Credenciais da Web para Windows
A partir do Windows 11, versão 22H2 com KB5030310, pode ativar uma experiência de início de sessão baseado na Web em dispositivos associados Microsoft Entra. Esta funcionalidade chama-se Início de sessão na Web e desbloqueia novas opções e capacidades de início de sessão.
O início de sessão na Web é um fornecedor de credenciais e foi introduzido inicialmente no Windows 10 apenas com suporte para o Passe de Acesso Temporário (TAP). Com o lançamento de Windows 11, os cenários e capacidades suportados do início de sessão na Web são expandidos.
Por exemplo, pode iniciar sessão com a aplicação Microsoft Authenticator ou com uma identidade federada SAML-P.
Este artigo descreve como configurar o início de sessão na Web e os principais cenários suportados.
Requisitos de sistema
Eis os pré-requisitos para utilizar o início de sessão na Web:
- Windows 11, versão 22H2 com 5030310 ou posterior
- Microsoft Entra aderido
- Conectividade à Internet, uma vez que a autenticação é feita através da Internet
Importante
O início de sessão na Web não é suportado para Microsoft Entra dispositivos associados ou associados a um domínio híbrido.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o início de sessão na Web:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
As licenças de início de sessão na Web são concedidas pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Configurar o início de sessão na Web
Para utilizar o início de sessão na Web, os seus dispositivos têm de ser configurados com políticas diferentes. Reveja as seguintes instruções para configurar os seus dispositivos com Microsoft Intune ou um pacote de aprovisionamento (PPKG).
Observação
O início de sessão na Web utiliza uma conta local gerida pelo sistema denominada WsiAccount. A conta é criada automaticamente quando ativa o início de sessão na Web e não é apresentada na lista de seleção de utilizadores. Sempre que um utilizador utiliza o fornecedor de credenciais de início de sessão na Web, a conta WsiAccount é ativada. Após o utilizador iniciar sessão, a conta é desativada.
Intune
PPKGPara configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Authentication | Ativar o Início de Sessão na Web | Habilitada |
| Authentication | Configurar URLs Permitidos de Início de Sessão na Web | Esta definição é opcional e contém uma lista de domínios necessários para iniciar sessão, por exemplo: - idp.example.com- example.com |
| Authentication | Configurar Nomes de Domínio de Acesso à Câmara Web | Esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, por exemplo: example.com |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com as seguintes definições:
| OMA-URI | Mais informações |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigurarWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigurarWebcamAccessDomainNames |
Experiências de utilizador
Assim que os dispositivos estiverem configurados, fica disponível uma nova experiência de início de sessão, conforme indicado pela presença do fornecedor 
de credenciais de início de sessão na Web no ecrã de bloqueio do Windows.
Eis uma lista dos principais cenários suportados pelo início de sessão na Web e uma breve animação que mostra a experiência do utilizador. Selecione a miniatura para iniciar a animação.
Entrada sem senha
Os utilizadores podem iniciar sessão no Windows sem palavra-passe, mesmo antes de se inscreverem no Windows Hello para Empresas. Por exemplo, ao utilizar a aplicação Microsoft Authenticator como método de início de sessão.
Dica
Quando utilizado em conjucção com Windows Hello para Empresas sem palavra-passe, pode ocultar o fornecedor de credenciais de palavra-passe do ecrã de bloqueio, bem como cenários de autenticação na sessão. Isto permite uma experiência windows verdadeiramente sem palavra-passe.
Para saber mais:
- Ativar o início de sessão sem palavra-passe com o Microsoft Authenticator
- Opções de autenticação sem palavra-passe para Microsoft Entra ID
- Experiência sem palavra-passe do Windows
Windows Hello para Empresas reposição do PIN
O fluxo de reposição de PIN Windows Hello é totalmente integrado e mais robusto do que nas versões anteriores.
Para obter mais informações, veja Reposição do PIN.
Passe de Acesso Temporário (TAP)
Um Passe de Acesso Temporário (TAP) é um código de acesso limitado por tempo concedido por um administrador a um utilizador. Os utilizadores podem iniciar sessão com um TAP através do fornecedor de credenciais de início de sessão na Web. Por exemplo:
- para integrar Windows Hello para Empresas ou uma chave de segurança FIDO2
- se perdeu ou esqueceu a chave de segurança FIDO2 e a palavra-passe desconhecida
Para obter mais informações, veja Utilizar um Passe de Acesso Temporário.
Autenticação federada
Se o inquilino Microsoft Entra estiver federado com um fornecedor de identidade (IdP) SAML-P não Microsoft, os utilizadores federados podem assinar com o fornecedor de credenciais de início de sessão na Web.
Dica
Para melhorar a experiência do utilizador para identidades federadas:
- Ative Windows Hello para Empresas. Assim que o utilizador iniciar sessão, o utilizador pode inscrever-se no Windows Hello para Empresas e, em seguida, utilizá-lo para iniciar sessão no dispositivo
- Configure a funcionalidade preferencial Microsoft Entra nome de inquilino, que permite aos utilizadores selecionar o nome de domínio durante o processo de início de sessão. Os utilizadores são redirecionados automaticamente para a página de início de sessão do fornecedor de identidade
Para obter mais informações sobre o nome do inquilino preferencial, veja Authentication CSP - PreferredAadTenantDomainName (CSP de Autenticação – PreferredAadTenantDomainName).
Considerações importantes
Eis uma lista de considerações importantes a ter em conta ao configurar ou utilizar o início de sessão na Web:
- As credenciais em cache não são suportadas com o início de sessão na Web. Se o dispositivo estiver offline, o utilizador não poderá utilizar o fornecedor de credenciais de início de sessão na Web para iniciar sessão
- Após terminar sessão, o utilizador não é apresentado na lista de seleção de utilizadores
- Depois de ativado, o fornecedor de credenciais de início de sessão na Web é o fornecedor de credenciais predefinido para novos utilizadores que iniciam sessão no dispositivo. Para alterar o fornecedor de credenciais predefinido, pode utilizar a política suportada pelo ADMX DefaultCredentialProvider
- O utilizador pode sair do fluxo de início de sessão na Web ao premir Ctrl+Alt+Delete para regressar ao ecrã de bloqueio do Windows
Problemas conhecidos
- Se tentar iniciar sessão enquanto o dispositivo estiver offline, receberá a seguinte mensagem: Não parece que esteja ligado à Internet. Verifique a ligação e tente novamente. Selecionar a opção Voltar ao início de sessão não o leva de volta ao ecrã de bloqueio. Como solução, pode premir Ctrl+Alt+Delete para voltar ao ecrã de bloqueio.
Fornecer comentários
Para fornecer feedback sobre o início de sessão na Web, abra o Hub de Comentários e utilize a categoria Segurança e Privacidade > Experiência sem palavra-passe.