Administración de la identidad y el inicio de sesión del usuario para HoloLens
Nota
Este artículo es una referencia técnica para profesionales de TI y profesionales de la tecnología. Si busca instrucciones de configuración HoloLens, lea " Configuración de la HoloLens(1.ª generación)" o " Configuración de laHoloLens 2".
Vamos a hablar sobre cómo configurar la identidad de usuario para HoloLens 2
Al igual que Windows dispositivos, HoloLens siempre funciona en un contexto de usuario. Siempre hay una identidad de usuario. HoloLens trata la identidad casi de la misma manera que un Windows 10 dispositivo. Al iniciar sesión durante la instalación, se crea un perfil de usuario HoloLens que almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Edge o Dynamics 365 Remote Assist, mediante las API Windows Account Manager.
HoloLens admite varios tipos de identidades de usuario. Puede elegir cualquiera de estos tres tipos de cuenta, pero se recomienda encarecidamente Azure AD, ya que es mejor para administrar dispositivos. Solo Azure AD cuentas admiten varios usuarios.
| Tipo de identidad | Cuentas por dispositivo | Opciones de autenticación |
|---|---|---|
| Azure Active Directory1 | 64 |
|
| Cuenta de Microsoft (MSA) | 1 |
|
| Cuenta local3 | 1 | Contraseña |
Las cuentas conectadas a la nube (Azure AD y MSA) ofrecen más características porque pueden usar servicios de Azure.
Importante
1 - Azure AD Premium no es necesario iniciar sesión en el dispositivo. Sin embargo, es necesario para otras características de una implementación basada en la nube táctil, como la inscripción automática y Autopilot.
Nota
2 - Aunque un dispositivo HoloLens 2 puede admitir hasta 64 cuentas de Azure AD, solo 10 de esas cuentas deben inscribirse en la autenticación iris. Esto se alinea con otras opciones de autenticación biométrica para Windows Hello para empresas. Aunque se pueden inscribir más de 10 cuentas en la autenticación iris, esto aumentará la tasa de falsos positivos y no se recomienda.
Importante
3 - Una cuenta local solo se puede configurar en un dispositivo a través de un paquete de aprovisionamiento durante la OOBE,no se puede agregar más adelante en la aplicación de configuración. Si desea usar una cuenta local en un dispositivo que ya está configurado, deberá volver a actualizar o restablecer el dispositivo.
Configuración de usuarios
Hay dos maneras de configurar un nuevo usuario en el HoloLens. La forma más común es durante la HoloLens rápida (OOBE). Si usa Azure Active Directory, otros usuarios pueden iniciar sesión después de la OOBE con sus Azure AD credenciales. HoloLens dispositivos configurados inicialmente con una cuenta local o MSA durante la OOBE no admitirán varios usuarios. Consulte Configuración de la HoloLens (1.ª generación) o HoloLens 2.
Si usa una cuenta empresarial u organizativa para iniciar sesión en HoloLens, HoloLens se inscribe en la infraestructura de TI de la organización. Esta inscripción permite al administrador de TI configurar Mobile Administración de dispositivos (MDM) para enviar directivas de grupo a su HoloLens.
Al Windows en otros dispositivos, al iniciar sesión durante la instalación se crea un perfil de usuario en el dispositivo. El perfil de usuario almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Edge o Microsoft Store, mediante las API Windows Account Manager.
De forma predeterminada, como en Windows 10 dispositivos, tendrá que volver a iniciar sesión cuando HoloLens se reinicie o se reanude desde el modo de espera. Puede usar la aplicación Configuración para cambiar este comportamiento o el comportamiento se puede controlar mediante la directiva de grupo.
Cuentas vinculadas
Al igual que en la versión de escritorio Windows, puede vincular otras credenciales de cuenta web a su cuenta HoloLens usuario. Esta vinculación facilita el acceso a los recursos a través de aplicaciones (como store) o a recursos personales y de trabajo. Después de conectar una cuenta al dispositivo, puede conceder permiso para usar el dispositivo a las aplicaciones para que no tenga que iniciar sesión en cada aplicación individualmente.
La vinculación de cuentas no separa los datos de usuario creados en el dispositivo, como imágenes o descargas.
