Включение входа с использованием ключа безопасности FIDO2 на устройствах Windows 10 и 11 с помощью Microsoft Entra ID

В этой статье рассматривается включение проверки подлинности без пароля на основе ключа безопасности FIDO2 с устройствами Windows 10 и 11. Выполнив действия, описанные в этой статье, вы сможете входить на устройства Windows, присоединенные к Microsoft Entra ID, а также на гибридно присоединенные к Microsoft Entra устройства Windows с помощью своей учетной записи Microsoft Entra, используя ключ безопасности FIDO2.

Предварительные требования для ключей безопасности FIDO2

Неподдерживаемые сценарии

Не поддерживаются следующие сценарии:

  • развертывание Windows Server доменные службы Active Directory (AD DS) для устройств, присоединенных к домену, исключительно для локального использования.
  • Такие сценарии, как RDP, VDI и Citrix, используют ключ безопасности, отличный от перенаправления webauthn.
  • использование протокола S/MIME с ключом безопасности;
  • Запустите как с помощью ключа безопасности.
  • Войдите на сервер с помощью ключа безопасности.

Вход и разблокировка устройства

  • Поддерживается вход OOBE с помощью ключа безопасности FIDO2. Для разблокировки устройства Windows можно использовать веб-вход. Дополнительные сведения см. в разделе «Использование веб-входа в систему для включения входа без пароля в Windows».
  • При входе или разблокировке устройства Windows с помощью ключа безопасности, содержащего несколько учетных записей Microsoft Entra, устройство по умолчанию использует последнюю учетную запись, добавленную в ключ. Однако WebAuthn позволяет пользователям выбирать определенную учетную запись, которую они хотят использовать для проверки подлинности.
  • Для разблокировки устройства требуется Windows 10 версии 1809. Для лучшего использования используйте Windows 10 версии 1903 или более поздней.

Подготовка устройств

Устройства, подключенные к Microsoft Entra, должны работать на Windows 10 версии 1909 или более поздней.

Microsoft Entra гибридные устройства должны работать на Windows 10 версии 2004 или более поздней.

Настройка профиля доступа, привязанного к устройству, для ключей безопасности FIDO2

Профиль ключа, привязанного к устройству, позволяет определять параметры аттестации и ограничения ключей для ключей доступа, привязанных к устройству, хранящихся в физических ключах безопасности.

  1. Войдите в центр администрирования Microsoft Entra в качестве как минимум администратора политики аутентификации.

  2. Перейдите к Entra ID>методам проверки подлинности.

  3. На странице Методы проверки подлинности | Политики выберите Passkey (FIDO2)>Настроить.

  4. Выберите + Добавить профиль.

    Снимок экрана, показывающий, как добавить профиль пасс-кода.

  5. Введите имя профиля, например ключи безопасности FIDO2.

  6. Для типов ключей доступа выберите Привязанный к устройству и Сохранить.

    Примечание.

    Если отключить ключи доступа с привязкой к устройству для заданного профиля секретного ключа, целевые пользователи не смогут войти с помощью секретного ключа, привязанного к устройству, даже если они уже зарегистрировали его.

    Снимок экрана, показывающий профиль ключа доступа с именем «Ключи безопасности FIDO2», в котором типы ключей доступа заданы как привязанные к устройству.

Пример: Указать конкретные AAGUID

Можно указать конкретные AAGUID, чтобы управлять тем, какие аутентификаторы пользователи могут регистрировать. В этом примере профиль ключа доступа разрешает использование только AAGUID для определённых моделей ключей безопасности FIDO2.

Чтобы настроить этот профиль, выполните указанные ниже действия.

  1. Выберите целевые объекты AAGUID.

  2. Задайте для параметра Behavior значение Allow.

  3. В разделе AAGUID модели или поставщика добавьте AAGUID для моделей ключей безопасности FIDO2, которые нужно разрешить для входа в систему, и нажмите Сохранить.

    Предупреждение

    • Если выбрать Обязательная аттестация, при регистрации требуется аттестация. Microsoft Entra ID может проверить марку и модель аутентификатора по сравнению с доверенными метаданными. Аттестация гарантирует вашей организации, что секретный ключ является подлинным и поставляется от указанного поставщика. Если вы не выберете Принудительно требовать аттестацию, Microsoft Entra ID не сможет гарантировать какой бы то ни было атрибут ключа доступа, в том числе то, синхронизирован ли он или привязан к устройству.

