Compartilhar via


Credenciais da Web para Windows

A partir de Windows 11, versão 22H2 com KB5030310, você pode habilitar uma experiência de entrada baseada na Web em Microsoft Entra dispositivos ingressados. Esse recurso é chamado de entrada da Web e desbloqueia novas opções e recursos de entrada.

O logon da Web é um provedor de credencial e foi inicialmente introduzido em Windows 10 com suporte apenas para TAP (Passe de Acesso Temporário). Com a versão do Windows 11, os cenários e os recursos com suporte do logon da Web são expandidos.
Por exemplo, você pode entrar com o aplicativo Microsoft Authenticator ou com uma identidade federada SAML-P.

Este artigo descreve como configurar o logon da Web e os cenários-chave com suporte.

Requisitos de sistema

Aqui estão os pré-requisitos para usar a entrada da Web:

Importante

Não há suporte para entrada na Web para Microsoft Entra dispositivos ingressados híbridos ou ingressados no domínio.

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte à entrada da Web:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença de entrada da Web são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Configurar o logon da Web

Para usar o logon da Web, seus dispositivos devem ser configurados com políticas diferentes. Examine as instruções a seguir para configurar seus dispositivos usando Microsoft Intune ou um PPKG (pacote de provisionamento).

Observação

O logon da Web usa uma conta local gerenciada pelo sistema chamada WsiAccount. A conta é criada automaticamente quando você habilita a entrada na Web e não é exibida na lista de seleção de usuários. Sempre que um usuário usa o provedor de credencial de entrada da Web, a conta WsiAccount está habilitada. Depois que o usuário entra, a conta é desabilitada.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria Nome da configuração Valor
Authentication Habilitar o Logon da Web Habilitada
Authentication Configurar urls permitidas de entrada da Web Essa configuração é opcional e contém uma lista de domínios necessários para entrar, por exemplo:
- idp.example.com
- example.com
Authentication Configurar nomes de domínio de acesso da webcam Essa configuração é opcional e deve ser configurada se você precisar usar a webcam durante o processo de entrada. Especifique a lista de domínios que podem usar a webcam durante o processo de entrada, por exemplo: example.com

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com as seguintes configurações:

OMA-URI Mais informações
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn EnableWebSignIn
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls ConfigurarWebSignInAllowedUrls
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames ConfigurarWebcamAccessDomainNames

Experiências do usuário

Depois que os dispositivos são configurados, uma nova experiência de entrada fica disponível, conforme indicado pela presença do provedor de credencial de entrada da Web na tela de bloqueio do Windows.

Captura de tela da tela de bloqueio do Windows mostrando o provedor de credencial de entrada da Web.

Aqui está uma lista dos principais cenários compatíveis com a entrada da Web e uma breve animação mostrando a experiência do usuário. Selecione a miniatura para iniciar a animação.

Entrada sem senha

Os usuários podem entrar no Windows sem senha, mesmo antes de se registrarem em Windows Hello para Empresas. Por exemplo, usando o aplicativo Microsoft Authenticator como um método de entrada.

Dica

Quando usado em conjucção com Windows Hello para Empresas sem senha, você pode ocultar o provedor de credencial de senha da tela de bloqueio, bem como cenários de autenticação na sessão. Isso permite uma experiência do Windows verdadeiramente sem senha.

Para saber mais:

redefinição de PIN Windows Hello para Empresas

O fluxo de redefinição de PIN Windows Hello é contínuo e mais robusto do que nas versões anteriores.

Para obter mais informações, confira Redefinição de PIN.

Passe de Acesso Temporário (TAP)

Um TAP (Passe de Acesso Temporário) é uma senha limitada por tempo concedida por um administrador a um usuário. Os usuários podem entrar com um TAP usando o provedor de credencial de entrada da Web. Por exemplo:

  • para integrar Windows Hello para Empresas ou uma chave de segurança FIDO2
  • se a chave de segurança FIDO2 perdida ou esquecida e a senha desconhecida

Para obter mais informações, consulte Usar um Passe de Acesso Temporário.

Autenticação federada

Se o locatário Microsoft Entra for federado com um IdP (provedor de identidade SAML-P) não microsoft, os usuários federados poderão assinar usando o provedor de credencial de entrada da Web.

Dica

Para melhorar a experiência do usuário para identidades federadas:

  • Habilitar Windows Hello para Empresas. Depois que o usuário entrar, o usuário poderá se registrar no Windows Hello para Empresas e usá-lo para entrar no dispositivo
  • Configure o recurso de nome de locatário Microsoft Entra preferencial, que permite que os usuários selecionem o nome de domínio durante o processo de entrada. Em seguida, os usuários são redirecionados automaticamente para a página de entrada do provedor de identidade Captura de tela da tela de bloqueio do Windows com o locatário preferencial configurado.

Para obter mais informações sobre o nome do locatário preferencial, consulte Autenticação CSP – PreferredAadTenantDomainName.

Considerações importantes

Aqui está uma lista de considerações importantes a serem consideradas ao configurar ou usar a entrada da Web:

  • As credenciais armazenadas em cache não têm suporte com a entrada na Web. Se o dispositivo estiver offline, o usuário não poderá usar o provedor de credencial de entrada da Web para entrar
  • Após a saída, o usuário não é exibido na lista de seleção de usuários
  • Depois de habilitado, o provedor de credencial de entrada da Web é o provedor de credencial padrão para novos usuários que entrarão no dispositivo. Para alterar o provedor de credencial padrão, você pode usar a política com suporte defaultCredentialProvider ADMX
  • O usuário pode sair do fluxo de entrada da Web pressionando Ctrl+Alt+Delete para voltar à tela de bloqueio do Windows

Problemas conhecidos

  • Se você tentar entrar enquanto o dispositivo estiver offline, você receberá a seguinte mensagem: Não parece que você está conectado à Internet. Verifique sua conexão e tente novamente. Selecionar a opção Voltar para entrar não o traz de volta para a tela de bloqueio. Como solução alternativa, você pode pressionar Ctrl+Alt+Delete para voltar à tela de bloqueio.

Fornecer comentários

Para fornecer comentários sobre a entrada na Web, abra o Hub de Comentários e use a categoria Segurança e Privacidade > Sem Senha.