Данные для входа в Интернете для Windows
Начиная с Windows 11 версии 22H2 с KB5030310 вы можете включить веб-интерфейс входа на устройствах, присоединенных к Microsoft Entra. Эта функция называется веб-входом и открывает новые параметры и возможности входа.
Веб-вход — это поставщик учетных данных, который изначально появился в Windows 10 с поддержкой только временного доступа (TAP). С выпуском Windows 11 поддерживаемые сценарии и возможности веб-входа расширяются.
Например, вы можете войти с помощью приложения Microsoft Authenticator или федеративного удостоверения SAML-P.
В этой статье описывается настройка веб-входа и поддерживаемые ключевые сценарии.
Системные требования
Ниже приведены предварительные требования для использования веб-входа.
- Windows 11 версии 22H2 с 5030310 или более поздней
- Microsoft Entra присоединено
- Подключение к Интернету, так как проверка подлинности выполняется через Интернет
Важно.
Веб-вход не поддерживается для Microsoft Entra устройств с гибридным присоединением или присоединением к домену.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие веб-вход.
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Права на веб-вход предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Настройка веб-входа
Чтобы использовать веб-вход, на устройствах должны быть настроены разные политики. Ознакомьтесь со следующими инструкциями по настройке устройств с помощью Microsoft Intune или пакета подготовки (PPKG).
Примечание.
При веб-входе используется управляемая системой локальная учетная запись WsiAccount. Учетная запись создается автоматически при включении веб-входа и не отображается в списке выбора пользователей. Каждый раз, когда пользователь использует поставщик учетных данных для веб-входа, учетная запись WsiAccount включается. После входа пользователя учетная запись будет отключена.
Intune
PPKGЧтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
| Категория | Имя параметра | Значение |
|---|---|---|
| Authentication | Включение веб-входа | Enabled |
| Authentication | Настройка разрешенных URL-адресов для веб-входа | Этот параметр является необязательным и содержит список доменов, необходимых для входа, например: - idp.example.com- example.com |
| Authentication | Настройка доменных имен для доступа к веб-камере | Этот параметр является необязательным, и его следует настроить, если вам нужно использовать веб-камеру во время входа. Укажите список доменов, которым разрешено использовать веб-камеру во время входа, например: example.com |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики со следующими параметрами:
| OMA-URI | Дополнительные сведения |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
НастройкаWebcamAccessDomainNames |
Взаимодействие с пользователем
После настройки устройств станет доступен новый интерфейс входа, о чем свидетельствует наличие поставщика 
учетных данных для веб-входа на экране блокировки Windows.
Ниже приведен список ключевых сценариев, поддерживаемых веб-входом, и краткая анимация, показывающая взаимодействие с пользователем. Выберите эскиз, чтобы начать анимацию.
Беспарольный вход
Пользователи могут входить в Windows без пароля даже до регистрации в Windows Hello для бизнеса. Например, с помощью приложения Microsoft Authenticator в качестве метода входа.
Совет
При использовании в сопряжении с Windows Hello для бизнеса без пароля поставщик учетных данных пароля можно скрыть на экране блокировки, а также в сценариях проверки подлинности в сеансе. Это позволяет по-настоящему использовать Windows без пароля.
Дополнительные сведения:
- Включение входа без пароля с помощью Microsoft Authenticator
- Параметры проверки подлинности без пароля для Microsoft Entra ID
- Интерфейс Windows без пароля
сброс ПИН-кода Windows Hello для бизнеса
Поток сброса ПИН-кода Windows Hello является простым и более надежным, чем в предыдущих версиях.
Дополнительные сведения см. в разделе Сброс ПИН-кода.
Временный пропуск доступа (TAP)
Временный пропуск доступа (TAP) — это ограниченный по времени секретный код, предоставленный администратором пользователю. Пользователи могут входить с помощью TAP с помощью поставщика учетных данных для входа в Интернет. Пример:
- для подключения Windows Hello для бизнеса или ключа безопасности FIDO2
- если ключ безопасности FIDO2 и неизвестный пароль потерян или забыт
Дополнительные сведения см. в разделе Использование временного доступа.
Федеративная проверка подлинности
Если клиент Microsoft Entra федеративный с поставщиком удостоверений SAML-P (IdP) сторонних поставщиков, федеративные пользователи могут выполнять вход с помощью поставщика учетных данных для веб-входа.
Совет
Чтобы улучшить взаимодействие с пользователем для федеративных удостоверений, выполните следующие действия.
- Включите Windows Hello для бизнеса. После входа пользователь может зарегистрироваться в Windows Hello для бизнеса, а затем использовать его для входа на устройство.
- Настройте предпочтительную функцию имени клиента Microsoft Entra, которая позволяет пользователям выбирать доменное имя во время входа. Затем пользователи автоматически перенаправляются на страницу входа поставщика удостоверений
Дополнительные сведения о предпочтительном имени клиента см. в разделе Authentication CSP — PreferredAadTenantDomainName.
Важные рекомендации
Ниже приведен список важных аспектов, которые следует учитывать при настройке или использовании веб-входа.
- Кэшированные учетные данные не поддерживаются при веб-входе. Если устройство находится в автономном режиме, пользователь не может использовать поставщик учетных данных веб-входа для входа.
- После выхода пользователь не отображается в списке выбора пользователей.
- После включения поставщик учетных данных для веб-входа является поставщиком учетных данных по умолчанию для новых пользователей, включаемых на устройство. Чтобы изменить поставщик учетных данных по умолчанию, можно использовать политику ADMX с поддержкой DefaultCredentialProvider .
- Пользователь может выйти из потока веб-входа, нажав клавиши CTRL+ALT+DELETE , чтобы вернуться на экран блокировки Windows.
Известные проблемы
- Если вы попытаетесь выполнить вход, когда устройство находится в автономном режиме, появится следующее сообщение: Это не похоже на то, что вы подключены к Интернету. Проверьте подключение и повторите попытку. Если выбрать параметр Назад к входу , вы не вернеесь на экран блокировки. В качестве обходного решения можно нажать клавиши CTRL+ALT+DELETE , чтобы вернуться на экран блокировки.
Предоставление отзывов
Чтобы оставить отзыв о входе в веб-сайт, откройте Центр отзывов и используйте категорию Безопасность и конфиденциальность > без пароля.