Windows 11 : LogonWebHost (ms‑lwh) expliqué — utilité, sécurité, désactivation sans risque

Vous avez vu « LogonWebHost » dans Applications par défaut sous Windows 11 ? Voici ce que c’est, à quoi cela sert, s’il faut le garder et, le cas échéant, comment le désactiver proprement sans compromettre l’ouverture de session.

Problème abordé

Après une mise à niveau vers Windows 11, un élément nommé LogonWebHost apparaît dans la liste des Applications par défaut. L’utilisateur veut savoir :

• de quoi il s’agit ;
• s’il est indispensable ;
• comment le supprimer ou le désactiver si nécessaire.

Analyse du composant

LogonWebHost n’est pas une application classique : c’est un composant système qui fournit l’interface d’authentification Web Sign‑In lorsque l’ordinateur est relié à Azure AD / Entra ID et que l’ouverture de session passe par un navigateur (MFA, Passkey, FIDO2, etc.). Il est préinstallé sur toutes les éditions de Windows 11, mais il ne s’active que dans les environnements qui utilisent cette méthode de connexion.

Élément	Détails vérifiés
Chemin exécutable	C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe
Clé de protocole	ms-lwh (visible dans HKEY_CLASSES_ROOT\MS-LWH)
Paquet UWP	MicrosoftWindows.Client.CBS (composant système Windows 11)
Fonction principale	Lance l’interface « Web Sign‑In » utilisée lorsque le PC est joint à Azure AD / Entra ID et qu’on choisit l’authentification via navigateur (ex. MFA, Passkey, FIDO2).
Portée	Préinstallé sur toutes les éditions de Windows 11 ; actif uniquement si la machine emploie la connexion Web Sign‑In.

Pourquoi apparaît‑il dans « Applications par défaut » ?

La page Paramètres > Applications > Applications par défaut ne liste pas seulement des « apps » au sens usuel. Elle regroupe aussi des gestionnaires de protocoles (comme mailto:, ms-settings: ou ici ms-lwh:). LogonWebHost s’enregistre comme gestionnaire du protocole ms-lwh. C’est uniquement pour cette raison qu’il est visible dans la liste, même si vous ne l’utilisez jamais.

Faut‑il le conserver ?

Scénario	Rôle de LogonWebHost	Recommandation
PC personnel non joint à Azure AD	Reste inerte ; n’intervient pas dans la session locale.	Laisser en place : il ne consomme quasiment pas de ressources et son retrait pourrait casser de futures mises à jour.
PC d’entreprise relié à Azure AD / Entra ID	Indispensable pour l’ouverture de session Web (MFA, authentificateur, Passkey, FIDO2).	Ne pas supprimer ; composant critique de la chaîne d’authentification.
PC hybride (AD local + Entra ID)	Peut être requis selon la stratégie choisie pour l’ouverture de session.	Conserver, sauf décision explicite de désactiver Web Sign‑In au niveau de la stratégie.

Suppression ou désactivation : que peut‑on faire ?

• Désinstallation complète : impossible via Paramètres ou PowerShell sans forcer la suppression d’un paquet système. Cette manœuvre est déconseillée ; Windows réinstallera le composant lors d’une mise à jour cumulative, et la connexion Web Sign‑In cesserait de fonctionner sur les postes concernés.
• Masquage dans « Applications par défaut » : non prévu par l’interface. Vous pouvez simplement ignorer l’entrée ; elle n’affecte pas l’association des autres types de fichiers ou protocoles.
• Désactivation de Web Sign‑In (recommandé si vous voulez être certain qu’il reste inactif) :
  • Sur un poste Azure AD/Entra ID : placez la stratégie EnableWebSignIn à 0 via GPO/Intune.
  • Sur un PC domestique : aucun paramétrage nécessaire ; le service reste dormant par défaut.

Procédures détaillées

Désactiver Web Sign‑In via l’Éditeur de stratégie de groupe

1. Ouvrez gpedit.msc.
2. Allez dans Configuration ordinateur > Modèles d’administration > Système > Ouverture de session.
3. Double‑cliquez sur Activer la connexion Web (Enable Web Sign‑In).
4. Choisissez Désactivé, puis OK.
5. Exécutez gpupdate /force dans une invite de commandes élevée, ou redémarrez.

Effet : LogonWebHost n’est plus invoqué pendant l’ouverture de session. L’entrée « LogonWebHost » peut encore apparaître dans la liste des applications par défaut, mais elle ne sera pas utilisée.

Désactiver via Intune / MDM (Policy CSP)

Déployez un profil de configuration avec le paramètre suivant :

• OMA‑URI : ./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
• Type : Integer
• Valeur : 0 (désactivé) / 1 (activé)

Appliquez‑le au groupe de périphériques ciblé. Une fois la stratégie reçue, LogonWebHost ne sera plus sollicité pendant la phase de connexion.

