适用于 Windows 的 Web 登录
从 Windows 11 版本 22H2 和 KB5030310 开始,可以在已加入Microsoft Entra的设备上启用基于 Web 的登录体验。 此功能称为 Web 登录,可解锁新的登录选项和功能。
Web 登录是一种凭据提供程序,最初是在 Windows 10 中引入的,仅支持 TAP) (临时访问密码。 随着 Windows 11 的发布,Web 登录支持的方案和功能将得到扩展。
例如,可以使用 Microsoft Authenticator 应用或 SAML-P 联合标识登录。
本文介绍如何配置 Web 登录和支持的关键方案。
系统要求
下面是使用 Web 登录的先决条件:
- Windows 11版本 22H2(包含 5030310 或更高版本)
- 已加入Microsoft Entra
- Internet 连接,因为身份验证是通过 Internet 完成的
重要提示
Microsoft Entra混合加入或加入域的设备不支持 Web 登录。
Windows 版本和许可要求
下表列出了支持 Web 登录的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
Web 登录许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
配置 Web 登录
若要使用 Web 登录,必须为设备配置不同的策略。 查看以下说明,使用 Microsoft Intune 或预配包 (PPKG) 配置设备。
注意
Web 登录使用名为 WsiAccount 的系统托管本地帐户。 启用 Web 登录时会自动创建帐户,并且不会显示在用户选择列表中。 每次用户使用 Web 登录凭据提供程序时, 都会启用 WsiAccount 帐户。 用户登录后,将禁用该帐户。
Intune
PPKG若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 | 值 |
|---|---|---|
| Authentication | 启用 Web 登录 | 已启用 |
| Authentication | 配置允许的 Web 登录 URL | 此设置是可选的,它包含登录所需的域列表,例如: - idp.example.com- example.com |
| Authentication | 配置网络摄像头访问域名 | 此设置是可选的,如果需要在登录过程中使用网络摄像头,则应对其进行配置。 指定允许在登录过程中使用网络摄像头的域列表,例如: example.com |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
或者,可以使用具有以下设置的 自定义策略 配置设备:
| OMA-URI | 更多信息 |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
用户体验
配置设备后,新的登录体验将变为可用,如 Windows 锁屏界面中是否存在 Web 登录凭据提供程序 
所示。
下面是 Web 登录支持的关键方案列表,以及显示用户体验的简短动画。 选择缩略图以启动动画。
无密码登录
即使在注册Windows Hello 企业版之前,用户也可以无密码登录到 Windows。 例如,通过使用 Microsoft Authenticator 应用作为登录方法。
提示
与无密码Windows Hello 企业版结合使用时,可以从锁屏界面以及会话内身份验证方案隐藏密码凭据提供程序。 这可实现真正无密码的 Windows 体验。
若要了解详细信息,请:
Windows Hello 企业版 PIN 重置
Windows Hello PIN 重置流是无缝的,并且比以前的版本更可靠。
有关详细信息,请参阅 PIN 重置。
临时访问密码 (TAP)
临时访问密码 (TAP) 是管理员授予用户的限时密码。 用户可以使用 Web 登录凭据提供程序使用 TAP 登录。 例如:
- 加入Windows Hello 企业版或 FIDO2 安全密钥
- 如果丢失或忘记 FIDO2 安全密钥和未知密码
有关详细信息,请参阅 使用临时访问密码。
联合身份验证
如果Microsoft Entra租户与非 Microsoft SAML-P 标识提供者 (IdP) 联合,则联合用户可以使用 Web 登录凭据提供程序进行签名。
提示
改善联合标识的用户体验:
- 启用Windows Hello 企业版。 用户登录后,用户可以注册Windows Hello 企业版然后使用它登录到设备
- 配置首选Microsoft Entra租户名称功能,该功能允许用户在登录过程中选择域名。 然后,用户会自动重定向到标识提供者登录页
有关首选租户名称的详细信息,请参阅 身份验证 CSP - PreferredAadTenantDomainName。
重要注意事项
下面是配置或使用 Web 登录时要记住的重要注意事项列表:
- Web 登录不支持缓存凭据。 如果设备脱机,则用户无法使用 Web 登录凭据提供程序登录
- 注销后,用户不会显示在用户选择列表中
- 启用后,Web 登录凭据提供程序是登录到设备的新用户的默认凭据提供程序。 若要更改默认凭据提供程序,可以使用 DefaultCredentialProvider ADMX 支持的策略
- 用户可以通过按 Ctrl+Alt+Delete 退出 Web 登录流以返回到 Windows 锁屏界面
已知问题
- 如果尝试在设备脱机时登录,则会收到以下消息: 它看起来未连接到 Internet。请检查连接,然后重试。 选择“ 返回登录 ”选项不会将你返回到锁屏界面。 解决方法是按 Ctrl+Alt+Delete 返回锁屏界面。
提供反馈
若要提供有关 Web 登录的反馈,请打开 “反馈中心 ”,并使用类别 “安全和隐私 > 无密码”体验。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