Gerenciar identidade e logon do usuário para o HoloLens
Observação
Este artigo é uma referência técnica para profissionais de TI e entusiastas da tecnologia. Se você estiver procurando instruções de configuração do HoloLens, leia "Configurando seu HoloLens (1ª geração)" ou "Configurando seu HoloLens 2".
Dica
HoloLens 2 é configurado como um dispositivo Microsoft Entra ID ingressado e não dá suporte ao Active Directory local. Na maioria dos casos, a autenticação pode ser executada usando uma Identidade de ID de Entra Gerenciada ou uma Identidade de ID de Entra Federada. No entanto, se o serviço de federação estiver causando desafios de autenticação, você deverá garantir que seja capaz de fazer logon de uma ID do Entra somente ingressada Windows 10 ou Windows 11 computador. Muitos problemas de autenticação são resultado de configurações somente de ID do Entra, em vez de um problema específico do HoloLens. Solucionar esses desafios é muito mais simples de um computador Windows 10 ou Windows.
Vamos falar sobre como configurar a identidade do usuário para HoloLens 2
Como outros dispositivos Windows, o HoloLens sempre opera em um contexto de usuário. Há sempre uma identidade de usuário. O HoloLens trata a identidade quase da mesma maneira que um dispositivo Windows 10 ou Windows 11. Entrar durante a instalação cria um perfil de usuário no HoloLens que armazena aplicativos e dados. A mesma conta também fornece logon único para aplicativos, como o Microsoft Edge ou o Dynamics 365 Remote Assist, usando as APIs do Gerenciador de Contas do Windows.
O HoloLens dá suporte a vários tipos de identidades de usuário. Você pode escolher qualquer um desses três tipos de conta, mas é altamente recomendável Microsoft Entra ID, pois é melhor para gerenciar dispositivos. Somente contas Microsoft Entra dão suporte a vários usuários.
| Tipo de identidade | Contas por dispositivo | Opções de autenticação |
|---|---|---|
| Microsoft Entra ID1 | 63 |
|
| MSA (conta Microsoft) | 1 |
|
| Conta local3 | 1 | Senha |
| Microsoft Entra ID compartilhados | 1 | CBA (Autenticação Certificate-Based) |
As contas conectadas à nuvem (Microsoft Entra ID e MSA) oferecem mais recursos porque podem usar os serviços do Azure.
Importante
1 - Microsoft Entra ID P1 ou P2 não é necessário para entrar no dispositivo. No entanto, ele é necessário para outros recursos de uma implantação baseada em nuvem com pouco toque, como o Registro automático e o Autopilot.
Observação
2 – Embora um dispositivo HoloLens 2 possa dar suporte a até 63 contas Microsoft Entra, bem como uma conta do sistema para um total de 64 contas, somente até 10 dessas contas devem ser registradas na Autenticação iris. Isso está alinhado com outras opções de autenticação biométrica para Windows Hello para Empresas. Embora mais de 10 contas possam ser registradas na autenticação iris, isso aumenta a taxa de falsos positivos e não é recomendado.
Importante
3 – Uma conta local só pode ser configurada em um dispositivo por meio de um pacote de provisionamento durante o OOBE. Ela não pode ser adicionada posteriormente no aplicativo de configurações. Se você quiser usar uma conta local em um dispositivo que já está configurado, precisará reflash ou redefinir o dispositivo.
Como o tipo de conta afeta o comportamento de entrada?
Se você aplicar políticas para entrar, a política sempre é respeitada. Se nenhuma política de logon for aplicada, estes serão os comportamentos padrão para cada tipo de conta:
- Microsoft Entra ID: solicita a autenticação por padrão e configurável por Configurações para não solicitar mais a autenticação.
- Conta da Microsoft: o comportamento de bloqueio é diferente, permitindo o desbloqueio automático, no entanto, a autenticação de entrada ainda é necessária na reinicialização.
