管理 HoloLens 的用户标识和登录

注意

本文是 IT 专业人员和技术专家的技术参考。 如果要查找设置HoloLens,请阅读"设置 HoloLens (第1 代) "或"设置HoloLens 2"。

我们来讨论一下如何为用户设置用户HoloLens 2

与其他Windows一样,HoloLens始终在用户上下文中运行。 始终存在用户标识。 HoloLens以几乎与设备相同的方式处理Windows 10标识。 在安装过程中登录时,在存储应用HoloLens创建用户配置文件。 同一帐户还使用 Windows 帐户管理器 API 为应用(例如 Edge 或 Dynamics 365 Remote Assist)提供单一登录。

HoloLens支持多种用户标识。 可以选择这三种帐户类型中的任意一种,但我们强烈建议Azure AD,因为它最适合管理设备。 只有Azure AD帐户支持多个用户。

标识类型 每个设备的帐户数 身份验证选项
Azure Active Directory1 64
  • Azure Web 凭据提供程序
  • Azure Authenticator 应用
  • 生物 (Iris) – HoloLens 22
  • FIDO2 安全密钥
  • PIN – 对于HoloLens (第一代) 是可选的,HoloLens 2
  • 密码
Microsoft 帐户 (MSA) 1
  • 生物 (Iris) - HoloLens 2
  • PIN – 对于HoloLens (第一代) 是可选的,HoloLens 2
  • 密码
本地帐户3 1 密码

云连接帐户 (Azure AD MSA) 提供了更多功能,因为它们可以使用 Azure 服务。

重要

1 - Azure AD Premium登录设备时不需要密码。 但是,对于基于云的低接触部署的其他功能(如自动注册和 Autopilot)需要它。

注意

2 - 尽管HoloLens 2设备最多支持 64 Azure AD帐户,但最多只有 10 个帐户应注册 Iris 身份验证。 这符合适用于企业的其他生物识别Windows Hello选项。 虽然 Iris 身份验证中可能注册了 10 多个帐户,但这样做会增加误报率,不建议这样做。

重要

3 - 本地帐户只能在 OOBE期间通过预配包在设备上设置,以后无法在设置应用中添加。 如果要在已设置的设备上使用本地帐户,则需要重新运行或 重置设备。

设置用户

有两种方法可以设置新用户HoloLens。 最常见的方式是在 OOBE HoloLens提供开箱即用 (体验) 。 如果使用 Azure Active Directory,其他用户可以在 OOBE 后使用其凭据Azure AD登录。 HoloLens OOBE 期间最初使用 MSA 或本地帐户设置的设备不支持多个用户。 请参阅设置第HoloLens (代) 或HoloLens 2。

如果使用企业或组织帐户登录到 HoloLens,HoloLens组织的 IT 基础结构中注册。 此注册允许 IT 管理员配置 Mobile 设备管理 (MDM) 将组策略发送到HoloLens。

与其他Windows一样,在安装过程中登录会创建一个用户配置文件。 用户配置文件存储应用和数据。 同一帐户还使用 Windows 帐户管理器 API 为应用(例如 Edge 或 Microsoft Store)提供单一登录。

默认情况下,与其他Windows 10一样,当设备重启或从备用HoloLens时,必须再次登录。 可以使用应用设置更改此行为,也可以由组策略控制该行为。

关联的帐户

与桌面版Windows一样,可以将其他 Web 帐户凭据链接到HoloLens帐户。 通过此类链接,可以更轻松地跨应用或内部访问 (例如 Store) 或合并对个人和工作资源的访问。 将帐户连接到设备后,可以授予将设备用于应用的权限,以便不必单独登录到每个应用。

链接帐户不会将设备上创建的用户数据(例如映像或下载)分开。

仅设置多用户 (Azure AD支持)

HoloLens支持来自同一租户的多个Azure AD用户。 若要使用此功能,必须使用属于组织的帐户来设置设备。 随后,来自同一租户的其他用户可以从登录屏幕或点击"开始"面板上的用户磁贴登录到设备。 一次只能有一个用户登录。 当用户登录时,HoloLens上一个用户。

重要

设备上的第一个用户被视为设备所有者,但对于"加入Azure AD,请详细了解设备所有者

所有用户都可以使用设备上安装的应用。 但是,每个用户都有自己的应用数据和首选项。 从设备中删除应用会删除所有用户的应用。

使用帐户设置Azure AD不允许使用 Microsoft 帐户登录设备。 使用的所有后续帐户都必须Azure AD设备同一租户中的帐户。 你仍可以使用 Microsoft帐户登录到支持该帐户的应用 (例如 Microsoft Store) 。 若要从使用Azure AD帐户更改为使用 Microsoft 帐户登录设备,必须重新运行设备

注意

HoloLens (2018) 2018年 Azure AD 4 月更新Windows 10开始支持多个 Windows Holographic for Business用户。

