Konfigurieren der Verbundanmeldung für Windows-Geräte
Ab Windows 11 SE, Version 22H2 und Windows 11 Pro Edu/Education, Version 22H2 mit KB5022913, können Sie Es Ihren Benutzern ermöglichen, sich über eine Webanmeldung mit einem Verbundidentitätsanbieter (IdP) anzumelden. Die Anmeldung mit einer Verbundidentität kann eine hervorragende Möglichkeit sein, den Anmeldevorgang für Ihre Benutzer zu vereinfachen: Anstatt sich einen Benutzernamen und ein Kennwort merken zu müssen, die in Microsoft Entra ID definiert sind, können sie sich mit ihren vorhandenen Anmeldeinformationen aus dem IdP anmelden. Lernende/Studierende und Lehrkräfte können sich beispielsweise mithilfe von QR-Code-Badges anmelden.
Vorteile der Verbundanmeldung
Eine Verbundanmeldungsumgebung ermöglicht es den Kursteilnehmern, sich schneller und mit weniger Reibung anzumelden. Mit weniger Anmeldeinformationen und einem vereinfachten Anmeldeprozess sind die Schüler engagierter und konzentrieren sich auf das Lernen.
Es gibt zwei Windows-Features, die eine Verbundanmeldung ermöglichen:
- Verbundanmeldung, die für 1:1-Schülergeräte konzipiert ist. Um eine optimale Erfahrung zu erzielen, sollten Sie die Verbundanmeldung auf freigegebenen Geräten nicht aktivieren.
- Webanmeldung, die eine ähnliche Benutzeroberfläche wie die Verbundanmeldung bietet und für freigegebene Geräte verwendet werden kann
Wichtig
Verbundanmeldung und Webanmeldung erfordern unterschiedliche Konfigurationen, die in diesem Dokument erläutert werden.
Voraussetzungen
Um eine Verbundanmeldung zu ermöglichen, müssen die folgenden Voraussetzungen erfüllt sein:
Ein Microsoft Entra-Mandant mit einer oder mehreren Domänen, die zu einem Identitätsanbieter eines Drittanbieters verbunden sind. Weitere Informationen finden Sie unter Was ist ein Verbund mit microsoft Entra ID? und Verwenden eines SAML 2.0-IdP für einmaliges Anmelden.
Hinweis
Wenn Ihre Organisation eine Verbundlösung eines Drittanbieters verwendet, können Sie das einmalige Anmelden bei Microsoft Entra ID konfigurieren, wenn die Lösung mit Microsoft Entra ID kompatibel ist. Wenden Sie sich bei Fragen zur Kompatibilität an Ihren Identitätsanbieter. Wenn Sie ein IdP sind und Ihre Lösung auf Interoperabilität überprüfen möchten, lesen Sie diese Richtlinien.
- Eine Schritt-für-Schritt-Anleitung zum Konfigurieren von Google Workspace als Identitätsanbieter für Microsoft Entra ID finden Sie unter Konfigurieren des Verbunds zwischen Google Workspace und Microsoft Entra ID.
- Eine Schritt-für-Schritt-Anleitung zum Konfigurieren von Clever als Identitätsanbieter für Microsoft Entra ID finden Sie im Setuphandbuch für Badges in Windows und Microsoft Entra ID.
Individuelle IdP-Konten erstellt: Jeder Benutzer benötigt ein Konto, das in der IdP-Plattform eines Drittanbieters definiert ist.
Individuelle Microsoft Entra-Konten erstellt: Jeder Benutzer benötigt ein entsprechendes Konto, das in der Microsoft Entra-ID definiert ist. Diese Konten werden häufig mithilfe automatisierter Lösungen erstellt, z. B.:
- School Data Sync (SDS)
- Microsoft Entra Connect Sync für Umgebung mit lokalem AD DS
- PowerShell-Skripts, die die Microsoft Graph-API aufrufen
- Vom IdP angebotene Bereitstellungstools
Weitere Informationen zum Identitätsabgleich finden Sie unter Identitätsabgleich in Microsoft Entra ID.
