管理者レス オペレーティング システム
HoloLens 2 では、Administrators グループのサポートを無効にし、すべてのサードパーティの UWP アプリケーション コードを AppContainer サンドボックス内の標準ユーザーとしてのみ実行するように制限することで、特権エスカレーションの対象領域を最小限に抑えます。 このコードには、すべての AppContainers からアクセスできるリソースに加えて、アプリケーションで明示的に示されている、未選択のユーザーに対して明示的に示された機能によって保護されたリソースへのアクセスのみが付与されます。 これらのアプリケーション機能には、引き続き 3 層分類モデルがあります。
- 全般
- 制限
- ウィンドウズ
Windows コンポーネントでは、System UWP を介して AppContainer サンドボックスを利用することもできます。 ユニバーサル Windows プラットフォーム (UWP) の詳細については、UWP ドキュメントを参照してください。 さらに、特権削減のニーズが高い Windows コンポーネント (ブラウザー コンテンツ ページやパーサーなど) では、Less Privileged AppContainer (LPAC) サンドボックスが使用されます。このサンドボックスにより、すべての AppContainer からアクセスできるリソースのセットへのアクセスが遮断されます。
デバイス所有者
最後に、テナントへのデバイスの参加やユーザー管理など、特定のデバイス全体の操作の実行は、"デバイス所有者" に対してのみ許可されます。 このグループは、次のいずれかの手順を使用して、デバイス上のユーザーによって設定されます。
- デバイス上の最初のユーザーは常に所有者に指定されます。
大事な
Microsoft Entra ユーザーの場合、このルールの例外は、デバイスが Autopilot または一括 Microsoft Entra 登録を介して Microsoft Entra に参加している場合で、非実際のユーザーを使用することです。 この場合、デバイスにサインインする最初の Microsoft Entra ユーザーは、そのユーザーに Azure portal で "グローバル管理者" または "Microsoft Entra 参加済みデバイスローカル管理者" ロールが割り当てられている場合を除き、デバイス所有者に自動的に設定されない場合があります。 詳細については、以下の注意事項を参照してください。
- ユーザーがデバイス上の別の所有者によって設定 UX から所有者に昇格されたとき。
- デバイス所有者が利用できなくなり (会社を離れる)、デバイスが Microsoft Entra に参加している場合、テナント管理者は Azure portal でデバイス所有者を新しいユーザーに変更できます。 Microsoft Entra テナントのグローバル管理者と Microsoft Entra 参加済みデバイスローカル管理者は、前の手順のいずれかを必要とせずに、デバイスの所有者として暗黙的にサインインされます。
IT 管理者は、プライバシー ポリシーを使用してアプリがアクセスできる内容を管理できます。
手記
Microsoft Entra 参加済みデバイスでデバイス所有者になったユーザーの詳細については、「ローカル管理者の割り当て」ドキュメント
大事な
アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティを向上させることができます。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。