- Conta local: sempre solicita autenticação na forma de uma senha, não configurável em Configurações
Observação
Atualmente, não há suporte para temporizadores de inatividade, o que significa que a política AllowIdleReturnWithoutPassword só é respeitada quando o dispositivo entra em Espera.
Logon do Iris
Coleta de dados biométricos pelo HoloLens
Os dados biométricos (incluindo movimentos de cabeça/mão/olho, verificação de íris) coletados por este dispositivo são usados para calibragem, para melhorar as interações confiáveis e melhorar a experiência do usuário. Assim como acontece com outros dispositivos Windows, aplicativos de terceiros no dispositivo podem acessar seus dados no dispositivo com a finalidade de fornecer determinadas funcionalidades e recursos. Acesse a Seção de Privacidade em Configurações para obter detalhes sobre o Contrato de Licença e a Política de Privacidade da Microsoft.
O logon do HoloLens Iris é criado com base em Windows Hello. O HoloLens armazena dados biométricos que são usados para implementar Windows Hello com segurança apenas no dispositivo local. Os dados biométricos não são transferidos e nunca são enviados para servidores ou dispositivos externos. Como o Windows Hello só armazena os dados de identificação biométrica no dispositivo, não existe nenhum ponto de coleta que um invasor pode comprometer para roubá-los.
O HoloLens executa a autenticação de íris com base em códigos de bit armazenados. Os usuários têm controle total sobre se registram sua conta de usuário para logon do Iris para autenticação. E os administradores de TI podem desabilitar Windows Hello recursos por meio de seus servidores MDM. Consulte Gerenciar Windows Hello para Empresas em sua organização.
Observação
Contas de Microsoft Entra ID compartilhadas não dão suporte ao logon do Iris no HoloLens. Veja mais detalhes sobre os benefícios e limitações do uso de contas de Microsoft Entra compartilhadas.
Perguntas frequentes sobre Íris
Como a autenticação biométrica iris é implementada no HoloLens 2?
HoloLens 2 dá suporte à autenticação iris. A Íris baseia-se na tecnologia Windows Hello e tem suporte para uso pelo Microsoft Entra ID e pelas Contas da Microsoft. A Íris é implementada da mesma forma que outras tecnologias de Windows Hello e atinge a segurança biométrica FAR de 1/100 mil.
Consulte os requisitos biométricos e as especificações para Windows Hello para obter mais informações. Saiba mais sobre Windows Hello e Windows Hello para Empresas.
Onde as informações biométricas da Íris são armazenadas?
As informações biométricas de íris são armazenadas localmente em cada especificação do HoloLens por Windows Hello. Ele não é compartilhado e é protegido por duas camadas de criptografia. Ele não está acessível para outros usuários, mesmo um administrador, porque não há nenhuma conta de administrador em um HoloLens.
Preciso usar a autenticação iris?
Não, você pode ignorar esta etapa durante a instalação.
HoloLens 2 fornece muitas opções diferentes para autenticação, incluindo chaves de segurança FIDO2.
As informações da Íris podem ser removidas do HoloLens?
Sim, você pode removê-lo manualmente em Configurações.
Configurando usuários
Há duas maneiras de configurar um novo usuário no HoloLens. A maneira mais comum é durante a OOBE (experiência pronta para uso) do HoloLens. Se estiver usando Microsoft Entra ID, outros usuários poderão fazer logon após o OOBE usando suas credenciais de Microsoft Entra. Os dispositivos HoloLens inicialmente configurados com uma conta MSA ou local durante o OOBE não dão suporte a vários usuários. Consulte Configurando seu HoloLens (1ª geração) ou HoloLens 2.
Se você usar uma conta corporativa ou organizacional para entrar no HoloLens, o HoloLens se registrará na infraestrutura de TI da organização. Esse registro permite que seu Administração de TI configure o MDM (Mobile Gerenciamento de Dispositivos) para enviar políticas de grupo para o HoloLens.