    • Применение аттестации регулирует, разрешено ли использовать ключ доступа (FIDO2) исключительно в момент регистрации. Пользователи, которые регистрируют ключ доступа (FIDO2) без аттестации, не блокируются при входе в систему, если позже будет выбран параметр Требовать аттестацию.

    Снимок экрана, на котором показан профиль ключа доступа с именем «Ключи безопасности FIDO2», в котором выбраны параметры «Принудительная аттестация» и «Указать конкретные AAGUID», для параметра «Поведение» задано значение Allow, а также добавлены AAGUID конкретных моделей ключей безопасности FIDO2.

Включение и назначение групп для профиля ключа доступа, привязанного к устройству

Организации могут использовать один или несколько следующих методов, чтобы включить использование ключей безопасности для Windows входа в соответствии с требованиями организации:

Внимание

Организации с гибридными устройствами Microsoft Entra должны также выполнить действия, описанные в статье Включение аутентификации FIDO2 для локальных ресурсов, прежде чем аутентификация с помощью ключей безопасности FIDO2 на Windows 10 начнет работать.

Организации с Microsoft Entra присоединенными устройствами должны сделать это, прежде чем их устройства смогут пройти проверку подлинности в локальных ресурсах с помощью ключей безопасности FIDO2.

Включение через центр администрирования Microsoft Entra

  1. Войдите в центр администрирования Microsoft Entra в качестве как минимум администратора политики аутентификации.

  2. Перейдите к Entra ID>методам проверки подлинности.

  3. На странице Способы проверки подлинности | Политики выберите Ключ доступа (FIDO2)>Включить и назначить.

  4. На вкладке «Включение и назначение» убедитесь, что для параметра «Включить» задано значение «Вкл.».

  5. Выберите "Добавить целевой объект" и выберите "Все пользователи" или "Выбрать" , чтобы выбрать определенные группы.

    Снимок экрана, на котором показано, как добавить целевой объект для профиля секретного ключа.

  6. Выберите профиль для ключей доступа, привязанных к устройству.

    Снимок экрана, на котором показано, как включить и нацелить профиль для ключей доступа, привязанных к устройству.

  7. Нажмите кнопку "Сохранить", чтобы включить ключи доступа, привязанные к устройству, для выбранных пользователей.

Включение с помощью Microsoft Intune

Чтобы включить с помощью Intune использование ключей безопасности, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Intune.
  2. Перейдите к Устройства>Регистрация устройств>Регистрация Windows>Windows Hello для бизнеса.
  3. Задайте использование ключей безопасности для входа в значение "Включено".

Настройка ключей безопасности для входа не зависит от настройки Windows Hello for Business.

Примечание.

Это не активирует ключи безопасности на уже подготовленных устройствах. В этом случае используйте следующий метод (целевое развертывание Intune).

Целевое развертывание Intune

Чтобы включить средство поставки учетных данных для конкретных групп устройств, задайте с помощью Intune следующие параметры настройки.

  1. Войдите в центр администрирования Microsoft Intune.
  2. Перейдите к Devices>Windows>Профили конфигурации>Создать профиль.
  3. Настройте новый профиль со следующими параметрами:
    • Платформа: Windows 10 и более поздних версий
    • Тип профиля: Шаблоны > Custom
    • Имя: Ключи безопасности для входа в систему Windows
    • Описание. Позволяет использовать ключи безопасности FIDO во время входа в Windows
  4. Нажмите кнопку "Далее>добавить " и в поле "Добавить строку", добавьте следующие параметры пользовательского OMA-URI:
    • Включение ключей безопасности FIDO для входа в Windows
    • Описание: (Необязательно)
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Тип данных. Целое число
    • Значение: 1
  5. Назначьте оставшуюся часть параметров политики, включая определенных пользователей, устройств или групп. Дополнительные сведения см. в разделе Назначение профилей пользователей и устройств в Microsoft Intune.

Активировать с помощью пакета подготовки

Для устройств, не управляемых Microsoft Intune, можно установить пакет подготовки для включения функциональных возможностей. Приложение конструктора конфигураций Windows можно установить из магазина Microsoft Store. Чтобы создать пакет подготовки, выполните следующие действия.

