Поделиться через


Данные для входа в Интернете для Windows

Начиная с Windows 11 версии 22H2 с KB5030310 вы можете включить веб-интерфейс входа на устройствах, присоединенных к Microsoft Entra. Эта функция называется веб-входом и открывает новые параметры и возможности входа.

Веб-вход — это поставщик учетных данных, который изначально появился в Windows 10 с поддержкой только временного доступа (TAP). С выпуском Windows 11 поддерживаемые сценарии и возможности веб-входа расширяются.
Например, вы можете войти с помощью приложения Microsoft Authenticator или федеративного удостоверения SAML-P.

В этой статье описывается настройка веб-входа и поддерживаемые ключевые сценарии.

Системные требования

Ниже приведены предварительные требования для использования веб-входа.

  • Windows 11 версии 22H2 с 5030310 или более поздней
  • Microsoft Entra присоединено
  • Подключение к Интернету, так как проверка подлинности выполняется через Интернет

Важно.

Веб-вход не поддерживается для Microsoft Entra устройств с гибридным присоединением или присоединением к домену.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие веб-вход.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на веб-вход предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Настройка веб-входа

Чтобы использовать веб-вход, на устройствах должны быть настроены разные политики. Ознакомьтесь со следующими инструкциями по настройке устройств с помощью Microsoft Intune или пакета подготовки (PPKG).

Примечание.

При веб-входе используется управляемая системой локальная учетная запись WsiAccount. Учетная запись создается автоматически при включении веб-входа и не отображается в списке выбора пользователей. Каждый раз, когда пользователь использует поставщик учетных данных для веб-входа, учетная запись WsiAccount включается. После входа пользователя учетная запись будет отключена.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Authentication Включение веб-входа Enabled
Authentication Настройка разрешенных URL-адресов для веб-входа Этот параметр является необязательным и содержит список доменов, необходимых для входа, например:
- idp.example.com
- example.com
Authentication Настройка доменных имен для доступа к веб-камере Этот параметр является необязательным, и его следует настроить, если вам нужно использовать веб-камеру во время входа. Укажите список доменов, которым разрешено использовать веб-камеру во время входа, например: example.com

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики со следующими параметрами:

OMA-URI Дополнительные сведения
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn EnableWebSignIn
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls ConfigureWebSignInAllowedUrls
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames НастройкаWebcamAccessDomainNames

Взаимодействие с пользователем

После настройки устройств станет доступен новый интерфейс входа, о чем свидетельствует наличие поставщика учетных данных для веб-входа на экране блокировки Windows.

Снимок экрана: экран блокировки Windows с поставщиком учетных данных для веб-входа.

Ниже приведен список ключевых сценариев, поддерживаемых веб-входом, и краткая анимация, показывающая взаимодействие с пользователем. Выберите эскиз, чтобы начать анимацию.

Беспарольный вход

Пользователи могут входить в Windows без пароля даже до регистрации в Windows Hello для бизнеса. Например, с помощью приложения Microsoft Authenticator в качестве метода входа.

Совет

При использовании в сопряжении с Windows Hello для бизнеса без пароля поставщик учетных данных пароля можно скрыть на экране блокировки, а также в сценариях проверки подлинности в сеансе. Это позволяет по-настоящему использовать Windows без пароля.

Дополнительные сведения:

сброс ПИН-кода Windows Hello для бизнеса

Поток сброса ПИН-кода Windows Hello является простым и более надежным, чем в предыдущих версиях.

Дополнительные сведения см. в разделе Сброс ПИН-кода.

Временный пропуск доступа (TAP)

Временный пропуск доступа (TAP) — это ограниченный по времени секретный код, предоставленный администратором пользователю. Пользователи могут входить с помощью TAP с помощью поставщика учетных данных для входа в Интернет. Пример:

  • для подключения Windows Hello для бизнеса или ключа безопасности FIDO2
  • если ключ безопасности FIDO2 и неизвестный пароль потерян или забыт

Дополнительные сведения см. в разделе Использование временного доступа.

Федеративная проверка подлинности

Если клиент Microsoft Entra федеративный с поставщиком удостоверений SAML-P (IdP) сторонних поставщиков, федеративные пользователи могут выполнять вход с помощью поставщика учетных данных для веб-входа.

Совет

Чтобы улучшить взаимодействие с пользователем для федеративных удостоверений, выполните следующие действия.

  • Включите Windows Hello для бизнеса. После входа пользователь может зарегистрироваться в Windows Hello для бизнеса, а затем использовать его для входа на устройство.
  • Настройте предпочтительную функцию имени клиента Microsoft Entra, которая позволяет пользователям выбирать доменное имя во время входа. Затем пользователи автоматически перенаправляются на страницу входа поставщика удостоверений Снимок экрана: экран блокировки Windows с настроенным клиентом.

Дополнительные сведения о предпочтительном имени клиента см. в разделе Authentication CSP — PreferredAadTenantDomainName.

Важные рекомендации

Ниже приведен список важных аспектов, которые следует учитывать при настройке или использовании веб-входа.

  • Кэшированные учетные данные не поддерживаются при веб-входе. Если устройство находится в автономном режиме, пользователь не может использовать поставщик учетных данных веб-входа для входа.
  • После выхода пользователь не отображается в списке выбора пользователей.
  • После включения поставщик учетных данных для веб-входа является поставщиком учетных данных по умолчанию для новых пользователей, включаемых на устройство. Чтобы изменить поставщик учетных данных по умолчанию, можно использовать политику ADMX с поддержкой DefaultCredentialProvider .
  • Пользователь может выйти из потока веб-входа, нажав клавиши CTRL+ALT+DELETE , чтобы вернуться на экран блокировки Windows.

Известные проблемы

  • Если вы попытаетесь выполнить вход, когда устройство находится в автономном режиме, появится следующее сообщение: Это не похоже на то, что вы подключены к Интернету. Проверьте подключение и повторите попытку. Если выбрать параметр Назад к входу , вы не вернеесь на экран блокировки. В качестве обходного решения можно нажать клавиши CTRL+ALT+DELETE , чтобы вернуться на экран блокировки.

Предоставление отзывов

Чтобы оставить отзыв о входе в веб-сайт, откройте Центр отзывов и используйте категорию Безопасность и конфиденциальность > без пароля.