Управление удостоверениями пользователей и входом для HoloLens

  • Статья
  • Применяется к:
    HoloLens (1st gen), HoloLens 2

Примечание

Эта статья является техническим справочником для ИТ-специалистов и энтузиастов технологий. Если вам нужны инструкции по настройке HoloLens, прочитайте статью Настройка HoloLens (1-го поколения)" или "Настройка HoloLens 2".

Совет

HoloLens 2 настроено как устройство, присоединенное к Microsoft Entra ID, и не поддерживает локальную службу Active Directory. В большинстве случаев проверку подлинности можно выполнить с помощью управляемого удостоверения Entra ID или федеративного удостоверения Entra ID. Однако если ваша служба федерации вызывает проблемы с проверкой подлинности, убедитесь, что вы можете войти с entra ID Only Windows 10 или Windows 11 пк. Многие проблемы с проверкой подлинности являются результатом конфигураций только entra ID, а не конкретной проблемы HoloLens. Устранение этих проблем гораздо проще на компьютере с Windows 10 или Windows.

Давайте поговорим о настройке удостоверения пользователя для HoloLens 2

Как и другие устройства Windows, HoloLens всегда работает в контексте пользователя. Всегда есть удостоверение пользователя. HoloLens обрабатывает удостоверение почти так же, как Windows 10 или Windows 11 устройство. При входе во время установки создается профиль пользователя в HoloLens, в котором хранятся приложения и данные. Эта же учетная запись также обеспечивает единый вход для приложений, таких как Microsoft Edge или Dynamics 365 Remote Assist, с помощью API диспетчера учетных записей Windows.

HoloLens поддерживает несколько типов удостоверений пользователей. Вы можете выбрать любой из этих трех типов учетных записей, но мы настоятельно рекомендуем Microsoft Entra ID, так как это лучше всего подходит для управления устройствами. Несколько пользователей поддерживаются только Microsoft Entra учетными записями.

Тип удостоверения Учетные записи на устройство Параметры проверки подлинности
Microsoft Entra ID1 63
  • Поставщик веб-учетных данных Azure
  • Приложение Azure Authenticator
  • Биометрические данные (радужной оболочки) — HoloLens 2 только2
  • Ключ безопасности FIDO2
  • ПИН-код — необязательный для HoloLens (1-го поколения), необходимый для HoloLens 2
  • Пароль
Учетная запись Майкрософт (MSA) 1
  • Биометрические данные (радужной оболочки) — только HoloLens 2
  • ПИН-код — необязательный для HoloLens (1-го поколения), необходимый для HoloLens 2
  • Пароль
Локальная учетная запись3 1 Пароль
Общие Microsoft Entra ID 1 Проверка подлинности Certificate-Based (CBA)

Учетные записи, подключенные к облаку (Microsoft Entra ID и MSA), предлагают дополнительные функции, так как они могут использовать службы Azure.

Важно!

1 — Microsoft Entra ID P1 или P2 не требуется для входа на устройство. Однако он необходим для других функций облачного развертывания с низким уровнем касания, таких как автоматическая регистрация и Autopilot.

Примечание

2. Хотя устройство HoloLens 2 может поддерживать до 63 Microsoft Entra учетных записей, а также одну системную учетную запись для 64 учетных записей, только до 10 из них должны регистрироваться для проверки подлинности радужной оболочки глаза. Это согласуется с другими вариантами биометрической проверки подлинности для Windows Hello для бизнеса. Хотя более 10 учетных записей могут быть зарегистрированы для проверки подлинности радужной оболочки глаза, это увеличивает частоту ложноположительных результатов и не рекомендуется.

Важно!

3. Локальная учетная запись может быть настроена на устройстве только с помощью пакета подготовки во время запуска при первом включении компьютера. Она не может быть добавлена позже в приложение параметров. Если вы хотите использовать локальную учетную запись на устройстве, которое уже настроено, необходимо переустановить или сбросить его.

Как тип учетной записи влияет на поведение входа?

При применении политик для входа в систему политики всегда соблюдаются. Если политика для входа не применяется, для каждого типа учетной записи используется следующее поведение по умолчанию:

  • Microsoft Entra ID: запрашивает проверку подлинности по умолчанию и настраивается с помощью параметров, чтобы больше не запрашивать проверку подлинности.
  • Учетная запись Майкрософт: поведение блокировки отличается от автоматической разблокировки, но при перезагрузке по-прежнему требуется проверка подлинности входа.
  • Локальная учетная запись: всегда запрашивает проверку подлинности в виде пароля, не настраиваемую в параметрах.

Примечание

Таймеры бездействия в настоящее время не поддерживаются. Это означает, что политика AllowIdleReturnWithoutPassword соблюдается только при переходе устройства в StandBy.

Вход iris

Сбор биометрических данных с помощью HoloLens

Биометрические данные (включая движения головы, рук и глаз, сканирование радужной оболочки глаза), собираемые этим устройством, используются для калибровки, повышения надежности взаимодействия и улучшения взаимодействия с пользователем. Как и в случае с другими устройствами Windows, сторонние приложения на устройстве могут получать доступ к вашим данным на устройстве с целью предоставления определенных функций и функций. Дополнительные сведения о лицензионном соглашении и Заявлении о конфиденциальности Майкрософт см. в разделе "Конфиденциальность" в разделе "Параметры".

Вход в Систему HoloLens Iris основан на Windows Hello. HoloLens хранит биометрические данные, которые используются для безопасной реализации Windows Hello только на локальном устройстве. Биометрические данные не перемещаются и никогда не передаются на внешние устройства или серверы. Поскольку Windows Hello сохраняет данные биометрической идентификации только на устройстве, у злоумышленника нет единой точки сбора, которую он может взломать для кражи биометрических данных.

HoloLens выполняет проверку подлинности радужной оболочки глаза на основе хранимых битовых кодов. Пользователи имеют полный контроль над тем, регистрируют ли они свою учетную запись пользователя для входа iris для проверки подлинности. КРОМЕ того, ИТ-администраторы могут отключить возможности Windows Hello через свои серверы MDM. См. статью Управление Windows Hello для бизнеса в организации.

Примечание

Учетные записи общих Microsoft Entra ID не поддерживают вход iris в HoloLens. См. дополнительные сведения о преимуществах и ограничениях использования общих учетных записей Microsoft Entra.

Часто задаваемые вопросы об ирисах

Как реализована биометрическая проверка подлинности радужной оболочки глаза на HoloLens 2?

HoloLens 2 поддерживает проверку подлинности радужной оболочки глаза. Iris основан на Windows Hello технологии и поддерживается для использования как Microsoft Entra ID, так и учетными записями Майкрософт. Радужной оболочки реализуется так же, как и другие Windows Hello технологии, и достигает биометрических данных безопасности FAR 1/100K.

Дополнительные сведения см. в разделе Биометрические требования и спецификации для Windows Hello. Дополнительные сведения о Windows Hello и Windows Hello для бизнеса.

Где хранятся биометрические данные радужной оболочки глаза?

Биометрические данные радужной оболочки хранятся локально на каждом устройстве HoloLens в соответствии с Windows Hello спецификациями. Он не является общим и защищен двумя уровнями шифрования. Он недоступен для других пользователей, даже для администратора, так как в HoloLens нет учетной записи администратора.

Нужно ли использовать проверку подлинности радужной оболочки глаза?

Нет, этот шаг можно пропустить во время установки.

Настройка Ириса.

HoloLens 2 предоставляет множество различных вариантов проверки подлинности, включая ключи безопасности FIDO2.

Можно ли удалить сведения об радужной оболочке из HoloLens?

Да, его можно удалить вручную в разделе Параметры.

Настройка пользователей

Настроить нового пользователя в HoloLens можно двумя способами. Самый распространенный способ — при первом включении holoLens. При использовании Microsoft Entra ID другие пользователи могут войти в систему после запуска при первом включении с помощью учетных данных Microsoft Entra. Устройства HoloLens, изначально настроенные с учетной записью MSA или локальной учетной записью во время запуска при первом включении, не поддерживают нескольких пользователей. См. раздел Настройка HoloLens (1-го поколения) или HoloLens 2.

Если для входа в HoloLens используется корпоративная учетная запись или учетная запись организации, HoloLens регистрируется в ИТ-инфраструктуре организации. Эта регистрация позволяет ИТ-Администратор настроить мобильные Управление устройствами (MDM) для отправки групповых политик в HoloLens.

Как и Windows на других устройствах, при входе во время установки на устройстве создается профиль пользователя. В профиле пользователя хранятся приложения и данные. Эта же учетная запись также обеспечивает единый вход для приложений, таких как Microsoft Edge или Microsoft Store, с помощью API диспетчера учетных записей Windows.

По умолчанию, как и для других Windows 10 устройств, необходимо снова выполнить вход при перезапуске HoloLens или возобновлении работы из режима ожидания. Чтобы изменить это поведение, можно использовать приложение "Параметры" или управлять поведением с помощью групповой политики.

Совет

Если устройство использует несколько пользователей, важно сохранить визор в чистоте. Дополнительные сведения о том, как очистить устройство, см. в разделе вопросы и ответы по очистке HoloLens 2. Рекомендуется очистить визор между каждым пользователем. Эта рекомендация особенно важна при использовании проверки подлинности радужной оболочки глаза.

Связанные учетные записи

Как и в классической версии Windows, вы можете связать другие учетные данные веб-учетной записи с учетной записью HoloLens. Такая компоновка упрощает доступ к ресурсам в приложениях или в приложениях (например, в Магазине) или комбинирует доступ к личным и рабочим ресурсам. После подключения учетной записи к устройству вы можете предоставить приложению разрешение на использование устройства, чтобы вам не приходилось входить в каждое приложение по отдельности.

Связывание учетных записей не разделяет пользовательские данные, созданные на устройстве, такие как изображения или загрузки.

Настройка поддержки нескольких пользователей (только Microsoft Entra)

HoloLens поддерживает несколько пользователей из одного клиента Microsoft Entra. Чтобы использовать эту функцию, необходимо использовать учетную запись, принадлежающую вашей организации, для настройки устройства. Затем другие пользователи из того же клиента могут войти на устройство с экрана входа или коснуться плитки пользователя на панели "Пуск". Одновременно можно выполнить вход только одного пользователя. Когда пользователь входит в систему, HoloLens выходит из предыдущего пользователя.

Важно!

Первый пользователь на устройстве считается владельцем устройства, за исключением случаев Microsoft Entra присоединения, узнайте больше о владельцах устройства.

Все пользователи могут использовать приложения, установленные на устройстве. Однако у каждого пользователя есть собственные данные и предпочтения приложения. При удалении приложения с устройства оно удаляется для всех пользователей.

Примечание

Другим вариантом для устройств, которые совместно используются несколькими пользователями, является создание общей учетной записи Microsoft Entra ID на устройстве. Подробные сведения о настройке этой учетной записи на устройстве см. в статье Общие учетные записи Microsoft Entra в HoloLens.

Устройства, настроенные с помощью учетных записей Microsoft Entra, не разрешают вход на устройство с помощью учетной записи Майкрософт. Все последующие используемые учетные записи должны быть Microsoft Entra учетными записями из того же клиента, что и устройство. Вы по-прежнему можете выполнять вход с помощью учетной записи Майкрософт в приложения , которые ее поддерживают (например, Microsoft Store). Чтобы сменить использование учетных записей Microsoft Entra на учетные записи Майкрософт для входа на устройство, необходимо выполнить повторную настройку устройства.

Примечание

HoloLens (1-го поколения) начал поддерживать несколько пользователей Microsoft Entra в обновлении Windows 10 апреля 2018 года в рамках Windows Holographic for Business.

Несколько пользователей отображаются на экране входа

Ранее на экране входа отображается только последний пользователь, выполнившего вход, и точка входа "Другой пользователь". Мы получили отзывы клиентов о том, что этого недостаточно, если несколько пользователей вошли в устройство. Они по-прежнему должны были повторно ввести свое имя пользователя и т. д.

Появилось в Windows Holographic версии 21H1. При выборе другого пользователя , расположенного справа от поля ввода ПИН-кода, на экране входа отображается несколько пользователей, которые ранее вошли в устройство. Это позволяет пользователям выбрать свой профиль пользователя, а затем выполнить вход с помощью учетных данных Windows Hello. Нового пользователя также можно добавить на устройство со страницы других пользователей с помощью кнопки Добавить учетную запись .

В меню Другие пользователи кнопка Другие пользователи отображает последний пользователь, вошедшего в устройство. Нажмите эту кнопку, чтобы вернуться на экран входа для этого пользователя.

Экран входа по умолчанию.


Экран входа других пользователей.

Удаление пользователей

Вы можете удалить пользователя с устройства, выбрав Параметры Учетные>записиДругие пользователи>. Это действие также освобождает пространство, удалив все данные приложения этого пользователя с устройства.

Использование единого входа в приложении

Разработчик приложений может воспользоваться преимуществами связанных удостоверений в HoloLens с помощью API диспетчера учетных записей Windows, как и на других устройствах Windows. Некоторые примеры кода для этих API доступны на сайте GitHub: пример управления учетными записями в Интернете.

Любые возможные прерывания учетной записи, такие как запрос согласия пользователя на получение сведений об учетной записи, двухфакторная проверка подлинности и т. д., должны обрабатываться, когда приложение запрашивает маркер проверки подлинности.

Если приложению требуется определенный тип учетной записи, который ранее не был связан, приложение может попросить систему предложить пользователю добавить учетную запись. Этот запрос активирует панель параметров учетной записи для запуска в качестве модального дочернего элемента приложения. Для двухd-приложений это окно отображается непосредственно в центре приложения. Для приложений Unity этот запрос кратко выводит пользователя из голографического приложения для отображения дочернего окна. Сведения о настройке команд и действий на этой панели см. в разделе Класс WebAccountCommand.

Корпоративная и другая проверка подлинности

Если приложение использует другие типы проверки подлинности, такие как NTLM, Basic или Kerberos, вы можете использовать пользовательский интерфейс учетных данных Windows для сбора, обработки и хранения учетных данных пользователя. Пользовательский интерфейс для сбора этих учетных данных аналогичен другим прерываниям облачной учетной записи и отображается как дочернее приложение поверх двухd-приложения или кратко приостанавливает приложение Unity для отображения пользовательского интерфейса.

Устаревшие интерфейсы API

Одним из способов, которым разработка для HoloLens отличается от разработки для настольных компьютеров, является то, что API OnlineIDAuthenticator не полностью поддерживается. Хотя API возвращает маркер, если основная учетная запись находится в исправном режиме, прерывания, описанные в этой статье, не отображают пользовательский интерфейс для пользователя и не позволяют правильно пройти проверку подлинности учетной записи.

поддержка Windows Hello для бизнеса в HoloLens (1-го поколения)

Windows Hello для бизнеса (которая поддерживает использование ПИН-кода для входа) поддерживается для HoloLens (1-го поколения). Чтобы разрешить вход Windows Hello для бизнеса с ПОМОЩЬЮ ПИН-кода в HoloLens (1-го поколения), выполните эти операции.

  1. Устройство HoloLens должно управляться MDM.
  2. Для устройства необходимо включить Windows Hello для бизнеса. (См. инструкции по Microsoft Intune.)
  3. Затем на устройстве HoloLens пользователь может использовать параметры>Вход в систему Добавить>ПИН-код , чтобы настроить ПИН-код.

Примечание

Пользователи, которые входят в систему с помощью учетной записи Майкрософт, также могут настроить ПИН-код в разделе Параметры>Входа Добавить>ПИН-код. Этот ПИН-код связан с Windows Hello, а не с Windows Hello для бизнеса.

Дополнительные ресурсы

Дополнительные сведения о защите идентификации пользователей и проверке подлинности см. в документации по безопасности и идентификации Windows 10.

Дополнительные сведения о настройке инфраструктуры гибридных удостоверений см. в документации по гибридным удостоверениям Azure.