Správa identity a přihlášení uživatele pro HoloLens
Poznámka
Tento článek je technickým referenčním materiálem pro IT profesionály a technické nadšence. Pokud hledáte pokyny k nastavení HoloLensu, přečtěte si téma Nastavení HoloLensu (1. generace) nebo Nastavení HoloLens 2.
Tip
HoloLens 2 je nakonfigurované jako zařízení připojené k Microsoft Entra ID a nepodporuje místní službu Active Directory. Ve většině případů je možné ověřování provádět buď pomocí spravované identity Entra ID, nebo federované identity Entra ID. Pokud ale vaše federační služba způsobuje problémy s ověřováním, měli byste se ujistit, že se můžete přihlásit z id Entra, které je připojené pouze Windows 10 nebo Windows 11 počítači. Mnoho problémů s ověřováním je důsledkem konfigurace pouze Id Entra, nikoli problému specifického pro HoloLens. Řešení těchto problémů je u Windows 10 nebo počítače s Windows mnohem jednodušší.
Promluvme si o nastavení identity uživatele pro HoloLens 2
Stejně jako ostatní zařízení s Windows i HoloLens funguje vždy v kontextu uživatele. Vždy existuje identita uživatele. HoloLens zachází s identitou téměř stejně jako s Windows 10 nebo Windows 11 zařízením. Přihlášení během instalace vytvoří profil uživatele na HoloLensu, do kterého se ukládají aplikace a data. Stejný účet také poskytuje jednotné přihlašování pro aplikace, jako je Microsoft Edge nebo Dynamics 365 Remote Assist, pomocí rozhraní API Správce účtů systému Windows.
HoloLens podporuje několik druhů identit uživatelů. Můžete si vybrat kterýkoli z těchto tří typů účtů, ale důrazně doporučujeme Microsoft Entra ID, protože je to nejlepší pro správu zařízení. Pouze Microsoft Entra účty podporují více uživatelů.
| Typ identity | Účty na zařízení | Možnosti ověřování |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Účet Microsoft (MSA) | 1 |
|
| Místní účet3 | 1 | Heslo |
| Sdílené Microsoft Entra ID | 1 | Certificate-Based Authentication (CBA) |
Účty připojené ke cloudu (Microsoft Entra ID a MSA) nabízejí více funkcí, protože můžou využívat služby Azure.
Důležité
1 – Microsoft Entra ID P1 nebo P2 se k přihlášení k zařízení nevyžaduje. Vyžaduje se ale pro jiné funkce cloudového nasazení s nízkou úrovní dotykového ovládání, jako je automatická registrace a Autopilot.
Poznámka
2 – Zatímco HoloLens 2 zařízení může podporovat až 63 Microsoft Entra účtů a jeden systémový účet pro celkem 64 účtů, do Iris Authentication by se mělo zaregistrovat maximálně 10 z těchto účtů. To je v souladu s dalšími možnostmi biometrického ověřování pro Windows Hello pro firmy. I když může být do ověřování Iris zaregistrovaných více než 10 účtů, zvyšuje se tím míra falešně pozitivních výsledků, a proto se to nedoporučuje.
Důležité
3 – Místní účet je možné nastavit na zařízení pouze prostřednictvím zřizovacího balíčku během počátečního nastavení počítače, nelze ho přidat později v aplikaci nastavení. Pokud chcete použít místní účet na zařízení, které je už nastavené, musíte zařízení znovu nastavit nebo ho obnovit do továrního nastavení.
Jaký má typ účtu vliv na chování při přihlašování?
Pokud použijete zásady pro přihlášení, zásady se vždy dodržují. Pokud nejsou použity žádné zásady pro přihlášení, jedná se o výchozí chování pro každý typ účtu:
- Microsoft Entra ID: Ve výchozím nastavení požádá o ověření a v Nastavení ho můžete nakonfigurovat tak, aby už o ověřování nepožadoval.
- Účet Microsoft: Chování uzamčení se liší, což umožňuje automatické odemknutí, ale při restartování se stále vyžaduje ověření přihlášení.
- Místní účet: vždy žádá o ověření ve formě hesla, nejde konfigurovat v Nastavení.