Assim como o Windows em outros dispositivos, entrar durante a instalação cria um perfil de usuário no dispositivo. O perfil do usuário armazena aplicativos e dados. A mesma conta também fornece Logon Único para aplicativos, como o Microsoft Edge ou a Microsoft Store, usando as APIs do Gerenciador de Contas do Windows.
Por padrão, como para outros dispositivos Windows 10, você precisa entrar novamente quando o HoloLens é reiniciado ou retomado de espera. Você pode usar o aplicativo Configurações para alterar esse comportamento ou o comportamento pode ser controlado pela política de grupo.
Dica
Se mais de um usuário usa um dispositivo, é importante manter o visor limpo. Consulte HoloLens 2 perguntas frequentes sobre limpeza para obter detalhes sobre como limpo o dispositivo. Recomendamos que você limpo visor entre cada usuário. Essa prática recomendada é particularmente importante se você usar a autenticação Iris.
Contas vinculadas
Assim como na versão desktop do Windows, você pode vincular outras credenciais de conta web à sua conta do HoloLens. Essa vinculação facilita o acesso a recursos entre ou dentro de aplicativos (como a Loja) ou combinar o acesso a recursos pessoais e de trabalho. Depois de conectar uma conta ao dispositivo, você pode conceder permissão para usar o dispositivo em aplicativos para que você não precise entrar em cada aplicativo individualmente.
A vinculação de contas não separa os dados do usuário criados no dispositivo, como imagens ou downloads.
Configurando o suporte a vários usuários (somente Microsoft Entra)
O HoloLens dá suporte a vários usuários do mesmo locatário Microsoft Entra. Para usar esse recurso, você deve usar uma conta que pertença à sua organização para configurar o dispositivo. Posteriormente, outros usuários do mesmo locatário podem entrar no dispositivo na tela de entrada ou tocando no bloco do usuário no painel Iniciar. Somente um usuário pode ser conectado por vez. Quando um usuário entra, o HoloLens desconscreve o usuário anterior.
Importante
O primeiro usuário no dispositivo é considerado o proprietário do dispositivo, exceto no caso de Microsoft Entra ingressar, saiba mais sobre proprietários de dispositivos.
Todos os usuários podem usar os aplicativos instalados no dispositivo. No entanto, cada usuário tem seus próprios dados e preferências de aplicativo. Remover um aplicativo do dispositivo o remove para todos os usuários.
Observação
Outra opção para dispositivos compartilhados entre vários usuários é criar uma conta de Microsoft Entra ID compartilhado no dispositivo. Consulte Contas de Microsoft Entra compartilhadas no HoloLens para obter informações detalhadas sobre como configurar essa conta em seu dispositivo.
Os dispositivos configurados com contas Microsoft Entra não permitirão entrar no dispositivo com uma Conta Microsoft. Todas as contas subsequentes usadas devem ser Microsoft Entra contas do mesmo locatário que o dispositivo. Você ainda pode entrar usando uma Conta Microsoft para aplicativos que dão suporte a ela (como a Microsoft Store). Para mudar de usar contas de Microsoft Entra para Contas da Microsoft para entrar no dispositivo, você deve reflash o dispositivo.
Observação
O HoloLens (1ª geração) começou a dar suporte a vários usuários Microsoft Entra na Atualização de abril de 2018 Windows 10 como parte do Windows Holographic for Business.
Vários usuários são listados na tela De entrada
Anteriormente, a tela de entrada mostrava apenas o usuário conectado mais recentemente e um ponto de entrada 'Outro usuário'. Recebemos comentários dos clientes de que não é suficiente se vários usuários entraram no dispositivo. Eles ainda eram obrigados a digitar novamente seu nome de usuário etc.
