Gérer l’identité et la connexion des utilisateurs pour HoloLens
Note
Cet article est une référence technique pour les professionnels de l’informatique et les passionnés de technologie. Si vous recherchez des instructions pour configurer HoloLens, lisez «Configuration de votre HoloLens (1ère génération)» ou «Configuration de votreHoloLens 2 ».
Pourboire
HoloLens 2 est configuré en tant qu’appareil joint à l’ID Microsoft Entra et ne prend pas en charge Active Directory local. Dans la plupart des cas, l’authentification peut être effectuée à l’aide d’une identité d’ID Entra managée ou d’une identité d’ID Entra fédérée. Toutefois, si votre service de fédération pose des problèmes d’authentification, vous devez vous assurer que vous êtes en mesure de vous connecter à partir d’un ID Entra uniquement joint à Windows 10 ou windows 11 PC. De nombreux problèmes d’authentification sont le résultat de configurations d’ID Entra uniquement, plutôt que d’un problème spécifique à HoloLens. La résolution de ces problèmes est beaucoup plus simple à partir d’un PC Windows 10 ou Windows.
Parlons de la configuration de l’identité utilisateur pour HoloLens 2
Comme d’autres appareils Windows, HoloLens fonctionne toujours dans un contexte utilisateur. Il existe toujours une identité d’utilisateur. HoloLens traite l’identité de la même manière qu’un appareil Windows 10 ou Windows 11. La connexion pendant l’installation crée un profil utilisateur sur HoloLens qui stocke des applications et des données. Le même compte fournit également l’authentification unique pour les applications, telles que Microsoft Edge ou Dynamics 365 Remote Assist, à l’aide des API du Gestionnaire de comptes Windows.
HoloLens prend en charge plusieurs types d’identités utilisateur. Vous pouvez choisir l’un de ces trois types de comptes, mais nous vous recommandons vivement Microsoft Entra ID, car il est préférable de gérer les appareils. Seuls les comptes Microsoft Entra prennent en charge plusieurs utilisateurs.
Type d’identité | Comptes par appareil | Options d’authentification |
---|---|---|
Microsoft Entra ID1 | 63 |
|
compte Microsoft (MSA) | 1 |
|
compte local3 | 1 | Mot de passe |
id Microsoft Entra partagé | 1 | Authentification Certificate-Based (CBA) |
Les comptes connectés au cloud (MICROSOFT Entra ID et MSA) offrent plus de fonctionnalités, car ils peuvent utiliser des services Azure.
Important
1 - Microsoft Entra ID P1 ou P2 n’est pas requis pour se connecter à l’appareil. Toutefois, il est nécessaire pour d’autres fonctionnalités d’un déploiement basé sur le cloud à faible contact, comme l’inscription automatique et Autopilot.
Note
2 - Bien qu’un appareil HoloLens 2 puisse prendre en charge jusqu’à 63 comptes Microsoft Entra ainsi qu’un compte système pour un total de 64 comptes, seuls 10 de ces comptes doivent s’inscrire dans Iris Authentication. Cela est aligné sur d’autres options d’authentification biométrique pour Windows Hello Entreprise. Bien que plus de 10 comptes puissent être inscrits dans l’authentification Iris, cela augmente le taux de faux positifs et n’est pas recommandé.
Important
3 - Un compte local ne peut être configuré que sur un appareil via un package d’approvisionnement pendant leOOBE, il ne peut pas être ajouté ultérieurement dans l’application paramètres. Si vous souhaitez utiliser un compte local sur un appareil déjà configuré, vous devez barre oblique ou réinitialiser l’appareil.
Comment le type de compte affecte-t-il le comportement de connexion ?
Si vous appliquez des stratégies pour la connexion, la stratégie est toujours respectée. Si aucune stratégie de connexion n’est appliquée, il s’agit des comportements par défaut pour chaque type de compte :
- Microsoft Entra ID: demande l’authentification par défaut et configurable par Paramètres pour ne plus demander d’authentification.
- compte Microsoft: le comportement de verrouillage est différent autorisant le déverrouillage automatique, mais l’authentification de connexion est toujours requise lors du redémarrage.
