Connexion web pour Windows
À compter de Windows 11, version 22H2 avec KB5030310, vous pouvez activer une expérience de connexion web sur Microsoft Entra appareils joints. Cette fonctionnalité est appelée Connexion web et déverrouille de nouvelles options et fonctionnalités de connexion.
La connexion Web est un fournisseur d’informations d’identification, qui a été initialement introduite dans Windows 10 avec prise en charge du pass d’accès temporaire (TAP) uniquement. Avec la publication de Windows 11, les scénarios et fonctionnalités pris en charge de la connexion web sont étendus.
Par exemple, vous pouvez vous connecter avec l’application Microsoft Authenticator ou avec une identité fédérée SAML-P.
Cet article explique comment configurer la connexion Web et les scénarios clés pris en charge.
Configuration requise
Voici les conditions préalables à l’utilisation de la connexion Web :
- Windows 11, version 22H2 avec 5030310 ou version ultérieure
- Microsoft Entra joint
- Connectivité Internet, à mesure que l’authentification est effectuée sur Internet
Important
La connexion web n’est pas prise en charge pour Microsoft Entra appareils joints hybrides ou joints à un domaine.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge la connexion web :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Oui | Oui | Oui | Oui |
Les droits de licence de connexion web sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Configurer la connexion web
Pour utiliser la connexion web, vos appareils doivent être configurés avec des stratégies différentes. Passez en revue les instructions suivantes pour configurer vos appareils à l’aide de Microsoft Intune ou d’un package d’approvisionnement (PPKG).
Remarque
La connexion web utilise un compte local géré par le système appelé WsiAccount. Le compte est créé automatiquement lorsque vous activez la connexion web, et il n’est pas affiché dans la liste de sélection de l’utilisateur. Chaque fois qu’un utilisateur utilise le fournisseur d’informations d’identification de connexion Web, le compte WsiAccount est activé. Une fois que l’utilisateur s’est connecté, le compte est désactivé.
Intune
PPKGPour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| Authentication | Activer la connexion web | Activé |
| Authentication | Configurer les URL autorisées de connexion web | Ce paramètre est facultatif et contient une liste de domaines requis pour la connexion, par exemple : - idp.example.com- example.com |
| Authentication | Configurer les noms de domaine d’accès à la webcam | Ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, par exemple : example.com |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec les paramètres suivants :
| OMA-URI | Plus d’informations |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
Expériences utilisateur
Une fois les appareils configurés, une nouvelle expérience de connexion devient disponible, comme indiqué par la présence du fournisseur 
d’informations d’identification de connexion Web dans l’écran de verrouillage Windows.
Voici une liste de scénarios clés pris en charge par la connexion web, ainsi qu’une brève animation montrant l’expérience utilisateur. Sélectionnez la miniature pour démarrer l’animation.
Connexion sans mot de passe
Les utilisateurs peuvent se connecter à Windows sans mot de passe, avant même de s’inscrire à Windows Hello Entreprise. Par exemple, en utilisant l’application Microsoft Authenticator comme méthode de connexion.
Astuce
Lorsqu’il est utilisé dans la conjuction avec Windows Hello Entreprise sans mot de passe, vous pouvez masquer le fournisseur d’informations d’identification de mot de passe dans l’écran de verrouillage ainsi que dans les scénarios d’authentification dans la session. Cela permet une expérience Windows vraiment sans mot de passe.
Pour en savoir plus :
- Activer la connexion sans mot de passe avec Microsoft Authenticator
- Options d’authentification sans mot de passe pour Microsoft Entra ID
- Expérience sans mot de passe Windows
Windows Hello Entreprise réinitialisation du code confidentiel
Le flux de réinitialisation du code confidentiel Windows Hello est transparent et plus robuste que dans les versions précédentes.
Pour plus d’informations, consultez Réinitialisation du code confidentiel.
Passe d’accès temporaire (TAP)
Un passe d’accès temporaire (TAP) est un code secret limité dans le temps accordé par un administrateur à un utilisateur. Les utilisateurs peuvent se connecter avec un tap à l’aide du fournisseur d’informations d’identification de connexion Web. Par exemple :
- pour intégrer Windows Hello Entreprise ou une clé de sécurité FIDO2
- en cas de perte ou d’oubli d’une clé de sécurité FIDO2 et d’un mot de passe inconnu
Pour plus d’informations, consultez Utiliser un passe d’accès temporaire.
Authentification fédérée
Si le locataire Microsoft Entra est fédéré avec un fournisseur d’identité (IdP) SAML-P non-Microsoft, les utilisateurs fédérés peuvent se connecter à l’aide du fournisseur d’informations d’identification de connexion web.
Astuce
Pour améliorer l’expérience utilisateur pour les identités fédérées :
- Activez Windows Hello Entreprise. Une fois que l’utilisateur s’est connecté, il peut s’inscrire à Windows Hello Entreprise, puis l’utiliser pour se connecter à l’appareil
- Configurez la fonctionnalité de nom de locataire Microsoft Entra par défaut, qui permet aux utilisateurs de sélectionner le nom de domaine pendant le processus de connexion. Les utilisateurs sont ensuite redirigés automatiquement vers la page de connexion du fournisseur
Pour plus d’informations sur le nom du locataire préféré, consultez Fournisseur de services de configuration d’authentification - PreferredAadTenantDomainName.
Considérations importantes
Voici une liste de considérations importantes à prendre en compte lors de la configuration ou de l’utilisation de la connexion Web :
- Les informations d’identification mises en cache ne sont pas prises en charge avec la connexion Web. Si l’appareil est hors connexion, l’utilisateur ne peut pas utiliser le fournisseur d’informations d’identification de connexion Web pour se connecter
- Une fois déconnecté, l’utilisateur n’est pas affiché dans la liste de sélection de l’utilisateur
- Une fois activé, le fournisseur d’informations d’identification de connexion web est le fournisseur d’informations d’identification par défaut pour les nouveaux utilisateurs qui se connectent à l’appareil. Pour modifier le fournisseur d’informations d’identification par défaut, vous pouvez utiliser la stratégie ADMX DefaultCredentialProvider
- L’utilisateur peut quitter le flux de connexion web en appuyant sur Ctrl Alt++Suppr pour revenir à l’écran de verrouillage Windows
Problèmes connus
- Si vous essayez de vous connecter alors que l’appareil est hors connexion, vous recevez le message suivant : Il ne semble pas que vous soyez connecté à Internet. Vérifiez votre connexion et réessayez. La sélection de l’option Revenir à la connexion ne vous ramène pas à l’écran de verrouillage. Pour contourner ce problème, vous pouvez appuyer sur Ctrl+Alt+Suppr pour revenir à l’écran de verrouillage.
Fournir des commentaires
Pour fournir des commentaires sur la connexion web, ouvrez le Hub de commentaires et utilisez la catégorie Sécurité et confidentialité > expérience sans mot de passe.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour