Konfigurieren der Verbundanmeldung für Windows-Geräte

Ab Windows 11 SE Version 22H2 und Windows 11 Pro Edu/Education, Version 22H2 mit KB5022913, können Sie Es Benutzern ermöglichen, sich über eine Webanmeldung mit einem Verbundidentitätsanbieter (IdP) anzumelden. Die Anmeldung mit einer Verbundidentität kann eine hervorragende Möglichkeit sein, den Anmeldevorgang für Ihre Benutzer zu vereinfachen: Anstatt sich einen Benutzernamen und ein Kennwort merken zu müssen, die in Microsoft Entra ID definiert sind, können sie sich mit ihren vorhandenen Anmeldeinformationen vom IdP anmelden. Lernende/Studierende und Lehrkräfte können sich beispielsweise mithilfe von QR-Code-Badges anmelden.

Vorteile der Verbundanmeldung

Eine Verbundanmeldungsumgebung ermöglicht es den Kursteilnehmern, sich schneller und mit weniger Reibung anzumelden. Mit weniger Anmeldeinformationen und einem vereinfachten Anmeldeprozess sind die Schüler engagierter und konzentrieren sich auf das Lernen.

Es gibt zwei Windows-Features, die eine Verbundanmeldung ermöglichen:

  • Verbundanmeldung, die für 1:1-Schülergeräte konzipiert ist. Um eine optimale Erfahrung zu erzielen, sollten Sie die Verbundanmeldung auf freigegebenen Geräten nicht aktivieren.
  • Webanmeldung, die eine ähnliche Benutzeroberfläche wie die Verbundanmeldung bietet und für freigegebene Geräte verwendet werden kann

Wichtig

Verbundanmeldung und Webanmeldung erfordern unterschiedliche Konfigurationen, die in diesem Dokument erläutert werden.

Voraussetzungen

Um eine Verbundanmeldung zu ermöglichen, müssen die folgenden Voraussetzungen erfüllt sein:

  1. Ein Microsoft Entra Mandant mit einer oder mehreren Domänen, die mit einem Drittanbieter-IdP verbunden sind. Weitere Informationen finden Sie unter Was ist ein Verbund mit Microsoft Entra ID? und Verwenden eines SAML 2.0-IdP für Single Sign-On

    Hinweis

    Wenn Ihr organization eine Verbundlösung eines Drittanbieters verwendet, können Sie einmaliges Anmelden für Microsoft Entra ID konfigurieren, wenn die Lösung mit Microsoft Entra ID kompatibel ist. Wenden Sie sich bei Fragen zur Kompatibilität an Ihren Identitätsanbieter. Wenn Sie ein IdP sind und Ihre Lösung auf Interoperabilität überprüfen möchten, lesen Sie diese Richtlinien.

  2. Individuelle IdP-Konten erstellt: Jeder Benutzer benötigt ein Konto, das in der IdP-Plattform eines Drittanbieters definiert ist.

  3. Einzelne Microsoft Entra Konten erstellt: Jeder Benutzer benötigt ein übereinstimmende Konto, das in Microsoft Entra ID definiert ist. Diese Konten werden häufig mithilfe automatisierter Lösungen erstellt, z. B.:

    Weitere Informationen zum Identitätsabgleich finden Sie unter Identitätsabgleich in Microsoft Entra ID.

  4. Lizenzen, die den Microsoft Entra Benutzerkonten zugewiesen sind. Es wird empfohlen, Lizenzen einer dynamischen Gruppe zuzuweisen: Wenn neue Benutzer in Microsoft Entra ID bereitgestellt werden, werden die Lizenzen automatisch zugewiesen. Weitere Informationen finden Sie unter Zuweisen von Lizenzen zu Benutzern nach Gruppenmitgliedschaft in Microsoft Entra ID

  5. Aktivieren der Verbundanmeldung oder Webanmeldung auf den Windows-Geräten, je nachdem, ob die Geräte freigegeben oder einem einzelnen Kursteilnehmer zugewiesen sind

Um die Verbundanmeldung oder Die Webanmeldung verwenden zu können, müssen die Geräte über Internetzugriff verfügen. Diese Features funktionieren nicht ohne, da die Authentifizierung über das Internet erfolgt.

Wichtig

WS-Fed ist das einzige unterstützte Verbundprotokoll, um ein Gerät mit Microsoft Entra ID zu verbinden. Wenn Sie über einen SAML 2.0-IdP verfügen, wird empfohlen, den Microsoft Entra Joinprozess mit einer der folgenden Methoden abzuschließen:

  • Bereitstellungspakete (PPKG)
  • Self-Deployment-Modus im Windows Autopilot

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Verbundanmeldung unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Nein Nein Ja Ja

Verbundanmeldungslizenzberechtigungen werden von den folgenden Lizenzen gewährt:

Windows Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Nein Nein Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Die Verbundanmeldung wird in den folgenden Windows-Editionen und -Versionen unterstützt:

  • Windows 11 SE, Version 22H2 und höher
  • Windows 11 Pro Edu/Education, Version 22H2 mit KB5022913

Die Webanmeldung wird ab Windows 11 SE/Pro Edu/Education, Version 22H2 mit KB5026446 unterstützt.

