Gebruikersidentiteit en aanmelding voor HoloLens beheren
Notitie
Dit artikel is een technische naslaginformatie voor IT-professionals en technische liefhebbers. Als u op zoek bent naar instructies voor het instellen van HoloLens, leest u 'Uw HoloLens instellen (1e gen)' of 'Uw HoloLens 2 instellen'.
Laten we het hebben over het instellen van gebruikersidentiteit voor HoloLens 2
Net als andere Windows-apparaten werkt HoloLens altijd onder een gebruikerscontext. Er is altijd een gebruikersidentiteit. HoloLens behandelt identiteiten op bijna dezelfde manier als een Windows 10-apparaat. Als u zich aanmeldt tijdens de installatie, wordt er een gebruikersprofiel gemaakt op HoloLens waarin apps en gegevens worden opgeslagen. Hetzelfde account biedt ook eenmalige aanmelding voor apps, zoals Edge of Dynamics 365 Remote Assist, met behulp van de Windows Account Manager-API's.
HoloLens ondersteunt verschillende soorten gebruikersidentiteiten. U kunt elk van deze drie accounttypen kiezen, maar we raden Azure AD ten zeerste aan omdat het het beste is voor het beheren van apparaten. Alleen Azure AD-accounts ondersteunen meerdere gebruikers.
| Identiteitstype | Accounts per apparaat | Verificatieopties |
|---|---|---|
| Azure Active Directory1 | 64 |
|
| Microsoft-account (MSA) | 1 |
|
| Lokaal account3 | 1 | Wachtwoord |
Cloud-verbonden accounts (Azure AD en MSA) bieden meer functies omdat ze Azure-services kunnen gebruiken.
Belangrijk
1 - Azure AD Premium is niet vereist om u aan te melden bij het apparaat. Het is echter vereist voor andere functies van een cloudimplementatie met weinig aanraking, zoals Automatische inschrijving en Autopilot.
Notitie
2 - Hoewel een HoloLens 2-apparaat maximaal 64 Azure AD-accounts kan ondersteunen, moeten maximaal 10 van deze accounts worden ingeschreven bij Iris Authentication. Dit is afgestemd op andere biometrische verificatieopties voor Windows Hello voor Bedrijven. Hoewel er meer dan 10 accounts kunnen worden ingeschreven bij Iris-verificatie, wordt het aantal fout-positieven verhoogd en wordt dit niet aanbevolen.
Belangrijk
3 - Een lokaal account kan alleen worden ingesteld op een apparaat via een inrichtingspakket tijdens OOBE. Het kan later niet worden toegevoegd in de instellingen-app. Als u een lokaal account wilt gebruiken op een apparaat dat al is ingesteld, moet u het apparaat opnieuw flashen of opnieuw instellen.
Gebruikers instellen
Er zijn twee manieren om een nieuwe gebruiker in te stellen op de HoloLens. De meest voorkomende manier is tijdens de Out-Of-Box Experience (OOBE) van HoloLens. Als u Azure Active Directory gebruikt, kunnen andere gebruikers zich aanmelden na OOBE met behulp van hun Azure AD-referenties. HoloLens-apparaten die in eerste instantie zijn ingesteld met een MSA- of lokaal account tijdens OOBE, bieden geen ondersteuning voor meerdere gebruikers. Zie Uw HoloLens (1e gen) of HoloLens 2 instellen.
Als u een ondernemings- of organisatieaccount gebruikt om u aan te melden bij HoloLens, wordt HoloLens ingeschreven bij de IT-infrastructuur van de organisatie. Met deze inschrijving kan uw IT-beheerder MDM (Mobile Device Management) configureren om groepsbeleid naar uw HoloLens te verzenden.
Net als Windows op andere apparaten maakt het aanmelden tijdens de installatie een gebruikersprofiel op het apparaat. In het gebruikersprofiel worden apps en gegevens opgeslagen. Hetzelfde account biedt ook eenmalige aanmelding voor apps, zoals Edge of de Microsoft Store, met behulp van de Windows Account Manager-API's.
Net als bij andere Windows 10-apparaten moet u zich standaard opnieuw aanmelden wanneer HoloLens opnieuw wordt opgestart of wordt hervat vanuit stand-by. U kunt de app Instellingen gebruiken om dit gedrag te wijzigen of het gedrag kan worden beheerd door groepsbeleid.
Gekoppelde accounts
Net als in de bureaubladversie van Windows kunt u andere webaccountreferenties koppelen aan uw HoloLens-account. Door deze koppeling is het eenvoudiger om toegang te krijgen tot resources in of binnen apps (zoals de Store) of om de toegang tot persoonlijke en werkbronnen te combineren. Nadat u een account hebt verbonden met het apparaat, kunt u toestemming verlenen om het apparaat te gebruiken voor apps, zodat u zich niet afzonderlijk hoeft aan te melden bij elke app.
Door accounts te koppelen worden de gebruikersgegevens die op het apparaat zijn gemaakt, zoals afbeeldingen of downloads, niet gescheiden.
Ondersteuning voor meerdere gebruikers instellen (alleen Azure AD)
HoloLens ondersteunt meerdere gebruikers van dezelfde Azure AD-tenant. Als u deze functie wilt gebruiken, moet u een account gebruiken dat deel uitmaakt van uw organisatie om het apparaat in te stellen. Vervolgens kunnen andere gebruikers van dezelfde tenant zich vanaf het aanmeldingsscherm aanmelden bij het apparaat of door op de tegel Gebruiker in het deelvenster Start te tikken. Er kan slechts één gebruiker tegelijk worden aangemeld. Wanneer een gebruiker zich aanmeldt, meldt HoloLens de vorige gebruiker af.
Belangrijk
De eerste gebruiker op het apparaat wordt beschouwd als de eigenaar van het apparaat, behalve in het geval van Azure AD Join, meer informatie over apparaateigenaren.
Alle gebruikers kunnen de apps gebruiken die op het apparaat zijn geïnstalleerd. Elke gebruiker heeft echter zijn eigen app-gegevens en -voorkeuren. Als u een app van het apparaat verwijdert, wordt deze voor alle gebruikers verwijderd.
Apparaten die zijn ingesteld met Azure AD-accounts staan niet toe dat u zich met een Microsoft-account aanmeldt bij het apparaat. Alle volgende accounts die worden gebruikt, moeten Azure AD-accounts zijn van dezelfde tenant als het apparaat. U kunt zich nog steeds aanmelden met een Microsoft-account voor apps die dit ondersteunen (zoals de Microsoft Store). Als u wilt overschakelen van het gebruik van Azure AD-accounts naar Microsoft-accounts om u aan te melden bij het apparaat, moet u het apparaat opnieuw flashen.
Notitie
HoloLens (1e gen) begon met het ondersteunen van meerdere Azure AD-gebruikers in de Update van Windows 10 april 2018 als onderdeel van Windows Holographic for Business.
Er worden meerdere gebruikers weergegeven op het aanmeldingsscherm
Voorheen werd in het aanmeldingsscherm alleen de laatst aangemelde gebruiker en het toegangspunt 'Andere gebruiker' weergegeven. We hebben feedback van klanten ontvangen dat dit niet voldoende is als meerdere gebruikers zich bij het apparaat hebben aangemeld. Ze moesten nog steeds hun gebruikersnaam opnieuw invoeren, enzovoort.
Geïntroduceerd in Windows Holographic, versie 21H1, bij het selecteren van andere gebruiker die zich rechts van het invoerveld voor de pincode bevindt, worden in het aanmeldingsscherm meerdere gebruikers weergegeven met eerder aangemeld bij het apparaat. Hierdoor kunnen gebruikers hun gebruikersprofiel selecteren en zich vervolgens aanmelden met hun Windows Hello-referenties. Vanaf deze andere gebruikerspagina kan ook een nieuwe gebruiker aan het apparaat worden toegevoegd via de knop Account toevoegen .
Wanneer de knop Andere gebruikers in het menu Andere gebruikers staat, wordt de laatste gebruiker weergegeven die is aangemeld bij het apparaat. Selecteer deze knop om terug te keren naar het aanmeldingsscherm voor deze gebruiker.
Gebruikers verwijderen
U kunt een gebruiker van het apparaat verwijderen door naarInstellingenaccounts>>andere personen te gaan. Met deze actie wordt ook ruimte vrijgemaakt door alle app-gegevens van die gebruiker van het apparaat te verwijderen.
Eenmalige aanmelding binnen een app gebruiken
Als app-ontwikkelaar kunt u gebruikmaken van gekoppelde identiteiten op HoloLens met behulp van de Windows Account Manager-API's, net zoals op andere Windows-apparaten. Sommige codevoorbeelden voor deze API's zijn beschikbaar op GitHub: voorbeeld van webaccountbeheer.
Accountonderbrekingen die kunnen optreden, zoals het aanvragen van gebruikerstoestemming voor accountgegevens, tweeledige verificatie, enzovoort, moeten worden verwerkt wanneer de app een verificatietoken aanvraagt.
Als uw app een specifiek accounttype vereist dat nog niet eerder is gekoppeld, kan uw app het systeem vragen om de gebruiker te vragen er een toe te voegen. Met deze aanvraag wordt het deelvenster Accountinstellingen geactiveerd om te worden gestart als een modaal onderliggend kind van uw app. Voor 2D-apps wordt dit venster rechtstreeks weergegeven in het midden van uw app. Voor Unity-apps neemt deze aanvraag de gebruiker kort uit uw holografische app om het onderliggende venster weer te geven. Zie De klasse WebAccountCommand voor informatie over het aanpassen van de opdrachten en acties in dit deelvenster.
