Windows 无密码体验
从 Windows 11 版本 22H2 开始,具有 KB5030310,Windows无密码体验是一种安全策略,用于在加入Microsoft Entra的设备上提升无密码的用户体验。
启用策略后,某些Windows 身份验证方案不会为用户提供使用密码的选项,从而帮助组织和准备用户逐步摆脱密码。
使用 Windows 无密码体验时,使用Windows Hello或 FIDO2 安全密钥登录的用户:
无法在 Windows 锁屏界面上使用密码凭据提供程序
在会话内身份验证期间,系统不会提示使用密码 (例如 UAC 提升、浏览器中的密码管理器等 )
在“设置”应用中没有“ 帐户 > 更改密码 ”选项
注意
用户可以使用 CTRL+ALT+DEL>管理帐户重置其密码
Windows 无密码体验不会影响初始登录体验和本地帐户。 它仅适用于Microsoft Entra帐户的后续登录。 在锁屏界面中使用 “其他用户 ”选项时,它也不会阻止用户使用密码登录。
密码凭据提供程序仅对上次登录Windows Hello或 FIDO2 安全密钥的用户隐藏。 Windows 无密码体验不是要阻止用户使用密码,而是指导和教育用户不要使用密码。
本文介绍如何启用 Windows 无密码体验,并介绍了用户体验。
提示
Windows Hello 企业版用户可以使用 Web 登录功能从第一次登录开始实现无密码登录。 有关 Web 登录的详细信息,请参阅 Windows 设备的 Web 登录。
系统要求
Windows 无密码体验具有以下要求:
- Windows 11版本 22H2,具有KB5030310或更高版本
- 已加入 Microsoft Entra
- 为用户注册的Windows Hello 企业版凭据或 FIDO2 安全密钥
- MDM 托管:Microsoft Intune或其他 MDM 解决方案
注意
Microsoft Entra混合联接设备和已加入 Active Directory 域的设备当前已范围外。
Windows 版本和许可要求
下表列出了支持 Windows 无密码体验的 Windows 版本:
Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
Windows 无密码体验许可证权利由以下许可证授予:
Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
使用 Intune 启用 Windows 无密码体验
若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
类别 | 设置名称 | 值 |
---|---|---|
身份验证 | 启用无密码体验 | 已启用 |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
设置 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience - 数据类型: int - 价值: 1 |
用户体验
锁屏界面体验
已关闭无密码体验:用户可以使用密码登录,如 Windows 锁屏界面中存在密码凭据提供程序 所示。
已启用无密码体验:最后一个使用强凭据登录的用户缺少密码凭据提供程序 。 用户可以使用强凭据登录,也可以选择使用 其他用户 选项使用密码登录。
会话内身份验证体验
启用 Windows 无密码体验后,用户无法将密码凭据提供程序用于会话内身份验证方案。 会话内身份验证方案包括:
- Web 浏览器中的密码管理器
- 连接到文件共享或 Intranet 站点
- 用户帐户控制 (UAC) 提升,除非使用本地用户帐户进行提升
注意
RDP 登录默认为登录期间使用的凭据提供程序。 但是,用户可以选择“ 使用其他帐户 使用密码登录”选项。
以不同的用户身份运行 不受 Windows 无密码体验的影响。
UAC 提升体验示例:
关闭无密码体验:UAC 提升允许用户使用密码进行身份验证。
已启用无密码体验:UAC 提升不允许用户使用当前登录用户的密码凭据提供程序。 用户可以使用Windows Hello、FIDO2 安全密钥或本地用户帐户(如果可用)进行身份验证。
建议
下面是在启用 Windows 无密码体验之前要考虑的建议列表:
- 如果启用了Windows Hello 企业版,请配置 PIN 重置功能,以允许用户从锁屏界面重置其 PIN。 从 Windows 11 版本 22H2 开始,使用 KB5030310 改进了 PIN 重置体验
- 不配置安全策略 交互式登录:不显示上次登录,因为它会阻止 Windows 无密码体验正常工作
- 不要使用排除凭据提供程序策略禁用密码 凭据提供程序 。 这两个策略之间的主要区别是:
- 排除凭据提供程序策略禁用 所有帐户的密码,包括本地帐户。 Windows 无密码体验仅适用于使用Windows Hello或 FIDO2 安全密钥登录的Microsoft Entra帐户。 它还从策略中排除 其他用户 ,因此用户具有备份登录选项
- 排除凭据提供程序策略可防止将密码用于 RDP 和 作为身份验证运行 方案
- 为了便于支持人员支持操作,请考虑启用本地管理员帐户或创建单独的帐户,使用 Windows 本地管理员密码解决方案 (LAPS)
已知问题
使用 FIDO2 安全密钥时,存在一个影响会话内身份验证体验的已知问题,其中安全密钥并不总是可用的选项。 产品组已了解此行为,并计划在将来对此进行改进。
提供反馈
若要提供 Windows 无密码体验的反馈,请打开 “反馈中心 ”,并使用类别 “安全和隐私 > 无密码体验”。