HoloLens のユーザー ID とログインを管理する

  • [アーティクル]
  • 適用対象:
    HoloLens (1st gen), HoloLens 2

Note

この記事は、IT プロフェッショナルおよび技術愛好家向けのテクニカル リファレンスです。 HoloLens のセットアップ手順を探している場合は、HoloLens (第 1 世代) のセットアップ または "HoloLens 2 のセットアップを参照してください。

HoloLens 2 のユーザー ID をセットアップする方法について説明します

他の Windows デバイスと同様に、HoloLens は常にユーザー コンテキストで動作します。 常にユーザー ID が存在します。 HoloLens では、Windows 10 デバイスとほぼ同じ方法で ID が扱われます。 セットアップ中にサインインすると、HoloLens にアプリとデータを格納するユーザー プロファイルが作成されます。 また、同じアカウントで、Windows アカウント マネージャー API を使用して、Edge や Dynamics 365 Remote Assist などのアプリにシングルサインオンも提供します。

HoloLens では、複数の種類のユーザー ID がサポートされています。 これら 3 種類のアカウントのどれでも選択できますが、Azure AD はデバイスの管理に最適であるため、強く推奨されます。 複数のユーザーをサポートしているのは、Azure AD アカウントだけです。

ID の種類 デバイスごとのアカウント数 認証オプション
Azure Active Directory1 64
  • Azure Web 資格情報プロバイダー
  • Azure Authenticator アプリ
  • 生体認証 (虹彩) - HoloLens 2 のみ2
  • FIDO2 セキュリティ キー
  • PIN - HoloLens (第 1 世代) にはオプション、HoloLens 2 には必須
  • Password
Microsoft アカウント (MSA) 1
  • 生体認証 (虹彩) - HoloLens 2 のみ
  • PIN - HoloLens (第 1 世代) にはオプション、HoloLens 2 には必須
  • Password
ローカル アカウント3 1 Password

クラウドに接続されたアカウント (Azure AD と MSA) は、Azure サービスを使用できるため、より多くの機能を提供します。

重要

1 - デバイスにサインインするために Azure AD Premium は必要ありません。 ただし、自動登録やオートパイロットなど、ロータッチのクラウドベースのデプロイのその他の機能にはそれが必要です。

Note

2 - HoloLens 2 デバイスでは最大 64 の Azure AD アカウントをサポートできますが、これらのアカウントのうち最大 10 個のみを虹彩認証に登録する必要があります。 これは、Windows Hello for Business の他の生体認証オプションに合わせて調整されています。 10 個を超えるアカウントを虹彩認証に登録することは可能ですが、誤検知の割合が増加するため、推奨されません。

重要

3 - ローカル アカウントは、OOBE 中にプロビジョニング パッケージを使用してのみ、デバイスにセットアップでき、後で設定アプリで追加することはできません。 既にセットアップされているデバイスでローカル アカウントを使用する場合は、デバイスを再フラッシュまたはリセットする必要があります。

ユーザーのセットアップ

HoloLens に新しいユーザーをセットアップするには、2 つの方法があります。 最も一般的な方法は、HoloLens の Out-Of-Box Experience (OOBE) 時です。 Azure Active Directory を使用する場合、他のユーザーは、OOBE 後に Azure AD 資格情報を使用してログインできます。 OOBE 時に MSA またはローカル アカウントを使用して最初にセットアップされた HoloLens デバイスでは、複数のユーザーがサポートされません。 HoloLens (第 1 世代) または HoloLens 2 のセットアップを参照してください。

エンタープライズまたは組織アカウントを使用して HoloLens にサインインすると、HoloLens が組織の IT インフラストラクチャに登録されます。 この登録により、IT 管理者は、HoloLens にグループ ポリシーを送信するようにモバイル デバイス管理 (MDM) を構成できます。

他のデバイスでの Windows と同様に、セットアップ中にサインインすると、デバイスにユーザー プロファイルが作成されます。 ユーザー プロファイルには、アプリとデータが格納されます。 また、同じアカウントで、Windows アカウント マネージャー API を使用して、Edge や Microsoft Store などのアプリにシングルサインオンも提供します。

既定で、他の Windows 10 デバイスと同様に、HoloLens を再起動するか、スタンバイから再開するときに、再度サインインする必要があります。 設定アプリを使用してこの動作を変更することも、グループ ポリシーで動作を制御することもできます。

