Verwalten der Benutzeridentität und Anmeldung für HoloLens

Hinweis

Dieser Artikel ist eine technische Referenz für IT-Profis und Tech-Fans. Wenn Sie Nachschlageanweisungen HoloLens einrichten möchten, lesen Sie " Einrichten IhrerHoloLens (1. Generation)" oder "Einrichtenihrer HoloLens 2 ".

Lassen Sie uns über das Einrichten der Benutzeridentität für HoloLens 2

Wie andere Windows funktioniert HoloLens immer in einem Benutzerkontext. Es gibt immer eine Benutzeridentität. HoloLens behandelt Identitäten fast auf die gleiche Weise wie ein Windows 10 Gerät. Wenn Sie sich während des Setups anmelden, wird ein Benutzerprofil auf HoloLens erstellt, in dem Apps und Daten gespeichert werden. Dasselbe Konto bietet auch einmaliges Anmelden für Apps wie Edge oder Dynamics 365 Remote Assist mithilfe der Windows Account Manager-APIs.

HoloLens unterstützt verschiedene Arten von Benutzeridentitäten. Sie können einen dieser drei Kontotypen auswählen. Es wird jedoch dringend empfohlen, Azure AD, da dies für die Verwaltung von Geräten am besten geeignet ist. Nur Azure AD-Konten unterstützen mehrere Benutzer.

Identitätstyp Konten pro Gerät Authentifizierungsoptionen
Azure Active Directory1 64
  • Azure-Web-Anmeldeinformationsanbieter
  • Azure Authenticator-App
  • Biometrisch (Iris): HoloLens 2nur 2
  • FIDO2-Sicherheitsschlüssel
  • PIN: Optional für HoloLens (1. Generation), erforderlich für HoloLens 2
  • Kennwort
Microsoft-Konto (MSA) 1
  • Biometrisch (Iris): nur HoloLens 2
  • PIN: Optional für HoloLens (1. Generation), erforderlich für HoloLens 2
  • Kennwort
Lokales Konto3 1 Kennwort

Mit der Cloud verbundene Konten (Azure AD und MSA) bieten mehr Features, da sie Azure-Dienste verwenden können.

Wichtig

1 – Azure AD Premium ist nicht erforderlich, um sich beim Gerät anmelden zu können. Dies ist jedoch für andere Features einer cloudbasierten Bereitstellung mit geringem Touchaufwand erforderlich, z. B. automatische Registrierung und Autopilot.

Hinweis

2 – Ein HoloLens 2-Gerät kann bis zu 64 Azure AD-Konten unterstützen, aber nur bis zu 10 dieser Konten sollten sich bei Iris Authentication registrieren. Dies ist auf andere biometrische Authentifizierungsoptionen für Windows Hello Business ausgerichtet. Zwar können mehr als 10 Konten für die Iris-Authentifizierung registriert werden, dies erhöht jedoch die Rate falsch positiver Ergebnisse und wird nicht empfohlen.

Wichtig

3 – Ein lokales Konto kann nur auf einem Gerät über ein Bereitstellungspaket während der OOBEeingerichtet werden. Es kann später nicht in der Einstellungs-App hinzugefügt werden. Wenn Sie ein lokales Konto auf einem bereits eingerichteten Gerät verwenden möchten, müssen Sie das Gerät neu erstellen oder zurücksetzen.

Einrichten von Benutzern

Es gibt zwei Möglichkeiten, einen neuen Benutzer auf dem Computer HoloLens. Die gängigste Methode ist die HoloLens out-of-box experience (OOBE). Wenn Sie Azure Active Directory, können sich andere Benutzer nach oobe mit ihren Anmeldeinformationen Azure AD anmelden. HoloLens Geräte, die anfänglich mit einem MSA oder einem lokalen Konto während der OOBE eingerichtet wurden, unterstützen nicht mehrere Benutzer. Weitere Informationen finden Sie unter HoloLens (1. Generation) oder HoloLens 2.

Wenn Sie sich mit einem Unternehmens- oder Organisationskonto bei HoloLens anmelden, HoloLens sich bei der IT-Infrastruktur der Organisation registrieren. Mit dieser Registrierung kann Ihr IT-Administrator Mobile Geräteverwaltung (MDM) konfigurieren, um Gruppenrichtlinien an Ihre HoloLens.

Wie Windows anderen Geräten erstellt die Anmeldung während des Setups ein Benutzerprofil auf dem Gerät. Im Benutzerprofil werden Apps und Daten gespeichert. Dasselbe Konto bietet auch einmaliges Anmelden für Apps wie Edge oder Microsoft Store mithilfe der Windows Account Manager-APIs.

Standardmäßig müssen Sie sich wie bei anderen Windows 10-Geräten erneut anmelden, wenn HoloLens im Standbymodus neu gestartet oder fortgesetzt wird. Sie können die Einstellungen-App verwenden, um dieses Verhalten zu ändern, oder das Verhalten kann durch eine Gruppenrichtlinie gesteuert werden.

Verknüpfte Konten

Wie in der Desktopversion von Windows können Sie andere Webkontoanmeldeinformationen mit Ihrem HoloLens verknüpfen. Eine solche Verknüpfung erleichtert den Zugriff auf Ressourcen innerhalb oder innerhalb von Apps (z. B. Store) oder das Kombinieren des Zugriffs auf persönliche und Arbeitsressourcen. Nachdem Sie ein Konto mit dem Gerät verbinden, können Sie Apps die Berechtigung zum Verwenden des Geräts erteilen, damit Sie sich nicht einzeln bei jeder App anmelden müssen.

Beim Verknüpfen von Konten werden die auf dem Gerät erstellten Benutzerdaten nicht getrennt, z. B. Bilder oder Downloads.

Einrichten der Unterstützung für mehrere Benutzer (nur Azure AD)

HoloLens unterstützt mehrere Benutzer aus demselben Azure AD Mandanten. Um dieses Feature verwenden zu können, müssen Sie ein Konto verwenden, das Zu Ihrer Organisation gehört, um das Gerät einrichten zu können. Anschließend können sich andere Benutzer desselben Mandanten über den Anmeldebildschirm oder durch Tippen auf die Benutzerkachel im Startbereich beim Gerät anmelden. Es kann immer nur ein Benutzer gleichzeitig angemeldet werden. Wenn sich ein Benutzer an diesem HoloLens den vorherigen Benutzer ab.

Wichtig

Der erste Benutzer auf dem Gerät gilt als Gerätebesitzer, mit Ausnahme von Azure AD Join weitere Informationen zu Gerätebesitzern.

Alle Benutzer können die auf dem Gerät installierten Apps verwenden. Jeder Benutzer verfügt jedoch über eigene App-Daten und -Einstellungen. Wenn Sie eine App vom Gerät entfernen, wird sie für alle Benutzer entfernt.

Geräte, die mit Azure AD-Konten eingerichtet sind, lassen die Anmeldung beim Gerät mit einem Microsoft-Konto nicht zu. Alle nachfolgend verwendeten Konten müssen Azure AD demselben Mandanten wie das Gerät verwendet werden. Sie können sich weiterhin mit einem Microsoft-Konto bei Apps anmelden, die es unterstützen (z. B. Microsoft Store). Um von der Verwendung Azure AD-Konten zu Microsoft-Konten für die Anmeldung beim Gerät zu wechseln, müssen Sie das Gerät neu erstellen.

Hinweis

HoloLens (1. Generation) hat mit der Unterstützung mehrerer Azure AD-Benutzer im update Windows 10 April 2018 im Rahmen von Windows Holographic for Business.

Mehrere Benutzer werden auf dem Anmeldebildschirm aufgeführt.

