Gebruikersidentiteit en aanmelding beheren voor HoloLens
Notitie
Dit artikel is een technische naslag voor IT-professionals en technische professionals. Als u op zoek bent naar HoloLens instructies in te stellen, leest u 'Uw HoloLens instellen (eerste generatie)' of 'UwHoloLens 2 instellen'.
Laten we het hebben over het instellen van de gebruikersidentiteit voor HoloLens 2
Net als Windows apparaten werkt HoloLens altijd in een gebruikerscontext. Er is altijd een gebruikersidentiteit. HoloLens wordt identiteit bijna op dezelfde manier behandeld als een Windows 10 apparaat. Als u zich aanmeldt tijdens de installatie, wordt er een gebruikersprofiel gemaakt op HoloLens apps en gegevens op te slaat. Hetzelfde account biedt ook een aanmelding voor apps, zoals Edge of Dynamics 365 Remote Assist, met behulp van de Windows Account Manager-API's.
HoloLens ondersteunt verschillende soorten gebruikersidentiteiten. U kunt een van deze drie accounttypen kiezen, maar we raden Azure AD sterk aan, omdat dit het beste is voor het beheren van apparaten. Alleen Azure AD-accounts ondersteunen meerdere gebruikers.
| Identiteitstype | Accounts per apparaat | Verificatieopties |
|---|---|---|
| Azure Active Directory1 | 64 |
|
| Microsoft-account (MSA) | 1 |
|
| Lokaal account3 | 1 | Wachtwoord |
Cloud-verbonden accounts (Azure AD en MSA) bieden meer functies omdat ze Azure-services kunnen gebruiken.
Belangrijk
1 : Azure AD Premium is niet vereist om u aan te melden bij het apparaat. Dit is echter vereist voor andere functies van een cloudimplementatie met weinig aanraking, zoals Automatische inschrijving en Autopilot.
Notitie
2- Hoewel een HoloLens 2 maximaal 64 Azure AD-accounts kan ondersteunen, moeten slechts tien van deze accounts worden ingeschreven bij Iris-verificatie. Dit is afgestemd op andere biometrische verificatieopties voor Windows Hello voor Bedrijven. Hoewel er meer dan 10 accounts kunnen worden ingeschreven bij Iris-verificatie, verhoogt dit het aantal fout-positieven en wordt dit niet aanbevolen.
Belangrijk
3 - Een lokaal account kan alleen op een apparaat worden ingesteld via een inrichtingspakket tijdens OOBE.Dit kan later niet worden toegevoegd in de instellingen-app. Als u een lokaal account wilt gebruiken op een apparaat dat al is ingesteld, moet u een reflash gebruiken of het apparaat opnieuw instellen.
Gebruikers instellen
Er zijn twee manieren om een nieuwe gebruiker in te stellen op de HoloLens. De meest voorkomende manier is tijdens HoloLens out-of-box experience (OOBE). Als u Azure Active Directory, kunnen andere gebruikers zich na OOBE aanmelden met hun Azure AD-referenties. HoloLens apparaten die in eerste instantie zijn ingesteld met een MSA- of lokaal account tijdens OOBE, bieden geen ondersteuning voor meerdere gebruikers. Zie Uw HoloLens (eerste generatie) of HoloLens 2.
Als u een bedrijfs- of organisatieaccount gebruikt om u aan te melden bij HoloLens, HoloLens ingeschreven bij de IT-infrastructuur van de organisatie. Met deze inschrijving kan uw IT-beheerder Mobile Device Management (MDM) configureren voor het verzenden van groepsbeleid naar uw HoloLens.
Net als Windows op andere apparaten, maakt het aanmelden tijdens de installatie een gebruikersprofiel op het apparaat. Het gebruikersprofiel slaat apps en gegevens op. Hetzelfde account biedt ook een aanmelding voor apps, zoals Edge of de Microsoft Store, met behulp van de Windows Account Manager-API's.
Standaard moet u zich, net Windows 10 andere apparaten, opnieuw aanmelden wanneer HoloLens stand-by wordt opgestart of hervat. U kunt de Instellingen-app gebruiken om dit gedrag te wijzigen, of het gedrag kan worden bepaald door groepsbeleid.
Gekoppelde accounts
Net als in de Desktop-versie van Windows, kunt u andere webaccountreferenties koppelen aan uw HoloLens account. Deze koppeling maakt het gemakkelijker om toegang te krijgen tot resources in of binnen apps (zoals de Store) of om de toegang tot persoonlijke en werkbronnen te combineren. Nadat u een account hebt verbonden met het apparaat, kunt u toestemming geven om het apparaat te gebruiken voor apps, zodat u zich niet bij elke app afzonderlijk hoeft aan te melden.