Lizenzen, die den Microsoft Entra-Benutzerkonten zugewiesen sind. Es wird empfohlen, Lizenzen einer dynamischen Gruppe zuzuweisen: Wenn neue Benutzer in Microsoft Entra ID bereitgestellt werden, werden die Lizenzen automatisch zugewiesen. Weitere Informationen finden Sie unter Zuweisen von Lizenzen zu Benutzern nach Gruppenmitgliedschaft in Microsoft Entra ID.
Aktivieren der Verbundanmeldung oder Webanmeldung auf den Windows-Geräten, je nachdem, ob die Geräte freigegeben oder einem einzelnen Kursteilnehmer zugewiesen sind
Um die Verbundanmeldung oder Die Webanmeldung verwenden zu können, müssen die Geräte über Internetzugriff verfügen. Diese Features funktionieren nicht ohne, da die Authentifizierung über das Internet erfolgt.
Wichtig
WS-Fed ist das einzige unterstützte Verbundprotokoll, um ein Gerät mit microsoft Entra ID zu verbinden. Wenn Sie über einen SAML 2.0-IdP verfügen, wird empfohlen, den Microsoft Entra-Einbindungsprozess mit einer der folgenden Methoden abzuschließen:
- Bereitstellungspakete (PPKG)
- Self-Deployment-Modus im Windows Autopilot
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Verbundanmeldung unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Nein | Nein | Ja | Ja |
Verbundanmeldungslizenzberechtigungen werden von den folgenden Lizenzen gewährt:
| Windows Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Ja | Nein | Nein | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Die Verbundanmeldung wird in den folgenden Windows-Editionen und -Versionen unterstützt:
- Windows 11 SE, Version 22H2 und höher
- Windows 11 Pro Edu/Education, Version 22H2 mit KB5022913
Die Webanmeldung wird ab Windows 11 SE/Pro Edu/Education, Version 22H2 mit KB5026446 unterstützt.
Konfigurieren einer Verbundanmeldung
Sie können eine Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1) oder von Kursteilnehmern gemeinsam genutzte Geräte konfigurieren:
- Wenn die Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1) konfiguriert ist, verwenden Sie ein Windows-Feature namens Verbundanmeldung. Der erste Benutzer, der sich mit einer Verbundidentität beim Gerät anmeldet, wird zum primären Benutzer. Der primäre Benutzer wird immer in der unteren linken Ecke des Anmeldebildschirms angezeigt.
- Wenn die Verbundanmeldung für von Kursteilnehmern freigegebene Geräte konfiguriert ist, verwenden Sie ein Windows-Feature namens Webanmeldung. Bei der Webanmeldung gibt es keinen primären Benutzer, und auf dem Anmeldebildschirm wird standardmäßig der letzte Benutzer angezeigt, der sich beim Gerät angemeldet hat.
Die Konfiguration unterscheidet sich für jedes Szenario und wird in den folgenden Abschnitten beschrieben.
Konfigurieren der Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1)
Lesen Sie die folgenden Anweisungen, um Ihre Geräte mit Microsoft Intune oder einem Bereitstellungspaket (PPKG) zu konfigurieren.
Intune
PPKGErstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Bildung | Ist Bildungsumgebung | Aktiviert |
| Verbundauthentifizierung | Aktivieren der Webanmeldung für den primären Benutzer | Aktiviert |
| Authentication | Konfigurieren zulässiger UrLs für die Webanmeldung | Geben Sie die Liste der Domänen mit jeder URL in einer separaten Zeile ein. Zum Beispiel: - samlidp.clever.com- clever.com- mobile-redirector.clever.com |
| Authentication | Konfigurieren von Webcam-Zugriffsdomänennamen | Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit den folgenden Einstellungen konfigurieren:
| Einstellung |
|---|
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentDatentyp: int Wert: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUserDatentyp: int Wert: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsDatentyp: String Wert: Durch Semikolons getrennte Liste von Domänen, z. B.: samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** Datentyp: String Wert: Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com |
Konfigurieren der Webanmeldung für freigegebene Geräte von Kursteilnehmern
Lesen Sie die folgenden Anweisungen, um Ihre freigegebenen Geräte mithilfe von Microsoft Intune oder einem Bereitstellungspaket (PPKG) zu konfigurieren.
Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Bildung | Ist Bildungsumgebung | Aktiviert |
| SharedPC | Aktivieren des modus für gemeinsam genutzte PCs mit OneDrive-Synchronisierung | Wahr |
| Authentication | Aktivieren der Webanmeldung | Aktiviert |
| Authentication | Konfigurieren zulässiger UrLs für die Webanmeldung | Geben Sie die Liste der Domänen mit jeder URL in einer separaten Zeile ein. Zum Beispiel: - samlidp.clever.com- clever.com- mobile-redirector.clever.com |
| Authentication | Konfigurieren von Webcam-Zugriffsdomänennamen | Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit den folgenden Einstellungen konfigurieren:
| Einstellung |
|---|
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentDatentyp: int Wert: 1 |
OMA-URI: ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSyncDatentyp: Boolean Wert: True |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignInDatentyp: Ganze Zahl Wert: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsDatentyp: String Wert: Durch Semikolons getrennte Liste von Domänen, z. B.: samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNamesDatentyp: String Wert: Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, getrennt durch ein Semikolon. Beispiel: clever.com |
Verwenden der Verbundanmeldung
Sobald die Geräte konfiguriert sind, wird eine neue Anmeldeoberfläche verfügbar.
Wenn Benutzer ihren Benutzernamen eingeben, werden sie zur Anmeldeseite des Identitätsanbieters umgeleitet. Sobald der Idp die Benutzer authentifiziert hat, sind sie angemeldet. In der folgenden Animation können Sie sehen, wie der erste Anmeldevorgang für ein vom Kursteilnehmer zugewiesenes (1:1)-Gerät funktioniert:
Wichtig
Wenn die Richtlinie für von Kursteilnehmern zugewiesene Geräte (1:1) aktiviert ist, legt der erste Benutzer, der sich beim Gerät anmeldet, auch die Seite zur Mehrdeutigkeit auf die Identitätsanbieterdomäne auf dem Gerät fest. Dies bedeutet, dass das Gerät standardmäßig auf diesen IdP festgelegt wird. Der Benutzer kann den Verbundanmeldungsflow beenden, indem er STRG+ALT+ENTF drückt, um zum Standardmäßigen Windows-Anmeldebildschirm zurückzukehren. Anders verhält es sich bei von Kursteilnehmern gemeinsam genutzten Geräten, bei denen die Mehrdeutigkeitsseite immer angezeigt wird, es sei denn, der bevorzugte Microsoft Entra-Mandantenname ist konfiguriert.
Wichtige Überlegungen
Bekannte Probleme, die sich auf von Kursteilnehmern zugewiesene Geräte (1:1) auswirken
Die Verbundanmeldung für von Kursteilnehmern zugewiesene Geräte (1:1) funktioniert nicht, wenn die folgenden Einstellungen aktiviert sind:
- EnableSharedPCMode oder EnableSharedPCModeWithOneDriveSync, die Teil des SharedPC-CSP sind
- Interaktive Anmeldung: Dies ist eine Sicherheitsrichtlinie, die Teil des Richtlinien-CSP ist, nicht anzeigen.
- Durchführen eines Tests im Kioskmodus, da die oben genannte Sicherheitsrichtlinie verwendet wird
Bekannte Probleme, die sich auf gemeinsam genutzte Geräte von Kursteilnehmern auswirken
Es ist bekannt, dass sich die folgenden Probleme auf gemeinsam genutzte Geräte von Kursteilnehmern auswirken:
- Nicht-Verbundbenutzer können sich nicht bei den Geräten anmelden, einschließlich lokaler Konten
- Führen Sie einen Test im Kioskmodus durch, da für die Anmeldung ein lokales Gastkonto verwendet wird.
Kontoverwaltung
Für von Kursteilnehmern freigegebene Geräte wird empfohlen, die Kontoverwaltungsrichtlinien so zu konfigurieren, dass die Benutzerprofile nach einem bestimmten Zeitraum der Inaktivität oder Datenträgerebene automatisch gelöscht werden. Weitere Informationen finden Sie unter Einrichten eines freigegebenen oder Windows-Gastgeräts.
Bevorzugter Microsoft Entra-Mandantenname
Um die Benutzererfahrung zu verbessern, können Sie die bevorzugte Microsoft Entra-Mandantennamen-Funktion konfigurieren.
Bei Verwendung des bevorzugten Microsoft Entra-Mandantennamens umgehen die Benutzer die Mehrdeutigkeitsseite und werden zur Anmeldeseite des Identitätsanbieters umgeleitet. Diese Konfiguration kann besonders für von Kursteilnehmern gemeinsam genutzte Geräte nützlich sein, bei denen die Mehrdeutigkeitsseite immer angezeigt wird.
Weitere Informationen zum bevorzugten Mandantennamen finden Sie unter Authentifizierungs-CSP – PreferredAadTenantDomainName.
Identitätsabgleich in Microsoft Entra ID
Wenn ein Microsoft Entra-Benutzer ein Verbund ist, muss die Identität des Benutzers aus dem IdP mit einem vorhandenen Benutzerobjekt in Microsoft Entra ID übereinstimmen. Nachdem das vom IdP gesendete Token überprüft wurde, sucht Microsoft Entra ID mithilfe eines Attributs namens ImmutableId nach einem übereinstimmenden Benutzerobjekt im Mandanten.
Hinweis
Die ImmutableId ist ein Zeichenfolgenwert, der für jeden Benutzer im Mandanten eindeutig sein muss und sich im Laufe der Zeit nicht ändern sollte. Die ImmutableId kann z. B. die Studenten-ID oder sis-ID sein. Der Wert ImmutableId sollte auf der Verbundeinrichtung und -konfiguration mit Ihrem IdP basieren. Bestätigen Sie daher mit Ihrem IdP, bevor Sie ihn festlegen.
Wenn das übereinstimmende Objekt gefunden wird, ist der Benutzer angemeldet. Andernfalls wird dem Benutzer eine Fehlermeldung angezeigt. Die folgende Abbildung zeigt, dass ein Benutzer mit der 260051 ImmutableId nicht gefunden werden kann:
Wichtig
Beim ImmutableId-Abgleich wird die Groß-/Kleinschreibung beachtet.
Die ImmutableId wird in der Regel konfiguriert, wenn der Benutzer in Microsoft Entra ID erstellt wird, kann aber auch später aktualisiert werden.
In einem Szenario, in dem ein Benutzer ein Verbund ist und Sie die ImmutableId ändern möchten, müssen Sie:
- Konvertieren des Verbundbenutzers in einen reinen Cloudbenutzer (Aktualisieren des UPN in eine Nicht-Verbunddomäne)
- Aktualisieren der ImmutableId
- Konvertieren des Benutzers zurück in einen Verbundbenutzer
Hier ist ein PowerShell-Beispiel zum Aktualisieren der ImmutableId für einen Verbundbenutzer:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'
#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com
#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'
Problembehandlung
- Der Benutzer kann den Verbundanmeldungsablauf beenden, indem er STRG+ALT+ENTF drückt, um zum Standardmäßigen Windows-Anmeldebildschirm zurückzukehren.
- Wählen Sie die Schaltfläche Anderer Benutzer aus, und die Standardbenutzer-/Kennwortanmeldeinformationen sind verfügbar, um sich beim Gerät anzumelden.