管理者不要のオペレーティング システムAdmin-less operating system

HoloLens 2 は、管理者グループのサポートを無効にして、すべてのサードパーティ UWP アプリケーション コードを AppContainer サンドボックス内で標準ユーザーとしてのみ実行できるようにすることで、特権昇格の対象領域を最小化します。HoloLens 2 minimizes the surface area for privilege escalation by disabling support for the Administrators group and limiting all third-party UWP application code to only execute as standard users within the AppContainer sandbox. このコードには、すべての AppContainers がアクセスできるリソースだけでなく、昇格されていないユーザーに対する、アプリケーションで明示的に指定された機能によって保護されたリソースへのアクセス権のみが許可されます。This code is only granted access to those resources protected by capabilities explicitly manifested in the application for an unelevated user in addition to resources accessible to all AppContainers. これらのアプリケーション機能には、引き続き 3 階層の分類モデルがあります。These application capabilities continue to have the three-tiered classification model:

  • 全般的な情報General
  • 制限されますRestricted
  • WindowsWindows

Windows コンポーネントは、システム UWP を介して AppContainer サンドボックスを利用することもできます。Windows components can also leverage the AppContainer sandbox through System UWPs. ユニバーサル Windows プラットフォーム (UWP) の詳細については、「UWP ドキュメント」を参照してください。To learn more about Universal Windows Platform (UWP), see UWP documentation. また、特権を削減する必要がある Windows コンポーネント (ブラウザーのコンテンツ ページ、またはパーサーなど) は、すべての AppContainers がアクセスできるリソースのセットへのアクセスを遮断する、Less Privileged AppContainer (LPAC) サンドボックスを使用します。Additionally, Windows components with greater privilege reduction needs (like browser content pages or parsers) use the Less Privileged AppContainer (LPAC) sandbox, which cuts off access to the set of resources accessible to all AppContainers.

デバイスの所有者Device owner

最後に、デバイスのテナントへの参加やユーザーの管理など、特定のデバイス全体の操作の実行は、"デバイス オーナー" にのみ許可されます。Finally, the execution of specific device-wide operations, such as joining the device to a tenant or user management, is only permitted for “device owners”. デバイス上のユーザーは、次のいずれかの手順でこのグループに入ることができます。This group is populated by users on the device through one of the following steps:

  • デバイスの最初のユーザーは、常にオーナーとして指定されます。The first user on the device is always designated an Owner.

重要

Azure AD ユーザーの場合、このルールの例外は、デバイスが Azure AD でオートパイロットまたは非実ユーザーを使用するバルク Azure AD を介して参加している場合です。For Azure AD Users, the exception to this rule is that if the device is Azure AD joined via Autopilot or bulk Azure AD enrollment, which uses a non-real user. この場合、Azure portal で"グローバル管理者"または"デバイス管理者"の役割が割り当てられていない限り、デバイスにサインインする最初の AAD ユーザーを自動的にデバイスの所有者にすることはできません。In this case, the first AAD user to sign into the device may not be made device owner automatically unless that user has the "global administrator" or "device administrator" role assigned in Azure portal. 詳細については、次の表をご覧ください。For more information, see the note below.

  • ユーザーがデバイス上の別のオーナーによって設定 UX からオーナーに昇格された場合。When a user is promoted to be an Owner from the Settings UX by another Owner on the device.
  • デバイスの所有者が利用できなくなった場合 (会社を離れた)、かつデバイスが Azure AD に参加している場合、テナント管理者は Azure portal でデバイスの所有者を新しいユーザーに変更できます。If the device owner is no longer available (leaves the company) and the device is Azure AD joined, the Tenant Admin can change the device owner to a new user in Azure portal. Azure AD テナントのグローバル管理者とデバイス管理者は、前の手順を必要とせずに、デバイスの所有者として暗黙の内にサインインされます。Global Administrators and Device Administrators of an Azure AD tenant are implicitly signed in as Owners on the device without requiring either of the previous steps.

IT 管理者は プライバシー ポリシーを使用して、アクセスできるアプリを管理できます。IT administrators can manage what apps can access through Privacy policies.

注意

Azure AD に参加しているデバイスでデバイスの所有者になるユーザーの詳細については、「ローカル管理者の割り当て」のドキュメントを参照してください (ただし、管理者は HoloLens に存在しないので、「ローカル管理者」を「デバイスの所有者」としてお読みください)。To understand more about who is made a device owner on an Azure AD joined device, see “Assign Local Admin” documentation (but read ‘local admin’ as ‘device owner’ since admin does not exist on HoloLens).