Administración de la identidad y el inicio de sesión del usuario para HoloLens
Nota
Este artículo es una referencia técnica para profesionales de TI y entusiastas de la tecnología. Si busca instrucciones de configuración de HoloLens, lea "Configuración de HoloLens (1.ª generación)" o "Configuración de la HoloLens 2".
Sugerencia
HoloLens 2 está configurado como un dispositivo unido a Microsoft Entra ID y no admite Active Directory local. En la mayoría de los casos, la autenticación se puede realizar mediante una identidad de id. de entra administrada o una identidad de id. de entra federada. Sin embargo, si el servicio de federación está causando desafíos de autenticación, debe asegurarse de que puede iniciar sesión desde un id. de Entra solo unido Windows 10 o Windows 11 PC. Muchos problemas de autenticación son el resultado de configuraciones solo de Entra ID, en lugar de un problema específico de HoloLens. Solucionar estos desafíos es mucho más sencillo desde un equipo Windows 10 o Windows.
Vamos a hablar sobre cómo configurar la identidad de usuario para HoloLens 2
Al igual que otros dispositivos Windows, HoloLens siempre funciona en un contexto de usuario. Siempre hay una identidad de usuario. HoloLens trata la identidad casi de la misma manera que un dispositivo Windows 10 o Windows 11. Al iniciar sesión durante la instalación, se crea un perfil de usuario en HoloLens que almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Microsoft Edge o Dynamics 365 Remote Assist, mediante las API del Administrador de cuentas de Windows.
HoloLens admite varios tipos de identidades de usuario. Puede elegir cualquiera de estos tres tipos de cuenta, pero se recomienda encarecidamente Microsoft Entra ID, ya que es mejor administrar dispositivos. Solo Microsoft Entra cuentas admiten varios usuarios.
| Tipo de identidad | Cuentas por dispositivo | Opciones de autenticación |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| Cuenta de Microsoft (MSA) | 1 |
|
| Cuenta local3 | 1 | Contraseña |
| Microsoft Entra ID compartido | 1 | Autenticación de Certificate-Based (CBA) |
Las cuentas conectadas a la nube (Microsoft Entra ID y MSA) ofrecen más características porque pueden usar servicios de Azure.
Importante
1 : no se requiere Microsoft Entra ID P1 o P2 para iniciar sesión en el dispositivo. Sin embargo, es necesario para otras características de una implementación basada en la nube táctil baja, como la inscripción automática y Autopilot.
Nota
2- Aunque un dispositivo de HoloLens 2 puede admitir hasta 63 cuentas de Microsoft Entra, así como una cuenta del sistema para un total de 64 cuentas, solo 10 de esas cuentas deben inscribirse en la autenticación iris. Esto está alineado con otras opciones de autenticación biométrica para Windows Hello para empresas. Aunque se pueden inscribir más de 10 cuentas en la autenticación iris, esto aumenta la tasa de falsos positivos y no se recomienda.
Importante
3 - Una cuenta local solo se puede configurar en un dispositivo a través de un paquete de aprovisionamiento durante la configuración rápida, no se puede agregar más adelante en la aplicación de configuración. Si quiere usar una cuenta local en un dispositivo que ya está configurado, debe volver a hacer referencia al dispositivo o restablecerlo.
¿Cómo afecta el tipo de cuenta al comportamiento de inicio de sesión?
Si aplica directivas para el inicio de sesión, siempre se respeta la directiva. Si no se aplica ninguna directiva para el inicio de sesión, estos son los comportamientos predeterminados para cada tipo de cuenta:
- Microsoft Entra ID: solicita la autenticación de forma predeterminada y se puede configurar mediante Configuración para que ya no solicite autenticación.
- Cuenta Microsoft: el comportamiento de bloqueo es diferente, lo que permite el desbloqueo automático, pero la autenticación de inicio de sesión sigue siendo necesaria durante el reinicio.
