管理者不要のオペレーティング システム
HoloLens 2 を使用すると、管理者グループのサポートを無効にして、すべてのサードパーティ UWP アプリケーション コードを AppContainer サンドボックス内で標準ユーザーとしてのみ実行できるようにすることで、特権昇格の標的となる領域を最小化することができます。 すべての AppContainers からアクセスできるリソースに加え、管理者特権を持たないユーザー向けにアプリケーションで明示的に指定された機能によって保護されたリソースへのアクセス権のみがこのコードに付与されます。 これらのアプリケーション機能には、引き続き 3 階層の分類モデルがあります。
- 全般
- 制限付き
- Windows
Windows コンポーネントからは、システム UWP を介して AppContainer サンドボックスを利用することもできます。 ユニバーサル Windows プラットフォーム (UWP) の詳細については、UWP のドキュメントを参照してください。 また、さらに特権を減らす必要がある Windows コンポーネント (ブラウザーのコンテンツ ページ、パーサーなど) には Less Privileged AppContainer (LPAC) サンドボックスを使用します。これにより、すべての AppContainers からアクセスできるリソース セットへのアクセスは遮断されます。
デバイスの所有者
最後に、デバイスのテナントへの参加やユーザー管理など、デバイス全体に関わる特定の操作の実行は、"デバイスの所有者" にのみ許可されます。 デバイス上のユーザーは、次のいずれかの手順でこのグループに入ることができます。
- デバイスの最初のユーザーは、常に所有者に指定されます。
重要
Azure AD ユーザーの場合、このルールの例外は、デバイスが Azure AD でオートパイロットまたは非実ユーザーを使用するバルク Azure AD を介して参加している場合です。 この場合、Azure portal で "全体管理者" または "デバイス管理者" のロールが割り当てられていない限り、デバイスにサインインする最初の AAD ユーザーを自動的にデバイスの所有者にすることはできません。 詳細については、次の表をご覧ください。
- ユーザーがデバイス上の別の所有者によって設定 UX から所有者に昇格された場合。
- デバイスの所有者が利用できなくなった (会社を離れた) 場合、かつデバイスが Azure AD に参加している場合、テナント管理者は Azure portal でデバイスの所有者を新しいユーザーに変更できます。 Azure AD テナントの全体管理者とデバイス管理者は、前の手順を必要とせずに、デバイスの所有者として暗黙の内にサインインされます。
IT 管理者はプライバシー ポリシーを使用して、アクセスできるアプリを管理できます。
Note
Azure AD に参加しているデバイスでデバイスの所有者になるユーザーの詳細については、ローカル管理者の割り当てに関するページを参照してください (ただし、管理者は HoloLens に存在しないので、「ローカル管理者」を「デバイスの所有者」と読み替えてください)。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示