Poznámka
Časovače nečinnosti se v současné době nepodporují, což znamená, že zásady AllowIdleReturnWithoutPassword se respektují jenom v případě, že zařízení přejde do StandBy.
Přihlášení k Iris
Shromažďování biometrických údajů holoLensem
Biometrické údaje (včetně pohybů hlavy, rukou nebo očí, skenování duhovky), které toto zařízení shromažďuje, se používají ke kalibraci, ke zlepšení spolehlivých interakcí a k vylepšení uživatelského prostředí. Stejně jako u jiných zařízení s Windows mohou aplikace třetích stran v zařízení přistupovat k vašim datům v zařízení za účelem poskytování určitých funkcí a funkcí. Podrobnosti o licenční smlouvě a Prohlášení společnosti Microsoft o zásadách ochrany osobních údajů najdete v části Ochrana osobních údajů v Nastavení.
Přihlášení k HoloLens Iris je postavené na Windows Hello. HoloLens ukládá biometrická data, která se používají k zabezpečené implementaci Windows Hello jenom na místním zařízení. Biometrická data se neposílají a nikdy se neodesílají na externí zařízení nebo servery. Vzhledem k tomu, že Windows Hello na zařízení ukládá jenom biometrická identifikační data, neexistuje žádný jediný bod shromažďování dat, který by útočník mohl ohrozit a ukrást biometrická data.
HoloLens provádí ověřování duhovky na základě uložených bitových kódů. Uživatelé mají úplnou kontrolu nad tím, jestli zaregistrují svůj uživatelský účet pro přihlášení Iris pro účely ověřování. Správci IT můžou prostřednictvím serverů MDM zakázat možnosti Windows Hello. Viz Správa Windows Hello pro firmy ve vaší organizaci.
Poznámka
Sdílené Microsoft Entra ID účty nepodporují přihlášení Iris na HoloLensu. Podívejte se na další podrobnosti o výhodách a omezeních používání sdílených účtů Microsoft Entra.
Nejčastější dotazy k Iris
Jak se na HoloLens 2 implementuje biometrické ověřování Iris?
HoloLens 2 podporuje ověřování Iris. Iris je založená na technologii Windows Hello a podporuje ji Microsoft Entra ID i účty Microsoft. Iris je implementovaná stejným způsobem jako ostatní technologie Windows Hello a dosahuje biometrického zabezpečení FAR 1/100 tisíc.
Další informace najdete v biometrických požadavcích a specifikacích pro Windows Hello. Přečtěte si další informace o Windows Hello a Windows Hello pro firmy.
Kde jsou biometrické informace Iris uložené?
Biometrické informace Iris se ukládají místně na každý HoloLens podle specifikace Windows Hello. Není sdílená a je chráněná dvěma vrstvami šifrování. Není přístupná jiným uživatelům, dokonce ani správcům, protože na HoloLensu není žádný účet správce.
Musím používat ověřování Iris?
Ne, tento krok můžete během instalace přeskočit.
HoloLens 2 nabízí mnoho různých možností ověřování, včetně klíčů zabezpečení FIDO2.
Je možné z HoloLensu odebrat informace o Iris?
Ano, můžete ho ručně odebrat v Nastavení.
Nastavení uživatelů
Existují dva způsoby, jak nastavit nového uživatele na HoloLensu. Nejběžnější způsob je během prvního spuštění počítače s HoloLensem. Pokud používáte Microsoft Entra ID, můžou se ostatní uživatelé přihlásit po počátečním nastavení počítače pomocí svých přihlašovacích údajů Microsoft Entra. Zařízení HoloLens, která jsou původně nastavená pomocí účtu MSA nebo místního účtu během počátečního nastavení počítače, nepodporují více uživatelů. Viz Nastavení HoloLensu (1. generace) nebo HoloLens 2.
Pokud k přihlášení k HoloLensu používáte podnikový účet nebo účet organizace, HoloLens se zaregistruje do IT infrastruktury organizace. Tato registrace umožňuje it Správa nakonfigurovat mobilní Správa zařízení (MDM) tak, aby odesílaly zásady skupiny do Vašeho HoloLensu.
