管理 HoloLens 的用户标识和登录名
注意
本文是 IT 专业人员和技术爱好者的技术参考。 如果要查找 HoloLens 设置说明,请阅读“设置 HoloLens(第一代)”或“设置 HoloLens 2”。
提示
HoloLens 2 配置为已加入 Microsoft Entra ID 的设备,不支持本地 Active Directory。 在大多数情况下,可以使用托管 Entra ID 标识或联合 Entra ID 标识执行身份验证。 但是,如果联合身份验证服务导致身份验证质询,则应确保能够从仅加入 Windows 10 或 Windows 11 电脑的 Entra ID 登录。 许多身份验证问题只是 Entra ID 配置的结果,而不是 HoloLens 特定的问题。 从 Windows 10 或 Windows 电脑中排查这些难题要简单得多。
让我们讨论如何为 HoloLens 2 设置用户标识
与其他 Windows 设备一样,HoloLens 始终在用户上下文下运行。 始终有用户标识。 HoloLens 以几乎与 Windows 10 或 Windows 11 设备相同的方式对待标识。 在安装过程中登录会在 HoloLens 上创建一个用于存储应用和数据的用户配置文件。 同一帐户还使用 Windows 帐户管理器 API 为应用(如 Microsoft Edge 或 Dynamics 365 Remote Assist)提供单一登录。
HoloLens 支持多种用户标识。 可以选择这三种帐户类型中的任何一种,但我们强烈建议Microsoft Entra ID,因为它最适合管理设备。 仅Microsoft Entra 帐户支持多个用户。
| 标识类型 | 每个设备的帐户数 | 身份验证选项 |
|---|---|---|
| Microsoft 条目 ID1 | 63 |
|
| Microsoft 帐户(MSA) | 1 |
|
| 本地帐户3 | 1 | 密码 |
| 共享Microsoft条目 ID | 1 | Certificate-Based 身份验证(CBA) |
云连接的帐户(Microsoft Entra ID 和 MSA)提供了更多功能,因为它们可以使用 Azure 服务。
重要
1 - Microsoft登录设备不需要 Entra ID P1 或 P2。 但是,低接触基于云的部署的其他功能(如自动注册和 Autopilot)需要用到它。
注意
2 - 虽然 HoloLens 2 设备最多可以支持 63 个Microsoft Entra 帐户,以及总共 64 个帐户的一个系统帐户,但其中最多 10 个帐户应注册 Iris 身份验证。 这与 Windows Hello 企业版的其他生物识别身份验证选项保持一致。 虽然在鸢尾花身份验证中可能注册了 10 多个帐户,但这会增加误报率,不建议这样做。
重要
3 - 本地帐户只能在设备 通过预配包在 OOBE期间进行设置,稍后无法在设置应用中添加它。 如果要在已设置的设备上使用本地帐户,则需要 重新刷写或重置设备。
帐户类型如何影响登录行为?
如果为登录应用策略,则始终遵守该策略。 如果未应用登录策略,则这些是每种帐户类型的默认行为:
- Microsoft Entra ID:默认请求身份验证,设置 可配置,不再请求身份验证。
- Microsoft 帐户:锁定行为不同,允许自动解锁,但重新启动时仍需要登录身份验证。
- 本地帐户:始终要求以密码的形式进行身份验证,设置 中不可配置
注意
目前不支持非活动计时器,这意味着仅当设备进入 StandBy 时,才尊重 AllowIdleReturnWithoutPassword 策略。
鸢尾花登录
HoloLens 的生物识别数据收集
此设备收集的生物识别数据(包括头部/手/眼睛移动、虹膜扫描)用于校准、改进可靠的交互和增强用户体验。 与其他 Windows 设备一样,设备上的第三方应用可能会访问设备上的数据,以便提供某些功能和功能。 有关许可协议和Microsoft隐私声明的详细信息,请转到“设置”中的“隐私”部分。
HoloLens Iris 登录基于 Windows Hello构建。 HoloLens 仅存储用于在本地设备上安全地实现 Windows Hello 的生物识别数据。 生物识别数据不会漫游,永远不会发送到外部设备或服务器。 由于 Windows Hello 仅在设备上存储生物识别数据,因此攻击者无法入侵的单一收集点来窃取生物识别数据。
HoloLens 根据存储的位代码执行鸢尾花身份验证。 用户完全控制他们是否注册其用户帐户进行 Iris 登录进行身份验证。 IT 管理员可以通过其 MDM 服务器禁用 Windows Hello 功能。 请参阅 管理组织中的 Windows Hello 企业版。
注意
共享Microsoft Entra ID 帐户不支持 HoloLens 上的鸢尾花登录。 请参阅有关使用共享Microsoft Entra 帐户的
常见问题解答鸢尾花问题
如何在 HoloLens 2 上实现鸢尾花生物识别身份验证?
HoloLens 2 支持鸢尾花身份验证。 鸢尾花基于 Windows Hello 技术,支持Microsoft Entra ID 和 Microsoft 帐户使用。 鸢尾花与其他 Windows Hello 技术一样实现,实现了 生物识别安全 FAR 为 1/100K。
有关详细信息,请参阅 Windows Hello 的
鸢尾花生物识别信息存储在何处?
Iris 生物识别信息存储在每个 HoloLens 上,每个 Windows Hello 规范。 它不共享,并且受两层加密的保护。 其他用户(甚至管理员)无法访问它,因为 HoloLens 上没有管理员帐户。
我是否需要使用鸢尾花身份验证?
否,可以在安装过程中跳过此步骤。
HoloLens 2 提供了许多不同的身份验证选项,包括 FIDO2 安全密钥。
是否可以从 HoloLens 中删除鸢尾花信息?
是的,可以在“设置”中手动删除它。
设置用户
在 HoloLens 上设置新用户有两种方法。 最常见的方法是在 HoloLens 现装体验(OOBE)期间。 如果使用 Microsoft Entra ID,其他用户可以使用其 Microsoft Entra 凭据在 OOBE 之后登录。 最初在 OOBE 期间使用 MSA 或本地帐户设置的 HoloLens 设备不支持多个用户。 请参阅设置 HoloLens (第 1 代) 或 HoloLens 2。
如果使用企业或组织帐户登录到 HoloLens,HoloLens 会注册组织的 IT 基础结构。 此注册允许 IT 管理员配置移动设备管理(MDM)以将组策略发送到 HoloLens。
与其他设备上的 Windows 一样,在安装过程中登录会在设备上创建用户配置文件。 用户配置文件存储应用和数据。 同一帐户还使用 Windows 帐户管理器 API 为应用(如 Microsoft Edge 或 Microsoft 应用商店)提供单一登录。
默认情况下,与其他 Windows 10 设备一样,当 HoloLens 重新启动或从待机状态恢复时,必须再次登录。 可以使用“设置”应用来更改此行为,也可以由组策略控制该行为。
提示
如果多个用户使用设备,请务必保持遮罩干净。 有关如何清理设备的详细信息,请参阅 HoloLens 2 清理常见问题解答。 建议清理每个用户之间的遮罩。 如果使用鸢尾花身份验证,这种最佳做法尤其重要。
链接帐户
与桌面版 Windows 一样,可以将其他 Web 帐户凭据链接到 HoloLens 帐户。 通过此类链接,可以更轻松地跨应用或应用(如应用商店)访问资源,或者合并对个人和工作资源的访问。 将帐户连接到设备后,可以向应用授予使用设备的权限,以便无需单独登录到每个应用。
链接帐户不会分隔设备上创建的用户数据,例如图像或下载。
设置多用户支持(仅Microsoft Entra)
HoloLens 支持来自同一Microsoft Entra 租户的多个用户。 若要使用此功能,必须使用属于组织的帐户来设置设备。 随后,来自同一租户的其他用户可以通过登录屏幕或点击“开始”面板上的用户磁贴登录到设备。 一次只能登录一个用户。 当用户登录时,HoloLens 会注销上一个用户。
重要
设备上的第一个用户被视为设备所有者,但Microsoft Entra 加入时除外,详细了解设备所有者。
所有用户都可以使用设备上安装的应用。 但是,每个用户都有自己的应用数据和首选项。 从设备中删除应用会将其删除给所有用户。
注意
在多个用户之间共享的设备的另一个选项是在设备上创建共享Microsoft Entra ID 帐户。 有关如何在设备上配置此帐户的详细信息,请参阅 HoloLens 中的
