Accesso Web per Windows
A partire da Windows 11 versione 22H2 con KB5030310, è possibile abilitare un'esperienza di accesso basata sul Web nei dispositivi aggiunti Microsoft Entra. Questa funzionalità è denominata accesso Web e sblocca nuove opzioni e funzionalità di accesso.
L'accesso Web è un provider di credenziali ed è stato inizialmente introdotto in Windows 10 con il supporto solo per il pass di accesso temporaneo (TAP). Con il rilascio di Windows 11, vengono espansi gli scenari supportati e le funzionalità di accesso Web.
Ad esempio, è possibile accedere con l'app Microsoft Authenticator o con un'identità federata SAML-P.
Questo articolo descrive come configurare l'accesso Web e gli scenari chiave supportati.
Requisiti di sistema
Ecco i prerequisiti per l'uso dell'accesso Web:
- Windows 11 versione 22H2 con 5030310 o versioni successive
- Microsoft Entra aggiunto
- Connettività Internet, poiché l'autenticazione viene eseguita tramite Internet
Importante
L'accesso Web non è supportato per Microsoft Entra dispositivi aggiunti a un dominio o aggiunti a un dominio ibrido.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano l'accesso Web:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
I diritti di licenza per l'accesso Web vengono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Configurare l'accesso Web
Per usare l'accesso Web, i dispositivi devono essere configurati con criteri diversi. Esaminare le istruzioni seguenti per configurare i dispositivi usando Microsoft Intune o un pacchetto di provisioning (PPKG).
Nota
L'accesso Web usa un account locale gestito dal sistema denominato WsiAccount. L'account viene creato automaticamente quando si abilita l'accesso Web e non viene visualizzato nell'elenco di selezione utente. Ogni volta che un utente usa il provider di credenziali di accesso Web, l'account WsiAccount è abilitato. Dopo l'accesso dell'utente, l'account viene disabilitato.
Intune
PPKGPer configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Authentication | Abilitare l'accesso Web | Abilitato |
| Authentication | Configurare gli URL consentiti per l'accesso Web | Questa impostazione è facoltativa e contiene un elenco di domini necessari per l'accesso, ad esempio: - idp.example.com- example.com |
| Authentication | Configurare i nomi di dominio di Accesso webcam | Questa impostazione è facoltativa e deve essere configurata se è necessario usare la webcam durante il processo di accesso. Specificare l'elenco di domini che possono usare la webcam durante il processo di accesso, ad esempio: example.com |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con le impostazioni seguenti:
| URI OMA | Altre informazioni |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
Esperienze utente
Dopo aver configurato i dispositivi, diventa disponibile una nuova esperienza di accesso, come indicato dalla presenza del provider 
di credenziali di accesso Web nella schermata di blocco di Windows.
Ecco un elenco di scenari chiave supportati dall'accesso Web e una breve animazione che mostra l'esperienza utente. Selezionare l'anteprima per avviare l'animazione.
Accesso senza password
Gli utenti possono accedere a Windows senza password, anche prima di registrarsi a Windows Hello for Business. Ad esempio, usando l'app Microsoft Authenticator come metodo di accesso.
Suggerimento
Se usato in coniugo con Windows Hello for Business senza password, è possibile nascondere il provider di credenziali password dalla schermata di blocco e dagli scenari di autenticazione in sessione. Ciò consente un'esperienza di Windows senza password.
Per altre informazioni:
- Abilitare l'accesso senza password con Microsoft Authenticator
- Opzioni di autenticazione senza password per Microsoft Entra ID
- Esperienza senza password di Windows
reimpostazione del PIN Windows Hello for Business
Il flusso di reimpostazione del PIN Windows Hello è facile e affidabile rispetto alle versioni precedenti.
Per altre informazioni, vedere Reimpostazione del PIN.
Pass di accesso temporaneo (TAP)
Un pass di accesso temporaneo (TAP) è un passcode limitato nel tempo concesso da un amministratore a un utente. Gli utenti possono accedere con un TAP usando il provider di credenziali di accesso Web. Ad esempio:
- per eseguire l'onboarding di Windows Hello for Business o di una chiave di sicurezza FIDO2
- se la chiave di sicurezza FIDO2 e la password sconosciuta vengono perse o dimenticate
Per altre informazioni, vedere Usare un pass di accesso temporaneo.
Autenticazione federata
Se il tenant Microsoft Entra è federato con un provider di identità SAML-P (IdP) non Microsoft, gli utenti federati possono accedere usando il provider di credenziali di accesso Web.
Suggerimento
Per migliorare l'esperienza utente per le identità federate:
- Abilitare Windows Hello for Business. Dopo l'accesso, l'utente può registrarsi in Windows Hello for Business e quindi usarlo per accedere al dispositivo
- Configurare la funzionalità preferita Microsoft Entra nome tenant, che consente agli utenti di selezionare il nome di dominio durante il processo di accesso. Gli utenti vengono quindi reindirizzati automaticamente alla pagina di accesso del provider di identità
Per altre informazioni sul nome del tenant preferito, vedere Authentication CSP - PreferredAadTenantDomainName.
Considerazioni importanti
Ecco un elenco di considerazioni importanti da tenere presenti durante la configurazione o l'uso dell'accesso Web:
- Le credenziali memorizzate nella cache non sono supportate con l'accesso Web. Se il dispositivo è offline, l'utente non può usare il provider di credenziali di accesso Web per accedere
- Dopo la disconnessione, l'utente non viene visualizzato nell'elenco di selezione utente
- Una volta abilitato, il provider di credenziali di accesso Web è il provider di credenziali predefinito per i nuovi utenti che accedono al dispositivo. Per modificare il provider di credenziali predefinito, è possibile usare i criteri supportati da DefaultCredentialProvider ADMX
- L'utente può uscire dal flusso di accesso Web premendo CTRL+ALT+CANC per tornare alla schermata di blocco di Windows
Problemi noti
- Se si tenta di accedere mentre il dispositivo è offline, viene visualizzato il messaggio seguente: Non sembra di essere connesso a Internet. Controllare la connessione e riprovare. Se si seleziona l'opzione Torna all'accesso , non si torna alla schermata di blocco. Come soluzione alternativa, è possibile premere CTRL+ALT+CANC per tornare alla schermata di blocco.
Fornire commenti e suggerimenti
Per fornire commenti e suggerimenti per l'accesso Web, aprire l'hub di feedback e usare la categoria Sicurezza e privacy > Senza password.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per