Windows 無密碼體驗
從 Windows 11 22H2 版與KB5030310版開始,Windows 無密碼體驗是一種安全策略,可在已加入 Microsoft Entra 的裝置上提升用戶體驗,而不需要密碼。
當原則啟用時,某些 Windows 驗證 案例不會提供使用者使用密碼的選項,協助組織和準備使用者逐漸離開密碼。
使用 Windows 無密碼體驗,使用 Windows Hello 或 FIDO2 安全性金鑰登入的使用者:
無法在 Windows 鎖定畫面上使用密碼認證提供者
系統不會提示您在會話內驗證期間使用密碼 (例如,UAC 提高許可權、瀏覽器中的密碼管理員等 )
沒有 [設定] 應用程式中的 [ 帳戶 > 變更密碼 ] 選項
注意
用戶可以使用 CTRL+ALT+DEL>管理您的帳戶來重設其密碼
Windows 無密碼體驗不會影響初始登入體驗和本機帳戶。 它只適用於 Microsoft Entra 帳戶的後續登入。 在鎖定畫面中使用 [ 其他使用者 ] 選項時,也不會防止使用者使用密碼登入。
只有最後一個登入的使用者登入 Windows Hello 或 FIDO2 安全性金鑰時,才會隱藏密碼認證提供者。 Windows 無密碼體驗並不是要防止使用者使用密碼,而是要引導和教育使用者不要使用密碼。
本文說明如何啟用 Windows 無密碼體驗,並說明用戶體驗。
提示
Windows Hello 企業版 使用者可以使用 Web 登入功能,從第一次登入達到無密碼登入。 如需 Web 登入的詳細資訊,請參閱 Windows 裝置的 Web 登入。
系統需求
Windows 無密碼體驗有下列需求:
- Windows 11 版本 22H2 與 KB5030310 或更新版本
- Microsoft Entra 聯結
- Windows Hello 企業版 用戶註冊的認證,或 FIDO2 安全性金鑰
- MDM 管理:Microsoft Intune 或其他 MDM 解決方案
注意
Microsoft Entra 混合式加入的裝置和已加入 Active Directory 網域的裝置目前已超出範圍。
Windows 版本和授權需求
下表列出支援 Windows 無密碼體驗的 Windows 版本:
Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
下列授權會授與 Windows 無密碼體驗授權權利:
Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
使用 Intune 啟用 Windows 無密碼體驗
若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
類別 | 設定名稱 | 值 |
---|---|---|
Authentication | 啟用無密碼體驗 | 啟用 |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用 自定義 原則搭配原則 CSP 來設定裝置。
設定 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience - 數據類型: int - 價值: 1 |
用戶體驗
鎖定畫面體驗
已關閉無密碼體驗:使用者可以使用密碼登入,如 Windows 鎖定畫面中密碼認證提供者 的存在所示。
開啟無密碼體驗:最後一個使用強式認證登入的使用者遺失密碼認證提供者 。 使用者可以使用強式認證登入,或選擇使用 [ 其他使用者 ] 選項以密碼登入。
會話內驗證體驗
啟用 Windows 無密碼體驗時,使用者無法使用密碼認證提供者進行會話內驗證案例。 工作階段內驗證案例包括:
- 網頁瀏覽器中的密碼管理員
- 線上到檔案共享或內部網路網站
- 用戶帳戶控制 (UAC) 提高許可權,除非本機用戶帳戶用於提高許可權
注意
RDP 登入預設為登入期間使用的認證提供者。 不過,用戶可以選取 [ 使用不同的帳戶 以密碼登入] 選項。
以不同的使用者身 分執行不會受到 Windows 無密碼體驗的影響。
UAC 提高許可權體驗的範例:
關閉無密碼體驗:提高UAC許可權可讓使用者使用密碼進行驗證。
開啟無密碼體驗:提高UAC許可權不允許使用者針對目前登入的使用者使用密碼認證提供者。 如果有的話,使用者可以使用 Windows Hello、FIDO2 安全性密鑰或本機用戶帳戶進行驗證。
建議
以下是啟用 Windows 無密碼體驗之前要考慮的建議清單:
- 如果啟用 Windows Hello 企業版,請設定 PIN 重設功能,讓使用者從鎖定畫面重設 PIN。 從 Windows 11 版本 22H2 開始,已改善 PIN 重設體驗,KB5030310
- 請勿設定安全策略 互動式登入:不要顯示上次登入,因為它可防止 Windows 無密碼體驗運作
- 請勿使用排除認證提供者原則來停用密碼 認證提供者 。 這兩個原則之間的主要差異如下:
- 排除認證提供者原則會停用 所有帳戶的密碼,包括本機帳戶。 Windows 無密碼體驗僅適用於使用 Windows Hello 或 FIDO2 安全性金鑰登入的 Microsoft Entra 帳戶。 它也會從原則中排除 其他使用者 ,因此使用者有備份登入選項
- 排除認證提供者原則可防止使用 RDP 和執行 身分 驗證案例的密碼
- 若要協助技術服務人員支援作業,請考慮啟用本機系統管理員帳戶或建立個別的帳戶,並使用 WINDOWS 本機系統管理員密碼解決方案 (LAPS)
已知問題
使用 FIDO2 安全性金鑰時,有一個已知問題會影響會話內驗證體驗,其中安全性密鑰不一定是可用的選項。 產品群組知道此行為,並計劃在未來改善此狀況。
提供意見反應
若要提供 Windows 無密碼體驗的意見反應,請開啟 意見反應中樞 ,並使用安全 性和隱私 > 權無密碼體驗類別。