheiden.
Ondersteuning voor meerdere gebruikers instellen (alleen Microsoft Entra)
HoloLens ondersteunt meerdere gebruikers van dezelfde Microsoft Entra tenant. Als u deze functie wilt gebruiken, moet u een account van uw organisatie gebruiken om het apparaat in te stellen. Vervolgens kunnen andere gebruikers van dezelfde tenant zich aanmelden bij het apparaat vanaf het aanmeldingsscherm of door op de tegel gebruiker in het deelvenster Start te tikken. Er kan slechts één gebruiker tegelijk worden aangemeld. Wanneer een gebruiker zich aanmeldt, meldt HoloLens de vorige gebruiker af.
Belangrijk
De eerste gebruiker op het apparaat wordt beschouwd als de eigenaar van het apparaat, behalve in het geval van Microsoft Entra join, meer informatie over apparaateigenaren.
Alle gebruikers kunnen de apps gebruiken die op het apparaat zijn geïnstalleerd. Elke gebruiker heeft echter zijn eigen app-gegevens en -voorkeuren. Als u een app van het apparaat verwijdert, wordt deze voor alle gebruikers verwijderd.
Opmerking
Een andere optie voor apparaten die door meerdere gebruikers worden gedeeld, is het maken van een gedeeld Microsoft Entra ID-account op het apparaat. Zie Gedeelde Microsoft Entra-accounts in HoloLens voor gedetailleerde informatie over het configureren van dit account op uw apparaat.
Apparaten die zijn ingesteld met Microsoft Entra-accounts, staan aanmelden bij het apparaat niet toe met een Microsoft-account. Alle volgende accounts die worden gebruikt, moeten worden Microsoft Entra accounts van dezelfde tenant als het apparaat. U kunt zich nog steeds aanmelden met een Microsoft-account bij apps die dit ondersteunen (zoals de Microsoft Store). Als u wilt overstappen van het gebruik van Microsoft Entra-accounts naar Microsoft-accounts voor aanmelding bij het apparaat, moet u het apparaat opnieuw flashen.
Opmerking
HoloLens (1e generatie) is begonnen met het ondersteunen van meerdere Microsoft Entra gebruikers in de update van Windows 10 april 2018 als onderdeel van Windows Holographic for Business.
Er worden meerdere gebruikers weergegeven op het aanmeldingsscherm
Eerder werd in het aanmeldingsscherm alleen de laatst aangemelde gebruiker en het invoerpunt 'Andere gebruiker' weergegeven. We hebben feedback van klanten ontvangen dat het niet voldoende is als meerdere gebruikers zich hebben aangemeld bij het apparaat. Ze moesten hun gebruikersnaam nog steeds opnieuw invoeren, enzovoort.
Geïntroduceerd in Windows Holographic, versie 21H1, worden in het aanmeldingsscherm meerdere gebruikers weergegeven die zich eerder hebben aangemeld bij het apparaat wanneer u Andere gebruiker selecteert die zich rechts van het invoerveld voor de pincode bevindt. Hierdoor kunnen gebruikers hun gebruikersprofiel selecteren en zich vervolgens aanmelden met hun Windows Hello referenties. Een nieuwe gebruiker kan ook worden toegevoegd aan het apparaat vanaf deze pagina met andere gebruikers via de knop Account toevoegen .
Wanneer in het menu Andere gebruikers de knop Andere gebruikers wordt weergegeven, wordt de laatste gebruiker weergegeven die is aangemeld bij het apparaat. Selecteer deze knop om terug te keren naar het aanmeldingsscherm voor deze gebruiker.
Gebruikers verwijderen
U kunt een gebruiker van het apparaat verwijderen door naar Instellingen>Accounts>Andere personen te gaan. Met deze actie wordt ook ruimte vrijgemaakt door alle app-gegevens van die gebruiker van het apparaat te verwijderen.
Eenmalige aanmelding gebruiken binnen een app
Als app-ontwikkelaar kunt u profiteren van gekoppelde identiteiten op HoloLens met behulp van de Windows Account Manager-API's, net als op andere Windows-apparaten. Enkele codevoorbeelden voor deze API's zijn beschikbaar op GitHub: Voorbeeld van webaccountbeheer.
Accountonderbrekingen die kunnen optreden, zoals het aanvragen van gebruikerstoestemming voor accountgegevens, tweeledige verificatie, enzovoort, moeten worden verwerkt wanneer de app een verificatietoken aanvraagt.
Als uw app een specifiek accounttype vereist dat nog niet eerder is gekoppeld, kan uw app het systeem vragen om de gebruiker te vragen er een toe te voegen. Met deze aanvraag wordt het deelvenster accountinstellingen geactiveerd om te starten als modaal onderliggend element van uw app. Voor 2D-apps wordt dit venster rechtstreeks via het midden van uw app weergegeven. Voor Unity-apps haalt deze aanvraag de gebruiker kort uit uw holografische app om het onderliggende venster weer te geven. Zie WebAccountCommand-klasse voor meer informatie over het aanpassen van de opdrachten en acties in dit deelvenster.
Bedrijfsverificatie en andere verificatie
Als uw app andere typen verificatie gebruikt, zoals NTLM, Basic of Kerberos, kunt u windows-referentiegebruikersinterface gebruiken om de referenties van de gebruiker te verzamelen, te verwerken en op te slaan. De gebruikerservaring voor het verzamelen van deze referenties is vergelijkbaar met andere cloudgestuurde accountonderbreringen en wordt weergegeven als een onderliggende app boven op uw 2D-app of wordt een Unity-app kort onderbroken om de gebruikersinterface weer te geven.
Afgeschafte API's
Een manier waarop ontwikkelen voor HoloLens verschilt van ontwikkelen voor Desktop is dat de OnlineIDAuthenticator-API niet volledig wordt ondersteund. Hoewel de API een token retourneert als het primaire account een goede status heeft, worden onderbrekingen zoals beschreven in dit artikel geen gebruikersinterface voor de gebruiker weergegeven en wordt het account niet correct geverifieerd.
Windows Hello voor Bedrijven ondersteuning voor HoloLens (1e generatie)
Windows Hello voor Bedrijven (die ondersteuning biedt voor het gebruik van een pincode om u aan te melden) wordt ondersteund voor HoloLens (1e generatie). Aanmelden met Windows Hello voor Bedrijven pincode toestaan bij HoloLens (1e generatie):
- Het HoloLens-apparaat moet worden beheerd door MDM.
- U moet Windows Hello voor Bedrijven voor het apparaat inschakelen. (Zie de instructies voor Microsoft Intune.)
- Op het HoloLens-apparaat kan de gebruiker vervolgens Instellingen>Aanmeldingsopties>Pincode toevoegen gebruiken om een pincode in te stellen.
Opmerking
Gebruikers die zich aanmelden met een Microsoft-account kunnen ook een pincode instellen in Instellingen>Aanmeldingsopties>Pincode toevoegen. Deze pincode is gekoppeld aan Windows Hello in plaats van Windows Hello voor Bedrijven.
Aanvullende bronnen
Lees veel meer over beveiliging en verificatie van gebruikersidentiteiten in de documentatie Windows 10 beveiliging en identiteit.
Meer informatie over het instellen van hybride identiteitsinfrastructuur vindt u in de documentatie voor Azure Hybrid Identity.