Zuvor wurden auf dem Anmeldebildschirm nur der zuletzt angemeldete Benutzer und ein Einstiegspunkt "Anderer Benutzer" angezeigt. Wir haben Kundenfeedback erhalten, dass es nicht ausreicht, wenn sich mehrere Benutzer beim Gerät angemeldet haben. Sie mussten weiterhin ihren Benutzernamen usw. erneut eingeben.

Eingeführt in Windows Holographic, Version 21H1, zeigt der Anmeldebildschirm mehrere Benutzer an, die sich zuvor bei dem Gerät angemeldet haben, wenn Sie Auf der rechten Seite des PIN-Eingabefelds anderer Benutzer auswählen. Dadurch können Benutzer ihr Benutzerprofil auswählen und sich dann mit ihren Anmeldeinformationen Windows Hello anmelden. Über die Schaltfläche Konto hinzufügen kann dem Gerät auch ein neuer Benutzer auf dieser Seite für andere Benutzer hinzugefügt werden.

Im Menü Andere Benutzer zeigt die Schaltfläche Andere Benutzer den letzten Benutzer an, der sich am Gerät angemeldet hat. Wählen Sie diese Schaltfläche aus, um zum Anmeldebildschirm für diesen Benutzer zurückzukehren.

Standardeinstellung des Anmeldebildschirms.


Anmeldebildschirm für andere Benutzer.

Entfernen von Benutzern

Sie können einen Benutzer vom Gerät entfernen, indem Sie zu Konten EinstellungenAndere Personen. Diese Aktion gibt auch Speicherplatz frei, indem alle App-Daten dieses Benutzers vom Gerät entfernt werden.

Verwenden des einmaligen Anmeldens in einer App

Als App-Entwickler können Sie verknüpfte Identitäten auf HoloLens nutzen, indem Sie die Windows-Konto-Manager-APIswie auf anderen Windows verwenden. Einige Codebeispiele für diese APIs sind unter GitHub: Beispiel für die Webkontoverwaltung verfügbar.

Alle Kontounterbrechungen, die auftreten können, z. B. das Anfordern der Benutzererwilligung für Kontoinformationen, die zwei faktorbasierte Authentifizierung usw., müssen verarbeitet werden, wenn die App ein Authentifizierungstoken an fordert.

Wenn Ihre App einen bestimmten Kontotyp erfordert, der zuvor noch nicht verknüpft wurde, kann Ihre App das System auffordern, den Benutzer zum Hinzufügen eines Kontos auffordern. Diese Anforderung löst aus, dass der Kontoeinstellungsbereich als modales untergeordnetes Gerät Ihrer App gestartet wird. Bei 2D-Apps wird dieses Fenster direkt über der Mitte Ihrer App gerendert. Bei Unity-Apps wird der Benutzer mit dieser Anforderung kurz aus Ihrer holografischen App herausgeholen, um das untergeordnete Fenster zu rendern. Informationen zum Anpassen der Befehle und Aktionen in diesem Bereich finden Sie unter WebAccountCommand-Klasse.

Enterprise und andere Authentifizierung

Wenn Ihre App andere Authentifizierungstypen verwendet, z. B. NTLM, Basic oder Kerberos, können Sie die Anmeldeinformationen des Benutzers über die benutzeroberfläche Windows Credential erfassen, verarbeiten und speichern. Die Benutzererfahrung zum Erfassen dieser Anmeldeinformationen ähnelt anderen cloudgesteuerten Kontounterbrechungen und wird als untergeordnete App über Ihrer 2D-App angezeigt oder unterbricht kurz eine Unity-App, um die Benutzeroberfläche anzuzeigen.

Nicht mehr unterstützte APIs

Eine Möglichkeit, wie sich die Entwicklung für HoloLens desktop unterscheidet, ist, dass die OnlineIDAuthenticator-API nicht vollständig unterstützt wird. Obwohl die API ein Token zurückgibt, wenn sich das primäre Konto in einem guten Zustand befindet, zeigen Unterbrechungen wie die in diesem Artikel beschriebenen keine Benutzeroberfläche für den Benutzer an und können das Konto nicht ordnungsgemäß authentifizieren.

