Windows 的網路登入
從 Windows 11 22H2 版與 KB5030310 開始,您可以在已加入 Microsoft Entra 裝置上啟用 Web 型登入體驗。 這項功能稱為 Web 登入,可解除鎖定新的登入選項和功能。
Web 登入是認證提供者,最初是在 Windows 10 中引進,且僅支持臨時存取傳遞 (TAP) 。 隨著 Windows 11 的發行,Web 登入的支援案例和功能隨即擴充。
例如,您可以使用 Microsoft Authenticator 應用程式或 SAML-P 同盟身分識別登入。
本文說明如何設定 Web 登入和支援的重要案例。
系統需求
以下是使用 Web 登入的必要條件:
- Windows 11 版本 22H2 含5030310或更新版本
- 已加入 Microsoft Entra
- 因特網連線能力,因為驗證是透過因特網完成
重要
Microsoft Entra 已加入混合式或已加入網域的裝置不支援Web登入。
Windows 版本和授權需求
下表列出支援 Web 登入的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
下列授權會授與 Web 登入授權權利:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
設定 Web 登入
若要使用 Web 登入,您的裝置必須使用不同的原則進行設定。 請檢閱下列指示,以使用 Microsoft Intune 或布建套件 (PPKG) 來設定您的裝置。
注意
Web 登入使用系統管理的本機帳戶,稱為 WsiAccount。 當您啟用 Web 登入時,帳戶會自動建立,而且不會顯示在使用者選取清單中。 每次使用者使用 Web 登入認證提供者時,就會啟用 WsiAccount 帳戶。 用戶登入之後,帳戶就會停用。
Intune
PPKG若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| Authentication | 啟用 Web 登入 | 啟用 |
| Authentication | 設定允許的 Web 登入 URL | 這個設定是選擇性的,而且包含登入所需的網域清單,例如: - idp.example.com- example.com |
| Authentication | 設定網路攝影機存取功能變數名稱 | 此設定是選擇性的,如果您需要在登入程式期間使用網路攝影機,則應加以設定。 指定登入程式期間允許使用網路攝影機的網域清單,例如: example.com |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用具有下列設定的 自定義原則 來設定裝置:
| OMA-URI | 其他資訊 |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
用戶體驗
設定裝置之後,新的登入體驗就會變成可用,如 Windows 鎖定畫面中 Web 登入認證提供者 
的存在所示。
以下是 Web 登入支援的重要案例清單,以及顯示使用者體驗的簡短動畫。 選取縮圖以啟動動畫。
無密碼登入
用戶可以登入 Windows 無密碼,甚至是在註冊 Windows Hello 企業版 之前。 例如,使用 Microsoft Authenticator 應用程式作為登入方法。
提示
與無密碼 Windows Hello 企業版 搭配使用時,您可以從鎖定畫面以及會話內驗證案例隱藏密碼認證提供者。 這可啟用真正的無密碼 Windows 體驗。
若要深入瞭解:
Windows Hello 企業版 PIN 重設
與舊版相比,Windows Hello PIN 重設流程是順暢且更強固的。
如需詳細資訊,請參閱 PIN 重設。
TAP) (暫時存取階段
TAP) (暫時存取傳遞是系統管理員授與用戶的時間限制密碼。 用戶可以使用 Web 登入認證提供者以 TAP 登入。 例如:
- 上架 Windows Hello 企業版 或 FIDO2 安全性金鑰
- 如果遺失或忘記 FIDO2 安全性金鑰和未知密碼,則為
如需詳細資訊,請 參閱使用暫時存取階段。
同盟驗證
如果 Microsoft Entra 租使用者與非 Microsoft SAML-P 識別提供者 (IdP) 同盟,同盟使用者可以使用 Web 登入認證提供者進行登入。
提示
若要改善同盟身分識別的用戶體驗:
- 啟用 Windows Hello 企業版。 一旦使用者登入,使用者就可以註冊 Windows Hello 企業版,然後使用它來登入裝置
- 設定慣用的 Microsoft Entra 租用戶名稱功能,讓用戶可以在登入程式期間選取功能變數名稱。 然後,系統會自動將使用者重新導向至已設定
識別提供者登入頁面螢幕快照。
如需慣用租用戶名稱的詳細資訊,請 參閱驗證 CSP - PreferredAadTenantDomainName。
重要考量
以下是設定或使用 Web 登入時要牢記的重要考慮清單:
- Web 登入不支援快取認證。 如果裝置離線,使用者就無法使用 Web 登入認證提供者登入
- 註銷之後,使用者不會顯示在用戶選取清單中
- 啟用之後,Web 登入認證提供者就是新使用者登入裝置的預設認證提供者。 若要變更預設認證提供者,您可以使用 DefaultCredentialProvider ADMX 支援的原則
- 用戶可以按 Ctrl+Alt+Delete 返回 Windows 鎖定畫面,以結束 Web 登入流程
已知問題
- 如果您嘗試在裝置離線時登入,您會收到下列訊息: 看起來不像您已連線到因特網。檢查您的連線,然後再試一次。 選取 [ 回到登入 ] 選項不會讓您回到鎖定畫面。 因應措施是按 Ctrl+Alt+Delete 回到鎖定畫面。
提供意見反應
若要提供 Web 登入的意見反應,請開啟意見 反應中樞 ,並使用安全 性和隱私 > 權無密碼體驗類別。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應