sistema operativo senza Amministrazione
HoloLens 2 riduce al minimo l'area di attacco per l'escalation dei privilegi disabilitando il supporto per il gruppo Administrators e limitando tutto il codice dell'applicazione UWP di terze parti per l'esecuzione solo come utenti standard all'interno della sandbox AppContainer. Questo codice viene concesso solo l'accesso a tali risorse protette dalle funzionalità manifestate in modo esplicito nell'applicazione per un utente nonlevato oltre alle risorse accessibili a tutti i AppContainers. Queste funzionalità dell'applicazione continuano ad avere il modello di classificazione a tre livelli:
- Generale
- Con restrizioni
- Windows
I componenti di Windows possono anche sfruttare la sandbox AppContainer tramite UWP di sistema. Per altre informazioni su piattaforma UWP (Universal Windows Platform) (UWP), vedi la documentazione di UWP. Inoltre, i componenti di Windows con maggiori esigenze di riduzione dei privilegi (ad esempio pagine di contenuto del browser o parser) usano la sandbox LPAC (Less Privileged AppContainer), che consente di ridurre l'accesso al set di risorse accessibile a tutti i AppContainer.
Proprietario del dispositivo
Infine, l'esecuzione di operazioni specifiche a livello di dispositivo, ad esempio l'aggiunta del dispositivo a un tenant o alla gestione degli utenti, è consentita solo per i "proprietari di dispositivi". Questo gruppo viene popolato dagli utenti nel dispositivo tramite uno dei passaggi seguenti:
- Il primo utente nel dispositivo è sempre designato come proprietario.
Importante
Per Microsoft Entra utenti, l'eccezione a questa regola è che se il dispositivo è Microsoft Entra aggiunto tramite Autopilot o la registrazione in blocco Microsoft Entra, che usa un utente non reale. In questo caso, il primo utente Microsoft Entra ad accedere al dispositivo potrebbe non essere automaticamente proprietario del dispositivo, a meno che tale utente abbia il ruolo "amministratore globale" o "amministratore del dispositivo" assegnato in portale di Azure. Per altre informazioni, vedere la nota seguente.
- Quando un utente viene alzato di livello come proprietario dall'esperienza utente delle impostazioni da un altro proprietario nel dispositivo.
- Se il proprietario del dispositivo non è più disponibile (lascia l'azienda) e il dispositivo viene aggiunto Microsoft Entra, il tenant Amministrazione può modificare il proprietario del dispositivo in un nuovo utente in portale di Azure. Gli amministratori globali e gli amministratori dei dispositivi di un tenant di Microsoft Entra vengono connessi in modo implicito come proprietari nel dispositivo senza richiedere uno dei passaggi precedenti.
Gli amministratori IT possono gestire le app a cui possono accedere tramite l'informativa sulla privacy .
Nota
Per altre informazioni su chi è proprietario di un dispositivo in un dispositivo aggiunto Microsoft Entra, vedere la documentazione "Assegnare Amministrazione locali" (ma leggere "amministratore locale" come "proprietario del dispositivo" perché l'amministratore non esiste in HoloLens).
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per