Configuración de la compatibilidad con varios usuarios (solo Azure AD usuario)
HoloLens admite varios usuarios del mismo Azure AD inquilino. Para usar esta característica, debe usar una cuenta que pertenezca a su organización para configurar el dispositivo. Posteriormente, otros usuarios del mismo inquilino pueden iniciar sesión en el dispositivo desde la pantalla de inicio de sesión o pulsando el icono del usuario en el panel Inicio. Solo un usuario puede haber iniciado sesión a la vez. Cuando un usuario inicia sesión, HoloLens cierra la sesión del usuario anterior.
Importante
El primer usuario del dispositivo se considera el propietario del dispositivo, excepto en el caso de Azure AD Join, obtenga más información sobre los propietarios de dispositivos.
Todos los usuarios pueden usar las aplicaciones instaladas en el dispositivo. Sin embargo, cada usuario tiene sus propios datos y preferencias de aplicación. Al quitar una aplicación del dispositivo, se quita para todos los usuarios.
Los dispositivos configurados Azure AD cuentas no permitirán iniciar sesión en el dispositivo con una cuenta Microsoft. Todas las cuentas posteriores usadas deben Azure AD cuentas del mismo inquilino que el dispositivo. Todavía puede iniciar sesión con una cuenta Microsoft en las aplicaciones que la admiten (por ejemplo, el Microsoft Store). Para cambiar de usar Azure AD a cuentas Microsoft para iniciar sesión en el dispositivo, debe volver a actualizar el dispositivo.
Nota
HoloLens (1.ª generación) comenzó a admitir varios usuarios de Azure AD en la actualización de abril de 2018 de Windows 10 como parte de Windows Holographic for Business.
Varios usuarios aparecen en la pantalla de inicio de sesión
Anteriormente, la pantalla de inicio de sesión mostraba solo el usuario que ha iniciado sesión más recientemente y un punto de entrada "Otro usuario". Hemos recibido comentarios de los clientes que no son suficientes si varios usuarios han iniciado sesión en el dispositivo. Todavía tenían que volver a escribir su nombre de usuario, etc.
Introducido en Windows Holographic, versión 21H1,al seleccionar Otro usuario que se encuentra a la derecha del campo de entrada del PIN, la pantalla inicio de sesión mostrará varios usuarios con que han iniciado sesión previamente en el dispositivo. Esto permite a los usuarios seleccionar su perfil de usuario y, a continuación, iniciar sesión con sus credenciales Windows Hello usuario. También se puede agregar un nuevo usuario al dispositivo desde esta página de otros usuarios mediante el botón Agregar cuenta.
Cuando se encuentra en el menú Otros usuarios, el botón Otros usuarios mostrará el último usuario que ha iniciado sesión en el dispositivo. Seleccione este botón para volver a la pantalla de inicio de sesión de este usuario.
Eliminación de usuarios
Puede quitar un usuario del dispositivo si va a Configuración Cuentas deotras personas. Esta acción también reclama espacio quitando todos los datos de la aplicación de ese usuario del dispositivo.
Uso del inicio de sesión único dentro de una aplicación
Como desarrollador de aplicaciones, puede aprovechar las identidades vinculadas en HoloLens mediante las API de administrador de cuentas de Windows,como haría en otros dispositivos Windows. Algunos ejemplos de código para estas API están disponibles en GitHub: Ejemplo de administración de cuentas web.
Cualquier interrupción de la cuenta que pueda producirse, como solicitar el consentimiento del usuario para la información de la cuenta, la autenticación en dos fases, etc., debe controlarse cuando la aplicación solicite un token de autenticación.
Si la aplicación requiere un tipo de cuenta específico que no se ha vinculado anteriormente, la aplicación puede pedir al sistema que solicite al usuario que agregue uno. Esta solicitud desencadena el panel de configuración de la cuenta para iniciarse como un elemento secundario modal de la aplicación. En el caso de las aplicaciones 2D, esta ventana se representa directamente sobre el centro de la aplicación. En el caso de las aplicaciones de Unity, esta solicitud quita brevemente al usuario de la aplicación holográfica para representar la ventana secundaria. Para obtener información sobre cómo personalizar los comandos y las acciones en este panel, vea WebAccountCommand (Clase).
