管理 HoloLens 的使用者身分識別和登入
注意事項
本文是 IT 專業人員和技術愛好者的技術參考。 如果您要尋找 HoloLens 設定指示,請閱讀「設定您的 HoloLens (第 1 代) 」或「設定您的 HoloLens 2」。
提示
HoloLens 2 設定為已加入 Microsoft Entra ID 裝置,不支持內部部署Active Directory。 在大部分情況下,可以使用Managed Entra ID Identity 或 Federated Entra ID Identity 來執行驗證。 不過,如果您的同盟服務造成驗證挑戰,您應該確保能夠從僅加入 Entra ID 的 Windows 10 或 Windows 11 電腦登入。 許多驗證問題都是僅限 Entra ID 組態的結果,而不是 HoloLens 特定問題的結果。 針對這些挑戰進行疑難解答會比 Windows 10 或 Windows 電腦簡單許多。
讓我們來討論如何設定 HoloLens 2 的使用者身分識別
就像其他 Windows 裝置一樣,HoloLens 一律會在用戶內容下運作。 一律會有使用者身分識別。 HoloLens 會以與 Windows 10 或 Windows 11 裝置幾乎相同的方式來處理身分識別。 在安裝期間登入會在 HoloLens 上建立使用者配置檔,以儲存應用程式和數據。 相同的帳戶也會使用 Windows 帳戶管理員 API 為應用程式提供單一登錄,例如 Microsoft Edge 或 Dynamics 365 Remote Assist。
HoloLens 支援數種使用者身分識別。 您可以選擇這三種帳戶類型中的任何一種,但我們強烈建議 Microsoft Entra ID,因為它最適合用來管理裝置。 只有 Microsoft Entra 帳戶支援多個使用者。
| 身分識別類型 | 每個裝置的帳戶 | 驗證選項 |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Microsoft帳戶 (MSA) | 1 |
|
| 本機帳戶3 | 1 | 密碼 |
| 共用 Microsoft Entra ID | 1 | Certificate-Based 驗證 (CBA) |
雲端連線帳戶 (Microsoft Entra ID 和 MSA) 提供更多功能,因為它們可以使用 Azure 服務。
重要事項
1 - Microsoft Entra ID P1 或 P2 不需要登入裝置。 不過,低觸控式雲端式部署的其他功能則需要此功能,例如自動註冊和 Autopilot。
注意事項
2 - 雖然 HoloLens 2 裝置最多可支援 63 個 Microsoft Entra 帳戶,以及一個系統帳戶,總共 64 個帳戶,但其中最多只能有 10 個帳戶註冊 Iris 驗證。 這會與 Windows Hello 企業版 的其他生物識別驗證選項一致。 雖然可能有超過 10 個帳戶在鳶尾花驗證中註冊,但這會增加誤判率,而且不建議使用。
重要事項
3 - 本機帳戶只能在 OOBE 期間透過佈建套件在裝置上設定,稍後無法在設定應用程式中新增。 如果您想要在已設定的裝置上使用本機帳戶,您需要 重新刷新或重設裝置。
帳戶類型對登入行為有何影響?
如果您套用原則進行登入,則一律會遵守原則。 如果未套用任何登入原則,這些是每個帳戶類型的預設行為:
- Microsoft Entra ID:預設要求驗證,且可由 [設定] 設定為不再要求驗證。
- Microsoft帳戶:允許自動解除鎖定的鎖定行為不同,不過重新啟動時仍然需要登入驗證。
- 本機帳戶:一律以密碼的形式要求驗證,但無法在 [設定] 中設定
注意事項
目前不支持閑置定時器,這表示只有在裝置進入待命狀態時,才會遵守 AllowIdleReturnWithoutPassword 原則。
鳶尾花登入
HoloLens 的生物特徵辨識數據收集
生物特徵辨識數據 (包括頭部/手部/眼球移動、此裝置收集的鳶尾花掃描) 用於校正、改善可靠的互動,以及增強用戶體驗。 如同其他 Windows 裝置,裝置上的第三方應用程式可能會存取裝置上的數據,以提供特定功能。 如需許可協定和Microsoft隱私聲明的詳細資訊,請移至 [設定] 中的 [隱私權] 區段。
HoloLens 鳶尾花登入建置於 Windows Hello 之上。 HoloLens 只會在本機裝置上儲存用來安全地實作 Windows Hello 生物特徵辨識數據。 生物特徵辨識資料不會漫遊,而且永遠不會傳送到外部裝置或伺服器。 因為 Windows Hello 只會在裝置上儲存生物特徵辨識資料,所以攻擊者無法入侵單一收集點來竊取生物特徵辨識資料。
HoloLens 會根據儲存的位代碼執行鳶尾花驗證。 用戶可以完全控制是否註冊其用戶帳戶以進行鳶尾花登入以進行驗證。 IT 系統管理員可以透過其 MDM 伺服器停用 Windows Hello 功能。 請參閱管理組織中的 Windows Hello 企業版。
注意事項
共用 Microsoft Entra ID 帳戶不支援 HoloLens 上的 Iris 登入。 如需使用共用 Microsoft Entra 帳戶的優點和限制,請參閱更多詳細數據。
常見鳶尾花問題
如何在 HoloLens 2 上實作鳶尾花生物特徵辨識驗證?
