为 Windows 设备配置联合登录

• 适用于:

  ✅ Windows 11, ✅ Windows 11 SE

从具有 KB5022913 的 Windows 11 SE 版本 22H2 和 Windows 11 专业版 Edu/Education 版本 22H2 开始，你可以让用户通过 Web 登录体验使用联合标识提供者 (IdP) 登录。 使用联合标识登录是简化用户的登录过程的好方法：他们可以使用 IdP 中的现有凭据登录，而无需记住 Microsoft Entra ID 中定义的用户名和密码。 例如，学生和教师可以使用 QR 码锁屏提醒登录。

联合登录的优点

联合登录体验使学生能够以更少的时间和更少的摩擦登录。 由于要记住的凭据更少，并且登录过程简化，学生可以更加参与和专注于学习。

有两个 Windows 功能可实现联合登录体验：

• 联合登录，专为 1：1 学生设备设计。 为了获得最佳体验，不应在共享设备上启用联合登录
• Web 登录，提供与 联合登录类似的体验，可用于共享设备

重要提示

联合登录 和 Web 登录 需要不同的配置，本文档对此进行了说明。

必备条件

若要启用联合登录体验，必须满足以下先决条件：

1. Microsoft Entra 租户，其中一个或多个域与第三方 IdP 联合。 有关详细信息，请参阅 什么是与 Microsoft Entra ID 联合？ 和使用 SAML 2.0 IdP 进行单一登录

   注意

   如果你的组织使用第三方联合身份验证解决方案，如果解决方案与 Microsoft Entra ID 兼容，则可以配置对 Microsoft Entra ID 的单一登录。 有关兼容性的问题，请联系标识提供者。 如果你是 IdP，并且想要验证解决方案的互操作性，请参阅这些 准则。

   • 有关如何将 Google Workspace 配置为 Microsoft Entra ID 的标识提供者的分步指南，请参阅 配置 Google Workspace 与 Microsoft Entra ID 之间的联合
   • 有关如何将 Clever 配置为 Microsoft Entra ID 标识提供者的分步指南，请参阅 Windows 和 Microsoft Entra ID 的锁屏提醒设置指南

2. 已创建单个 IdP 帐户：每个用户都需要在第三方 IdP 平台中定义的帐户

3. 已创建单个 Microsoft Entra 帐户：每个用户都需要在 Microsoft Entra ID 中定义的匹配帐户。 这些帐户通常通过自动化解决方案创建，例如：

   • 学校数据同步 (SDS)
   • Microsoft Entra Connect Sync for environment with on-premises AD DS
   • 调用 Microsoft Graph API 的 PowerShell 脚本
   • IdP 提供的预配工具

   有关标识匹配的详细信息，请参阅 Microsoft Entra ID 中的标识匹配。

4. 分配给 Microsoft Entra 用户帐户的许可证。 建议将许可证分配给动态组：在 Microsoft Entra ID 中预配新用户时，会自动分配许可证。 有关详细信息，请参阅 Microsoft Entra ID 中的组成员身份向用户分配许可证

5. 在 Windows 设备上启用联合登录或 Web 登录，具体取决于设备是共享还是分配给单个学生

若要使用联合登录或 Web 登录，设备必须具有 Internet 访问权限。 如果没有这些功能，这些功能就无法工作，因为身份验证是通过 Internet 完成的。

重要提示

WS-Fed 是唯一支持将设备加入 Microsoft Entra ID 的联合协议。 如果你有 SAML 2.0 IdP，建议使用以下方法之一完成 Microsoft Entra 加入过程：

• (PPKG) 预配包
• Windows Autopilot 自部署模式

Windows 版本和许可要求

下表列出了支持联合登录的 Windows 版本：

Windows 专业版	Windows 企业版	Windows 专业教育版/SE	Windows 教育版
否	否	是	是

联合登录许可证权利由以下许可证授予：

Windows 专业教育版/SE	Windows 企业版 E3	Windows 企业版 E5	Windows 教育版 A3	Windows 教育版 A5
是	否	否	是	是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