- Cuenta local: siempre solicita autenticación en forma de contraseña, no configurable en Configuración
Nota
Actualmente no se admiten temporizadores de inactividad, lo que significa que la directiva AllowIdleReturnWithoutPassword solo se respeta cuando el dispositivo entra en StandBy.
Inicio de sesión de Iris
Recopilación de datos biométricos por HoloLens
Datos biométricos (incluidos los movimientos de la cabeza, la mano y los ojos, el examen del iris) que este dispositivo recopila para la calibración, para mejorar las interacciones confiables y mejorar la experiencia del usuario. Al igual que con otros dispositivos Windows, las aplicaciones de terceros del dispositivo pueden acceder a los datos en el dispositivo con el fin de ofrecer ciertas funcionalidades y características. Vaya a la sección Privacidad en Configuración para obtener más información sobre el Contrato de licencia y la Declaración de privacidad de Microsoft.
El inicio de sesión de HoloLens Iris se basa en Windows Hello. HoloLens almacena datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. La información biométrica no se mueve y nunca se envía a servidores o dispositivos externos. Dado que Windows Hello solo almacena los datos de identificación biométrica en el dispositivo, no hay ningún punto de colección único que un atacante puede poner en riesgo para robar los datos biométricos.
HoloLens realiza la autenticación iris en función de los códigos de bits almacenados. Los usuarios tienen control total sobre si inscriben su cuenta de usuario para el inicio de sesión de Iris para la autenticación. Y los administradores de TI pueden deshabilitar Windows Hello funcionalidades a través de sus servidores MDM. Consulte Administrar Windows Hello para empresas en su organización.
Nota
Las cuentas de Microsoft Entra ID compartidas no admiten el inicio de sesión de Iris en HoloLens. Consulte más detalles sobre las ventajas y limitaciones del uso de cuentas de Microsoft Entra compartidas.
Preguntas más frecuentes sobre Iris
¿Cómo se implementa la autenticación biométrica iris en HoloLens 2?
HoloLens 2 admite la autenticación iris. Iris se basa en la tecnología de Windows Hello y es compatible con el uso de Microsoft Entra ID y cuentas Microsoft. Iris se implementa de la misma manera que otras tecnologías de Windows Hello y logra la seguridad biométrica FAR de 1/100 000.
Consulte los requisitos biométricos y las especificaciones de Windows Hello para obtener más información. Obtenga más información sobre Windows Hello y Windows Hello para empresas.
¿Dónde se almacena la información biométrica iris?
La información biométrica de Iris se almacena localmente en cada HoloLens por Windows Hello especificaciones. No se comparte y está protegido por dos capas de cifrado. No es accesible para otros usuarios, incluso un administrador, porque no hay ninguna cuenta de administrador en HoloLens.
¿Tengo que usar la autenticación iris?
No, puede omitir este paso durante la instalación.
HoloLens 2 proporciona muchas opciones diferentes para la autenticación, incluidas las claves de seguridad FIDO2.
¿Se puede quitar la información de Iris de HoloLens?
Sí, puede quitarlo manualmente en Configuración.
Configuración de usuarios
Hay dos maneras de configurar un nuevo usuario en HoloLens. La forma más común es durante la experiencia rápida (OOBE) de HoloLens. Si usa Microsoft Entra ID, otros usuarios pueden iniciar sesión después de OOBE mediante sus credenciales de Microsoft Entra. Los dispositivos HoloLens que se configuran inicialmente con una cuenta de MSA o local durante OOBE no admiten varios usuarios. Consulte Configuración de HoloLens (1.ª generación) o HoloLens 2.
Si usa una cuenta empresarial o organizativa para iniciar sesión en HoloLens, HoloLens se inscribe en la infraestructura de TI de la organización. Esta inscripción permite que el Administración de TI configure Mobile Administración de dispositivos (MDM) para enviar directivas de grupo a HoloLens.
Al igual que Windows en otros dispositivos, al iniciar sesión durante la instalación se crea un perfil de usuario en el dispositivo. El perfil de usuario almacena aplicaciones y datos. La misma cuenta también proporciona inicio de sesión único para aplicaciones, como Microsoft Edge o Microsoft Store, mediante las API del Administrador de cuentas de Windows.