HoloLens 2 支援鳶尾花驗證。 鳶尾花是以 Windows Hello 技術為基礎,且支援 Microsoft Entra ID 和Microsoft帳戶使用。 鳶尾花的實作方式與其他 Windows Hello 技術相同,並達到 1/100K 的生物特徵辨識安全性 FAR。
如需詳細資訊,請參閱 Windows Hello 的生物特徵辨識需求和規格。 深入瞭解 Windows Hello和 Windows Hello 企業版。
鳶尾花生物特徵辨識資訊儲存在哪裡?
依 Windows Hello 規格,鳶尾花生物特徵辨識資訊會儲存在本機的每個 HoloLens 上。 它不是共用的,而且受到兩層加密的保護。 其他使用者甚至是系統管理員都無法存取它,因為 HoloLens 上沒有系統管理員帳戶。
我是否必須使用鳶尾花驗證?
否,您可以在安裝期間略過此步驟。
HoloLens 2 提供許多不同的驗證選項,包括 FIDO2 安全性金鑰。
可以從 HoloLens 移除鳶尾花資訊嗎?
是,您可以在 [設定] 中手動移除它。
設定使用者
在 HoloLens 上設定新使用者的方式有兩種。 最常見的方式是在 OOBE) (全新體驗期間。 如果使用 Microsoft Entra ID,其他用戶可以在 OOBE 之後使用其 Microsoft Entra 認證登入。 在 OOBE 期間使用 MSA 或本機帳戶初始設定的 HoloLens 裝置不支援多個使用者。 請參閱設定您的 HoloLens (第 1 代) 或 HoloLens 2。
如果您使用企業或組織帳戶登入 HoloLens,HoloLens 會在組織的 IT 基礎結構中註冊。 此註冊可讓您的 IT 管理員 設定行動 裝置管理 (MDM) 將組策略傳送至 HoloLens。
如同其他裝置上的 Windows,在安裝期間登入會在裝置上建立使用者配置檔。 使用者配置檔會儲存應用程式和數據。 相同的帳戶也會使用 Windows 帳戶管理員 API,為應用程式提供單一登錄,例如 Microsoft Edge 或 Microsoft 市集。
根據預設,如同其他 Windows 10 裝置,當 HoloLens 從待命重新啟動或繼續時,您必須再次登入。 您可以使用 [設定] 應用程式來變更此行為,或透過組策略來控制行為。
提示
如果有多位使用者使用裝置,請務必保持面板乾淨。 如需如何清理裝置的詳細資訊,請參閱 HoloLens 2 清除常見問題。 建議您清除每個使用者之間的面板。 如果您使用鳶尾花驗證,這個最佳做法特別重要。
連結的帳戶
如同傳統型版本的 Windows,您可以將其他 Web 帳戶認證連結到您的 HoloLens 帳戶。 這類連結可讓您更輕鬆地跨或在應用程式記憶體取資源 (例如市集) 或結合對個人和工作資源的存取。 將帳戶連線到裝置之後,您可以將使用裝置的許可權授與應用程式,這樣您就不需要個別登入每個應用程式。
鏈接帳戶不會分隔在裝置上建立的用戶數據,例如影像或下載。
設定多用戶支援 (僅 Microsoft Entra)
HoloLens 支援來自相同 Microsoft Entra 租使用者的多個使用者。 若要使用這項功能,您必須使用屬於貴組織的帳戶來設定裝置。 接著,來自相同租使用者的其他使用者可以從登入畫面登入裝置,或點選 [開始] 面板上的用戶磚。 一次只能有一位使用者登入。 當使用者登入時,HoloLens 會註銷先前的使用者。
重要事項
裝置上的第一個使用者會被視為裝置擁有者,但 Microsoft Entra 加入的情況除外,請深入瞭解裝置擁有者。
所有使用者都可以使用安裝在裝置上的應用程式。 不過,每個使用者都有自己的應用程式數據和喜好設定。 從裝置移除應用程式會移除所有使用者的應用程式。
注意事項
在多個使用者之間共用之裝置的另一個選項是在裝置上建立共用 Microsoft Entra ID 帳戶。 如需如何在裝置上設定此帳戶的詳細資訊,請參閱 HoloLens 中的共用 Microsoft Entra 帳戶。
