Inicio de sesión web para Windows
A partir de Windows 11, versión 22H2 con KB5030310, puede habilitar una experiencia de inicio de sesión basada en web en Microsoft Entra dispositivos unidos. Esta característica se denomina inicio de sesión web y desbloquea nuevas opciones y funcionalidades de inicio de sesión.
El inicio de sesión web es un proveedor de credenciales y se introdujo inicialmente en Windows 10 solo con compatibilidad con el pase de acceso temporal (TAP). Con la versión de Windows 11, se amplían los escenarios y funcionalidades admitidos del inicio de sesión web.
Por ejemplo, puede iniciar sesión con la aplicación Microsoft Authenticator o con una identidad federada SAML-P.
En este artículo se describe cómo configurar el inicio de sesión web y los escenarios clave admitidos.
Requisitos del sistema
Estos son los requisitos previos para usar el inicio de sesión web:
- Windows 11, versión 22H2 con 5030310 o posterior
- Microsoft Entra unidos
- Conectividad a Internet, ya que la autenticación se realiza a través de Internet
Importante
El inicio de sesión web no se admite para Microsoft Entra dispositivos unidos a un dominio híbrido o unidos a un dominio.
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten el inicio de sesión web:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sí | Sí | Sí | Sí |
Los derechos de licencia de inicio de sesión web se conceden mediante las siguientes licencias:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sí | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Configuración del inicio de sesión web
Para usar el inicio de sesión web, los dispositivos deben configurarse con directivas diferentes. Revise las instrucciones siguientes para configurar los dispositivos mediante Microsoft Intune o un paquete de aprovisionamiento (PPKG).
Nota
El inicio de sesión web usa una cuenta local administrada por el sistema denominada WsiAccount. La cuenta se crea automáticamente al habilitar el inicio de sesión web y no se muestra en la lista de selección de usuarios. Cada vez que un usuario usa el proveedor de credenciales de inicio de sesión web, la cuenta de WsiAccount está habilitada. Una vez que el usuario inicia sesión, la cuenta está deshabilitada.
Intune
PPKGPara configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Authentication | Habilitación del inicio de sesión web | Habilitado |
| Authentication | Configurar direcciones URL permitidas de inicio de sesión web | Esta configuración es opcional y contiene una lista de dominios necesarios para el inicio de sesión, por ejemplo: - idp.example.com- example.com |
| Authentication | Configuración de nombres de dominio de acceso de cámara web | Esta configuración es opcional y debe configurarse si necesita usar la cámara web durante el proceso de inicio de sesión. Especifique la lista de dominios que pueden usar la cámara web durante el proceso de inicio de sesión, por ejemplo: example.com |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con los siguientes valores:
| OMA-URI | Más información |
|---|---|
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn |
EnableWebSignIn |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
ConfigureWebSignInAllowedUrls |
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames |
ConfigureWebcamAccessDomainNames |
Experiencias de usuario
Una vez configurados los dispositivos, está disponible una nueva experiencia de inicio de sesión, como se indica en la presencia del proveedor 
de credenciales de inicio de sesión web en la pantalla de bloqueo de Windows.
Esta es una lista de escenarios clave admitidos por el inicio de sesión web y una breve animación que muestra la experiencia del usuario. Seleccione la miniatura para iniciar la animación.
Inicio de sesión sin contraseña
Los usuarios pueden iniciar sesión en Windows sin contraseña, incluso antes de inscribirse en Windows Hello para empresas. Por ejemplo, mediante el uso de la aplicación Microsoft Authenticator como método de inicio de sesión.
Sugerencia
Cuando se usa en la conjura con Windows Hello para empresas sin contraseña, puede ocultar el proveedor de credenciales de contraseña de la pantalla de bloqueo, así como escenarios de autenticación en sesión. Esto permite una experiencia de Windows verdaderamente sin contraseña.
Para obtener más información:
- Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator
- Opciones de autenticación sin contraseña para Microsoft Entra ID
- Experiencia sin contraseña de Windows
Restablecimiento del PIN de Windows Hello para empresas
El flujo de restablecimiento de PIN Windows Hello es fluido y más sólido que en versiones anteriores.
Para obtener más información, consulte Restablecimiento de PIN.
Pase de acceso temporal (TAP)
Un pase de acceso temporal (TAP) es un código de acceso limitado por tiempo concedido por un administrador a un usuario. Los usuarios pueden iniciar sesión con un TAP mediante el proveedor de credenciales de inicio de sesión web. Por ejemplo:
- para incorporar Windows Hello para empresas o una clave de seguridad FIDO2
- si se pierde u olvida la clave de seguridad FIDO2 y la contraseña desconocida
Para obtener más información, consulte Uso de un pase de acceso temporal.
Autenticación federada
Si el inquilino de Microsoft Entra está federado con un proveedor de identidades saml-P (IdP) que no es de Microsoft, los usuarios federados pueden firmar con el proveedor de credenciales de inicio de sesión web.
Sugerencia
Para mejorar la experiencia del usuario para las identidades federadas:
- Habilite Windows Hello para empresas. Una vez que el usuario inicia sesión, el usuario puede inscribirse en Windows Hello para empresas y, a continuación, usarlo para iniciar sesión en el dispositivo.
- Configure la característica de nombre de inquilino Microsoft Entra preferida, que permite a los usuarios seleccionar el nombre de dominio durante el proceso de inicio de sesión. A continuación, se redirige automáticamente a los usuarios a la página de inicio de sesión del proveedor
Para obtener más información sobre el nombre de inquilino preferido, consulte CSP de autenticación: PreferredAadTenantDomainName.
Consideraciones importantes
Esta es una lista de consideraciones importantes que debe tener en cuenta al configurar o usar el inicio de sesión web:
- Las credenciales almacenadas en caché no se admiten con el inicio de sesión web. Si el dispositivo está sin conexión, el usuario no puede usar el proveedor de credenciales de inicio de sesión web para iniciar sesión.
- Después de cerrar la sesión, el usuario no se muestra en la lista de selección de usuarios.
- Una vez habilitado, el proveedor de credenciales de inicio de sesión web es el proveedor de credenciales predeterminado para los nuevos usuarios que inician sesión en el dispositivo. Para cambiar el proveedor de credenciales predeterminado, puede usar la directiva respaldada por ADMX DefaultCredentialProvider .
- El usuario puede salir del flujo de inicio de sesión web presionando Ctrl+Alt+Eliminar para volver a la pantalla de bloqueo de Windows.
Problemas conocidos
- Si intenta iniciar sesión mientras el dispositivo está sin conexión, recibirá el siguiente mensaje: No parece que esté conectado a Internet. Compruebe la conexión e inténtelo de nuevo. Al seleccionar la opción Volver al inicio de sesión no se vuelve a la pantalla de bloqueo. Como solución alternativa, puede presionar Ctrl+Alt+Eliminar para volver a la pantalla de bloqueo.
Proporcionar comentarios
Para proporcionar comentarios sobre el inicio de sesión web, abra el Centro de comentarios y use la categoría Seguridad y privacidad > experiencia sin contraseña.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de