Désactiver via le Registre (administrateurs avertis)

Vous pouvez piloter le même paramètre côté Registre (selon la version de Windows et la pile MDM déployée). Utilisez une session Invite de commandes (Admin) ou PowerShell (Admin) :

REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\current\Device\Authentication" ^
 /v EnableWebSignIn /t REG_DWORD /d 0 /f

Attention : certaines éditions appliquent d’abord la valeur livrée par la stratégie (MDM/GPO). Au prochain rafraîchissement de stratégie, cette clé peut être écrasée. Privilégiez Intune ou la GPO lorsque c’est possible.

Vérifier que le binaire est authentique

Sur un PC personnel, il est normal de vouloir s’assurer qu’il ne s’agit pas d’un programme tiers indésirable. Vous pouvez vérifier l’authenticité comme suit :

1. Signature numérique : clic droit sur LogonWebHostProduct.exe > Propriétés > onglet Signatures numériques > vérifier que la signature est émise par Microsoft Windows et est « Valide ».
2. Informations détaillées : onglet Détails pour inspecter la version du fichier.
3. PowerShell : Get-Item "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe" | Select-Object Name,Length,LastWriteTime Get-AuthenticodeSignature "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe" | Format-List Status,SignerCertificate Get-AppxPackage -AllUsers MicrosoftWindows.Client.CBS | Select-Object Name, PackageFullName, Publisher, SignatureKind

Comprendre le rôle de LogonWebHost dans la chaîne d’authentification

Lorsque la stratégie Web Sign‑In est activée, l’écran de connexion peut présenter une interface web sécurisée (par exemple pour saisir un second facteur, approuver une connexion via l’application Authenticator, ou utiliser une Passkey/FIDO2). LogonWebHost fournit cette interface : il sert de contenant au flux d’authentification et orchestre l’ouverture d’une vue web, l’échange des jetons et le retour d’état au système. Sans cet élément, les scénarios de connexion moderne (Azure AD / Entra ID) échouent.

Sur une machine domestique non reliée à un tenant Entra ID, le composant ne se déclenche pas ; il reste simplement présent, comme d’autres gestionnaires de protocoles Windows (ms-photos:, ms-settings:, etc.).

Dépannage et vérifications utiles

Où voir les traces si quelque chose ne fonctionne pas ?

• Observateur d’événements :
  • Applications and Services Logs → Microsoft → Windows → User Device Registration : journalise les enregistrements et connexions à Entra ID.
  • Applications and Services Logs → Microsoft → Windows → CloudAP → Operational : journalise l’authentification cloud et le rafraîchissement des jetons.
  • Applications and Services Logs → Microsoft → Windows → Winlogon : événements liés à l’ouverture de session.
• Vérifier l’association de protocole : dans Paramètres > Applications > Applications par défaut, recherchez le protocole ms‑lwh (ou utilisez la recherche interne). Il doit être associé à LogonWebHost.

Symptômes typiques et correctifs

Symptôme	Cause probable	Correctif
L’écran de connexion affiche une page vide lors d’un MFA	Web Sign‑In activé mais composant WebView/stratégie incomplète	Vérifier la GPO « Activer la connexion Web », la connectivité réseau et les journaux CloudAP
« LogonWebHost » visible dans la liste mais jamais utilisé	PC non joint à Azure AD / Entra ID	Ignorer l’entrée ; aucun impact ni risque
Impossible de supprimer depuis Paramètres	Paquet système protégé (MicrosoftWindows.Client.CBS)	Éviter toute suppression forcée ; utiliser la désactivation de la fonctionnalité via stratégie

Bonnes pratiques et sécurité

• Principe de moindre changement : évitez de retirer des composants système provisionnés. Windows les restaure lors des mises à jour, et vous risquez de briser un scénario d’entreprise.
• Sur PC personnel : laissez le composant. Il ne collecte pas de données hors contexte d’une authentification Entra ID, et il ne s’exécute pas en tâche de fond sans nécessité.
• En entreprise : gérez la fonctionnalité par GPO/MDM afin d’obtenir un comportement cohérent et auditables.

Foire aux questions

Est‑ce un malware ?
Non. C’est un binaire Microsoft signé, livré avec Windows 11.

Peut‑il ralentir mon PC ?
Non dans un usage domestique ; il ne fait rien tant que Web Sign‑In n’est pas sollicité. En entreprise, il ne s’exécute qu’à l’ouverture de session.

