Webanmeldung für Windows

Ab Windows 11 Version 22H2 mit KB5030310 können Sie eine webbasierte Anmeldung auf Microsoft Entra verbundenen Geräten aktivieren. Dieses Feature wird als Webanmeldung bezeichnet und entsperrt neue Anmeldeoptionen und -funktionen.

Die Webanmeldung ist ein Anmeldeinformationsanbieter, der ursprünglich in Windows 10 eingeführt wurde, wobei nur der temporäre Zugriffspass (Temporary Access Pass, TAP) unterstützt wird. Mit der Veröffentlichung von Windows 11 werden die unterstützten Szenarien und Funktionen der Webanmeldung erweitert.
Sie können sich beispielsweise mit der Microsoft Authenticator-App oder mit einer SAML-P-Verbundidentität anmelden.

In diesem Artikel wird beschrieben, wie Sie die Webanmeldung und die unterstützten Schlüsselszenarien konfigurieren.

Systemanforderungen

Dies sind die Voraussetzungen für die Verwendung der Webanmeldung:

Wichtig

Die Webanmeldung wird für Microsoft Entra hybrid oder in die Domäne eingebundenen Geräte nicht unterstützt.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Webanmeldung unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

Berechtigungen für Webanmeldungslizenzen werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Konfigurieren der Webanmeldung

Um die Webanmeldung verwenden zu können, müssen Ihre Geräte mit unterschiedlichen Richtlinien konfiguriert werden. Lesen Sie die folgenden Anweisungen, um Ihre Geräte mit Microsoft Intune oder einem Bereitstellungspaket (PPKG) zu konfigurieren.

Hinweis

Die Webanmeldung verwendet ein vom System verwaltetes lokales Konto namens WsiAccount. Das Konto wird automatisch erstellt, wenn Sie die Webanmeldung aktivieren, und es wird nicht in der Benutzerauswahlliste angezeigt. Jedes Mal, wenn ein Benutzer den Anmeldeinformationsanbieter für die Webanmeldung verwendet, wird das WsiAccount-Konto aktiviert. Nachdem sich der Benutzer angemeldet hat, wird das Konto deaktiviert.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Authentication Aktivieren der Webanmeldung Aktiviert
Authentication Konfigurieren zulässiger UrLs für die Webanmeldung Diese Einstellung ist optional und enthält eine Liste der Domänen, die für die Anmeldung erforderlich sind, z. B.:
- idp.example.com
- example.com
Authentication Konfigurieren von Webcam-Zugriffsdomänennamen Diese Einstellung ist optional und sollte konfiguriert werden, wenn Sie die Webcam während des Anmeldevorgangs verwenden müssen. Geben Sie die Liste der Domänen an, die die Webcam während des Anmeldevorgangs verwenden dürfen, z. B.: example.com

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit den folgenden Einstellungen konfigurieren:

OMA-URI Weitere Informationen
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn EnableWebSignIn
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls ConfigureWebSignInAllowedUrls
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames ConfigureWebcamAccessDomainNames

Benutzeroberflächen

Sobald die Geräte konfiguriert sind, wird eine neue Anmeldeoberfläche verfügbar, wie durch das Vorhandensein des Anmeldeinformationsanbieters für die Webanmeldung auf dem Windows-Sperrbildschirm angegeben wird.

Screenshot des Windows-Sperrbildschirms mit dem Anmeldeinformationsanbieter für die Webanmeldung.

Hier finden Sie eine Liste der wichtigsten Szenarien, die von der Webanmeldung unterstützt werden, und eine kurze Animation, die die Benutzeroberfläche zeigt. Wählen Sie die Miniaturansicht aus, um die Animation zu starten.

Kennwortlose Anmeldung

Benutzer können sich kennwortlos bei Windows anmelden, noch bevor sie sich bei Windows Hello for Business registrieren. Beispielsweise durch Verwendung der Microsoft Authenticator-App als Anmeldemethode.

Tipp

Bei Verwendung in Verbindung mit Windows Hello for Business kennwortlosen Können Sie den Anbieter von Kennwortanmeldeinformationen sowohl auf dem Sperrbildschirm als auch in Sitzungs-Authentifizierungsszenarien ausblenden. Dies ermöglicht eine wirklich kennwortlose Windows-Erfahrung.