以下 Windows 版本支持联合登录：

• Windows 11 SE 版本 22H2 及更高版本
• Windows 11 专业版教育版，版本 22H2，KB5022913

从 Windows 11 SE/Pro Edu/Education 版本 22H2 开始支持 Web 登录 ，KB5026446。

配置联合登录体验

可以为分配 (1：1) 设备或学生共享设备的学生配置联合登录体验：

• 为 学生分配 (1：1) 设备配置联合登录时，你将使用名为 “联合登录”的 Windows 功能。 使用联合标识登录到设备的第一个 用户将成为主要用户。 主用户始终显示在登录屏幕的左下角
• 为 学生共享设备配置联合登录时，将使用名为 Web 登录的 Windows 功能。 使用 Web 登录时，没有主用户，登录屏幕默认显示最后一个登录到设备的用户

每种方案的配置都不同，以下部分将介绍。

为学生分配 (1：1) 设备配置联合登录

查看以下说明，使用 Microsoft Intune 或预配包 (PPKG) 配置设备。

Intune

若要使用 Microsoft Intune 配置设备， 请创建设置目录策略 并使用以下设置：

类别	设置名称	值
教育	是教育环境	已启用
联合身份验证	为主用户启用 Web 登录	启用
Authentication	配置允许的 Web 登录 URL	输入域列表，每个 URL 位于单独的行中。 例如： - samlidp.clever.com - clever.com - mobile-redirector.clever.com
Authentication	配置网络摄像头访问域名	此设置是可选的，如果需要在登录过程中使用网络摄像头，则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表，用分号分隔。 例如：clever.com

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以使用具有以下设置的 自定义策略 配置设备：

设置
OMA-URI： ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment 数据类型：int 值： 1
OMA-URI： ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUser 数据类型：int 值： 1
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 数据类型：字符串 值：以分号分隔的域列表，例如： samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** 数据类型：字符串 值：此设置是可选的，如果需要在登录过程中使用网络摄像头，则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表，用分号分隔。 例如：clever.com

PPKG

若要使用预配包配置联合登录，请使用以下设置：

设置
路径： Education/IsEducationEnvironment 值：已启用
路径： FederatedAuthentication/EnableWebSignInForPrimaryUser 值：已启用
路径： Policies/Authentication/ConfigureWebSignInAllowedUrls 值：以分号分隔的域列表，例如： samlidp.clever.com;clever.com;mobile-redirector.clever.com
路径： Policies/Authentication/ConfigureWebCamAccessDomainNames 值：此设置是可选的，如果需要在登录过程中使用网络摄像头，则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表，用分号分隔。 例如：clever.com

将预配包应用于需要联合登录的 1：1 设备。

重要提示

在 OOBE 期间使用预配包时，存在影响 Windows 11 版本 22H2 的问题。 此问题已通过KB5020044更新修复。 如果计划在 OOBE 期间使用预配包配置联合登录，请确保设备已安装更新。 有关详细信息，请参阅 KB5020044。

为学生共享设备配置 Web 登录

查看以下说明，使用 Microsoft Intune 或预配包 (PPKG) 配置共享设备。

Intune

若要使用 Microsoft Intune 配置设备， 请创建设置目录策略 并使用以下设置：

类别	设置名称	值
教育	是教育环境	已启用
SharedPC	使用 OneDrive 同步启用共享电脑模式	True
Authentication	启用 Web 登录	已启用
Authentication	配置允许的 Web 登录 URL	输入域列表，每个 URL 位于单独的行中。 例如： - samlidp.clever.com - clever.com - mobile-redirector.clever.com
Authentication	配置网络摄像头访问域名	此设置是可选的，如果需要在登录过程中使用网络摄像头，则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表，用分号分隔。 例如：clever.com

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以使用具有以下设置的 自定义策略 配置设备：

设置
OMA-URI： ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment 数据类型：int 值： 1
OMA-URI： ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSync 数据类型：布尔值 值：True
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn 数据类型：整数 值： 1
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 数据类型：字符串 值：以分号分隔的域列表，例如： samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames 数据类型：字符串 值：此设置是可选的，如果需要在登录过程中使用网络摄像头，则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表，用分号分隔。 例如：clever.com