Introduzida no Windows Holographic, versão 21H1, ao selecionar Outro usuário localizado à direita do campo de entrada pin, a tela Entrada exibe vários usuários com que já entraram no dispositivo. Isso permite que os usuários selecionem seu perfil de usuário e entrem usando suas credenciais de Windows Hello. Um novo usuário também pode ser adicionado ao dispositivo a partir dessa página de outros usuários por meio do botão Adicionar conta .
Quando estiver no menu Outros usuários , o botão Outros usuários exibirá o último usuário conectado ao dispositivo. Selecione este botão para retornar à tela de entrada deste usuário.
Removendo usuários
Você pode remover um usuário do dispositivo acessando ConfiguraçõesContas Outras>>pessoas. Essa ação também recupera o espaço removendo todos os dados do aplicativo desse usuário do dispositivo.
Usando o logon único em um aplicativo
Como desenvolvedor de aplicativos, você pode aproveitar as identidades vinculadas no HoloLens usando as APIs do Gerenciador de Contas do Windows, assim como faria em outros dispositivos Windows. Alguns exemplos de código para essas APIs estão disponíveis no GitHub: exemplo de gerenciamento de conta Web.
Quaisquer interrupções de conta que possam ocorrer, como solicitar consentimento do usuário para informações de conta, autenticação de dois fatores e assim por diante, devem ser tratadas quando o aplicativo solicita um token de autenticação.
Se o aplicativo exigir um tipo de conta específico que não tenha sido vinculado anteriormente, seu aplicativo poderá pedir ao sistema para solicitar que o usuário adicione um. Essa solicitação dispara o painel de configurações da conta para iniciar como um filho modal do seu aplicativo. Para aplicativos 2D, essa janela é renderizada diretamente no centro do aplicativo. Para aplicativos do Unity, essa solicitação tira brevemente o usuário do aplicativo holográfico para renderizar a janela filho. Para obter informações sobre como personalizar os comandos e as ações neste painel, consulte Classe WebAccountCommand.
Enterprise e outra autenticação
Se o aplicativo usar outros tipos de autenticação, como NTLM, Basic ou Kerberos, você poderá usar a interface do usuário da Credencial do Windows para coletar, processar e armazenar as credenciais do usuário. A experiência do usuário para coletar essas credenciais é semelhante a outras interrupções de conta controladas por nuvem e aparece como um aplicativo filho na parte superior do aplicativo 2D ou suspende brevemente um aplicativo do Unity para mostrar a interface do usuário.
APIs obsoletas
Uma maneira pela qual o desenvolvimento para o HoloLens difere do desenvolvimento para Área de Trabalho é que a API OnlineIDAuthenticator não tem suporte total. Embora a API retorne um token se a conta primária estiver em boa posição, interrupções como as descritas neste artigo não exibem nenhuma interface do usuário para o usuário e falham em autenticar corretamente a conta.
Windows Hello para Empresas suporte no HoloLens (1ª Geração)
Windows Hello para Empresas (que dá suporte ao uso de um PIN para entrar) é compatível com o HoloLens (1ª Geração). Para permitir Windows Hello para Empresas entrada de PIN no HoloLens (1ª geração):
- O dispositivo HoloLens deve ser gerenciado pelo MDM.
- Você deve habilitar Windows Hello para Empresas para o dispositivo. (Consulte as instruções para Microsoft Intune.)
- No dispositivo HoloLens, o usuário pode usar Configurações Opções>>de EntradaAdicionar PIN para configurar um PIN.
Observação
Os usuários que entrarem usando uma conta microsoft também podem configurar um PIN em Configurações Opções>>de EntradaAdicionar PIN. Esse PIN está associado a Windows Hello, em vez de Windows Hello para Empresas.
Recursos adicionais
Leia muito mais sobre a proteção e a autenticação de identidade do usuário na documentação de segurança e identidade do Windows 10.
Saiba mais sobre como configurar a infraestrutura de identidade híbrida por meio da documentação de identidade híbrida do Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de