- compte local: demande toujours l’authentification sous la forme d’un mot de passe, non configurable dans Paramètres
Note
Les minuteurs d’inactivité ne sont actuellement pas pris en charge, ce qui signifie que la stratégie AllowIdleReturnWithoutPassword n’est respectée que lorsque l’appareil passe à StandBy.
Iris Login
Collecte de données biométriques par HoloLens
Les données biométriques (y compris les mouvements de la tête/de la main/des yeux, l’analyse de l’iris) collectées par cet appareil sont utilisées pour l’étalonnage, afin d’améliorer les interactions fiables et d’améliorer l’expérience utilisateur. Comme avec d’autres appareils Windows, les applications tierces sur l’appareil peuvent accéder à vos données sur l’appareil afin de fournir certaines fonctionnalités et fonctionnalités. Accédez à la section Confidentialité dans Paramètres pour plus d’informations sur le Contrat de licence et la Déclaration de confidentialité Microsoft.
La connexion HoloLens Iris est basée sur Windows Hello. HoloLens stocke les données biométriques utilisées pour implémenter Windows Hello en toute sécurité sur l’appareil local uniquement. Les données biométriques ne sont pas itinérantes et ne sont jamais envoyées à des appareils ou serveurs externes. Étant donné que Windows Hello stocke uniquement les données d’identification biométriques sur l’appareil, il n’existe aucun point de collecte unique qu’un attaquant peut compromettre pour voler des données biométriques.
HoloLens effectue l’authentification iris en fonction des codes de bits stockés. Les utilisateurs contrôlent complètement s’ils inscrivent leur compte d’utilisateur pour la connexion Iris pour l’authentification. Et les administrateurs informatiques peuvent désactiver les fonctionnalités Windows Hello via leurs serveurs MDM. Consultez Gérer Windows Hello Entreprise dans votre organisation.
Note
Les comptes d’ID Microsoft Entra partagés ne prennent pas en charge la connexion Iris sur HoloLens. Pour plus d’informations sur les avantages et limitations de l’utilisation de comptes Microsoft Entra partagés.
Questions fréquentes sur Iris
Comment l’authentification biométrique Iris est-elle implémentée sur HoloLens 2 ?
HoloLens 2 prend en charge l’authentification Iris. Iris est basé sur la technologie Windows Hello et est pris en charge pour une utilisation par l’ID Microsoft Entra et les comptes Microsoft. Iris est implémenté de la même façon que d’autres technologies Windows Hello et obtient la sécurité biométrique FAR de 1/100K.
Pour plus d’informations, consultez les exigences et spécifications biométriques pour Windows Hello. En savoir plus sur windows Hello et windows Hello Entreprise.
Où sont stockées les informations biométriques iris ?
Les informations biométriques iris sont stockées localement sur chaque HoloLens par spécifications Windows Hello. Il n’est pas partagé et est protégé par deux couches de chiffrement. Il n’est pas accessible à d’autres utilisateurs, même à un administrateur, car il n’existe aucun compte d’administrateur sur un HoloLens.
Dois-je utiliser l’authentification Iris ?
Non, vous pouvez ignorer cette étape lors de l’installation.
HoloLens 2 fournit de nombreuses options différentes pour l’authentification, notamment les clés de sécurité FIDO2.
Les informations iris peuvent-elles être supprimées de HoloLens ?
Oui, vous pouvez le supprimer manuellement dans Paramètres.
Configuration des utilisateurs
Il existe deux façons de configurer un nouvel utilisateur sur HoloLens. La façon la plus courante est pendant l’expérience OOBE (Out-Of-Box Experience) HoloLens. Si vous utilisez l’ID Microsoft Entra, d’autres utilisateurs peuvent se connecter après OOBE à l’aide de leurs informations d’identification Microsoft Entra. Les appareils HoloLens qui sont initialement configurés avec un compte MSA ou local pendant OOBE ne prennent pas en charge plusieurs utilisateurs. Consultez Configuration de votre HoloLens (1ère génération)
Si vous utilisez un compte d’entreprise ou d’organisation pour vous connecter à HoloLens, HoloLens s’inscrit dans l’infrastructure informatique de l’organisation. Cette inscription permet à votre administrateur informatique de configurer la gestion des appareils mobiles (GPM) pour envoyer des stratégies de groupe à votre HoloLens.
