Betriebssystem ohne Administrator
HoloLens 2 minimiert die Angriffsfläche für eine Rechteausweitung, indem der Support für die Administratorengruppe deaktiviert wird und der gesamte UWP-Anwendungscode von Drittanbietern so eingeschränkt wird, dass er nur in der AppContainer-Sandbox als Standardbenutzer ausgeführt wird. Der Zugriff auf diesen Code wird nur Ressourcen gestattet, deren Funktionen explizit in der Anwendung für einen Benutzer ohne erhöhte Rechte genannt werden, sowie für Ressourcen, auf die alle AppContainer Zugriff haben. Auf diese Anwendungsfunktionen wird weiterhin über das dreistufige Klassifizierungsmodell zugegriffen:
- Allgemein
- Eingeschränkt
- Windows
Windows-Komponenten können ebenfalls die AppContainer-Sandbox über System-UWPs nutzen. Weitere Informationen zur universellen Windows-Plattform (UWP) finden Sie in der UWP-Dokumentation. Außerdem wird für Windows-Komponenten, für die eine stärkere Einschränkung der Zugriffsrechte erforderlich ist (wie Browser-Inhaltsseiten oder Parser) die LPAC-Sandbox (Less Privileged AppContainer) verwendet. Diese beschränkt den Zugriff auf die Sammlung von Ressourcen, die für alle AppContainer verfügbar sind.
Geräteeigentümer
Zu guter Letzt wird die Ausführung spezifischer geräteweiter Vorgänge (z. B. Anschluss des Geräts an einen Mandanten oder Benutzerverwaltung) nur „Gerätebesitzern“ gestattet. Diese Gruppe wird von Benutzern auf dem Gerät durch einen der folgenden Schritte gefüllt:
- Der erste Benutzer auf dem Gerät wird immer als Besitzer festgelegt.
Wichtig
Für Azure AD-Benutzer gilt die Ausnahme von dieser Regel, wenn das Gerät über Autopilot oder Bulk Azure AD Enrollment mit Azure AD verbunden ist, wozu ein nicht realer Benutzer verwendet wird. In diesem Fall wird der erste AAD-Benutzer, der sich beim Gerät anmeldet, möglicherweise nicht automatisch zum Gerätebesitzer ernannt, es sei denn, diesem Benutzer ist im Azure-Portal die Rolle „globaler Administrator“ oder „Geräteadministrator“ zugewiesen. Weitere Informationen finden Sie im Hinweis unten.
- Wenn ein Benutzer von einem anderen Besitzer auf dem Gerät in der Einstellungen-Benutzeroberfläche zum Besitzer gemacht wird.
- Wenn der Gerätebesitzer nicht mehr verfügbar ist (das Unternehmen verlässt) und das Gerät Azure AD-Mitglied ist, kann der Mandantenadministrator den Gerätebesitzer im Azure-Portal in einen neuen Benutzer ändern. Globale Administratoren und Geräteadministratoren eines Azure AD-Mandanten sind implizit als Besitzer auf dem Gerät angemeldet, ohne dass einer der vorherigen Schritte erforderlich ist.
IT-Administratoren können mithilfe der Datenschutzrichtlinien verwalten, auf welche Apps zugegriffen werden kann.
Hinweis
Weitere Informationen darüber, wer auf einem in Azure AD eingebundenen Gerät zum Gerätebesitzer ernannt wird, finden Sie in der Dokumentation Zuweisen eines lokalen Administrators („Lokaler Administrator“ bedeutet hier allerdings „Gerätebesitzer“, da es auf HoloLens keine Administratoren gibt).
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für