PPKG

若要使用预配包配置 Web 登录，请使用以下设置：

设置
路径： Education/IsEducationEnvironment 值： 已启用
路径： SharedPC/EnableSharedPCModeWithOneDriveSync 值：True
路径： Policies/Authentication/EnableWebSignIn 值： 已启用
路径： Policies/Authentication/ConfigureWebSignInAllowedUrls 值：以分号分隔的域列表，例如： samlidp.clever.com;clever.com;mobile-redirector.clever.com
路径： Policies/Authentication/ConfigureWebCamAccessDomainNames 值：此设置是可选的，如果需要在登录过程中使用网络摄像头，则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表，用分号分隔。 例如：clever.com

将预配包应用于需要 Web 登录的共享设备。

重要提示

在 OOBE 期间使用预配包时，存在影响 Windows 11 版本 22H2 的问题。 此问题已通过KB5020044更新修复。 如果计划在 OOBE 期间使用预配包配置联合登录，请确保设备已安装更新。 有关详细信息，请参阅 KB5020044。

如何使用联合登录

配置设备后，新的登录体验将变为可用。

当用户输入其用户名时，会重定向到标识提供者登录页。 Idp 对用户进行身份验证后，即已登录。 在以下动画中，可以观察第一个登录过程如何适用于分配 (1：1) 设备的学生：

重要提示

对于分配 (1：1) 设备的学生，启用策略后，登录到设备的第一个用户还将将消除歧义页设置为设备上的标识提供者域。 这意味着设备将默认为该 IdP。 用户可以通过按 Ctrl+Alt+Delete 退出联合登录流，以返回到标准 Windows 登录屏幕。 学生共享设备的行为不同，除非配置了首选 Microsoft Entra 租户名称，否则始终显示消除歧义页。

重要注意事项

影响学生分配 (1：1) 设备的已知问题

(1：1) 设备分配的学生联合登录不适用于启用以下设置：

• EnableSharedPCMode 或 EnableSharedPCModeWithOneDriveSync，它们是 SharedPC CSP 的一部分
• 交互式登录：不显示上次登录，这是策略 CSP 的安全策略部分
• 在展台模式下进行测试，因为它使用上述安全策略

影响学生共享设备的已知问题

已知以下问题会影响学生共享设备：

• 非联合用户无法登录到设备，包括本地帐户
• 在展台模式下进行测试，因为它使用本地来宾帐户登录

帐户管理

对于学生共享设备，建议配置帐户管理策略，以便在处于非活动状态或磁盘级别后自动删除用户配置文件。 有关详细信息，请参阅 设置共享或来宾 Windows 设备。

首选 Microsoft Entra 租户名称

若要改善用户体验，可以配置 首选的 Microsoft Entra 租户名称 功能。
使用首选 Microsoft Entra 租户名称时，用户会绕过消除歧义页，并重定向到标识提供者登录页。 对于始终显示消除歧义页的学生共享设备，此配置尤其有用。

有关首选租户名称的详细信息，请参阅 身份验证 CSP - PreferredAadTenantDomainName。

Microsoft Entra ID 中的标识匹配

当 Microsoft Entra 用户联合时，IdP 中的用户标识必须与 Microsoft Entra ID 中的现有用户对象匹配。 验证 IdP 发送的令牌后，Microsoft Entra ID 使用名为 ImmutableId 的属性在租户中搜索匹配的用户对象。

注意

ImmutableId 是一个字符串值，对于租户中的每个用户 来说都必须是唯 一的，并且它不应随时间推移而更改。 例如，ImmutableId 可以是学生 ID 或 SIS ID。 ImmutableId 值应基于 IdP 的联合设置和配置，因此请在设置前先与 IdP 确认。

如果找到匹配的对象，则表示用户已登录。 否则，将向用户显示错误消息。 下图显示找不到 ImmutableId 260051 的用户：

重要提示

ImmutableId 匹配区分大小写。

ImmutableId 通常在使用 Microsoft Entra ID 创建用户时进行配置，但也可以在以后更新。
在用户已联合并且你想要更改 ImmutableId 的情况下，必须：

1. 将联合用户转换为仅限云的用户 (将 UPN 更新为非联合域)
2. 更新 ImmutableId
3. 将用户转换回联合用户

下面是更新联合用户的 ImmutableId 的 PowerShell 示例：

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'

#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com

#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'

疑难解答

• 用户可以通过按 Ctrl+Alt+Delete 返回标准 Windows 登录屏幕来退出联合登录流
• 选择“ 其他用户 ”按钮，可以使用标准用户名/密码凭据登录到设备