登录屏幕上列出了多个用户

以前,登录屏幕只显示最近登录的用户和"其他用户"入口点。 我们收到了客户反馈,如果多个用户已登录到设备,这是不够的。 他们仍然需要重新键入其用户名等。

Windows Holographic 版本 21H1中引入,在选择"PIN 输入"字段右侧"其他用户"时,"登录"屏幕将显示以前已登录到设备的多个用户。 这允许用户选择其用户配置文件,然后使用其凭据Windows Hello登录。 还可通过"添加帐户"按钮从此 其他用户页将用户添加到 设备。

在" 其他用户"菜单中 ," 其他用户" 按钮将显示最后一个登录到设备的用户。 选择此按钮可返回到此用户的登录屏幕。

默认登录屏幕。


其他用户的登录屏幕。

删除用户

可以通过访问"帐户""其他人"设置从设备中删除用户。 此操作还会通过从设备中删除该用户的所有应用数据来回收空间。

在应用中使用单一登录

应用开发人员可以使用 HoloLens 帐户管理器 API 利用Windows HoloLens上的链接标识,就像在其他 Windows 设备上一样。 有关这些 API 的一些代码示例,GitHub Web帐户管理示例 。

当应用请求身份验证令牌时,必须处理可能会发生的任何帐户中断,例如请求用户同意帐户信息、双重身份验证等。

如果应用需要之前未链接的特定帐户类型,应用可以要求系统提示用户添加一个帐户类型。 此请求触发帐户设置窗格,以作为应用的模式子级启动。 对于 2D 应用,此窗口直接在应用中心呈现。 对于 Unity 应用,此请求会暂时将用户从全息应用退出,以呈现子窗口。 有关自定义此窗格上的命令和操作的信息,请参阅 WebAccountCommand 类

Enterprise身份验证和其他身份验证

如果应用使用其他类型的身份验证(如 NTLM、Basic 或 Kerberos),可以使用 Windows凭据 UI收集、处理和存储用户的凭据。 收集这些凭据的用户体验类似于其他云驱动帐户中断,并显示为 2D 应用顶部的子应用,或短暂挂起 Unity 应用以显示 UI。

弃用的 API

针对桌面进行开发HoloLens一个区别是,不完全支持 OnlineIDAuthenticator API。 尽管 API 在主帐户正常运行时返回令牌,但本文中所述的中断不会为用户显示任何 UI,并且无法正确验证帐户。

常见问题

是否Windows Hello第一代 HoloLens (支持企业) ?

Windows Hello第一代 (支持使用 PIN 登录) 的 HoloLens (企业) 。 若要允许Windows Hello企业 PIN 登录,请HoloLens:

  1. 设备HoloLens必须由MDM 管理
  2. 必须为设备Windows Hello企业应用。 (请参阅有关Microsoft Intune)
  3. 在HoloLens,用户可以使用"设置选项""添加 PIN"来设置 PIN。

注意

使用密码登录的用户Microsoft 帐户登录选项添加 PIN 设置设置PIN。 此 PIN 与 Windows Hello相关联,而不是Windows Hello企业 。

Iris 生物识别身份验证如何HoloLens 2?

HoloLens 2 Iris 身份验证。 Iris 基于Windows Hello技术,并且支持由 Azure Active Directory 和 Microsoft 帐户使用。 Iris 的实现方式与其他技术Windows Hello相同,并实现1/100K 生物识别安全

有关详细信息,请参阅Windows Hello生物识别要求和规范。 详细了解企业Windows Hello Windows Hello服务

Iris 生物识别信息存储在何处?

Iris 生物识别信息根据每个规范HoloLens本地Windows Hello存储。 它未共享,受两层加密保护。 其他用户(甚至是管理员)无法访问它,因为应用程序上没有管理员HoloLens。

是否必须使用 Iris 身份验证?

否,可以在安装过程中跳过此步骤。

设置 Iris。

HoloLens 2提供了许多不同的身份验证选项,包括 FIDO2 安全密钥。

Iris 信息能否从HoloLens?

是的,可以在 设置 中手动将其删除。

帐户类型如何影响登录行为?

如果应用策略进行登录,则始终遵守该策略。 如果未应用登录策略,则每个帐户类型的默认行为为:

  • Azure AD:默认要求进行身份验证,设置配置为不再要求进行身份验证。
  • Microsoft 帐户:锁定行为不同,允许自动解锁,但在重新启动时仍然需要登录身份验证。
  • 本地帐户:始终以密码形式要求进行身份验证,在密码中不可设置

注意

当前不支持非活动计时器,这意味着只有在设备进入 StandBy 时,才遵守 AllowIdleReturnWithoutPassword 策略。

其他资源

有关用户标识保护和身份验证的更多内容,请参阅Windows 10和标识文档

若要详细了解如何设置混合标识基础结构,请参阅 Azure 混合标识文档