Enterprise- en andere verificatie
Als uw app gebruikmaakt van andere typen verificatie, zoals NTLM, Basic of Kerberos, kunt u windows-referentiegebruikersinterface gebruiken om de referenties van de gebruiker te verzamelen, te verwerken en op te slaan. De gebruikerservaring voor het verzamelen van deze referenties is vergelijkbaar met andere cloudgestuurde accountonderbreken en wordt weergegeven als een onderliggende app boven op uw 2D-app of kort een Unity-app onderbreekt om de gebruikersinterface weer te geven.
Afgeschafte API's
Een manier waarop ontwikkelen voor HoloLens verschilt van ontwikkelen voor Desktop is dat de OnlineIDAuthenticator-API niet volledig wordt ondersteund. Hoewel de API een token retourneert als het primaire account in goede staat is, worden onderbroken, zoals de in dit artikel beschreven, geen gebruikersinterface voor de gebruiker weergegeven en kan het account niet correct worden geverifieerd.
Veelgestelde vragen
Wordt Windows Hello voor Bedrijven ondersteund op HoloLens (1e gen)?
Windows Hello voor Bedrijven (dat ondersteuning biedt voor het gebruik van een pincode om u aan te melden) wordt ondersteund voor HoloLens (1e gen). Aanmelden met pincode voor Windows Hello voor Bedrijven op HoloLens toestaan:
- Het HoloLens-apparaat moet worden beheerd door MDM.
- U moet Windows Hello voor Bedrijven voor het apparaat inschakelen. (Zie de instructies voor Microsoft Intune.)
- Op HoloLens kan de gebruiker vervolgens instellingenvoor aanmeldingsopties>>toevoegen gebruiken om een pincode in te stellen.
Notitie
Gebruikers die zich aanmelden met behulp van eenMicrosoft-account, kunnen ook een pincode instellen in De aanmeldingsopties>> Voor hettoevoegen van een pincode. Deze pincode is gekoppeld aan Windows Hello, in plaats van Windows Hello voor Bedrijven.
Hoe wordt biometrische irisverificatie geïmplementeerd op HoloLens 2?
HoloLens 2 ondersteunt Iris-verificatie. Iris is gebaseerd op Windows Hello-technologie en wordt ondersteund voor gebruik door zowel Azure Active Directory als Microsoft-accounts. Iris wordt op dezelfde manier geïmplementeerd als andere Windows Hello-technologieën en bereikt biometriebeveiliging FAR van 1/100K.
Zie de biometrische vereisten en specificaties voor Windows Hello voor meer informatie. Meer informatie over Windows Hello en Windows Hello voor Bedrijven.
Waar worden biometrische gegevens van Iris opgeslagen?
Biometrische gegevens van Iris worden lokaal opgeslagen op elke HoloLens per Windows Hello-specificaties. Het wordt niet gedeeld en wordt beveiligd door twee versleutelingslagen. Het is niet toegankelijk voor andere gebruikers, zelfs een beheerder, omdat er geen beheerdersaccount op een HoloLens is.
Moet ik Iris-verificatie gebruiken?
Nee, u kunt deze stap overslaan tijdens de installatie.
HoloLens 2 biedt veel verschillende opties voor verificatie, waaronder FIDO2-beveiligingssleutels.
Kunnen Iris-gegevens worden verwijderd uit de HoloLens?
Ja, u kunt deze handmatig verwijderen in Instellingen.
Hoe is het type account van invloed op het aanmeldingsgedrag?
Als u beleid toepast voor aanmelden, wordt het beleid altijd gerespecteerd. Als er geen beleid voor aanmelding wordt toegepast, zijn dit de standaardgedragen voor elk accounttype:
- Azure AD: vraagt standaard om verificatie en configureerbaar door Instellingen om niet langer om verificatie te vragen.
- Microsoft-account: vergrendelingsgedrag is anders dan automatisch ontgrendelen, maar aanmeldingsverificatie is nog steeds vereist bij opnieuw opstarten.
- Lokaal account: vraagt altijd om verificatie in de vorm van een wachtwoord, niet configureerbaar in Instellingen
Notitie
Timers voor inactiviteit worden momenteel niet ondersteund, wat betekent dat het AllowIdleReturnWithoutPassword-beleid alleen wordt gerespecteerd wanneer het apparaat in StandBy gaat.
Aanvullende resources
Meer informatie over beveiliging en verificatie van gebruikersidentiteiten vindt u in de windows 10-beveiligings- en identiteitsdocumentatie.
Meer informatie over het instellen van een hybride identiteitsinfrastructuur vindt u in de documentatie over hybride identiteiten van Azure.