使用 Microsoft Entra 帐户设置的设备不允许使用 Microsoft 帐户登录到设备。 使用的所有后续帐户都必须Microsoft与设备相同的租户中的 Entra 帐户。 你 仍然可以使用Microsoft帐户登录到支持它的应用(例如Microsoft应用商店)。 若要从使用 Microsoft Entra 帐户更改为Microsoft帐户以登录到设备,必须 重新刷写设备。
注意
HoloLens(第一代) 开始支持 Windows 10 2018 年 4 月 10 日更新 中的多个Microsoft Entra 用户,作为 Windows Holographic for Business的一部分。
“登录”屏幕上列出了多个用户
以前,登录屏幕仅显示最近登录的用户和“其他用户”入口点。 我们已收到客户反馈,表明如果多个用户已登录到设备,则这还不够。 他们仍然需要重新键入用户名等。
在 其他用户 菜单中,其他用户 按钮显示登录到设备的最后一个用户。 选择此按钮可返回到此用户的登录屏幕。
删除用户
可以通过转到 “设置”>帐户>其他用户来删除设备中的用户。 此操作还会通过从设备中删除该用户的所有应用数据来回收空间。
在应用中使用单一登录
作为应用开发人员,你可以使用 Windows 帐户管理器 API,在 HoloLens 上利用链接标识,就像在其他 Windows 设备上一样。 GitHub 上提供了这些 API 的一些代码示例:Web 帐户管理示例。
当应用请求身份验证令牌时,必须处理可能发生的任何帐户中断,例如请求用户同意帐户信息、双重身份验证等。
如果你的应用需要之前未链接的特定帐户类型,你的应用可以要求系统提示用户添加一个帐户类型。 此请求触发帐户设置窗格以应用模式子级的形式启动。 对于 2D 应用,此窗口直接呈现在应用的中心。 对于 Unity 应用,此请求会短暂地将用户从全息应用中取出来呈现子窗口。 有关自定义此窗格上的命令和操作的信息,请参阅 WebAccountCommand 类。
企业和其他身份验证
如果你的应用使用其他类型的身份验证(例如 NTLM、Basic 或 Kerberos),则可以使用 Windows 凭据 UI 来收集、处理和存储用户的凭据。 收集这些凭据的用户体验类似于其他云驱动帐户中断,并显示为 2D 应用顶部的子应用,或短暂挂起 Unity 应用以显示 UI。
弃用的 API
HoloLens 开发的一种方法与桌面版开发不同,即 OnlineIDAuthenticator API 不受完全支持。 尽管 API 在主帐户处于良好状态时返回令牌,但本文中所述的中断不会向用户显示任何 UI,并且无法正确对帐户进行身份验证。
HoloLens 上的 Windows Hello 企业版支持(第 1 代)
HoloLens(支持使用 PIN 登录)支持 Windows Hello 企业版(支持使用 PIN 登录)。 若要允许 HoloLens 上的 Windows Hello 企业版 PIN 登录(第 1 代):
- HoloLens 设备必须由 MDM管理
。 - 必须为设备启用 Windows Hello 企业版。 (请参阅有关 intune Microsoft 的说明。)
- 然后,在 HoloLens 设备上,用户可以使用 设置>登录选项>添加 PIN 来设置 PIN。
注意
使用 Microsoft 帐户登录的用户还可以在“设置”>“登录选项”>“添加 PIN”中设置 PIN。 此 PIN 与 Windows Hello相关联,而不是 Windows Hello 企业版。
其他资源
阅读有关 windows 10 安全和标识文档
详细了解如何通过 Azure 混合标识文档设置混合标识基础结构。