リンク済みのアカウント

Windows のデスクトップ バージョンと同様に、他の Web アカウントの資格情報を HoloLens アカウントにリンクすることができます。 このようなリンクにより、(Store などの) アプリ間またはアプリ内でのリソースへのアクセスが容易になり、個人のリソースと職場のリソースへのアクセスを組み合わせることができます。 アカウントをデバイスに接続した後、アプリにデバイスを使用するアクセス許可を付与して、各アプリに個別にサインインする必要がないようにすることができます。

アカウントをリンクしても、画像やダウンロードなど、デバイス上に作成されたユーザー データは分離されません。

マルチユーザー サポートのセットアップ (Azure AD のみ)

HoloLens では、同じ Azure AD テナントからの複数のユーザーをサポートしています。 この機能を使用するには、組織に属しているアカウントを使用してデバイスをセットアップする必要があります。 その後、同じテナントの他のユーザーは、サインイン画面から、または [スタート] パネルのユーザー タイルをタップして、デバイスにサインインできます。 一度にサインインできるユーザーは 1 人だけです。 ユーザーがサインインすると、HoloLens によって前のユーザーがサインアウトされます。

重要

デバイスの最初のユーザーは、Azure AD 参加の場合を除き、デバイス所有者と見なされます。デバイスの所有者の詳細を確認してください

すべてのユーザーは、デバイスにインストールされているアプリを使用できます。 ただし、各ユーザーには独自のアプリ データと設定があります。 デバイスからアプリを削除すると、すべてのユーザーに対してそれが削除されます。

Azure AD アカウントでセットアップされたデバイスでは、Microsoft アカウントでデバイスにサインインすることはできません。 今後使用されるすべてのアカウントは、デバイスと同じテナントの Azure AD アカウントである必要があります。 Microsoft アカウントをサポートするアプリ (Microsoft Store など) に Microsoft アカウントを使用して、サインインすることもできます。 デバイスへのサインインに Azure AD アカウントから Microsoft アカウントを使用するように変更するには、デバイスを再フラッシュする必要があります。

Note

HoloLens (第 1 世代)では、Windows 10 April 2018 Updateビジネス向け Windows Holographic の一部として、複数の Azure AD ユーザーのサポートが開始されました。

サインイン画面に複数のユーザーが表示される

これまでサインイン画面には、最近サインインしたユーザーと "他のユーザー" エントリ ポイントのみが表示されていました。 複数のユーザーがデバイスにサインインしている場合に、それは十分ではないというお客様からのフィードバックを受け取りました。 さらに、それぞれのユーザー名などを再入力する必要がありました。

Windows Holographic バージョン 21h1 で導入され、PIN 入力フィールドの右側にある [他のユーザー] を選択すると、サインイン画面に、以前にデバイスにサインインしている複数のユーザーが表示されます。 これにより、ユーザーは自分のユーザー プロファイルを選択し、自分の Windows Hello 資格情報を使用してサインインできます。 この [他のユーザー] ページから、[アカウントの追加] ボタンを使用して、デバイスに新しいユーザーを追加することもできます。

[他のユーザー] メニューの [他のユーザー] ボタンには、デバイスにサインインした最後のユーザーが表示されます。 このボタンを選択すると、このユーザーのサインイン画面に戻ります。

Sign-in screen default.


Sign-in screen other users.

ユーザーの削除

デバイスからユーザーを削除するには、[設定]>[アカウント]>[他のユーザー] に移動します。 この操作によって、デバイスからユーザーのすべてのアプリ データが削除されることで、領域も解放されます。

アプリ内でのシングル サインオンの使用

アプリ開発者は、他の Windows デバイスの場合と同様に、Windows アカウント マネージャー API を使用して、HoloLens 上のリンクされた ID を利用できます。 これらの API のコード サンプルは、GitHub の Web アカウント管理のサンプルに関するページで入手できます。

アカウント情報に対するユーザーの同意の要求、2 要素認証など、発生する可能性のあるすべてのアカウント割り込みは、アプリで認証トークンが要求されたときに処理する必要があります。