Podobně jako u Windows na jiných zařízeních se při přihlášení během instalace vytvoří profil uživatele na zařízení. V profilu uživatele se ukládají aplikace a data. Stejný účet také poskytuje jednotné přihlašování pro aplikace, jako je Microsoft Edge nebo Microsoft Store, pomocí rozhraní API Správce účtů systému Windows.
Ve výchozím nastavení se stejně jako u jiných Windows 10 zařízení musíte při restartování nebo obnovení HoloLens z pohotovostního režimu znovu přihlásit. Toto chování můžete změnit pomocí aplikace Nastavení nebo ho můžete řídit zásadami skupiny.
Tip
Pokud zařízení používá více uživatelů, je důležité udržovat hledí čisté. Podrobnosti o čištění zařízení najdete v nejčastějších dotazech k čištění HoloLens 2. Doporučujeme vyčistit hledí mezi jednotlivými uživateli. Tento osvědčený postup je zvlášť důležitý, pokud používáte ověřování Iris.
Propojené účty
Stejně jako v desktopové verzi Windows můžete se svým účtem HoloLens propojit další přihlašovací údaje k webovému účtu. Takové propojení usnadňuje přístup k prostředkům v aplikacích nebo v rámci aplikací (jako je Store) nebo umožňuje kombinovat přístup k osobním a pracovním prostředkům. Po připojení účtu k zařízení můžete udělit oprávnění k používání zařízení pro aplikace, abyste se nemuseli přihlašovat ke každé aplikaci jednotlivě.
Propojení účtů neodděluje uživatelská data vytvořená v zařízení, jako jsou obrázky nebo stažené soubory.
Nastavení podpory pro více uživatelů (jenom Microsoft Entra)
HoloLens podporuje více uživatelů ze stejného tenanta Microsoft Entra. Abyste mohli tuto funkci používat, musíte k nastavení zařízení použít účet, který patří vaší organizaci. Následně se ostatní uživatelé ze stejného tenanta mohou přihlásit k zařízení z přihlašovací obrazovky nebo klepnutím na dlaždici uživatele na panelu Start. Najednou se může přihlásit jenom jeden uživatel. Když se uživatel přihlásí, HoloLens odhlásí předchozího uživatele.
Důležité
První uživatel zařízení se považuje za vlastníka zařízení s výjimkou případu, kdy se Microsoft Entra připojit, přečtěte si další informace o vlastnících zařízení.
Všichni uživatelé můžou používat aplikace nainstalované v zařízení. Každý uživatel ale má svá vlastní data a předvolby aplikace. Odebráním aplikace ze zařízení ji odeberete všem uživatelům.
Poznámka
Další možností pro zařízení, která jsou sdílená mezi více uživateli, je vytvořit na zařízení účet sdíleného Microsoft Entra ID. Podrobné informace o konfiguraci tohoto účtu na vašem zařízení najdete v tématu Sdílené účty Microsoft Entra v HoloLensu.
Zařízení nastavená s účty Microsoft Entra neumožní přihlášení k zařízení pomocí účtu Microsoft. Všechny další použité účty musí být Microsoft Entra účty ze stejného tenanta jako zařízení. Stále se můžete přihlásit pomocí účtu Microsoft k aplikacím , které ho podporují (například Microsoft Store). Pokud chcete pro přihlášení k zařízení změnit používání účtů Microsoft Entra na účty Microsoft, musíte zařízení znovu připojit.
Poznámka
HoloLens (1. generace) začal podporovat více uživatelů Microsoft Entra v aktualizaci Windows 10 z dubna 2018 jako součást Windows Holographic for Business.
Na přihlašovací obrazovce je uvedeno více uživatelů.
Dříve se na přihlašovací obrazovce zobrazoval jenom naposledy přihlášený uživatel a vstupní bod Jiný uživatel. Dostali jsme zpětnou vazbu od zákazníků, že není dostačující, pokud se k zařízení přihlásilo více uživatelů. Stále museli znovu zadat své uživatelské jméno atd.