De forma predeterminada, en cuanto a otros dispositivos de Windows 10, tiene que volver a iniciar sesión cuando HoloLens se reinicia o reanuda desde el modo de espera. Puede usar la aplicación Configuración para cambiar este comportamiento o la directiva de grupo puede controlar el comportamiento.
Sugerencia
Si más de un usuario usa un dispositivo, es importante mantener el visor limpio. Consulte HoloLens 2 preguntas frecuentes sobre la limpieza para obtener más información sobre cómo limpiar el dispositivo. Se recomienda limpiar el visor entre cada usuario. Este procedimiento recomendado es especialmente importante si usa la autenticación iris.
Cuentas vinculadas
Como en la versión de escritorio de Windows, puede vincular otras credenciales de cuenta web a su cuenta de HoloLens. Esta vinculación facilita el acceso a los recursos entre o dentro de las aplicaciones (como la Tienda) o para combinar el acceso a los recursos personales y profesionales. Después de conectar una cuenta al dispositivo, puede conceder permiso para usar el dispositivo en las aplicaciones para que no tenga que iniciar sesión en cada aplicación individualmente.
La vinculación de cuentas no separa los datos de usuario creados en el dispositivo, como imágenes o descargas.
Configuración de la compatibilidad con varios usuarios (solo Microsoft Entra)
HoloLens admite varios usuarios del mismo inquilino de Microsoft Entra. Para usar esta característica, debe usar una cuenta que pertenezca a su organización para configurar el dispositivo. Posteriormente, otros usuarios del mismo inquilino pueden iniciar sesión en el dispositivo desde la pantalla de inicio de sesión o pulsando el icono del usuario en el panel Inicio. Solo se puede iniciar sesión un usuario a la vez. Cuando un usuario inicia sesión, HoloLens cierra la sesión del usuario anterior.
Importante
El primer usuario del dispositivo se considera el propietario del dispositivo, excepto en el caso de Microsoft Entra unirse, obtenga más información sobre los propietarios de dispositivos.
Todos los usuarios pueden usar las aplicaciones instaladas en el dispositivo. Sin embargo, cada usuario tiene sus propios datos y preferencias de la aplicación. Al quitar una aplicación del dispositivo, se quita para todos los usuarios.
Nota
Otra opción para los dispositivos que se comparten entre varios usuarios es crear una cuenta de Microsoft Entra ID compartida en el dispositivo. Consulte Cuentas de Microsoft Entra compartidas en HoloLens para obtener información detallada sobre cómo configurar esta cuenta en el dispositivo.
Los dispositivos configurados con Microsoft Entra cuentas no permitirán iniciar sesión en el dispositivo con una cuenta Microsoft. Todas las cuentas posteriores usadas deben ser Microsoft Entra cuentas del mismo inquilino que el dispositivo. Todavía puede iniciar sesión con una cuenta Microsoft para aplicaciones que lo admitan (por ejemplo, Microsoft Store). Para cambiar de usar Microsoft Entra cuentas a Cuentas Microsoft para iniciar sesión en el dispositivo, debe volver a hacer referencia al dispositivo.
Nota
HoloLens (1.ª generación) comenzó a admitir varios usuarios de Microsoft Entra en la actualización de abril de 2018 de Windows 10 como parte de Windows Holographic for Business.
Se muestran varios usuarios en la pantalla de inicio de sesión
Anteriormente, la pantalla de inicio de sesión mostraba solo el usuario que ha iniciado sesión más recientemente y un punto de entrada "Otro usuario". Hemos recibido comentarios de los clientes que no son suficientes si varios usuarios han iniciado sesión en el dispositivo. Todavía eran necesarios para volver a escribir su nombre de usuario, etc.