Weitere Informationen:

Windows Hello for Business PIN-Zurücksetzung

Der ablauf der Windows Hello PIN-Zurücksetzung ist nahtlos und robuster als in früheren Versionen.

Weitere Informationen finden Sie unter ZURÜCKSETZEN DER PIN.

Temporärer Zugriffspass (Temporary Access Pass, TAP)

Ein temporärer Zugriffspass (Temporary Access Pass, TAP) ist eine zeitlich begrenzte Kennung, die einem Benutzer von einem Administrator gewährt wird. Benutzer können sich mit einem TAP anmelden, indem sie den Anmeldeinformationsanbieter für die Webanmeldung verwenden. Zum Beispiel:

  • zum Onboarding Windows Hello for Business oder eines FIDO2-Sicherheitsschlüssels
  • wenn fido2-Sicherheitsschlüssel und unbekanntes Kennwort verloren gegangen oder vergessen wurden

Weitere Informationen finden Sie unter Verwenden eines befristeten Zugriffspasses.

Verbundauthentifizierung

Wenn der Microsoft Entra Mandant mit einem Nicht-Microsoft SAML-P-Identitätsanbieter (IdP) verbunden ist, können Sich Verbundbenutzer mit dem Anmeldeinformationsanbieter für die Webanmeldung anmelden.

Tipp

So verbessern Sie die Benutzererfahrung für Verbundidentitäten:

  • Aktivieren Sie Windows Hello for Business. Sobald sich der Benutzer angemeldet hat, kann er sich bei Windows Hello for Business registrieren und es dann verwenden, um sich beim Gerät anzumelden.
  • Konfigurieren Sie das Feature "Bevorzugter Microsoft Entra Mandantennamen", mit dem Benutzer den Domänennamen während des Anmeldevorgangs auswählen können. Die Benutzer werden dann automatisch zur Anmeldeseite des Identitätsanbieters weitergeleitet Screenshot des Windows-Sperrbildschirms mit konfiguriertem bevorzugten Mandanten.

Weitere Informationen zum bevorzugten Mandantennamen finden Sie unter Authentifizierungs-CSP – PreferredAadTenantDomainName.

Wichtige Überlegungen

Im Folgenden finden Sie eine Liste wichtiger Überlegungen, die Sie beim Konfigurieren oder Verwenden der Webanmeldung berücksichtigen sollten:

  • Zwischengespeicherte Anmeldeinformationen werden bei der Webanmeldung nicht unterstützt. Wenn das Gerät offline ist, kann der Benutzer den Anmeldeinformationsanbieter für die Webanmeldung nicht verwenden, um sich anzumelden.
  • Nach der Abmeldung wird der Benutzer nicht in der Benutzerauswahlliste angezeigt.
  • Nach der Aktivierung ist der Anmeldeinformationsanbieter für die Webanmeldung der Standardanmeldeinformationsanbieter für neue Benutzer, die sich beim Gerät anmelden. Um den Standardanmeldeinformationsanbieter zu ändern, können Sie die ADMX-gesicherte DefaultCredentialProvider-Richtlinie verwenden.
  • Der Benutzer kann den Web-Anmeldeflow beenden, indem er STRG+ALT+ENTF drückt, um zum Windows-Sperrbildschirm zurückzukehren.

Bekannte Probleme

  • Wenn Sie versuchen, sich anzumelden, während das Gerät offline ist, erhalten Sie die folgende Meldung: Es sieht nicht so aus, als ob Sie mit dem Internet verbunden sind. Überprüfen Sie Ihre Verbindung, und versuchen Sie es erneut. Wenn Sie die Option Zurück zur Anmeldung auswählen, gelangen Sie nicht zurück zum Sperrbildschirm. Als Problemumgehung können Sie STRG+ALT+ENTF drücken, um zum Sperrbildschirm zurückzukehren.

Feedback geben

Um Feedback zur Webanmeldung zu geben, öffnen Sie den Feedback-Hub , und verwenden Sie die Kategorie Sicherheit und Datenschutz > Kennwortlose Erfahrung.