Condividi tramite


Esperienza senza password di Windows

A partire da Windows 11, versione 22H2 con KB5030310, l'esperienza senza password di Windows è un criterio di sicurezza che promuove un'esperienza utente senza password nei dispositivi aggiunti a Microsoft Entra.
Quando i criteri sono abilitati, alcuni scenari di autenticazione di Windows non offrono agli utenti la possibilità di usare una password, consentendo alle organizzazioni e alla preparazione degli utenti di abbandonare gradualmente le password.

Con l'esperienza senza password di Windows, gli utenti che accedono con Windows Hello o una chiave di sicurezza FIDO2:

  • Non è possibile usare il provider di credenziali password nella schermata di blocco di Windows

  • Non viene richiesto di usare una password durante le autenticazioni in sessione( ad esempio, elevazione del controllo dell'account utente, gestione password nel browser e così via)

  • Non è disponibile l'opzione Account > Modifica password nell'app Impostazioni

    Nota

    Gli utenti possono reimpostare la password usando CTRL+ALT+CANC>Gestire l'account

L'esperienza senza password di Windows non influisce sull'esperienza di accesso iniziale e sugli account locali. Si applica solo agli accessi successivi per gli account Microsoft Entra. Inoltre, non impedisce a un utente di accedere con una password quando usa l'opzione Altro utente nella schermata di blocco.
Il provider di credenziali password è nascosto solo per l'ultimo utente connesso che ha eseguito l'accesso a Windows Hello o a una chiave di sicurezza FIDO2. L'esperienza senza password di Windows non riguarda l'impedire agli utenti di usare le password, ma di guidarli ed educarli a non usare le password.

Questo articolo illustra come abilitare l'esperienza senza password di Windows e descrive le esperienze utente.

Suggerimento

Gli utenti di Windows Hello for Business possono ottenere l'accesso senza password dal primo accesso usando la funzionalità di accesso Web. Per altre informazioni sull'accesso Web, vedere Accesso Web per dispositivi Windows.

Requisiti di sistema

L'esperienza senza password di Windows presenta i requisiti seguenti:

  • Windows 11, versione 22H2 con KB5030310 o versioni successive
  • Microsoft Entra è stato aggiunto
  • Credenziali di Windows Hello for Business registrate per l'utente o una chiave di sicurezza FIDO2
  • Gestito da MDM: Microsoft Intune o un'altra soluzione MDM

Nota

I dispositivi aggiunti ibridi a Microsoft Entra e i dispositivi aggiunti al dominio Active Directory non sono attualmente nell'ambito.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano l'esperienza senza password di Windows:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza dell'esperienza senza password di Windows sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Abilitare l'esperienza senza password di Windows con Intune

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Authentication Abilitare l'esperienza senza password Abilitato

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.

Impostazione
- URI OMA:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
- Tipo di dati: int
- Valore:1

Esperienze utente

Esperienza della schermata di blocco

Esperienza senza password disattivata: gli utenti possono accedere usando una password, come indicato dalla presenza del provider di credenziali password nella schermata di blocco di Windows.

Esperienza senza password attivata: il provider di credenziali password non è presente per l'ultimo utente che ha eseguito l'accesso con credenziali complesse. Un utente può accedere usando credenziali complesse o scegliere di usare l'opzione Altro utente per accedere con una password.

Esperienze di autenticazione in sessione

Quando l'esperienza senza password di Windows è abilitata, gli utenti non possono usare il provider di credenziali password per gli scenari di autenticazione in sessione. Gli scenari di autenticazione in sessione includono:

  • Gestione password in un Web browser
  • Connessione a condivisioni file o siti Intranet
  • Elevazione del controllo dell'account utente,tranne se viene usato un account utente locale per l'elevazione

Nota

L'accesso RDP viene usato per impostazione predefinita dal provider di credenziali usato durante l'accesso. Tuttavia, un utente può selezionare l'opzione Usa un account diverso per accedere con una password.

L'esecuzione come utente diverso non è influenzata dall'esperienza senza password di Windows.

Esempio di esperienza di elevazione del controllo dell'account utente:

Esperienza senza password disattivata: l'elevazione del controllo dell'account utente consente all'utente di eseguire l'autenticazione usando una password.

Esperienza senza password attivata: l'elevazione del controllo dell'account utente non consente all'utente di usare il provider di credenziali password per l'utente attualmente connesso. L'utente può eseguire l'autenticazione usando Windows Hello, una chiave di sicurezza FIDO2 o un account utente locale, se disponibile.

Consigli

Ecco un elenco di raccomandazioni da considerare prima di abilitare l'esperienza senza password di Windows:

  • Se Windows Hello for Business è abilitato, configurare la funzionalità di reimpostazione del PIN per consentire agli utenti di reimpostare il PIN dalla schermata di blocco. L'esperienza di reimpostazione del PIN è migliorata a partire da Windows 11 versione 22H2 con KB5030310
  • Non configurare i criteri di sicurezza Accesso interattivo: non visualizzare l'ultimo accesso perché impedisce il funzionamento dell'esperienza senza password di Windows
  • Non disabilitare il provider di credenziali password usando i criteri Escludi provider di credenziali . Le differenze principali tra i due criteri sono:
    • Il criterio Escludi provider di credenziali disabilita le password per tutti gli account, inclusi gli account locali. L'esperienza senza password di Windows si applica solo agli account Microsoft Entra che accedono con Windows Hello o una chiave di sicurezza FIDO2. Esclude anche Altri utenti dai criteri, in modo che gli utenti abbiano un'opzione di accesso di backup
    • Escludere i criteri dei provider di credenziali impedisce l'uso di password per gli scenari di autenticazione RDP ed Esegui come
  • Per facilitare le operazioni di supporto tecnico, provare a abilitare l'account amministratore locale o crearne uno separato, in modo casuale usando la soluzione laps (Local Administrator Password Solution) di Windows

Problemi noti

Si è verificato un problema noto che influisce sull'esperienza di autenticazione in sessione quando si usano chiavi di sicurezza FIDO2, in cui le chiavi di sicurezza non sono sempre un'opzione disponibile. Il gruppo di prodotti è consapevole di questo comportamento e prevede di migliorarlo in futuro.

Fornire commenti e suggerimenti

Per fornire commenti e suggerimenti per l'esperienza senza password di Windows, aprire l'hub feedback e usare la categoria Sicurezza e privacy > Senza password.