Comme Windows sur d’autres appareils, la connexion pendant l’installation crée un profil utilisateur sur l’appareil. Le profil utilisateur stocke les applications et les données. Le même compte fournit également l’authentification unique pour les applications, telles que Microsoft Edge ou le Microsoft Store, à l’aide des API du Gestionnaire de comptes Windows.
Par défaut, comme pour les autres appareils Windows 10, vous devez vous reconnecter lorsque HoloLens redémarre ou reprend de secours. Vous pouvez utiliser l’application Paramètres pour modifier ce comportement, ou le comportement peut être contrôlé par la stratégie de groupe.
Pourboire
Si plusieurs utilisateurs utilisent un appareil, il est important de nettoyer la visière. Consultez FAQ de nettoyage HoloLens 2 pour plus d’informations sur la façon de nettoyer l’appareil. Nous vous recommandons de nettoyer la visière entre chaque utilisateur. Cette bonne pratique est particulièrement importante si vous utilisez l’authentification Iris.
Comptes liés
Comme dans la version de Bureau de Windows, vous pouvez lier d’autres informations d’identification de compte web à votre compte HoloLens. Cette liaison facilite l’accès aux ressources dans ou dans les applications (telles que le Windows Store) ou à combiner l’accès aux ressources personnelles et professionnelles. Une fois que vous avez connecté un compte à l’appareil, vous pouvez accorder l’autorisation d’utiliser l’appareil aux applications afin que vous n’ayez pas à vous connecter individuellement à chaque application.
La liaison de comptes ne sépare pas les données utilisateur créées sur l’appareil, telles que les images ou les téléchargements.
Configuration du support multi-utilisateur (Microsoft Entra uniquement)
HoloLens prend en charge plusieurs utilisateurs du même locataire Microsoft Entra. Pour utiliser cette fonctionnalité, vous devez utiliser un compte qui appartient à votre organisation pour configurer l’appareil. Par la suite, d’autres utilisateurs du même locataire peuvent se connecter à l’appareil à partir de l’écran de connexion ou en appuyant sur la vignette de l’utilisateur dans le volet Démarrer. Un seul utilisateur peut être connecté à la fois. Lorsqu’un utilisateur se connecte, HoloLens déconnecte l’utilisateur précédent.
Important
Le premier utilisateur sur l’appareil est considéré comme propriétaire de l’appareil, sauf dans le cas de la jonction Microsoft Entra, en savoir plus sur les propriétaires d’appareils.
Tous les utilisateurs peuvent utiliser les applications installées sur l’appareil. Toutefois, chaque utilisateur a ses propres données et préférences d’application. La suppression d’une application de l’appareil le supprime pour tous les utilisateurs.
Note
Une autre option pour les appareils partagés entre plusieurs utilisateurs consiste à créer un compte d’ID Microsoft Entra partagé sur l’appareil. Consultez comptes Microsoft Entra partagés dans HoloLens pour plus d’informations sur la configuration de ce compte sur votre appareil.
Les appareils configurés avec des comptes Microsoft Entra n’autorisent pas la connexion à l’appareil avec un compte Microsoft. Tous les comptes suivants utilisés doivent être des comptes Microsoft Entra du même locataire que l’appareil. Vous pouvez toujours vous connecter à l’aide d’un compte Microsoft pour les applications qui le prennent en charge (par exemple, le Microsoft Store). Pour passer de l’utilisation des comptes Microsoft Entra aux comptes Microsoft pour la connexion à l’appareil, vous devez reflasher l’appareil.
Note
HoloLens (1ère génération) a commencé à prendre en charge plusieurs utilisateurs Microsoft Entra dans la mise à jour de Windows 10 avril 2018 dans le cadre de Windows Holographic for Business.
Plusieurs utilisateurs sont répertoriés sur l’écran de connexion
Auparavant, l’écran de connexion n’affichait que le dernier utilisateur connecté et un point d’entrée « Autre utilisateur ». Nous avons reçu des commentaires des clients indiquant qu’il n’est pas suffisant si plusieurs utilisateurs se sont connectés à l’appareil. Ils étaient toujours tenus de retyper leur nom d’utilisateur, etc.
