sistema operativo sem Administração
HoloLens 2 minimiza a área de superfície para o escalamento de privilégios ao desativar o suporte para o grupo Administradores e ao limitar todos os códigos de aplicação UWP de terceiros a serem executados apenas como utilizadores padrão no sandbox appContainer. Este código só tem acesso aos recursos protegidos por capacidades explicitamente manifestadas na aplicação para um utilizador não elegível, além de recursos acessíveis a todos os AppContainers. Estas capacidades de aplicação continuam a ter o modelo de classificação de três camadas:
- Geral
- Restrito
- Windows
Os componentes do Windows também podem tirar partido do sandbox AppContainer através dos UWPs do Sistema. Para saber mais sobre Plataforma Universal do Windows (UWP), veja Documentação do UWP. Além disso, os componentes do Windows com maiores necessidades de redução de privilégios (como páginas de conteúdo do browser ou analisadores) utilizam o sandbox Less Privileged AppContainer (LPAC), que corta o acesso ao conjunto de recursos acessíveis a todos os AppContainers.
Proprietário do dispositivo
Por fim, a execução de operações específicas em todo o dispositivo, como associar o dispositivo a um inquilino ou gestão de utilizadores, só é permitida para "proprietários de dispositivos". Este grupo é preenchido por utilizadores no dispositivo através de um dos seguintes passos:
- O primeiro utilizador no dispositivo é sempre designado proprietário.
Importante
Para Microsoft Entra utilizadores, a exceção a esta regra é que, se o dispositivo estiver Microsoft Entra associado através do Autopilot ou da inscrição em massa Microsoft Entra, que utiliza um utilizador não real. Neste caso, o primeiro Microsoft Entra utilizador a iniciar sessão no dispositivo poderá não ser tornado proprietário do dispositivo automaticamente, a menos que esse utilizador tenha a função de "administrador global" ou "administrador de dispositivos" atribuída no portal do Azure. Para obter mais informações, veja a nota abaixo.
- Quando um utilizador é promovido a proprietário da Experiência de Utilizador de Definições por outro Proprietário no dispositivo.
- Se o proprietário do dispositivo já não estiver disponível (sair da empresa) e o dispositivo estiver Microsoft Entra associado, o Administração inquilino pode alterar o proprietário do dispositivo para um novo utilizador no portal do Azure. Os Administradores Globais e Administradores de Dispositivos de um inquilino Microsoft Entra têm sessão iniciada implicitamente como Proprietários no dispositivo sem que seja necessário nenhum dos passos anteriores.
Os administradores de TI podem gerir o que as aplicações podem aceder através de políticas de Privacidade .
Nota
Para saber mais sobre quem é o proprietário de um dispositivo num dispositivo associado Microsoft Entra, consulte a documentação "Atribuir Administração Local" (mas leia "administrador local" como "proprietário do dispositivo", uma vez que o administrador não existe no HoloLens).
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários