Webanmeldung für Windows
Ab Windows 11 Version 22H2 mit KB5030310 können Sie eine webbasierte Anmeldung auf Microsoft Entra verbundenen Geräten aktivieren. Dieses Feature wird als Webanmeldung bezeichnet und entsperrt neue Anmeldeoptionen und -funktionen.
Die Webanmeldung ist ein Anmeldeinformationsanbieter, der ursprünglich in Windows 10 eingeführt wurde, wobei nur der temporäre Zugriffspass (Temporary Access Pass, TAP) unterstützt wird. Mit der Veröffentlichung von Windows 11 werden die unterstützten Szenarien und Funktionen der Webanmeldung erweitert.
Sie können sich beispielsweise mit der Microsoft Authenticator-App oder mit einer SAML-P-Verbundidentität anmelden.
In diesem Artikel wird beschrieben, wie Sie die Webanmeldung und die unterstützten Schlüsselszenarien konfigurieren.
Systemanforderungen
Dies sind die Voraussetzungen für die Verwendung der Webanmeldung:
- Windows 11 Version 22H2 mit 5030310 oder höher
- Microsoft Entra eingebunden
- Internetkonnektivität, da die Authentifizierung über das Internet erfolgt
Wichtig
Die Webanmeldung wird für Microsoft Entra hybrid oder in die Domäne eingebundenen Geräte nicht unterstützt.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Webanmeldung unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Ja | Ja | Ja | Ja |
Berechtigungen für Webanmeldungslizenzen werden von den folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Konfigurieren der Webanmeldung
Um die Webanmeldung verwenden zu können, müssen Ihre Geräte mit unterschiedlichen Richtlinien konfiguriert werden. Lesen Sie die folgenden Anweisungen, um Ihre Geräte mit Microsoft Intune oder einem Bereitstellungspaket (PPKG) zu konfigurieren.
Hinweis
Die Webanmeldung verwendet ein vom System verwaltetes lokales Konto namens WsiAccount. Das Konto wird automatisch erstellt, wenn Sie die Webanmeldung aktivieren, und es wird nicht in der Benutzerauswahlliste angezeigt. Jedes Mal, wenn ein Benutzer den Anmeldeinformationsanbieter für die Webanmeldung verwendet, wird das WsiAccount-Konto aktiviert. Nachdem sich der Benutzer angemeldet hat, wird das Konto deaktiviert.
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
Kategorie | Einstellungsname | Wert |
---|---|---|
Authentication | Aktivieren der Webanmeldung | Aktiviert |
Authentication | Konfigurieren zulässiger UrLs für die Webanmeldung | Diese Einstellung ist optional und enthält eine Liste der Domänen, die für die Anmeldung erforderlich sind, z. B.: - idp.example.com - example.com |
Authentication | Konfigurieren von Webcam-Zugriffsdomänennamen | Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, z. B.: example.com |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit den folgenden Einstellungen konfigurieren:
OMA-URI | Weitere Informationen |
---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
Benutzeroberflächen
Sobald die Geräte konfiguriert sind, wird eine neue Anmeldeoberfläche verfügbar, wie durch das Vorhandensein des Anmeldeinformationsanbieters für die Webanmeldung auf dem Windows-Sperrbildschirm angegeben wird.
Hier finden Sie eine Liste der wichtigsten Szenarien, die von der Webanmeldung unterstützt werden, und eine kurze Animation, die die Benutzeroberfläche zeigt. Wählen Sie die Miniaturansicht aus, um die Animation zu starten.
Kennwortlose Anmeldung
Benutzer können sich kennwortlos bei Windows anmelden, noch bevor sie sich bei Windows Hello for Business registrieren. Beispielsweise durch Verwendung der Microsoft Authenticator-App als Anmeldemethode.
Tipp
Bei Verwendung in Verbindung mit Windows Hello for Business kennwortlosen Können Sie den Anbieter von Kennwortanmeldeinformationen sowohl auf dem Sperrbildschirm als auch in Sitzungs-Authentifizierungsszenarien ausblenden. Dies ermöglicht eine wirklich kennwortlose Windows-Erfahrung.
Weitere Informationen:
- Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator
- Kennwortlose Authentifizierungsoptionen für Microsoft Entra ID
- Kennwortlose Windows-Umgebung
Windows Hello for Business PIN-Zurücksetzung
Der ablauf der Windows Hello PIN-Zurücksetzung ist nahtlos und robuster als in früheren Versionen.
Weitere Informationen finden Sie unter ZURÜCKSETZEN DER PIN.
Temporärer Zugriffspass (Temporary Access Pass, TAP)
Ein temporärer Zugriffspass (Temporary Access Pass, TAP) ist eine zeitlich begrenzte Kennung, die einem Benutzer von einem Administrator gewährt wird. Benutzer können sich mit einem TAP anmelden, indem sie den Anmeldeinformationsanbieter für die Webanmeldung verwenden. Zum Beispiel:
- zum Onboarding Windows Hello for Business oder eines FIDO2-Sicherheitsschlüssels
- wenn fido2-Sicherheitsschlüssel und unbekanntes Kennwort verloren gegangen oder vergessen wurden
Weitere Informationen finden Sie unter Verwenden eines befristeten Zugriffspasses.
Verbundauthentifizierung
Wenn der Microsoft Entra Mandant mit einem Nicht-Microsoft SAML-P-Identitätsanbieter (IdP) verbunden ist, können Sich Verbundbenutzer mit dem Anmeldeinformationsanbieter für die Webanmeldung anmelden.
Tipp
So verbessern Sie die Benutzererfahrung für Verbundidentitäten:
- Aktivieren Sie Windows Hello for Business. Sobald sich der Benutzer angemeldet hat, kann er sich bei Windows Hello for Business registrieren und es dann verwenden, um sich beim Gerät anzumelden.
- Konfigurieren Sie das Feature "Bevorzugter Microsoft Entra Mandantennamen", mit dem Benutzer den Domänennamen während des Anmeldevorgangs auswählen können. Die Benutzer werden dann automatisch zur Anmeldeseite des Identitätsanbieters weitergeleitet
Weitere Informationen zum bevorzugten Mandantennamen finden Sie unter Authentifizierungs-CSP – PreferredAadTenantDomainName.
Wichtige Überlegungen
Im Folgenden finden Sie eine Liste wichtiger Überlegungen, die Sie beim Konfigurieren oder Verwenden der Webanmeldung berücksichtigen sollten:
- Zwischengespeicherte Anmeldeinformationen werden bei der Webanmeldung nicht unterstützt. Wenn das Gerät offline ist, kann der Benutzer den Anmeldeinformationsanbieter für die Webanmeldung nicht verwenden, um sich anzumelden.
- Nach der Abmeldung wird der Benutzer nicht in der Benutzerauswahlliste angezeigt.
- Nach der Aktivierung ist der Anmeldeinformationsanbieter für die Webanmeldung der Standardanmeldeinformationsanbieter für neue Benutzer, die sich beim Gerät anmelden. Um den Standardanmeldeinformationsanbieter zu ändern, können Sie die ADMX-gesicherte DefaultCredentialProvider-Richtlinie verwenden.
- Der Benutzer kann den Web-Anmeldeflow beenden, indem er STRG+ALT+ENTF drückt, um zum Windows-Sperrbildschirm zurückzukehren.
Bekannte Probleme
- Wenn Sie versuchen, sich anzumelden, während das Gerät offline ist, erhalten Sie die folgende Meldung: Es sieht nicht so aus, als ob Sie mit dem Internet verbunden sind. Überprüfen Sie Ihre Verbindung, und versuchen Sie es erneut. Wenn Sie die Option Zurück zur Anmeldung auswählen, gelangen Sie nicht zurück zum Sperrbildschirm. Als Problemumgehung können Sie STRG+ALT+ENTF drücken, um zum Sperrbildschirm zurückzukehren.
Feedback geben
Um Feedback zur Webanmeldung zu geben, öffnen Sie den Feedback-Hub , und verwenden Sie die Kategorie Sicherheit und Datenschutz > Kennwortlose Erfahrung.