Konfigurieren einer Verbundanmeldung

Sie können eine Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1) oder von Kursteilnehmern gemeinsam genutzte Geräte konfigurieren:

  • Wenn die Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1) konfiguriert ist, verwenden Sie ein Windows-Feature namens Verbundanmeldung. Der erste Benutzer, der sich mit einer Verbundidentität beim Gerät anmeldet, wird zum primären Benutzer. Der primäre Benutzer wird immer in der unteren linken Ecke des Anmeldebildschirms angezeigt.
  • Wenn die Verbundanmeldung für von Kursteilnehmern freigegebene Geräte konfiguriert ist, verwenden Sie ein Windows-Feature namens Webanmeldung. Bei der Webanmeldung gibt es keinen primären Benutzer, und auf dem Anmeldebildschirm wird standardmäßig der letzte Benutzer angezeigt, der sich beim Gerät angemeldet hat.

Die Konfiguration unterscheidet sich für jedes Szenario und wird in den folgenden Abschnitten beschrieben.

Konfigurieren der Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1)

Lesen Sie die folgenden Anweisungen, um Ihre Geräte mit Microsoft Intune oder einem Bereitstellungspaket (PPKG) zu konfigurieren.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Bildung Ist Bildungsumgebung Aktiviert
Verbundauthentifizierung Aktivieren der Webanmeldung für den primären Benutzer Aktiviert
Authentication Konfigurieren zulässiger UrLs für die Webanmeldung Durch Semikolons getrennte Liste von Domänen, z. B.: samlidp.clever.com;clever.com;mobile-redirector.clever.com
Authentication Konfigurieren von Webcam-Zugriffsdomänennamen Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit den folgenden Einstellungen konfigurieren:

Einstellung
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment
Datentyp: int
Wert: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUser
Datentyp: int
Wert: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Datentyp: String
Wert: Durch Semikolons getrennte Liste von Domänen, z. B.: samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames**
Datentyp: String
Wert: Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com

Konfigurieren der Webanmeldung für freigegebene Geräte von Kursteilnehmern

Lesen Sie die folgenden Anweisungen, um Ihre freigegebenen Geräte mit Microsoft Intune oder einem Bereitstellungspaket (PPKG) zu konfigurieren.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Bildung Ist Bildungsumgebung Aktiviert
SharedPC Aktivieren des modus für gemeinsam genutzte PCs mit OneDrive-Synchronisierung Wahr
Authentication Aktivieren der Webanmeldung Aktiviert
Authentication Konfigurieren zulässiger UrLs für die Webanmeldung Durch Semikolons getrennte Liste von Domänen, z. B.: samlidp.clever.com;clever.com;mobile-redirector.clever.com
Authentication Konfigurieren von Webcam-Zugriffsdomänennamen Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit den folgenden Einstellungen konfigurieren:

Einstellung
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment
Datentyp: int
Wert: 1
OMA-URI: ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSync
Datentyp: Boolean
Wert: True
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Datentyp: Ganze Zahl
Wert: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Datentyp: String
Wert: Durch Semikolons getrennte Liste von Domänen, z. B.: samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames
Datentyp: String
Wert: Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com

Verwenden der Verbundanmeldung

Sobald die Geräte konfiguriert sind, wird eine neue Anmeldeoberfläche verfügbar.

Wenn Benutzer ihren Benutzernamen eingeben, werden sie zur Anmeldeseite des Identitätsanbieters umgeleitet. Sobald der Idp die Benutzer authentifiziert hat, sind sie angemeldet. In der folgenden Animation können Sie sehen, wie der erste Anmeldevorgang für ein vom Kursteilnehmer zugewiesenes (1:1)-Gerät funktioniert:

Screenshot: Windows 11 SE Anmeldung mit Verbundanmeldung über Clever und QR-Code-Badge auf einem vom Kursteilnehmer zugewiesenen (1:1)-Gerät.

Wichtig

Wenn die Richtlinie für von Kursteilnehmern zugewiesene Geräte (1:1) aktiviert ist, legt der erste Benutzer, der sich beim Gerät anmeldet, auch die Seite zur Mehrdeutigkeit auf die Identitätsanbieterdomäne auf dem Gerät fest. Dies bedeutet, dass das Gerät standardmäßig auf diesen IdP festgelegt wird. Der Benutzer kann den Verbundanmeldungsflow beenden, indem er STRG+ALT+ENTF drückt, um zum Standardmäßigen Windows-Anmeldebildschirm zurückzukehren. Anders verhält es sich bei von Kursteilnehmern gemeinsam genutzten Geräten, bei denen die Mehrdeutigkeitsseite immer angezeigt wird, es sei denn, der bevorzugte Microsoft Entra Mandantenname ist konfiguriert.

Wichtige Überlegungen

Bekannte Probleme, die sich auf von Kursteilnehmern zugewiesene Geräte (1:1) auswirken

Die Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1) funktioniert nicht, wenn die folgenden Einstellungen aktiviert sind:

  • EnableSharedPCMode oder EnableSharedPCModeWithOneDriveSync, die Teil des SharedPC-CSP sind
  • Interaktive Anmeldung: Dies ist eine Sicherheitsrichtlinie, die Teil des Richtlinien-CSP ist, nicht anzeigen.
  • Durchführen eines Tests im Kioskmodus, da die oben genannte Sicherheitsrichtlinie verwendet wird

Bekannte Probleme, die sich auf gemeinsam genutzte Geräte von Kursteilnehmern auswirken

Es ist bekannt, dass sich die folgenden Probleme auf gemeinsam genutzte Geräte von Kursteilnehmern auswirken:

  • Nicht-Verbundbenutzer können sich nicht bei den Geräten anmelden, einschließlich lokaler Konten
  • Führen Sie einen Test im Kioskmodus durch, da für die Anmeldung ein lokales Gastkonto verwendet wird.

Kontoverwaltung

Für von Kursteilnehmern freigegebene Geräte wird empfohlen, die Kontoverwaltungsrichtlinien so zu konfigurieren, dass die Benutzerprofile nach einem bestimmten Zeitraum der Inaktivität oder Datenträgerebene automatisch gelöscht werden. Weitere Informationen finden Sie unter Einrichten eines freigegebenen oder Windows-Gastgeräts.

Bevorzugter Microsoft Entra Mandantenname

Um die Benutzererfahrung zu verbessern, können Sie das Feature "Bevorzugter Microsoft Entra Mandantennamen" konfigurieren.
Wenn Sie bevorzugt Microsoft Entra Mandantennamen verwenden, umgehen die Benutzer die Mehrdeutigkeitsseite und werden zur Anmeldeseite des Identitätsanbieters umgeleitet. Diese Konfiguration kann besonders für von Kursteilnehmern gemeinsam genutzte Geräte nützlich sein, bei denen die Mehrdeutigkeitsseite immer angezeigt wird.

Weitere Informationen zum bevorzugten Mandantennamen finden Sie unter Authentifizierungs-CSP – PreferredAadTenantDomainName.

Identitätsabgleich in Microsoft Entra ID

Wenn ein Microsoft Entra Benutzer im Verbund ist, muss die Identität des Benutzers aus dem IdP mit einem vorhandenen Benutzerobjekt in Microsoft Entra ID übereinstimmen. Nachdem das vom IdP gesendete Token überprüft wurde, sucht Microsoft Entra ID mithilfe eines Attributs namens ImmutableId nach einem übereinstimmenden Benutzerobjekt im Mandanten.

Hinweis

Die ImmutableId ist ein Zeichenfolgenwert, der für jeden Benutzer im Mandanten eindeutig sein muss und sich im Laufe der Zeit nicht ändern sollte. Die ImmutableId kann z. B. die Studenten-ID oder sis-ID sein. Der Wert ImmutableId sollte auf der Verbundeinrichtung und -konfiguration mit Ihrem IdP basieren. Bestätigen Sie daher mit Ihrem IdP, bevor Sie ihn festlegen.

Wenn das übereinstimmende Objekt gefunden wird, ist der Benutzer angemeldet. Andernfalls wird dem Benutzer eine Fehlermeldung angezeigt. Die folgende Abbildung zeigt, dass ein Benutzer mit der 260051 ImmutableId nicht gefunden werden kann:

Screenshot: Microsoft Entra Anmeldefehler: Ein Benutzer mit einer entsprechenden ImmutableId kann im Mandanten nicht gefunden werden.

Wichtig

Beim ImmutableId-Abgleich wird die Groß-/Kleinschreibung beachtet.

Die ImmutableId wird in der Regel konfiguriert, wenn der Benutzer in Microsoft Entra ID erstellt wird, kann aber auch später aktualisiert werden.
In einem Szenario, in dem ein Benutzer ein Verbund ist und Sie die ImmutableId ändern möchten, müssen Sie:

  1. Konvertieren des Verbundbenutzers in einen reinen Cloudbenutzer (Aktualisieren des UPN in eine Nicht-Verbunddomäne)
  2. Aktualisieren der ImmutableId
  3. Konvertieren des Benutzers zurück in einen Verbundbenutzer

Hier ist ein PowerShell-Beispiel zum Aktualisieren der ImmutableId für einen Verbundbenutzer:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'

#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com

#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'

Problembehandlung

  • Der Benutzer kann den Verbundanmeldungsablauf beenden, indem er STRG+ALT+ENTF drückt, um zum Standardmäßigen Windows-Anmeldebildschirm zurückzukehren.
  • Wählen Sie die Schaltfläche Anderer Benutzer aus, und die Standardbenutzer-/Kennwortanmeldeinformationen sind verfügbar, um sich beim Gerät anzumelden.