アプリで、これまでリンクされたことがない特定のアカウントの種類が必要な場合は、アプリで、システムがユーザーに追加を求めるメッセージを表示するように要求できます。 この要求によって、アプリのモーダルな子として起動するアカウント設定ウィンドウをトリガーします。 2D アプリの場合、このウィンドウはアプリの中央に直接レンダリングされます。 Unity アプリの場合、この要求により、ユーザーがホログラフィック アプリから一時的に外され、子ウィンドウがレンダリングされます。 このウィンドウのコマンドとアクションのカスタマイズの詳細については、「WebAccountCommand クラス」を参照してください。

エンタープライズおよびその他の認証

アプリで NTLM、Basic、Kerberos などのその他の種類の認証を使用している場合は、Windows 資格情報 UI を使用して、ユーザーの資格情報を収集、処理、保存できます。 これらの資格情報を収集するためのユーザー エクスペリエンスは、他のクラウドに基づくアカウントの割り込みと似ており、2D アプリの上に子アプリとして表示されるか、または Unity アプリを一時的に中断して、UI が表示されます。

非推奨の API

HoloLens 向けの開発がデスクトップ向けの開発と異なる 1 つの点は OnlineIDAuthenticator API が完全にサポートされていないことです。 プライマリ アカウントが良好な状態にある場合、API がトークンを返しますが、この記事で説明されているような割り込みによって、ユーザーに UI が表示されず、アカウントが正しく認証されません。

よく寄せられる質問

Windows Hello for Business は HoloLens (第 1 世代) でサポートされていますか?

Windows Hello for Business (PIN を使用したサインインをサポート) は、HoloLens (第 1 世代) でサポートされています。 HoloLens で Windows Hello for Business の PIN サインインを許可するには:

  1. HoloLens デバイスは、MDM によって管理する必要があります。
  2. デバイスに対して Windows Hello for Business を有効にする必要があります。 (Microsoft Intune の手順を参照してください。)
  3. HoloLens で、ユーザーは、[設定]>[サインイン オプション]>[PIN の追加] を使用して、PIN をセットアップできます。

注意

Microsoft アカウントを使用して、サインインするユーザーも、[設定]>[サインイン オプション]>[PIN の追加] で PIN をセットアップできます。 この PIN は、Windows Hello for Business ではなく、Windows Hello に関連付けられます。

虹彩生体認証は、HoloLens 2 にどのように実装されていますか?

HoloLens 2 では虹彩認証がサポートされています。 虹彩認証は、Windows Hello テクノロジに基づいており、Azure Active Directory アカウントと Microsoft アカウントの両方での使用がサポートされています。 虹彩認証は、他の Windows Hello テクノロジと同じように実装され、1/100K の生体認証セキュリティ FAR が実現されます。

詳細については、Windows Hello の生体認証の要件と仕様に関するページを参照してください。 Windows HelloWindows Hello for Business の詳細を確認してください。

虹彩生体認証情報はどこに格納されますか?

虹彩生体認証情報は、Windows Hello 仕様に従って、各 HoloLens にローカルに保存されます。 これは共有されず、2 層の暗号化によって保護されます。 他のユーザー (管理者も) からアクセスできません。HoloLens には管理者アカウントがないためです。

虹彩認証を使用する必要がありますか?

いいえ。セットアップ時にこの手順をスキップできます。

Set-up Iris.

HoloLens 2 では、FIDO2 セキュリティ キーなど、認証のためのさまざまなオプションが提供されています。

虹彩認証情報を HoloLens から削除できますか?

はい、[設定] で手動で削除できます。

アカウントの種類によって、サインイン動作にどのような影響がありますか?

サインイン用のポリシーを適用する場合、ポリシーは常に考慮されます。 ログイン用のポリシーが適用されていない場合、各アカウントの種類の既定の動作は次のとおりです。

  • Azure AD: 既定で認証を要求しますが、[設定] で認証を求めないように構成できます。
  • Microsoft アカウント: ロック動作が異なり、自動ロック解除を許可しますが、再起動時には引き続きサインイン認証が必要です。
  • ローカル アカウント: 常にパスワードの形式で認証を要求し、[設定] で構成できません

Note

非アクティブ タイマーは現在サポートされていません、つまり、AllowIdleReturnWithoutPassword ポリシーは、デバイスがスタンバイ モードになるときにのみ考慮されます。

その他のリソース

Windows 10 のセキュリティと ID に関するドキュメントで、ユーザー ID の保護と認証の詳細を参照してください。

Azure ハイブリッド ID に関するドキュメントで、ハイブリッド ID インフラストラクチャのセットアップの詳細を確認してください。