使用 Microsoft Entra 帳戶設定的裝置不允許使用Microsoft帳戶登入裝置。 所有後續使用的帳戶都必須 Microsoft Entra 來自裝置相同租用戶的帳戶。 您仍然可以 使用 Microsoft 帳戶 登入支援 (例如 Microsoft Store) 的應用程式。 若要從使用 Microsoft Entra 帳戶變更為Microsoft帳戶以登入裝置,您必須重新刷新裝置。
注意事項
HoloLens (第 1 代) 在 2018 年 4 月更新 Windows 10 開始支援多個 Microsoft Entra 使用者,作為 Windows Holographic for Business 的一部分。
多個使用者列在登入畫面上
先前登入畫面只會顯示最近登入的使用者,以及「其他使用者」進入點。 我們已收到客戶的意見反應,指出如果多位使用者已登入裝置,這就不夠用。 他們仍需要重新輸入其用戶名稱等。
在 Windows 全像攝影版 21H1 中引進,選取位於 [PIN] 輸入欄位右側的其他 使用者 時,[登入] 畫面會顯示多個先前已登入裝置的使用者。 這可讓使用者選取其使用者配置檔,然後使用其 Windows Hello 認證登入。 您也可以透過 [新增帳戶] 按鈕,從這個其他用戶頁面將新使用者新增至裝置。
在 [ 其他使用者] 功能表中,[ 其他使用者] 按鈕會顯示最後一個登入裝置的使用者。 選取此按鈕以返回此使用者的登入畫面。
拿掉使用者
您可以移至 [ 設定>帳戶>] [其他人員],從裝置移除使用者。 此動作也會從裝置移除該使用者的所有應用程式數據,以回收空間。
在應用程式內使用單一登錄
身為應用程式開發人員,您可以使用 Windows 帳戶管理員 API 來利用 HoloLens 上的連結身分識別,就像在其他 Windows 裝置上一樣。 GitHub 上提供這些 API 的一些程式代碼範 例:Web 帳戶管理範例。
應用程式要求驗證令牌時,必須處理可能發生的任何帳戶中斷,例如要求使用者同意帳戶資訊、雙因素驗證等等。
如果您的應用程式需要先前尚未連結的特定帳戶類型,您的應用程式可以要求系統提示使用者新增帳戶。 此要求會觸發 [帳戶設定] 窗格,以應用程式的強制回應子系身分啟動。 針對 2D 應用程式,此視窗會直接在您的應用程式中心轉譯。 針對 Unity 應用程式,此要求會短暫地將使用者帶出全像攝影應用程式,以轉譯子視窗。 如需在此窗格上自定義命令和動作的相關信息,請參閱 WebAccountCommand類別。
企業和其他驗證
如果您的應用程式使用其他類型的驗證,例如 NTLM、Basic 或 Kerberos,您可以使用 Windows 認證 UI 來收集、處理和儲存使用者的認證。 收集這些認證的用戶體驗類似於其他雲端驅動帳戶中斷,並顯示為 2D 應用程式頂端的子應用程式,或短暫暫停 Unity 應用程式以顯示 UI。
已淘汰的 API
HoloLens 的開發方式與開發 Desktop 不同之處之一,就是不完全支援 OnlineIDAuthenticator API。 雖然如果主要帳戶處於良好狀態,則 API 會傳回令牌,但如本文所述的中斷不會顯示使用者的任何 UI,且無法正確驗證帳戶。
Windows Hello 企業版 第 1 代 (支援 HoloLens)
HoloLens (第 1 代) 支援支援使用 PIN 登入) Windows Hello 企業版 (。 若要允許 Windows Hello 企業版 PIN 登入 HoloLens (第 1 代) :
- HoloLens 裝置必須 由 MDM 管理。
- 您必須為裝置啟用 Windows Hello 企業版。 (請參閱 Microsoft Intune 的指示。)
- 在 HoloLens 裝置上,使用者接著可以使用 [設定>登入選項>] [新增 PIN] 來設定 PIN。
注意事項
使用Microsoft帳戶登入的使用者也可以在 [設定>登入選項>新增 PIN] 中設定PIN。 此 PIN 會與 Windows Hello 相關聯,而不是 Windows Hello 企業版。
其他資源
如需使用者身分識別保護和驗證的詳細資訊,請參閱 Windows 10 安全性和身分識別檔。
透過 Azure 混合式身分識別檔深入瞭解如何設定混合式身分識別基礎結構。