Bij het koppelen van accounts worden de gebruikersgegevens die op het apparaat zijn gemaakt, zoals afbeeldingen of downloads, niet gescheiden.
Ondersteuning voor meerdere gebruikers instellen (alleen Azure AD)
HoloLens ondersteunt meerdere gebruikers uit dezelfde Azure AD-tenant. Als u deze functie wilt gebruiken, moet u een account gebruiken dat bij uw organisatie hoort om het apparaat in te stellen. Andere gebruikers van dezelfde tenant kunnen zich vervolgens aanmelden bij het apparaat via het aanmeldingsscherm of door op de tegel Gebruiker in het startvenster te tikken. Er kan slechts één gebruiker tegelijk worden aangemeld. Wanneer een gebruiker zich meldt, HoloLens de vorige gebruiker af.
Belangrijk
De eerste gebruiker op het apparaat wordt beschouwd als de eigenaar van het apparaat, behalve in het geval van Azure AD Join, meer informatie over apparaateigenaren.
Alle gebruikers kunnen de apps gebruiken die op het apparaat zijn geïnstalleerd. Elke gebruiker heeft echter zijn eigen app-gegevens en voorkeuren. Als u een app van het apparaat verwijdert, wordt deze voor alle gebruikers verwijderd.
Apparaten die zijn ingesteld met Azure AD-accounts, kunnen zich niet aanmelden bij het apparaat met een Microsoft-account. Alle volgende accounts die worden gebruikt, moeten Azure AD-accounts zijn van dezelfde tenant als het apparaat. U kunt zich nog steeds aanmelden met een Microsoft-account bij apps die dit ondersteunen (zoals de Microsoft Store). Als u het gebruik van Azure AD-accounts wilt wijzigen in Microsoft-accounts om u aan te melden bij het apparaat, moet u het apparaat opnieuw gebruiken.
Notitie
HoloLens (eerste generatie) begon meerdere Azure AD-gebruikers te ondersteunen in de update van Windows 10 april 2018 als onderdeel van Windows Holographic for Business.
Meerdere gebruikers worden weergegeven op het aanmeldingsscherm
Voorheen werd in het aanmeldingsscherm alleen de meest recent aangemelde gebruiker en het toegangspunt 'Andere gebruiker' weergegeven. We hebben feedback van klanten ontvangen dat het niet voldoende is als meerdere gebruikers zich hebben aangemeld bij het apparaat. Ze moesten nog steeds hun gebruikersnaam opnieuw typen, enzovoort.
Geïntroduceerd in Windows Holographic, versie 21H1,wanneer u Andere gebruiker selecteert rechts van het invoerveld Pincode, worden op het aanmeldingsscherm meerdere gebruikers weergegeven met een eerdere aanmelding bij het apparaat. Hierdoor kunnen gebruikers hun gebruikersprofiel selecteren en zich vervolgens aanmelden met hun Windows Hello referenties. Een nieuwe gebruiker kan ook worden toegevoegd aan het apparaat vanaf deze pagina met andere gebruikers via de knop Account toevoegen.
In het menu Andere gebruikers wordt op de knop Andere gebruikers de laatste gebruiker weergegeven die is aangemeld bij het apparaat. Selecteer deze knop om terug te keren naar het aanmeldingsscherm voor deze gebruiker.
Gebruikers verwijderen
U kunt een gebruiker van het apparaat verwijderen door naar Instellingen AccountsOther people te gaan. Met deze actie wordt ook ruimte vrij gemaakt door alle app-gegevens van die gebruiker van het apparaat te verwijderen.
Een aanmelding gebruiken in een app
Als app-ontwikkelaar kunt u profiteren van gekoppelde identiteiten op HoloLens met behulp van de api's van Windows Account Manager,net zoals u zou doen op andere Windows-apparaten. Sommige codevoorbeelden voor deze API's zijn beschikbaar op GitHub: Voorbeeld van webaccountbeheer.
Accountonderbreken die kunnen optreden, zoals het aanvragen van toestemming van de gebruiker voor accountgegevens, verificatie in twee factoren, enzovoort, moeten worden afgehandeld wanneer de app een verificatie-token aanvraagt.
Als uw app een specifiek accounttype vereist dat nog niet eerder is gekoppeld, kan uw app het systeem vragen om de gebruiker te vragen er een toe te voegen. Met deze aanvraag wordt het deelvenster met accountinstellingen voor het starten als modaal onderliggende account van uw app triggers. Voor 2D-apps wordt dit venster rechtstreeks over het midden van uw app weergegeven. Voor Unity-apps wordt de gebruiker met deze aanvraag kort uit uw holografische app haalt om het onderliggende venster weer te geven. Zie WebAccountCommand Classvoor meer informatie over het aanpassen van de opdrachten en acties in dit deelvenster.
