共用方式為


Windows 無密碼體驗

從 Windows 11 22H2 版與KB5030310版開始,Windows 無密碼體驗是一種安全策略,可在已加入 Microsoft Entra 的裝置上提升用戶體驗,而不需要密碼。
當原則啟用時,某些 Windows 驗證 案例不會提供使用者使用密碼的選項,協助組織和準備使用者逐漸離開密碼。

使用 Windows 無密碼體驗,使用 Windows Hello 或 FIDO2 安全性金鑰登入的使用者:

  • 無法在 Windows 鎖定畫面上使用密碼認證提供者

  • 系統不會提示您在會話內驗證期間使用密碼 (例如,UAC 提高許可權、瀏覽器中的密碼管理員等 )

  • 沒有 [設定] 應用程式中的 [ 帳戶 > 變更密碼 ] 選項

    注意

    用戶可以使用 CTRL+ALT+DEL>管理您的帳戶來重設其密碼

Windows 無密碼體驗不會影響初始登入體驗和本機帳戶。 它只適用於 Microsoft Entra 帳戶的後續登入。 在鎖定畫面中使用 [ 其他使用者 ] 選項時,也不會防止使用者使用密碼登入。
只有最後一個登入的使用者登入 Windows Hello 或 FIDO2 安全性金鑰時,才會隱藏密碼認證提供者。 Windows 無密碼體驗並不是要防止使用者使用密碼,而是要引導和教育使用者不要使用密碼。

本文說明如何啟用 Windows 無密碼體驗,並說明用戶體驗。

提示

Windows Hello 企業版 使用者可以使用 Web 登入功能,從第一次登入達到無密碼登入。 如需 Web 登入的詳細資訊,請參閱 Windows 裝置的 Web 登入。

系統需求

Windows 無密碼體驗有下列需求:

  • Windows 11 版本 22H2 與 KB5030310 或更新版本
  • Microsoft Entra 聯結
  • Windows Hello 企業版 用戶註冊的認證,或 FIDO2 安全性金鑰
  • MDM 管理:Microsoft Intune 或其他 MDM 解決方案

注意

Microsoft Entra 混合式加入的裝置和已加入 Active Directory 網域的裝置目前已超出範圍。

Windows 版本和授權需求

下表列出支援 Windows 無密碼體驗的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

下列授權會授與 Windows 無密碼體驗授權權利:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀

使用 Intune 啟用 Windows 無密碼體驗

若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:

類別 設定名稱
Authentication 啟用無密碼體驗 啟用

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者,您可以使用 自定義 原則搭配原則 CSP 來設定裝置。

設定
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
- 數據類型: int
- 價值:1

用戶體驗

鎖定畫面體驗

已關閉無密碼體驗:使用者可以使用密碼登入,如 Windows 鎖定畫面中密碼認證提供者 的存在所示。

開啟無密碼體驗:最後一個使用強式認證登入的使用者遺失密碼認證提供者 。 使用者可以使用強式認證登入,或選擇使用 [ 其他使用者 ] 選項以密碼登入。

會話內驗證體驗

啟用 Windows 無密碼體驗時,使用者無法使用密碼認證提供者進行會話內驗證案例。 工作階段內驗證案例包括:

  • 網頁瀏覽器中的密碼管理員
  • 線上到檔案共享或內部網路網站
  • 用戶帳戶控制 (UAC) 提高許可權,除非本機用戶帳戶用於提高許可權

注意

RDP 登入預設為登入期間使用的認證提供者。 不過,用戶可以選取 [ 使用不同的帳戶 以密碼登入] 選項。

以不同的使用者身 分執行不會受到 Windows 無密碼體驗的影響。

UAC 提高許可權體驗的範例:

關閉無密碼體驗:提高UAC許可權可讓使用者使用密碼進行驗證。

開啟無密碼體驗:提高UAC許可權不允許使用者針對目前登入的使用者使用密碼認證提供者。 如果有的話,使用者可以使用 Windows Hello、FIDO2 安全性密鑰或本機用戶帳戶進行驗證。

建議

以下是啟用 Windows 無密碼體驗之前要考慮的建議清單:

  • 如果啟用 Windows Hello 企業版,請設定 PIN 重設功能,讓使用者從鎖定畫面重設 PIN。 從 Windows 11 版本 22H2 開始,已改善 PIN 重設體驗KB5030310
  • 請勿設定安全策略 互動式登入:不要顯示上次登入,因為它可防止 Windows 無密碼體驗運作
  • 請勿使用排除認證提供者原則來停用密碼 認證提供者 。 這兩個原則之間的主要差異如下:
    • 排除認證提供者原則會停用 所有帳戶的密碼,包括本機帳戶。 Windows 無密碼體驗僅適用於使用 Windows Hello 或 FIDO2 安全性金鑰登入的 Microsoft Entra 帳戶。 它也會從原則中排除 其他使用者 ,因此使用者有備份登入選項
    • 排除認證提供者原則可防止使用 RDP 和執行 身分 驗證案例的密碼
  • 若要協助技術服務人員支援作業,請考慮啟用本機系統管理員帳戶或建立個別的帳戶,並使用 WINDOWS 本機系統管理員密碼解決方案 (LAPS)

已知問題

使用 FIDO2 安全性金鑰時,有一個已知問題會影響會話內驗證體驗,其中安全性密鑰不一定是可用的選項。 產品群組知道此行為,並計劃在未來改善此狀況。

提供意見反應

若要提供 Windows 無密碼體驗的意見反應,請開啟 意見反應中樞 ,並使用安全 性和隱私 > 權無密碼體驗類別。