Enterprise y otra autenticación
Si la aplicación usa otros tipos de autenticación, como NTLM, Basic o Kerberos, puede usar la interfaz de usuario de credenciales de Windows para recopilar, procesar y almacenar las credenciales del usuario. La experiencia del usuario para recopilar estas credenciales es similar a otras interrupciones de cuentas controladas por la nube y aparece como una aplicación secundaria sobre la aplicación 2D o suspende brevemente una aplicación de Unity para mostrar la interfaz de usuario.
Interfaces API desusadas
Una manera en la que el desarrollo para HoloLens difiere del desarrollo para Desktop es que la API OnlineIDAuthenticator no es totalmente compatible. Aunque la API devuelve un token si la cuenta principal está en buen estado, las interrupciones como las descritas en este artículo no muestran ninguna interfaz de usuario para el usuario y no pueden autenticar correctamente la cuenta.
Preguntas más frecuentes
¿Windows Hello para empresas se admite en HoloLens (1ª generación)?
Windows Hello para empresas (que admite el uso de un PIN para iniciar sesión) se admite para HoloLens (1ª generación). Para permitir Windows Hello inicio de sesión con el PIN de HoloLens:
- Mdm HoloLens administrar el dispositivo.
- Debe habilitar Windows Hello for Business para el dispositivo. (Vea las instrucciones para Microsoft Intune.)
- En HoloLens, el usuario puede usar Configuraciónopciones de inicio de sesión Agregar PIN para configurar un PIN.
Nota
Los usuarios que inician sesión con una cuenta Microsoft también pueden configurar un PIN en Configuración opciones de inicio de sesión AgregarPIN. Este PIN está asociado a Windows Hello, en lugar de Windows Hello for Business.
¿Cómo se implementa la autenticación biométrica de Iris en HoloLens 2?
HoloLens 2 admite la autenticación iris. Iris se basa en Windows Hello tecnología y se admite para su uso tanto en Azure Active Directory como en las cuentas Microsoft. Iris se implementa de la misma manera que otras tecnologías Windows Hello y logra una seguridad biométrica de 1/100 000.
Consulte los requisitos biométricos y las especificaciones Windows Hello para obtener más información. Obtenga más información sobre Windows Hello y Windows Hello for Business.
¿Dónde se almacena la información biométrica de Iris?
La información biométrica de Iris se almacena localmente en cada HoloLens por Windows Hello especificaciones . No se comparte y está protegido por dos capas de cifrado. No es accesible para otros usuarios, incluso un administrador, porque no hay ninguna cuenta de administrador en un HoloLens.
¿Tengo que usar la autenticación iris?
No, puede omitir este paso durante la instalación.
HoloLens 2 proporciona muchas opciones diferentes para la autenticación, incluidas las claves de seguridad FIDO2.
¿Se puede quitar la información de Iris del HoloLens?
Sí, puede quitarlo manualmente en Configuración.
¿Cómo afecta el tipo de cuenta al comportamiento de inicio de sesión?
Si aplica directivas para el inicio de sesión, siempre se respeta la directiva. Si no se aplica ninguna directiva para el inicio de sesión, estos son los comportamientos predeterminados para cada tipo de cuenta:
- Azure AD:solicita autenticación de forma predeterminada y se puede configurar Configuración para que ya no solicite autenticación.
- Cuenta Microsoft:el comportamiento de bloqueo es diferente, lo que permite el desbloqueo automático, pero la autenticación de inicio de sesión sigue siendo necesaria en el reinicio.
- Cuenta local:siempre solicita autenticación en forma de contraseña, no configurable en Configuración
Nota
Actualmente no se admiten temporizadores de inactividad, lo que significa que la directiva AllowIdleReturnWithoutPassword solo se respeta cuando el dispositivo entra en StandBy.
Recursos adicionales
Obtenga mucho más información sobre la autenticación y la protección de identidades de usuario en Windows 10 de seguridad e identidad.
Obtenga más información sobre cómo configurar la infraestructura de identidad híbrida a fondo en la documentación de identidad híbrida de Azure.