Systém Windows Holographic verze 21H1 je představen tak, že když vyberete Možnost Jiný uživatel , která se nachází napravo od pole pro zadání KÓDU PIN, zobrazí se na přihlašovací obrazovce více uživatelů, kteří se dříve přihlásili k zařízení. To umožňuje uživatelům vybrat svůj profil uživatele a pak se přihlásit pomocí svých Windows Hello přihlašovacích údajů. Nového uživatele můžete do zařízení přidat také z této stránky ostatních uživatelů pomocí tlačítka Přidat účet .
Když se v nabídce Jiní uživatelé zobrazí tlačítko Jiní uživatelé , zobrazí se poslední uživatel přihlášený k zařízení. Výběrem tohoto tlačítka se vrátíte na přihlašovací obrazovku tohoto uživatele.
Odebírání uživatelů
Uživatele můžete ze zařízení odebrat tak, že přejdete na Nastavení>Účty>Jiní lidé. Tato akce také uvolní místo tím, že ze zařízení odebere všechna data aplikace daného uživatele.
Použití jednotného přihlašování v rámci aplikace
Jako vývojář aplikací můžete využívat propojené identity na HoloLensu pomocí rozhraní API Správce účtů systému Windows stejně jako na jiných zařízeních s Windows. Některé ukázky kódu pro tato rozhraní API jsou k dispozici na GitHubu: Ukázka správy webových účtů.
Všechna přerušení účtu, ke kterým může dojít, jako je žádost o souhlas uživatele s informacemi o účtu, dvojúrovňové ověřování atd., se musí zpracovat, když aplikace požádá o ověřovací token.
Pokud vaše aplikace vyžaduje konkrétní typ účtu, který ještě nebyl propojený, může požádat systém, aby uživatele vyzval k jeho přidání. Tato žádost aktivuje podokno nastavení účtu, které se spustí jako modální podřízená aplikace. U 2D aplikací se toto okno vykreslí přímo nad středem aplikace. V případě aplikací Unity tato žádost uživatele krátce vykreslí z holografické aplikace, aby vykreslila podřízené okno. Informace o přizpůsobení příkazů a akcí v tomto podokně najdete v tématu Třída WebAccountCommand.
Podnikové a jiné ověřování
Pokud vaše aplikace používá jiné typy ověřování, jako je protokol NTLM, Basic nebo Kerberos, můžete pomocí uživatelského rozhraní přihlašovacích údajů systému Windows shromažďovat, zpracovávat a ukládat přihlašovací údaje uživatele. Uživatelské prostředí pro shromažďování těchto přihlašovacích údajů je podobné jiným přerušením účtu řízeným cloudem a zobrazuje se jako podřízená aplikace nad vaší 2D aplikací nebo krátce pozastaví aplikaci Unity, aby se zobrazilo uživatelské rozhraní.
Zastaralá rozhraní API
Jedním ze způsobů, jak se vývoj pro HoloLens liší od vývoje pro Desktop, je, že rozhraní API OnlineIDAuthenticator není plně podporované. I když rozhraní API vrací token, pokud je primární účet v dobrém stavu, přerušení, jako jsou přerušení popsaná v tomto článku, nezobrazí uživateli žádné uživatelské rozhraní a účet se nepodaří správně ověřit.
podpora Windows Hello pro firmy na HoloLensu (1. generace)
Windows Hello pro firmy (která podporuje přihlášení pomocí PIN kódu) je podporovaná pro HoloLens (1. generace). Povolení přihlášení Windows Hello pro firmy PIN v HoloLensu (1. generace):
- Zařízení HoloLens musí být spravované pomocí MDM.
- Pro zařízení musíte povolit Windows Hello pro firmy. (Viz pokyny pro Microsoft Intune.)
- Na zařízení HoloLens pak uživatel může k nastaveníPIN použít >Možnosti> přihlášeníPřidat PIN kód.
Poznámka
Uživatelé, kteří se přihlašují pomocí účtu Microsoft, můžou pin kód nastavit také v nastavení>Možnosti> přihlášeníPřidat PIN kód. Tento PIN kód je přidružený k Windows Hello, nikoli k Windows Hello pro firmy.
Další materiály
Další informace o ochraně identit uživatelů a ověřování najdete v dokumentaci k zabezpečení a identitě Windows 10.
Další informace o nastavení infrastruktury hybridních identit najdete v dokumentaci k hybridní identitě Azure.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro