管理 HoloLens 的用户标识和登录

  • 项目
  • 适用于:
    HoloLens (1st gen), HoloLens 2

注意

本文是面向 IT 专业人员和技术爱好者的技术参考。 如果你正在寻找 HoloLens 设置说明,请参阅“设置 HoloLens(第 1 代)”或“设置 HoloLens 2”。

我们来讨论如何设置 HoloLens 2 的用户标识

与其他 Windows 设备一样,HoloLens 始终在用户上下文中运行。 始终存在用户标识。 HoloLens 以与 Windows 10 设备几乎相同的方式处理标识。 在设置过程中登录会在 HoloLens 上创建一个存储应用和数据的用户配置文件。 同一帐户还使用 Windows 帐户管理器 API 为应用(例如 Edge 或 Dynamics 365 Remote Assist)提供单一登录。

HoloLens 支持多种用户标识。 可以选择以下三种帐户类型中的任意一种,但我们强烈建议选择 Azure AD,因为它最适合用于管理设备。 只有 Azure AD 帐户支持多位用户。

标识类型 每个设备的帐户数 身份验证选项
Azure Active Directory1 64
  • Azure Web 凭据提供程序
  • Azure Authenticator 应用
  • 生物识别(虹膜)- 仅限 HoloLens 22
  • FIDO2 安全密钥
  • PIN - 对于 HoloLens(第 1 代)是可选的,对于 HoloLens 2 是必需的
  • 密码
Microsoft 帐户 (MSA) 1
  • 生物识别(虹膜)- 仅限 HoloLens 2
  • PIN - 对于 HoloLens(第 1 代)是可选的,对于 HoloLens 2 是必需的
  • 密码
本地帐户3 1 密码

云连接帐户(Azure AD 和 MSA)提供更多功能,因为它们可以使用 Azure 服务。

重要

1 - 登录设备时不需要使用 Azure AD Premium。 但是,基于云的低接触部署的其他功能(如自动注册和 Autopilot)需要使用它。

注意

2 - 尽管 HoloLens 2 设备支持最多 64 个 Azure AD 帐户,但其中最多只有 10 个帐户应注册虹膜身份验证。 这与适用于 Windows Hello 企业版的其他生物特征身份验证选项一致。 虽然可能有超过 10 个帐户会注册虹膜身份验证,但这样做会增加误报率,因此不建议这样做。

重要

3 - 只能在 OOBE 期间通过预配程序包在设备上设置本地帐户,无法之后在设置应用中添加本地帐户。 如果要在已设置的设备上使用本地帐户,则需要刷新或重置设备

设置用户

可采用两种方法在 HoloLens 上设置新用户。 最常见的方法是在 HoloLens 开箱体验 (OOBE) 期间进行设置。 如果使用 Azure Active Directory,其他用户可在 OOBE 后使用其 Azure AD 凭据登录。 在 OOBE 期间最初使用 MSA 或本地帐户设置的 HoloLens 设备不支持多位用户。 请参阅设置 HoloLens(第 1 代)HoloLens 2

如果使用企业或组织帐户登录 HoloLens,HoloLens 会注册到组织的 IT 基础结构中。 此注册使 IT 管理员能够配置移动设备管理 (MDM),以将组策略发送到 HoloLens。

与其他设备上的 Windows 一样,在安装过程中登录会在设备上创建一个用户配置文件。 用户配置文件用于存储应用和数据。 同一帐户还使用 Windows 帐户管理器 API 为应用(例如 Edge 或 Microsoft Store)提供单一登录。

默认情况下,与其他 Windows 10 设备一样,当 HoloLens 重启或从待机状态恢复时,必须再次登录。 可以使用设置应用更改此行为,也可以由组策略控制此行为。

关联的帐户

与 Windows 桌面版一样,可以将其他 Web 帐户凭据链接到 HoloLens 帐户。 通过此类链接,可以更轻松地跨应用或在应用内(例如 Store)访问资源或合并个人和工作资源的访问权限。 将帐户连接到设备后,可以向应用授予使用设备的权限,这样就不必单独登录到每个应用。

链接帐户不会分离在设备上创建的用户数据,例如图像或下载。

设置多用户支持(仅限 Azure AD)

HoloLens 支持来自同一租户的多位 Azure AD 用户。 若要使用此功能,必须使用属于组织的帐户来设置设备。 随后,来自同一租户的其他用户可以从登录屏幕或通过点击“开始”面板上的用户磁贴登录设备。 一次仅一位用户可以登录。 用户登录时,HoloLens 会注销前一位用户。

重要

登录设备的第一位用户被视为设备所有者,但联接 Azure AD 的情况除外,详细了解设备所有者

所有用户都可以使用设备上安装的应用。 但是,每位用户都有自己的应用数据和偏好设置。 从设备中删除某个应用会为所有用户删除该应用。

使用 Azure AD 帐户设置的设备将不允许使用 Microsoft 帐户登录设备。 使用的所有后续帐户都必须是来自于设备同一租户的 Azure AD 帐户。 你仍可以使用 Microsoft 帐户登录到支持该帐户的应用(例如 Microsoft Store)。 若要从使用 Azure AD 帐户更改为使用 Microsoft 帐户登录设备,必须刷新设备

注意

作为 Windows Holographic for Business 的一部分,HoloLens(第 1 代)在 Windows 10 2018 年 4 月更新中开始支持多位 Azure AD 用户。

登录屏幕上列出多位用户

以前,登录屏幕只显示最近登录的用户和“其他用户”入口点。 我们已收到客户反馈,如果多位用户已登录到设备,这是不够的。 他们仍然需要重新键入其用户名等。

登录屏幕已引入 Windows Holographic 版本 21H1 中,在选择 PIN 输入字段右侧的“其他用户”时,该屏幕将显示之前已登录到设备的多位用户。 这允许用户选择其用户配置文件,然后使用其 Windows Hello 凭据登录。 还可在此“其他用户”页面通过“添加帐户”按钮向设备添加新用户。

在“其他用户”菜单中,“其他用户”按钮将显示最后一个登录到设备的用户。 选择此按钮可返回到此用户的登录屏幕。

Sign-in screen default.


Sign-in screen other users.

删除用户

可通过转到“设置”>“帐户”>“其他人”,从设备删除用户。 此操作还通过从设备中删除该用户的所有应用数据来回收空间。

在应用中使用单一登录

作为一名应用开发人员,你可以通过使用 Windows 帐户管理器 API 来利用 HoloLens 上的链接标识,就像在其他 Windows 设备上一样。 可在 GitHub 上获取有关这些 API 的一些代码示例:Web 帐户管理示例

当应用请求身份验证令牌时,必须处理可能会发生的任何帐户中断,例如请求用户同意获取帐户信息、双因素身份验证等。

如果应用需要之前未链接的特定帐户类型,则可以要求系统提示用户添加此帐户类型。 此请求会触发帐户设置窗格作为应用的子模式启动。 对于 2D 应用,此窗口直接呈现在应用的中心位置。 对于 Unity 应用,此请求会暂时让用户从全息应用退出,以呈现子窗口。 有关如何自定义此窗格上的命令和操作的信息,请参阅 WebAccountCommand 类

企业和其他身份验证

如果应用使用其他类型的身份验证(如 NTLM、Basic 或 Kerberos),你可以使用 Windows 凭据 UI 收集、处理和存储用户的凭据。 收集这些凭据的用户体验类似于其他云驱动的帐户中断,并显示为 2D 应用顶部的子应用,或短暂挂起 Unity 应用以显示 UI。

弃用的 API

针对 HoloLens 进行开发的方式与针对桌面进行开发的不同之处在于 OnlineIDAuthenticator API 未受到完全支持。 尽管在主帐户正常运行时 API 会返回令牌,但诸如本文中所述的中断不会为用户显示任何 UI,并且无法正确验证帐户。

常见问题

HoloLens(第 1 代)是否支持 Windows Hello 企业版?

HoloLens(第 1 代)支持 Windows Hello 企业版(支持使用 PIN 登录)。 若要允许在 HoloLens 上使用 Windows Hello 企业版 PIN 登录,请执行以下操作:

  1. HoloLens 设备必须由 MDM 管理
  2. 必须为设备启用 Windows Hello 企业版。 (请参阅有关 Microsoft Intune 的说明。
  3. 在 HoloLens 上,用户可以使用“设置”>“登录选项”>“添加 PIN”来设置 PIN。

注意

使用 Microsoft 帐户登录的用户也可以在“设置”>“登录选项”>“添加 PIN”中设置 PIN。 此 PIN 与 Windows Hello 而非 Windows Hello 企业版相关联。

如何在 HoloLens 2 上实现虹膜生物特征身份验证?

HoloLens 2 支持虹膜身份验证。 虹膜基于 Windows Hello 技术,并且支持由 Azure Active Directory 和 Microsoft 帐户使用。 虹膜的实现方式与其他 Windows Hello 技术相同,并实现了 1/100K 的生物特征识别安全性 FAR

有关详细信息,请参阅 Windows Hello的生物特征识别要求和规范。 了解有关 Windows HelloWindows Hello 企业版的详细信息。

虹膜生物特征信息存储在何处?

虹膜生物特征信息根据 Windows Hello 规范本地存储在每台 HoloLens 上。 此信息不共享,受两层加密保护。 其他用户(甚至管理员)无法访问此信息,因为 HoloLens 上没有管理员帐户。

是否必须使用虹膜身份验证?

否,可以在设置过程中跳过此步骤。

Set-up Iris.

HoloLens 2 提供许多不同的身份验证选项,包括 FIDO2 安全密钥。

是否可以从 HoloLens 中删除虹膜信息?

是,可以在“设置”中手动将其删除。

帐户类型如何影响登录行为?

如果应用登录策略,则会始终遵循该策略。 如果未应用登录策略,则每种帐户类型的默认行为如下:

  • Azure AD:默认要求进行身份验证,可通过“设置”配置为不再要求进行身份验证。
  • Microsoft 帐户:锁定行为不同,允许自动解锁,但在重启时仍需进行登录身份验证。
  • 本地帐户:始终要求以密码形式进行身份验证,无法在“设置”中配置

注意

当前不支持非活动状态计时器,这意味着仅当设备进入待机状态时才遵循 AllowIdleReturnWithoutPassword 策略。

其他资源

有关用户标识保护和身份验证的详细信息,请参阅 Windows 10 安全性和标识文档

若要详细了解如何设置混合标识基础结构,请参阅 Azure 混合标识文档