Интерфейс Windows без пароля
Начиная с Windows 11 версии 22H2 с KB5030310, интерфейс Windows без пароля — это политика безопасности, которая способствует взаимодействию пользователей без паролей на Microsoft Entra присоединенных устройствах.
Если политика включена, некоторые сценарии проверка подлинности Windows не предлагают пользователям возможность использовать пароль, помогая организациям и подготавливая пользователей к постепенному переходу от паролей.
Благодаря интерфейсу Windows без пароля пользователи, которые входят с помощью Windows Hello или ключа безопасности FIDO2:
Не удается использовать поставщик учетных данных пароля на экране блокировки Windows
Не запрашивается использование пароля во время проверки подлинности в сеансе (например, повышение уровня учетных записей, диспетчер паролей в браузере и т. д.)
В приложении "Параметры" нет параметра "Учетные > записи изменить пароль "
Примечание.
Пользователи могут сбросить пароль с помощью CTRL+ALT+DEL>Управление учетной записью
Интерфейс Windows без пароля не влияет на начальный вход и локальные учетные записи. Он применяется только к последующим входам для Microsoft Entra учетных записей. Это также не препятствует входу пользователя с паролем при использовании параметра Другой пользователь на экране блокировки.
Поставщик учетных данных пароля скрыт только для последнего вошедшего пользователя, выполнившего вход Windows Hello или ключа безопасности FIDO2. Интерфейс Windows без пароля не предназначен для предотвращения использования паролей пользователями, а для того, чтобы научить их не использовать пароли.
В этой статье объясняется, как включить работу Windows без пароля, а также описаны пользовательские возможности.
Совет
Windows Hello для бизнеса пользователи могут выполнить вход без пароля при первом входе с помощью функции веб-входа. Дополнительные сведения о веб-входе см. в статье Веб-вход для устройств Windows.
Системные требования
Интерфейс Windows без пароля имеет следующие требования.
- Windows 11 версии 22H2 с KB5030310 или более поздней
- Microsoft Entra присоединено
- Windows Hello для бизнеса учетные данные, зарегистрированные для пользователя, или ключ безопасности FIDO2
- Управление MDM: Microsoft Intune или другое решение MDM
Примечание.
Microsoft Entra устройства с гибридным присоединением и устройства, присоединенные к домену Active Directory, в настоящее время не область.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие работу Windows без пароля.
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Права на лицензии windows без пароля предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Включение работы Windows без пароля с помощью Intune
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
| Категория | Имя параметра | Значение |
|---|---|---|
| Authentication | Включение возможностей без пароля | Enabled |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.
| Параметр |
|---|
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience- Тип данных: int - Значение: 1 |
Взаимодействие с пользователем
Экран блокировки
Режим без пароля отключен: пользователи могут входить с помощью пароля, о чем свидетельствует наличие поставщика 
учетных данных пароля на экране блокировки Windows.
Функция без пароля включена: поставщик учетных данных пароля отсутствует для последнего пользователя, выполнившего вход с помощью надежных учетных данных. Пользователь может выполнить вход с использованием надежных учетных данных или выбрать параметр Другой пользователь для входа с паролем.
Интерфейсы проверки подлинности в сеансе
Если режим Windows без пароля включен, пользователи не могут использовать поставщик учетных данных паролей для сценариев проверки подлинности в сеансе. Сценарии проверки подлинности в сеансе включают:
- Диспетчер паролей в веб-браузере
- Подключение к общим папкам или сайтам интрасети
- Повышение прав учетных записей пользователей(UAC), за исключением случаев, когда для повышения прав используется локальная учетная запись пользователя
Примечание.
По умолчанию для входа по протоколу RDP используется поставщик учетных данных, используемый во время входа. Однако пользователь может выбрать параметр Использовать другую учетную запись для входа с паролем.
Запуск от имени другого пользователя не влияет на работу Windows без пароля.
Пример взаимодействия с повышением уровня контроля учетных записей:
Режим без пароля отключен: повышение прав пользователя позволяет пользователю проходить проверку подлинности с помощью пароля.
Включена функция без пароля. Повышение прав пользователей не позволяет пользователю использовать поставщик учетных данных пароля для текущего вошедшего в систему пользователя. Пользователь может пройти проверку подлинности с помощью Windows Hello, ключа безопасности FIDO2 или локальной учетной записи пользователя, если это доступно.
Рекомендации
Ниже приведен список рекомендаций, которые следует учитывать перед включением интерфейса Windows без пароля.
- Если Windows Hello для бизнеса включен, настройте функцию сброса ПИН-кода, чтобы разрешить пользователям сбрасывать ПИН-код с экрана блокировки. Функция сброса ПИН-кода улучшена начиная с Windows 11 версии 22H2 с KB5030310
- Не настраивайте политику безопасности Интерактивный вход: не отображать последний вход, так как это предотвращает работу windows без пароля
- Не отключайте поставщик учетных данных паролей с помощью политики Исключить поставщики учетных данных . Основные различия между этими двумя политиками:
- Политика Исключить поставщиков учетных данных отключает пароли для всех учетных записей, включая локальные учетные записи. Интерфейс Windows без пароля применяется только к Microsoft Entra учетным записям, которые входят с помощью Windows Hello или ключа безопасности FIDO2. Он также исключает другого пользователя из политики, поэтому у пользователей есть возможность резервного входа.
- Политика исключения поставщиков учетных данных предотвращает использование паролей для сценариев проверки подлинности RDP и запуска от имени .
- Чтобы упростить операции поддержки службы технической поддержки, попробуйте включить учетную запись локального администратора или создать отдельную учетную запись, рандомизировав ее пароль с помощью решения для локального администратора Windows (LAPS).
Известные проблемы
Существует известная проблема, влияющая на интерфейс проверки подлинности в сеансе при использовании ключей безопасности FIDO2, из-за которой ключи безопасности не всегда доступны. Группа продуктов знает об этом поведении и планирует улучшить его в будущем.
Предоставление отзывов
Чтобы оставить отзыв о работе Windows без пароля, откройте Центр отзывов и используйте категорию Безопасность и конфиденциальность > без пароля.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по