Introducido en Windows Holographic, versión 21H1, al seleccionar Otro usuario que se encuentra a la derecha del campo de entrada de PIN, la pantalla De inicio de sesión muestra varios usuarios con los que han iniciado sesión anteriormente en el dispositivo. Esto permite a los usuarios seleccionar su perfil de usuario e iniciar sesión con sus credenciales de Windows Hello. También se puede agregar un nuevo usuario al dispositivo desde esta página de otros usuarios a través del botón Agregar cuenta .
Cuando se encuentra en el menú Otros usuarios , el botón Otros usuarios muestra el último usuario que inició sesión en el dispositivo. Seleccione este botón para volver a la pantalla de inicio de sesión de este usuario.
Eliminación de usuarios
Para quitar un usuario del dispositivo, vaya aCuentas>de configuración>Otras personas. Esta acción también recupera espacio quitando todos los datos de la aplicación del usuario del dispositivo.
Uso del inicio de sesión único en una aplicación
Como desarrollador de aplicaciones, puedes aprovechar las identidades vinculadas en HoloLens mediante las API del Administrador de cuentas de Windows, igual que en otros dispositivos Windows. Algunos ejemplos de código para estas API están disponibles en GitHub: Ejemplo de administración de cuentas web.
Las interrupciones de cuenta que puedan producirse, como solicitar consentimiento del usuario para la información de la cuenta, la autenticación en dos fases, etc., se deben controlar cuando la aplicación solicita un token de autenticación.
Si la aplicación requiere un tipo de cuenta específico que no se ha vinculado anteriormente, la aplicación puede pedir al sistema que pida al usuario que agregue uno. Esta solicitud desencadena el panel de configuración de la cuenta para iniciarse como elemento secundario modal de la aplicación. En el caso de las aplicaciones 2D, esta ventana se representa directamente sobre el centro de la aplicación. En el caso de las aplicaciones de Unity, esta solicitud saca brevemente al usuario de la aplicación holográfica para representar la ventana secundaria. Para obtener información sobre cómo personalizar los comandos y las acciones en este panel, vea Clase WebAccountCommand.
Empresa y otra autenticación
Si la aplicación usa otros tipos de autenticación, como NTLM, Basic o Kerberos, puedes usar la interfaz de usuario de credenciales de Windows para recopilar, procesar y almacenar las credenciales del usuario. La experiencia del usuario para recopilar estas credenciales es similar a otras interrupciones de cuenta controladas por la nube y aparece como una aplicación secundaria sobre la aplicación 2D o suspende brevemente una aplicación de Unity para mostrar la interfaz de usuario.
Interfaces API desusadas
Una manera en la que el desarrollo para HoloLens difiere del desarrollo para escritorio es que la API OnlineIDAuthenticator no es totalmente compatible. Aunque la API devuelve un token si la cuenta principal está en buen estado, las interrupciones, como las descritas en este artículo, no muestran ninguna interfaz de usuario para el usuario y no se autentican correctamente la cuenta.
Windows Hello para empresas compatibilidad con HoloLens (1.ª generación)
Windows Hello para empresas (que admite el uso de un PIN para iniciar sesión) es compatible con HoloLens (1.ª generación). Para permitir el inicio de sesión Windows Hello para empresas PIN en HoloLens (1.ª generación):
- Mdm debe administrar el dispositivo HoloLens.
- Debe habilitar Windows Hello para empresas para el dispositivo. (Consulte las instrucciones de Microsoft Intune).
- En el dispositivo HoloLens, el usuario puede usar opciones de inicio desesión>de configuración>Agregar PIN para configurar un PIN.
Nota
Los usuarios que inician sesión con una cuenta Microsoft también pueden configurar un PIN en Configuración>Opciones> de inicio de sesiónAgregar PIN. Este PIN está asociado a Windows Hello, en lugar de Windows Hello para empresas.
Recursos adicionales
Obtenga más información sobre la autenticación y la protección de identidades de usuario en la documentación de seguridad e identidad de Windows 10.
Obtenga más información sobre cómo configurar la infraestructura de identidad híbrida mediante la documentación de identidad híbrida de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de