Hantera användaridentitet och inloggning för HoloLens

  • Artikel
  • 8 minuter för att läsa
  • Gäller för:
    HoloLens (1st gen), HoloLens 2

Anteckning

Den här artikeln är en teknisk referens för IT-proffs och tekniker. Om du letar efter HoloLens konfigurerade instruktioner läser du " Konfigurera dinHoloLens (första gen)" eller "Konfigurera din HoloLens 2".

Låt oss prata om att konfigurera användaridentitet för HoloLens 2

Precis som Windows enheter HoloLens alltid under en användarkontext. Det finns alltid en användaridentitet. HoloLens hanterar identitet på nästan samma sätt som en Windows 10 enhet. När du loggar in under installationen skapas en användarprofil HoloLens som lagrar appar och data. Samma konto tillhandahåller också enkel inloggning för appar, till exempel Edge eller Dynamics 365 Remote Assist, med hjälp av API:Windows Account Manager.

HoloLens stöder flera typer av användaridentiteter. Du kan välja någon av dessa tre kontotyper, men vi rekommenderar starkt Azure AD eftersom det är bäst för att hantera enheter. Endast Azure AD-konton stöder flera användare.

Identitetstyp Konton per enhet Autentiseringsalternativ
Azure Active Directory1 64
  • Azure-provider för webbidentifiering
  • Azure Authenticator App
  • Biometrisk (Iris) – HoloLens 2 endast2
  • FIDO2-säkerhetsnyckel
  • PIN-kod – valfritt för HoloLens (första generationen), krävs för HoloLens 2
  • Lösenord
Microsoft-konto (MSA) 1
  • Biometrisk (Iris) – HoloLens 2
  • PIN-kod – valfritt för HoloLens (första generationen), krävs för HoloLens 2
  • Lösenord
Lokalt konto3 1 Lösenord

Molnanslutna konton (Azure AD och MSA) erbjuder fler funktioner eftersom de kan använda Azure-tjänster.

Viktigt

1 – Azure AD Premium krävs inte för att logga in på enheten. Det krävs dock för andra funktioner i en molnbaserad low touch-distribution, till exempel automatisk registrering och Autopilot.

Anteckning

2 – En HoloLens 2-enhet har stöd för upp till 64 Azure AD-konton, men endast upp till 10 av dessa konton bör registreras i Iris-autentisering. Detta är justerat med andra biometriska autentiseringsalternativ för Windows Hello för företag. Även om fler än 10 konton kan registreras i Iris-autentisering ökar antalet falska positiva identifieringar och rekommenderas inte.

Viktigt

3 – Ett lokalt konto kan bara konfigureras på en enhet via ett etableringspaket under OOBE. Det kan inte läggas till senare i inställningsappen. Om du vill använda ett lokalt konto på en enhet som redan har ställts in måste du omsnedstreck eller återställa enheten.

Konfigurera användare

Det finns två sätt att konfigurera en ny användare på HoloLens. Det vanligaste sättet är HoloLens oobe (out-of-box experience). Om du Azure Active Directory kan andra användare logga in efter OOBE med sina Autentiseringsuppgifter för Azure AD. HoloLens enheter som först konfigureras med ett MSA-konto eller lokalt konto under OOBE stöder inte flera användare. Se Konfigurera din HoloLens (första gen) ellerHoloLens 2.

Om du använder ett företags- eller organisationskonto för att logga in HoloLens, HoloLens registreras i organisationens IT-infrastruktur. Med den här registreringen kan IT-administratören konfigurera Mobile Enhetshantering (MDM) för att skicka grupprinciper till HoloLens.

Precis Windows på andra enheter skapar inloggning under installationen en användarprofil på enheten. Användarprofilen lagrar appar och data. Samma konto tillhandahåller också enkel inloggning för appar, till exempel Edge eller Microsoft Store, med hjälp av Windows Account Manager-API:er.

Som standard, precis som Windows 10 andra enheter, måste du logga in igen när HoloLens startar om eller återupptas från vänteläge. Du kan använda Inställningar för att ändra det här beteendet, eller så kan beteendet styras av en grupprincip.

Länkade konton

Precis som i Desktop-versionen av Windows kan du länka andra webbkontoautentiseringsuppgifter till ditt HoloLens konto. Sådana länkar gör det enklare att komma åt resurser i eller inom appar (till exempel Store) eller att kombinera åtkomst till personliga resurser och arbetsresurser. När du har ansluter ett konto till enheten kan du bevilja behörighet att använda enheten i appar så att du inte behöver logga in på varje app individuellt.

Länkningskonton separerar inte användardata som skapats på enheten, till exempel bilder eller nedladdningar.

Konfigurera stöd för flera användare (endast Azure AD)

HoloLens har stöd för flera användare från samma Azure AD-klientorganisation. Om du vill använda den här funktionen måste du använda ett konto som tillhör din organisation för att konfigurera enheten. Därefter kan andra användare från samma klientorganisation logga in på enheten från inloggningsskärmen eller genom att trycka på användarpanelen på startpanelen. Endast en användare kan loggas in i taget. När en användare loggar in HoloLens den tidigare användaren.

Viktigt

Den första användaren på enheten betraktas som enhetens ägare, förutom när det gäller Azure AD-anslutning. Läs mer om enhetsägare.

Alla användare kan använda de appar som är installerade på enheten. Varje användare har dock sina egna appdata och inställningar. Om du tar bort en app från enheten tas den bort för alla användare.

Enheter som har ställts in med Azure AD-konton tillåter inte inloggning på enheten med ett Microsoft-konto. Alla efterföljande konton som används måste vara Azure AD-konton från samma klientorganisation som enheten. Du kan fortfarande logga in med ett Microsoft-konto till appar som stöder det (till exempel Microsoft Store). Om du vill ändra från att använda Azure AD-konton till Microsoft-konton för att logga in på enheten måste du omsluta enheten.

Anteckning

HoloLens (första generationen) började stödja flera Azure AD-användare i april 2018-uppdateringen för Windows 10 som en del av Windows Holographic for Business.

Flera användare visas på inloggningsskärmen

Tidigare visade inloggningsskärmen endast den senast inloggade användaren och startpunkten "Annan användare". Vi har fått feedback från kunder om att det inte räcker om flera användare har loggat in på enheten. De var fortfarande nödvändiga för att skriva in sitt användarnamn på nytt osv.

Introducerades i Windows Holographic version 21H1 när du väljer Annan användare som finns till höger om fältet PIN-kodspost. Inloggningsskärmen visar flera användare med tidigare loggat in på enheten. På så sätt kan användarna välja sin användarprofil och sedan logga in med sina Windows Hello autentiseringsuppgifter. En ny användare kan också läggas till på enheten från den här andra användarsidan via knappen Lägg till konto.

I menyn Andra användare visar knappen Andra användare den senaste användaren som loggat in på enheten. Välj den här knappen för att återgå till inloggningsskärmen för den här användaren.

Standard för inloggningsskärmen.


Inloggningsskärmen för andra användare.

Ta bort användare

Du kan ta bort en användare från enheten genom att gå till InställningarKontonAndra personer. Den här åtgärden återtar också utrymme genom att ta bort alla användarens appdata från enheten.

Använda enkel inloggning i en app

Som apputvecklare kan du dra nytta av länkade identiteter på HoloLens med hjälp av API:erna för Windows Account Manager, precis som på andra Windows enheter. Vissa kodexempel för dessa API:er finns på GitHub: Web account management sample.

Alla kontoavbrott som kan uppstå, till exempel att begära användarmedgivande för kontoinformation, tvåfaktorautentisering och så vidare, måste hanteras när appen begär en autentiseringstoken.

Om din app kräver en viss kontotyp som inte har länkats tidigare kan din app be systemet att uppmana användaren att lägga till en. Den här begäran utlöser fönstret kontoinställningar för att starta som ett modalt underkonto till din app. För 2D-appar renderas det här fönstret direkt över mitten av din app. För Unity-appar tar den här begäran kort användaren ut från din holografiska app för att återge det underordnade fönstret. Information om hur du anpassar kommandona och åtgärderna i det här fönstret finns i WebAccountCommand Class.

Företagsautentisering och annan autentisering

Om din app använder andra typer av autentisering, till exempel NTLM, Basic eller Kerberos, kan du använda Windows Credential UI för att samla in, bearbeta och lagra användarens autentiseringsuppgifter. Användarupplevelsen för att samla in dessa autentiseringsuppgifter liknar andra avbrott i molndrivna konton och visas som en underordnad app ovanpå din 2D-app eller pausar en Unity-app en kort stund för att visa användargränssnittet.

Inaktuella API:er

Ett sätt att utveckla för HoloLens skiljer sig från att utveckla för Desktop är att ONLINEIDAuthenticator-API:et inte stöds fullt ut. Även om API:et returnerar en token om det primära kontot är i gott stående, så visar inte avbrott som de som beskrivs i den här artikeln något användargränssnitt för användaren och kan inte autentisera kontot korrekt.

Vanliga frågor och svar

Stöds Windows Hello for Business på HoloLens (första gen)?

Windows Hello for Business (som stöder användning av en PIN-kod för att logga in) stöds för HoloLens (första gen). Så här tillåter Windows Hello pin-kod för företag-inloggning HoloLens:

  1. Enheten HoloLens måste hanteras av MDM.
  2. Du måste aktivera Windows Hello för företag för enheten. (Se anvisningarna för Microsoft Intune.)
  3. På HoloLens kan användaren sedan använda inloggningsalternativen för Inställningarlägga till PIN-kodför att konfigurera en PIN-kod.

Anteckning

Användare som loggar in med en Microsoft-konto kan också konfigurera en PIN-kod Inställningarinloggningsalternativen Lägg tillPIN-kod. Den här PIN-koden är associerad Windows Hello, i stället för Windows Hello för företag.

Hur implementeras biometrisk Iris-autentisering HoloLens 2?

HoloLens 2 stöder Iris-autentisering. Iris är baserad på Windows Hello och stöds för användning av både Azure Active Directory- och Microsoft-konton. Iris implementeras på samma sätt som andra Windows Hello tekniker och uppnår biometrisäkerhet FAR på 1/100 000.

Se biometriska krav och specifikationer för Windows Hello mer information. Läs mer om Windows Hello och Windows Hello för företag.

Var lagras biometrisk Iris-information?

Biometrisk irisinformation lagras lokalt på varje HoloLens enligt Windows Hello specifikationer. Den delas inte och skyddas av två krypteringslager. Det är inte tillgängligt för andra användare, inte ens en administratör, eftersom det inte finns något administratörskonto på HoloLens.

Måste jag använda Iris-autentisering?

Nej, du kan hoppa över det här steget under installationen.

Konfigurera Iris.

HoloLens 2 innehåller många olika alternativ för autentisering, inklusive FIDO2-säkerhetsnycklar.

Kan Iris-information tas bort från HoloLens?

Ja, du kan ta bort den manuellt i Inställningar.

Hur påverkar kontotypen inloggningsbeteendet?

Om du tillämpar principer för inloggning respekteras alltid principen. Om ingen princip för inloggning tillämpas är dessa standardbeteenden för varje kontotyp:

  • Azure AD:frågar efter autentisering som standard och kan konfigureras av Inställningar inte längre ber om autentisering.
  • Microsoft-konto:Låsbeteendet skiljer sig åt så att automatisk upplåsning tillåts, men inloggningsautentisering krävs fortfarande vid omstart.
  • Lokalt konto:begär alltid autentisering i form av ett lösenord som inte kan konfigureras i Inställningar

Anteckning

Inaktivitet timers stöds inte för närvarande, vilket innebär att principen AllowIdleReturnWithoutPassword endast respekteras när enheten hamnar i StandBy.

Ytterligare resurser

Läs mycket mer om skydd och autentisering av användaridentiteter på Windows 10 säkerhets- och identitetsdokumentationen.

Lär dig mer om att konfigurera hybrididentitetsinfrastruktur genomgående i dokumentationen om Azure Hybrid-identiteter.