Besturingssysteem minder beheerder
HoloLens 2 minimaliseert het oppervlak voor escalatie van bevoegdheden door ondersteuning voor de groep Administrators uit te schakelen en alle UWP-toepassingscode van derden te beperken om alleen als standaardgebruikers in de AppContainer-sandbox uit te voeren. Deze code krijgt alleen toegang tot deze resources die worden beveiligd door mogelijkheden die expliciet in de toepassing zijn gemanifesteerd voor een niet-geƫleveerde gebruiker, naast resources die toegankelijk zijn voor alle AppContainers. Deze toepassingsmogelijkheden blijven het classificatiemodel met drie lagen behouden:
- Algemeen
- Beperkt
- Ramen
Windows-onderdelen kunnen ook gebruikmaken van de AppContainer-sandbox via SYSTEEM-UWP's. Zie UWP-documentatievoor meer informatie over Universal Windows Platform (UWP). Daarnaast gebruiken Windows-onderdelen met grotere behoeften voor het verminderen van bevoegdheden (zoals browserinhoudspagina's of parsers) de sandbox less Privileged AppContainer (LPAC), waardoor de toegang wordt beperkt tot de set resources die toegankelijk zijn voor alle AppContainers.
Apparaateigenaar
Ten slotte is de uitvoering van specifieke apparaatbrede bewerkingen, zoals het toevoegen van het apparaat aan een tenant of gebruikersbeheer, alleen toegestaan voor 'apparaateigenaren'. Deze groep wordt gevuld door gebruikers op het apparaat via een van de volgende stappen:
- De eerste gebruiker op het apparaat wordt altijd een eigenaar aangewezen.
Belangrijk
Voor Microsoft Entra-gebruikers is de uitzondering op deze regel dat als het apparaat is toegevoegd aan Microsoft Entra via Autopilot of bulksgewijs Microsoft Entra-inschrijving, die gebruikmaakt van een niet-echte gebruiker. In dit geval wordt de eerste Microsoft Entra-gebruiker die zich aanmeldt bij het apparaat mogelijk niet automatisch de eigenaar van het apparaat gemaakt, tenzij die gebruiker de rol 'Globale beheerder' of 'Lokale beheerder van Microsoft Entra-gekoppeld apparaat' heeft toegewezen in De Azure-portal. Zie de onderstaande opmerking voor meer informatie.
- Wanneer een gebruiker wordt gepromoveerd tot eigenaar van de UX Instellingen door een andere eigenaar op het apparaat.
- Als de eigenaar van het apparaat niet meer beschikbaar is (verlaat het bedrijf) en het apparaat lid is van Microsoft Entra, kan de tenantbeheerder de eigenaar van het apparaat wijzigen in een nieuwe gebruiker in De Azure-portal. Globale beheerders en lokale apparaatbeheerders van Microsoft Entra-gekoppelde apparaten van een Microsoft Entra-tenant worden impliciet aangemeld als eigenaren op het apparaat zonder dat een van de vorige stappen is vereist.
IT-beheerders kunnen beheren waartoe apps toegang hebben via Beleid voor privacy.
Notitie
Zie documentatie 'Lokale beheerder toewijzen' (maar lees 'lokale beheerder' als 'apparaateigenaar' voor meer informatie over wie een apparaateigenaar is gemaakt op een apparaat dat is gekoppeld aan Microsoft Entra).
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u geen bestaande rol kunt gebruiken.