Интерфейс Windows без пароля

Начиная с Windows 11 версии 22H2 с KB5030310, интерфейс Windows без пароля — это политика безопасности, которая повышает удобство работы пользователей без паролей на устройствах, присоединенных к Microsoft Entra.
Если политика включена, некоторые сценарии проверки подлинности Windows не предлагают пользователям возможность использовать пароль, помогая организациям и подготавливая пользователей к постепенному переходу от паролей.

Благодаря интерфейсу Windows без пароля пользователи, которые входят с помощью Windows Hello или ключа безопасности FIDO2:

  • Не удается использовать поставщик учетных данных пароля на экране блокировки Windows

  • Не запрашивается использование пароля во время проверки подлинности в сеансе (например, повышение уровня учетных записей, диспетчер паролей в браузере и т. д.)

  • В приложении "Параметры" нет параметра "Учетные > записи изменить пароль "

    Примечание.

    Пользователи могут сбросить пароль с помощью CTRL+ALT+DEL>Управление учетной записью

Интерфейс Windows без пароля не влияет на начальный вход и локальные учетные записи. Он применяется только к последующим входам для учетных записей Microsoft Entra. Это также не препятствует входу пользователя с паролем при использовании параметра Другой пользователь на экране блокировки.
Поставщик учетных данных пароля скрыт только для последнего пользователя, выполнившего вход в Windows Hello, или ключа безопасности FIDO2. Интерфейс Windows без пароля не предназначен для предотвращения использования паролей пользователями, а для того, чтобы научить их не использовать пароли.

В этой статье объясняется, как включить работу Windows без пароля, а также описаны пользовательские возможности.

Совет

Пользователи Windows Hello для бизнеса могут выполнить вход без пароля с первого входа с помощью функции веб-входа. Дополнительные сведения о веб-входе см. в статье Веб-вход для устройств Windows.

Системные требования

Интерфейс Windows без пароля имеет следующие требования.

  • Windows 11 версии 22H2 с KB5030310 или более поздней
  • Присоединено к Microsoft Entra
  • Учетные данные Windows Hello для бизнеса, зарегистрированные для пользователя, или ключ безопасности FIDO2
  • Управление MDM: Microsoft Intune или другое решение MDM

Примечание.

Устройства с гибридным присоединением к Microsoft Entra и устройства, присоединенные к домену Active Directory, в настоящее время выходят за рамки.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие работу Windows без пароля.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии windows без пароля предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Включение интерфейса Windows без пароля с помощью Intune

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Authentication Включение возможностей без пароля Enabled

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.

Параметр
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
- Тип данных: int
- Ценность:1

Взаимодействие с пользователем

Экран блокировки

Режим без пароля отключен: пользователи могут входить с помощью пароля, о чем свидетельствует наличие поставщика учетных данных пароля на экране блокировки Windows.

Функция без пароля включена: поставщик учетных данных пароля отсутствует для последнего пользователя, выполнившего вход с помощью надежных учетных данных. Пользователь может выполнить вход с использованием надежных учетных данных или выбрать параметр Другой пользователь для входа с паролем.

Интерфейсы проверки подлинности в сеансе

Если режим Windows без пароля включен, пользователи не могут использовать поставщик учетных данных паролей для сценариев проверки подлинности в сеансе. Сценарии проверки подлинности в сеансе включают:

  • Диспетчер паролей в веб-браузере
  • Подключение к общим папкам или сайтам интрасети
  • Повышение прав учетных записей пользователей(UAC), за исключением случаев, когда для повышения прав используется локальная учетная запись пользователя

Примечание.

По умолчанию для входа по протоколу RDP используется поставщик учетных данных, используемый во время входа. Однако пользователь может выбрать параметр Использовать другую учетную запись для входа с паролем.

Запуск от имени другого пользователя не влияет на работу Windows без пароля.

Пример взаимодействия с повышением уровня контроля учетных записей:

Режим без пароля отключен: повышение прав пользователя позволяет пользователю проходить проверку подлинности с помощью пароля.

Включена функция без пароля. Повышение прав пользователей не позволяет пользователю использовать поставщик учетных данных пароля для текущего вошедшего в систему пользователя. Пользователь может пройти проверку подлинности с помощью Windows Hello, ключа безопасности FIDO2 или локальной учетной записи пользователя, если это доступно.

Рекомендации

Ниже приведен список рекомендаций, которые следует учитывать перед включением интерфейса Windows без пароля.

  • Если включена функция Windows Hello для бизнеса, настройте функцию сброса ПИН-кода , чтобы разрешить пользователям сбрасывать ПИН-код с экрана блокировки. Функция сброса ПИН-кода улучшена начиная с Windows 11 версии 22H2 с KB5030310
  • Не настраивайте политику безопасности Интерактивный вход: не отображать последний вход, так как это предотвращает работу windows без пароля
  • Не отключайте поставщик учетных данных паролей с помощью политики Исключить поставщики учетных данных . Основные различия между этими двумя политиками:
    • Политика Исключить поставщиков учетных данных отключает пароли для всех учетных записей, включая локальные учетные записи. Интерфейс Windows без пароля применяется только к учетным записям Microsoft Entra, которые входят с помощью Windows Hello или ключа безопасности FIDO2. Он также исключает другого пользователя из политики, поэтому у пользователей есть возможность резервного входа.
    • Политика исключения поставщиков учетных данных предотвращает использование паролей для сценариев проверки подлинности RDP и запуска от имени .
  • Чтобы упростить операции поддержки службы технической поддержки, попробуйте включить учетную запись локального администратора или создать отдельную учетную запись, рандомизировав ее пароль с помощью решения для локального администратора Windows (LAPS).

Известные проблемы

Существует известная проблема, влияющая на интерфейс проверки подлинности в сеансе при использовании ключей безопасности FIDO2, из-за которой ключи безопасности не всегда доступны. Группа продуктов знает об этом поведении и планирует улучшить его в будущем.

Предоставление отзывов

Чтобы оставить отзыв о работе Windows без пароля, откройте Центр отзывов и используйте категорию Безопасность и конфиденциальность > без пароля.