Häufig gestellte Fragen

Wird Windows Hello for Business auf HoloLens (1. Generation) unterstützt?

Windows Hello für Unternehmen (die die Verwendung einer PIN für die Anmeldung unterstützt) wird für HoloLens (1. Generation) unterstützt. So ermöglichen Windows Hello die Anmeldung mit der PIN für Unternehmen HoloLens:

  1. Das HoloLens muss von MDM verwaltet werden.
  2. Sie müssen Windows Hello für Unternehmen für das Gerät aktivieren. (Siehe Anweisungen für Microsoft Intune.)
  3. Auf HoloLens kann der Benutzer dann mithilfe Einstellungen Anmeldeoptionen PIN hinzufügen eine PIN einrichten.

Hinweis

Benutzer, die sich mithilfe eines Microsoft-Konto anmelden, können auch eine PIN inEinstellungen AnmeldeoptionenPIN hinzufügen einrichten. Diese PIN ist mitWindows Hello verknüpft, anstatt Windows Hello für Unternehmen.

Wie wird die biometrische Iris-Authentifizierung auf HoloLens 2?

HoloLens 2 unterstützt die Iris-Authentifizierung. Iris basiert auf Windows Hello-Technologie und wird für die Verwendung durch Azure Active Directory microsoft-Konten unterstützt. Iris wird auf die gleiche Weise wie andere Windows Hello implementiert und erreicht biometrische Sicherheit FAR von 1/100.000.

Weitere Informationen finden Sie in den biometrischen Anforderungen Windows Hello Spezifikationen. Erfahren Sie mehr über Windows Hello und Windows Hello for Business.

Wo werden biometrische Iris-Informationen gespeichert?

Biometrische Iris-Informationen werden lokal auf jedem HoloLens pro Windows Hello gespeichert. Sie wird nicht freigegeben und durch zwei Verschlüsselungsebenen geschützt. Es ist nicht für andere Benutzer zugänglich, auch nicht für Administratoren, da es kein Administratorkonto für eine HoloLens.

Muss ich die Iris-Authentifizierung verwenden?

Nein, Sie können diesen Schritt während des Setups überspringen.

Richten Sie Iris ein.

HoloLens 2 bietet viele verschiedene Optionen für die Authentifizierung, einschließlich FIDO2-Sicherheitsschlüsseln.

Können Iris-Informationen aus dem HoloLens?

Ja, Sie können sie manuell in der Einstellungen.

Wie wirkt sich der Kontotyp auf das Anmeldeverhalten aus?

Wenn Sie Richtlinien für die Anmeldung anwenden, wird die Richtlinie immer beachtet. Wenn keine Richtlinie für die Anmeldung angewendet wird, sind dies die Standardverhalten für jeden Kontotyp:

  • Azure AD: fordert standardmäßig zur Authentifizierung auf und kann von Einstellungen nicht mehr zur Authentifizierung aufgefordert werden.
  • Microsoft-Konto:Das Sperrverhalten ist anders, sodass das automatische Entsperren ermöglicht wird, aber die Anmeldeauthentifizierung ist beim Neustart weiterhin erforderlich.
  • Lokales Konto:Fordert immer zur Authentifizierung in Form eines Kennworts auf, das in der Einstellungen

Hinweis

Inaktivitäts-Timer werden derzeit nicht unterstützt, was bedeutet, dass die AllowIdleReturnWithoutPassword-Richtlinie nur berücksichtigt wird, wenn das Gerät in StandBy gerät.

Zusätzliche Ressourcen

Weitere Informationen zum Schutz der Benutzeridentität und zur Authentifizierung finden Sie in Windows 10 security and identity documentation (Sicherheits- und Identitätsdokumentation).

Weitere Informationen zum Einrichten der Hybrididentitätsinfrastruktur finden Sie in der Dokumentation zur Azure-Hybrididentität.