Ondernemingsverificatie en andere verificatie
Als uw app gebruikmaakt van andere typen verificatie, zoals NTLM, Basic of Kerberos, kunt u de gebruikersinterface van Windows Credential gebruiken om de referenties van de gebruiker te verzamelen, te verwerken en op te slaan. De gebruikerservaring voor het verzamelen van deze referenties is vergelijkbaar met andere cloudgebaseerde accountonderbreken en wordt weergegeven als een onderliggende app boven op uw 2D-app of onderbreekt kort een Unity-app om de gebruikersinterface weer te geven.
Afgeschafte API's
Een manier waarop ontwikkelen voor HoloLens verschilt van ontwikkelen voor Desktop is dat de OnlineIDAuthenticator-API niet volledig wordt ondersteund. Hoewel de API een token retourneert als het primaire account een goede status heeft, geven interrupts zoals die in dit artikel geen gebruikersinterface voor de gebruiker weer en wordt het account niet correct geverifieerd.
Veelgestelde vragen
Wordt Windows Hello for Business ondersteund op HoloLens (eerste generatie)?
Windows Hello for Business (die ondersteuning biedt voor het gebruik van een pincode om u aan te melden) wordt ondersteund voor HoloLens (1e generatie). U kunt Windows Hello voor Bedrijven als volgende toestaan om u aan te melden met HoloLens:
- Het HoloLens moet worden beheerd door MDM.
- U moet Windows Hello voor Bedrijven inschakelen voor het apparaat. (Zie de instructies voor Microsoft Intune.)
- Op HoloLens kan de gebruiker vervolgens de Instellingen voor aanmeldingsopties Pincode toevoegen gebruiken om een pincode in te stellen.
Notitie
Gebruikers die zich aanmelden met behulp van een Microsoft-account kunnen ook een pincode instellen inInstellingen opties voor aanmelden Pincode toevoegen. Deze pincode is gekoppeld aan Windows Helloin plaats Windows Hello voor Bedrijven.
Hoe wordt biometrische irisverificatie geïmplementeerd op HoloLens 2?
HoloLens 2 ondersteunt Iris-verificatie. Iris is gebaseerd op Windows Hello technologie en wordt ondersteund voor gebruik door zowel Azure Active Directory als Microsoft-accounts. Iris wordt op dezelfde manier geïmplementeerd als andere Windows Hello technologieën en bereikt biometriebeveiliging TOT ver van 1/100.000.
Zie de biometrische vereisten en specificaties voor Windows Hello voor meer informatie. Meer informatie over Windows Hello en Windows Hello for Business.
Waar worden biometrische gegevens van Iris opgeslagen?
Biometrische gegevens van Iris worden lokaal opgeslagen op elke HoloLens per Windows Hello specificaties. Het wordt niet gedeeld en wordt beveiligd door twee versleutelingslagen. Het is niet toegankelijk voor andere gebruikers, zelfs niet voor een beheerder, omdat er geen beheerdersaccount op een HoloLens.
Moet ik Iris-verificatie gebruiken?
Nee, u kunt deze stap overslaan tijdens de installatie.
HoloLens 2 biedt veel verschillende opties voor verificatie, waaronder FIDO2-beveiligingssleutels.
Kunnen Iris-gegevens worden verwijderd uit de HoloLens?
Ja, u kunt deze handmatig verwijderen in Instellingen.
Wat is de invloed van het type account op het aanmeldingsgedrag?
Als u beleidsregels voor aanmelden wilt toepassen, wordt het beleid altijd in acht genomen. Als er geen beleid voor aanmelden wordt toegepast, zijn dit de standaardgedragsinstellingen voor elk accounttype:
- Azure AD:vraagt standaard om verificatie en kan worden geconfigureerd door Instellingen om niet langer om verificatie te vragen.
- Microsoft-account:vergrendelingsgedrag is anders bij automatisch ontgrendelen, maar aanmeldingsverificatie is nog steeds vereist bij opnieuw opstarten.
- Lokaal account:vraagt altijd om verificatie in de vorm van een wachtwoord, niet configureerbaar in Instellingen
Notitie
Timers voor inactiviteit worden momenteel niet ondersteund, wat betekent dat het beleid AllowIdleReturnWithoutPassword alleen wordt gerespecteerd wanneer het apparaat naar StandBy gaat.
Aanvullende bronnen
Lees veel meer over beveiliging en verificatie van gebruikersidentiteiten in Windows 10 documentatie over beveiliging en identiteit.
Meer informatie over het instellen van een hybride identiteitsinfrastructuur kunt u lezen in de Documentatie voor hybride Identiteit van Azure.