Windows の Web サインイン
KB5030310を使用したバージョン 22H2 Windows 11以降、Microsoft Entra参加しているデバイスで Web ベースのサインイン エクスペリエンスを有効にすることができます。 この機能は Web サインインと呼ばれ、新しいサインイン オプションと機能のロックを解除します。
Web サインインは資格情報プロバイダーであり、最初は一時アクセス パス (TAP) のみをサポートするWindows 10で導入されました。 Windows 11のリリースにより、サポートされている Web サインインのシナリオと機能が拡張されます。
たとえば、Microsoft Authenticator アプリまたは SAML-P フェデレーション ID を使用してサインインできます。
この記事では、Web サインインとサポートされる主要なシナリオを構成する方法について説明します。
システム要件
Web サインインを使用するための前提条件を次に示します。
- Windows 11バージョン 22H2 (5030310 以降)
- Microsoft Entra参加済み
- 認証がインターネット経由で行われるので、インターネット接続
重要
ハイブリッド参加済みデバイスまたはドメイン参加済みデバイスMicrosoft Entra Web サインインはサポートされていません。
Windows エディションとライセンスに関する要件
次の表に、Web サインインをサポートする Windows エディションを示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
はい | はい | はい | はい |
Web サインイン ライセンスの権利は、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
はい | はい | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
Web サインインを構成する
Web サインインを使用するには、デバイスを異なるポリシーで構成する必要があります。 次の手順を確認して、Microsoft Intuneまたはプロビジョニング パッケージ (PPKG) を使用してデバイスを構成します。
注
Web サインインでは、 WsiAccount というシステム管理ローカル アカウントを使用します。 Web サインインを有効にすると、アカウントが自動的に作成され、ユーザー選択リストに表示されません。 ユーザーが Web サインイン資格情報プロバイダーを使用するたびに、 WsiAccount アカウントが有効になります。 ユーザーがサインインすると、アカウントは無効になります。
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
認証 | Web サインインを有効にする | 有効 |
認証 | Web サインイン許可 URL を構成する | この設定は省略可能で、サインインに必要なドメインの一覧が含まれています。例: - idp.example.com - example.com |
認証 | Web カメラ アクセス ドメイン名を構成する | この設定は省略可能であり、サインイン プロセス中に Web カメラを使用する必要がある場合は構成する必要があります。 サインイン プロセス中に Web カメラを使用できるドメインの一覧を指定します。次に例を示します。 example.com |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、次の設定で カスタム ポリシー を使用してデバイスを構成することもできます。
OMA-URI | 詳細情報 |
---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
ユーザー エクスペリエンス
デバイスが構成されると、Windows ロック画面に Web サインイン資格情報プロバイダー が存在することで示されているように、新しいサインイン エクスペリエンスが使用可能になります。
Web サインインでサポートされる主なシナリオと、ユーザー エクスペリエンスを示す簡単なアニメーションの一覧を次に示します。 サムネイルを選択してアニメーションを開始します。
パスワードレス サインイン
ユーザーは、Windows Hello for Businessに登録する前でも、Windows パスワードレスにサインインできます。 たとえば、サインイン メソッドとして Microsoft Authenticator アプリを使用するとします。
ヒント
パスワードレスWindows Hello for Business使用する場合は、パスワード資格情報プロバイダーをロック画面から非表示にしたり、セッション内認証シナリオを非表示にしたりできます。 これにより、真にパスワードレスの Windows エクスペリエンスが可能になります。
詳細については、以下を参照してください。
- Microsoft Authenticator でパスワードレス サインインを有効にする
- Microsoft Entra IDのパスワードレス認証オプション
- Windows パスワードレス エクスペリエンス
PIN リセットのWindows Hello for Business
Windows Hello PIN リセット フローは、以前のバージョンよりもシームレスで堅牢です。
詳細については、「 PIN リセット」を参照してください。
一時アクセス パス (TAP)
一時アクセス パス (TAP) は、管理者がユーザーに付与する時間制限付きパスコードです。 ユーザーは、Web サインイン資格情報プロバイダーを使用して TAP を使用してサインインできます。 次に、例を示します。
- Windows Hello for Businessまたは FIDO2 セキュリティ キーをオンボードするには
- FIDO2 セキュリティ キーと不明なパスワードを紛失または忘れた場合
詳細については、「 一時アクセス パスを使用する」を参照してください。
フェデレーション認証
Microsoft Entra テナントが Microsoft 以外の SAML-P ID プロバイダー (IdP) とフェデレーションされている場合、フェデレーション ユーザーは Web サインイン資格情報プロバイダーを使用してサインインできます。
ヒント
フェデレーション ID のユーザー エクスペリエンスを向上させるには、
- Windows Hello for Businessを有効にします。 ユーザーがサインインすると、ユーザーはWindows Hello for Businessに登録し、それを使用してデバイスにサインインできます
- 優先Microsoft Entraテナント名機能を構成します。これにより、ユーザーはサインイン プロセス中にドメイン名を選択できます。 その後、ユーザーは ID プロバイダーのサインイン ページに自動的にリダイレクトされます。
優先テナント名の詳細については、「 認証 CSP - PreferredAadTenantDomainName」を参照してください。
重要な考慮事項
Web サインインを構成または使用する際に留意すべき重要な考慮事項の一覧を次に示します。
- キャッシュされた資格情報は、Web サインインではサポートされていません。 デバイスがオフラインの場合、ユーザーは Web サインイン資格情報プロバイダーを使用してサインインできません
- サインアウト後、ユーザーはユーザー選択リストに表示されません
- 有効にすると、Web サインイン資格情報プロバイダーは、デバイスにサインインする新しいユーザーの既定の資格情報プロバイダーです。 既定の資格情報プロバイダーを変更するには、 DefaultCredentialProvider ADMX によってサポートされるポリシーを使用できます
- ユーザーは Ctrl+Alt+Deleteキーを押して Web サインイン フローを終了して、Windows ロック画面に戻ることができます
既知の問題
- デバイスがオフラインの間にサインインしようとすると、次のメッセージが表示されます。 インターネットに接続しているようには見えません。接続を確認し、もう一度やり直してください。 [ サインインに戻る ] オプションを選択しても、ロック画面に戻りません。 回避策として、Ctrl+Alt+Deleteキーを押してロック画面に戻ることができます。
フィードバックを提供する
Web サインインに関するフィードバックを提供するには、 Feedback Hub を 開き、[ セキュリティとプライバシー] > [パスワードレス エクスペリエンス] カテゴリを使用します。