Puis‑je le désinstaller avec PowerShell ?
Vous pouvez tenter Remove-AppxPackage, mais le paquet est protégé et/ou réinstallé par Windows. Cela risque d’endommager votre environnement ou d’échouer silencieusement. Préférez la stratégie EnableWebSignIn à 0.

Pourquoi Microsoft installe‑t‑il ce composant même sur les PC non Azure AD ?
Pour uniformiser la base logicielle et simplifier la maintenance. La fonctionnalité est gérée par configuration : elle s’active uniquement lorsque vous en avez besoin.

Est‑ce lié à « LogonUI.exe » ?
Ils participent tous deux à l’expérience d’ouverture de session, mais LogonUI.exe gère l’interface classique, tandis que LogonWebHost héberge l’interface web lorsque la stratégie l’exige.

Vérifications rapides à faire chez vous

1. Ouvrez Paramètres > Comptes > Accès au travail ou à l’école : si aucun compte professionnel n’est connecté, LogonWebHost restera inactif.
2. Si votre PC est dans un domaine/tenant, demandez à votre équipe IT si Web Sign‑In est utilisé. Si non, elle peut appliquer EnableWebSignIn = 0.
3. Laissez l’item « LogonWebHost » tel quel dans Applications par défaut pour éviter des effets de bord sur de futures mises à jour.

Commandes utiles

Actualiser les stratégies

gpupdate /force

Lister le paquet système

Get-AppxPackage -AllUsers MicrosoftWindows.Client.CBS |
  Select-Object Name,PackageFullName,IsFramework,SignatureKind

Vérifier la signature du binaire

Get-AuthenticodeSignature "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe" |
  Format-List

Désactiver Web Sign‑In via le Registre

REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\current\Device\Authentication" ^
 /v EnableWebSignIn /t REG_DWORD /d 0 /f

Cas d’usage concrets

• Administrateurs : vous déployez des clés FIDO2 en entreprise ? Conservez LogonWebHost et activez Web Sign‑In pour permettre la saisie MFA ou l’invite Passkey à l’écran de connexion.
• Utilisateurs domestiques : vous n’avez ni compte professionnel ni inscription à un tenant ? Ne changez rien ; l’entrée « LogonWebHost » n’affecte ni vos navigateurs ni vos applications.
• Poste partagé : si des comptes invités ou locaux sont privilégiés, il peut être pertinent de désactiver Web Sign‑In via GPO pour éviter toute invocation non souhaitée.

Impact sur la sécurité

• Quand il est utilisé, le composant renforce la sécurité en activant l’authentification moderne (MFA, Passkeys, FIDO2).
• Le laisser installé sur un PC non Azure AD n’ajoute pas de surface d’attaque significative : il reste dormeur et enfermé dans son bac à sable applicatif.

Résumé

LogonWebHost est un composant système légitime et utile. Il n’est ni malveillant ni superflu ; il permet la connexion Web Sign‑In dans les environnements gérés (Azure AD / Entra ID). Sur un ordinateur personnel, il demeure inactif : la meilleure pratique est de le conserver et de l’ignorer dans la liste des applications par défaut. Si vous souhaitez empêcher tout usage en entreprise, désactivez proprement la fonctionnalité au moyen de la stratégie EnableWebSignIn (GPO/Intune) plutôt que de tenter une désinstallation risquée.

Annexes

Références rapides des emplacements

Ressource	Emplacement
Binaire hôte	C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe
Gestionnaire de protocole	HKEY_CLASSES_ROOT\MS-LWH (ms-lwh:)
Paquet UWP	MicrosoftWindows.Client.CBS
Stratégie GPO	Configuration ordinateur → Modèles d’administration → Système → Ouverture de session → Activer la connexion Web
Paramètre MDM (Intune)	OMA‑URI ./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn (Integer 0/1)
Registre (miroir de politique)	HKLM\SOFTWARE\Microsoft\PolicyManager\current\Device\Authentication\EnableWebSignIn (DWORD 0/1)
Journaux utiles	Observateur d’événements : Microsoft → Windows → User Device Registration, CloudAP → Operational, Winlogon

Conseils de maintenance

• Évitez les « nettoyages » agressifs de SystemApps : ce dossier contient des briques essentielles que Windows recolle lors des mises à jour.
• Déployez la désactivation de Web Sign‑In via stratégie centralisée pour garantir l’homogénéité du parc et faciliter le retour arrière.
• Documentez l’état de la stratégie EnableWebSignIn dans vos référentiels (CMDB, Wiki IT) pour prévenir les surprises lors de la rotation des équipes.

Verdict : gardez LogonWebHost. Sur PC perso, il ne fait rien ; en entreprise, il est requis pour la connexion sécurisée. Si nécessaire, neutralisez‑le proprement via GPO/Intune plutôt que d’essayer de le retirer.