HoloLens のユーザー ID とサインインを管理する

注意

この記事は、IT 技術者および技術技術者向けテクニカル リファレンスです。 HoloLens のセットアップ手順については、「HoloLens (第 1世代) のセットアップ」または「HoloLens 2のセットアップ」をご覧ください。

他の Windows デバイスと同様に、HoloLens は常にユーザー コンテキストで動作します。 常にユーザー ID があります。 HoloLens は、他の Windows 10 デバイスとほぼ同じ方法で ID を扱います。 この記事は、HoloLens での ID に関する詳しいリファレンスであり、HoloLens と他の Windows 10 デバイスとの違いについて説明します。

HoloLens は、いくつかの種類のユーザー ID をサポートしています。 1 つ以上のユーザー アカウントを使用してサインインできます。 HoloLens の ID の種類と認証オプションの概要を次に示します。

ID の種類 デバイスごとのアカウント 認証オプション
Azure Active Directory (Azure AD) 64
  • Azure Web 資格情報プロバイダー
  • Azure Authenticator アプリ
  • 生体認証 (虹彩) – HoloLens 2 のみ 1
  • HoloLens (第 1 世代) の PIN (省略可能 – )、HoloLens 2 に必要
  • パスワード
Microsoft アカウント (MSA) 1
  • 生体認証 (虹彩) – HoloLens 2 のみ
  • HoloLens (第 1 世代) の PIN (省略可能 – )、HoloLens 2 に必要
  • パスワード
ローカル アカウント 1 パスワード

クラウド接続アカウント (Azure AD および MSA) では、Azure サービスを使用できる機能が追加されています。

注意

1 - HoloLens 2 デバイスは最大 64 の Azure AD アカウントをサポートすることができますが、これらのアカウントの 10 つだけが虹彩認証に登録できます。 これは、Windows Hello for Business の他の生体認証オプションと一致しています。 詳細については、こちらを参照してください。

ユーザーの設定

新しいユーザーをセットアップする最も一般的な方法は、HoloLens の Out-of-Box Experience (OOBE) です。 セットアップ中に、HoloLens は、ユーザーがデバイスで使用するアカウントを使用してサインインするように求めるメッセージを表示します。 このアカウントには、コンシューマー Microsoft アカウントまたは Azure で構成されているエンタープライズ アカウントを指定できます。 「HoloLens (第 1 世代)またはHoloLens 2のセットアップ」をご覧ください。

他のデバイスの Windows と同様に、セットアップ中にサインインすると、デバイスにユーザー プロファイルが作成されます。 ユーザー プロファイルには、アプリとデータが格納されます。 また、同じアカウントは、Windows アカウント マネージャー API を使用して、Edge や Skype などのアプリにシングル サインオンを提供します。

企業または組織のアカウントを使用して HoloLens にサインインする場合、HoloLens は組織の IT インフラストラクチャに登録します。 この登録により、IT 管理者は、HoloLens にグループ ポリシーを送信するモバイル デバイス管理 (MDM) を構成できます。

既定では、他の Windows 10 デバイスと同様に、HoloLens が再起動するかスタンバイ状態から再開するときに、もう一度サインインする必要があります。 設定アプリを使ってこの動作を変更するか、グループ ポリシーで動作を制御できます。

リンクされたアカウント

デスクトップ バージョンの Windows と同様に、追加の Web アカウント資格情報を HoloLens アカウントにリンクできます。 このようなリンクを使用すると、アプリ (ストアなど) 全体またはアプリ内のリソースに簡単にアクセスしたり、個人用リソースと仕事用リソースへのアクセスを組み合わせたりすることができます。 アカウントをデバイスに接続した後、デバイスをアプリに使用するアクセス許可を付与して、各アプリに個別にサインインする必要がなくなんかできます。

アカウントをリンクしても、イメージやダウンロードなど、デバイスで作成されたユーザー データは分離されません。

マルチユーザー サポートの設定 (Azure ADのみ)

HoloLens は、同じ Azure テナントから複数のユーザー ADします。 この機能を使用するには、組織に属するアカウントを使用してデバイスをセットアップする必要があります。 その後、同じテナントの他のユーザーは、サインイン画面からデバイスにサインインするか、スタート パネルのユーザー タイルをタップしてデバイスにサインインできます。 一度にサインインできるユーザーは 1 人のみです。 ユーザーがサインインすると、HoloLens は前のユーザーをサインアウトします。 デバイスの最初のユーザーはデバイスの所有者と見なされます。ただし、Azure AD Join の場合は、デバイス所有者の詳細 をご確認ください

すべてのユーザーは、デバイスにインストールされているアプリを使用できます。 ただし、各ユーザーは独自のアプリ データと基本設定を持っています。 デバイスからアプリを削除すると、すべてのユーザーに対してアプリが削除されます。

Azure AD アカウントでセットアップされたデバイスでは、Microsoft アカウントを使ったデバイスへのサインインは許可されません。 以降に使用するアカウントはすべて、デバイスとADテナントの Azure アカウントである必要があります。 Microsoft アカウント を使用して、その アカウントをサポートするアプリ (Microsoft Store など) にサインインすることもできます。 デバイスにサインインするために Azure AD アカウントから Microsoft アカウントに変更するには、デバイス を再フラッシュする必要があります

注意

HoloLens (第 1世代) は、Windows Holographic for Businessの一部として、Windows 10 April 2018 Updateで複数の Azure AD ユーザーのサポートを開始しました。

ユーザーの削除

[設定] アカウントの [その他の**** ユーザー] に移動して、デバイス > からユーザー > を削除できます。 このアクションは、そのユーザーのすべてのアプリ データをデバイスから削除することで、領域を解放します。

アプリ内でのシングル サインオンの使用

アプリ開発者は、他の Windows デバイスと同様に 、Windowsアカウント マネージャー API を使用して、HoloLens でリンクされた ID を利用できます。 これらの API のコード サンプルの一部は、GitHub で入手できます 。Web アカウント管理のサンプルです

アカウント情報に対するユーザーの同意の要求、2 要素認証など、発生する可能性があるアカウントの割り込みは、アプリが認証トークンを要求するときに処理する必要があります。

アプリで、リンクされていない特定のアカウントの種類が必要な場合、アプリはユーザーにアカウントの追加を求めるメッセージをシステムに表示できます。 この要求は、アカウント設定ウィンドウをトリガーして、アプリのモーダルな子として起動します。 2D アプリの場合、このウィンドウはアプリの中央に直接レンダリングされます。 Unity アプリの場合、この要求はユーザーをホログラフィック アプリから簡単に取り出して、子ウィンドウをレンダリングします。 このウィンドウのコマンドとアクションのカスタマイズについては 、「WebAccountCommand クラス」を参照してください

エンタープライズおよび他の認証

アプリで NTLM、基本、Kerberos などの他の種類の認証を使用する場合は 、Windows 資格情報 UI を使用して、ユーザーの資格情報を収集、処理、および保存できます。 これらの資格情報を収集するためのユーザー エクスペリエンスは、他のクラウド 駆動型アカウントの割り込みと非常に似ています。また、2D アプリの上に子アプリとして表示されます。また、UI を表示するために Unity アプリを一時的に中断します。

非推奨の API

HoloLens の開発とデスクトップ用の開発が異なる方法の 1 つは 、OnlineIDAuthenticator API が完全にはサポートされていない点です。 プライマリ アカウントが良好な状態にある場合、API はトークンを返しますが、この記事で説明されている割り込みではユーザーの UI が表示されないので、アカウントを正しく認証できません。

よく寄せられる質問

Windows Hello for Business は HoloLens (第 1 世代) でサポートされていますか?

Windows Hello for Business (PIN を使用したサインインをサポート) は、HoloLens (第 1 世代) でサポートされています。 HoloLens で Windows Hello for Business PIN サインインを許可するには、次の方法を使用します。

  1. HoloLens デバイスは MDM で管理する必要があります
  2. デバイスで Windows Hello for Business を有効にする必要があります。 (MicrosoftIntune の手順を参照してください。
  3. HoloLens では、ユーザーは [**** 設定] サインイン オプション [PIN の追加] を使用して > **** > PINを設定できます。

注意

Microsoft アカウントを使用してサインインするユーザーは、[設定] サインイン**** オプションの [PIN の追加] で PIN > > 設定することもできます。 この PIN は 、Windows Hellofor Business ではなく 、Windows Hello に関連付けされます

HoloLens 2 に虹彩生体認証を実装する方法

HoloLens 2 は虹彩認証をサポートしています。 虹彩は Windows Hello テクノロジに基づいており、Azure Active Directory と Microsoft アカウントの両方で使用できます。 虹彩は、他の Windows Hello テクノロジと同じ方法で実装され、生体認証セキュリティの FAR OF 1/100K を実現します。

Windows Hello の生体認証の要件と仕様の詳細については、こちらを参照 してください。 Windows Hello と Windows Hello for Business について 詳しくは、次をご覧ください

アカウントの種類がサインイン動作に与える影響

サインイン用のポリシーを適用する場合、ポリシーは常に考慮されます。 サインインに関するポリシーが適用されなき場合、各アカウントの種類に対する既定の動作は次のとおりです。

  • Azure AD: 既定で認証を要求し、認証を要求しなくなった場合は 設定 で構成できます。
  • Microsoft アカウント: ロック動作が異なって自動ロック解除が可能になりますが、再起動時にはサインイン認証が必要です。
  • ローカル アカウント: 常にパスワードの形式で認証を要求し、[設定] で構成 することはできません

注意

現在、非アクティブ タイマーはサポートされていません。つまり 、AllowIdleReturnWithoutPassword ポリシーは、デバイスが StandBy に入った場合にのみ考慮されます。

その他の資料

ユーザー ID 保護と認証の詳細については 、Windows 10 のセキュリティと ID に関するドキュメントを参照してください。

ハイブリッド ID インフラストラクチャのセットアップに関する詳細については 、Azure ハイブリッド ID のドキュメントを参照してください