管理者不要のオペレーティング システム

• 適用対象:

  HoloLens (1st gen), HoloLens 2

HoloLens 2 を使用すると、管理者グループのサポートを無効にして、すべてのサードパーティ UWP アプリケーション コードを AppContainer サンドボックス内で標準ユーザーとしてのみ実行できるようにすることで、特権昇格の標的となる領域を最小化することができます。 すべての AppContainers からアクセスできるリソースに加え、管理者特権を持たないユーザー向けにアプリケーションで明示的に指定された機能によって保護されたリソースへのアクセス権のみがこのコードに付与されます。 これらのアプリケーション機能には、引き続き 3 階層の分類モデルがあります。

• 全般
• 制限付き
• Windows

Windows コンポーネントからは、システム UWP を介して AppContainer サンドボックスを利用することもできます。 ユニバーサル Windows プラットフォーム (UWP) の詳細については、UWP のドキュメントを参照してください。 また、さらに特権を減らす必要がある Windows コンポーネント (ブラウザーのコンテンツ ページ、パーサーなど) には Less Privileged AppContainer (LPAC) サンドボックスを使用します。これにより、すべての AppContainers からアクセスできるリソース セットへのアクセスは遮断されます。

デバイスの所有者

最後に、デバイスのテナントへの参加やユーザー管理など、デバイス全体に関わる特定の操作の実行は、"デバイスの所有者" にのみ許可されます。 デバイス上のユーザーは、次のいずれかの手順でこのグループに入ることができます。

• デバイスの最初のユーザーは、常に所有者に指定されます。

重要

Azure AD ユーザーの場合、このルールの例外は、デバイスが Azure AD でオートパイロットまたは非実ユーザーを使用するバルク Azure AD を介して参加している場合です。 この場合、Azure portal で "全体管理者" または "デバイス管理者" のロールが割り当てられていない限り、デバイスにサインインする最初の AAD ユーザーを自動的にデバイスの所有者にすることはできません。 詳細については、次の表をご覧ください。

• ユーザーがデバイス上の別の所有者によって設定 UX から所有者に昇格された場合。
• デバイスの所有者が利用できなくなった (会社を離れた) 場合、かつデバイスが Azure AD に参加している場合、テナント管理者は Azure portal でデバイスの所有者を新しいユーザーに変更できます。 Azure AD テナントの全体管理者とデバイス管理者は、前の手順を必要とせずに、デバイスの所有者として暗黙の内にサインインされます。

IT 管理者はプライバシー ポリシーを使用して、アクセスできるアプリを管理できます。

Note

Azure AD に参加しているデバイスでデバイスの所有者になるユーザーの詳細については、ローカル管理者の割り当てに関するページを参照してください (ただし、管理者は HoloLens に存在しないので、「ローカル管理者」を「デバイスの所有者」と読み替えてください)。