Introduit dans Windows Holographic, version 21H1, lorsque vous sélectionnez autre utilisateur qui se trouve à droite du champ d’entrée du code confidentiel, l’écran de connexion affiche plusieurs utilisateurs ayant précédemment connecté l’appareil. Cela permet aux utilisateurs de sélectionner leur profil utilisateur, puis de se connecter à l’aide de leurs informations d’identification Windows Hello. Un nouvel utilisateur peut également être ajouté à l’appareil à partir de cette d’autres utilisateurs page via le bouton Ajouter un compte.
Dans le menu Autres utilisateurs, le bouton Autres utilisateurs affiche le dernier utilisateur connecté à l’appareil. Sélectionnez ce bouton pour revenir à l’écran de connexion de cet utilisateur.
Suppression d’utilisateurs
Vous pouvez supprimer un utilisateur de l’appareil en accédant à Paramètres>Comptes>Autres personnes. Cette action récupère également de l’espace en supprimant toutes les données d’application de cet utilisateur de l’appareil.
Utilisation de l’authentification unique dans une application
En tant que développeur d’applications, vous pouvez tirer parti des identités liées sur HoloLens à l’aide des API du Gestionnaire de comptes Windows , comme vous le feriez sur d’autres appareils Windows. Certains exemples de code pour ces API sont disponibles sur GitHub : exemple de gestion de compte web.
Toutes les interruptions de compte qui peuvent se produire, telles que la demande de consentement de l’utilisateur pour les informations de compte, l’authentification à deux facteurs, etc., doivent être gérées lorsque l’application demande un jeton d’authentification.
Si votre application nécessite un type de compte spécifique qui n’a pas été lié précédemment, votre application peut demander au système d’inviter l’utilisateur à en ajouter un. Cette demande déclenche le volet paramètres du compte à lancer en tant qu’enfant modal de votre application. Pour les applications 2D, cette fenêtre s’affiche directement sur le centre de votre application. Pour les applications Unity, cette demande extrait brièvement l’utilisateur de votre application holographique pour afficher la fenêtre enfant. Pour plus d’informations sur la personnalisation des commandes et des actions dans ce volet, consultez classe WebAccountCommand.
Entreprise et autres authentifications
Si votre application utilise d’autres types d’authentification, tels que NTLM, Basic ou Kerberos, vous pouvez utiliser 'interface utilisateur des informations d’identification Windows pour collecter, traiter et stocker les informations d’identification de l’utilisateur. L’expérience utilisateur pour collecter ces informations d’identification est similaire à d’autres interruptions de compte basées sur le cloud et apparaît en tant qu’application enfant au-dessus de votre application 2D ou suspend brièvement une application Unity pour afficher l’interface utilisateur.
API déconseillées
L’une des façons dont le développement pour HoloLens diffère du développement pour Desktop est que le OnlineIDAuthenticator API n’est pas entièrement pris en charge. Bien que l’API retourne un jeton si le compte principal est en bon état, les interruptions telles que celles décrites dans cet article n’affichent aucune interface utilisateur pour l’utilisateur et ne parviennent pas à authentifier correctement le compte.
Prise en charge de Windows Hello Entreprise sur HoloLens (1ère génération)
Windows Hello Entreprise (qui prend en charge l’utilisation d’un code confidentiel pour la connexion) est pris en charge pour HoloLens (1ère génération). Pour autoriser la connexion au code confidentiel Windows Hello Entreprise sur HoloLens (1ère génération) :
- L’appareil HoloLens doit être géré par mdm.
- Vous devez activer Windows Hello Entreprise pour l’appareil. (Consultez les instructions pour Microsoft Intune.)
- Sur l’appareil HoloLens, l’utilisateur peut ensuite utiliser Paramètres>Options de connexion>Ajouter un pin pour configurer un code confidentiel.
Note
Les utilisateurs qui se connectent à l’aide d’un compte Microsoft peuvent également configurer un code confidentiel dans les paramètres Paramètres>Options de connexion>Ajouter un code confidentiel. Ce code confidentiel est associé à Windows Hello, au lieu d'windows Hello Entreprise.
Ressources additionnelles
En savoir plus sur la protection et l’authentification des identités des utilisateurs sur la documentation sur la sécurité et l’identité windows 10.
En savoir plus sur la configuration de l’infrastructure d’identité hybride via la documentation d’identité hybride Azure.