  1. Запустите конструктор конфигураций Windows.
  2. Выберите Файл>Новый проект.
  3. Присвойте проекту имя и запишите путь, в котором создается проект, а затем нажмите кнопку "Далее".
  4. Оставьте пакет подготовки выбранным в качестве рабочего процесса выбранного проекта и нажмите кнопку "Далее".
  5. Выберите Все классические выпуски Windows в разделе Выберите, какие параметры просматривать и настраивать, а затем выберите Далее.
  6. Нажмите Готово.
  7. В созданном проекте перейдите к параметрам >WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn.
  8. Установите UseSecurityKeyForSignIn в Enabled.
  9. ВыберитеЭкспорт>Пакет подготовки
  10. Оставьте значения по умолчанию в окне сборки в разделе "Описание пакета подготовки", а затем нажмите кнопку "Далее".
  11. Оставьте значения по умолчанию в окне "Сборка " в разделе "Выбор сведений о безопасности" для пакета подготовки и нажмите кнопку "Далее".
  12. Запишите или измените путь в окне Build в разделе Выберите, где сохранить пакет подготовки и нажмите кнопку Далее.
  13. Выберите «Сборка» на странице «Сборка пакета подготовки».
  14. Сохраните два файла (ppkg и cat) в расположении, где их можно применить к компьютерам позже.
  15. Чтобы применить созданный пакет подготовки, см. статью "Применить пакет подготовки".

Примечание.

Устройства под управлением Windows 10 версии 1903 также должны включать режим общего компьютера (EnableSharedPCMode). Дополнительные сведения о включении этой функции см. в статье Set up a shared or guest PC with Windows 10.

Включение с помощью групповой политики

Для гибридно присоединенных устройств Microsoft Entra организации могут настроить следующий параметр групповой политики, чтобы включить вход с помощью FIDO-ключа безопасности. Этот параметр можно найти в разделе "Конфигурация компьютера>Административные шаблоны>Система>Вход>Включить вход с помощью ключа безопасности":

  • Если эта политика включена , пользователи могут войти с помощью ключей безопасности.
  • Если эта политика отключена или не настроена, пользователи не смогут войти в систему с помощью ключей безопасности.

Для этого параметра групповой политики требуется обновленная версия шаблона групповой CredentialProviders.admx политики. Этот новый шаблон доступен в следующей версии Windows Server и с Windows 10 20H1. Этим параметром можно управлять с помощью устройства под управлением одной из этих более новых версий Windows или централизованно, следуя рекомендациям здесь: Как создать и управлять центральным хранилищем для административных шаблонов групповой политики в Windows.

Подготовка ключей безопасности FIDO2 с помощью API Microsoft Graph (предварительная версия)

В настоящее время администраторы могут использовать Microsoft Graph и пользовательские клиенты для подготовки ключей безопасности FIDO2 от имени пользователей. Для предоставления требуется роль администратора аутентификации или клиентское приложение с разрешением UserAuthenticationMethod.ReadWrite.All. Улучшения в обеспечении включают:

  • Возможность запрашивать параметры создания WebAuthn из идентификатора Microsoft Entra
  • Возможность зарегистрировать подготовленный ключ безопасности непосредственно с помощью идентификатора Microsoft Entra

С помощью этих новых API организации могут создавать собственные клиенты для подготовки учетных данных доступа (FIDO2) для ключей безопасности от имени пользователя. Чтобы упростить этот процесс, необходимо выполнить три основных шага.

  1. Request creationOptions для пользователя: Microsoft Entra ID возвращает необходимые данные для клиента для подготовки учетных данных доступа (FIDO2). К ним относятся такие сведения, как сведения о пользователях, идентификатор проверяющей стороны, требования к политике учетных данных, алгоритмы, проблема регистрации и многое другое.
  2. Подготовьте учетные данные доступа (FIDO2) с помощью параметров создания: используйте creationOptions клиент, поддерживающий протокол CTAP клиента для проверки подлинности (CTAP). На этом шаге необходимо вставить ключ безопасности и задать ПИН-код.
  3. Зарегистрируйте предоставленные учетные данные в Microsoft Entra ID: используйте форматированные выходные данные процесса подготовки, чтобы предоставить в Microsoft Entra ID необходимые сведения для регистрации учетных данных доступа (FIDO2) для целевого пользователя.

Схема, показывающая шаги по подготовке секретных ключей (FIDO2).

Устранение неполадок и отзывов

Если вы хотите поделиться отзывом или столкнуться с проблемами с этой функцией, поделитесь с помощью приложения центра отзывов Windows, выполнив следующие действия.

  1. Запустите Центр отзывов и убедитесь, что вы вошли в систему.
  2. Отправьте отзыв в соответствии со следующими категориями:
    • Категория: безопасность и конфиденциальность данных
    • Подкатегория: FIDO
  3. Чтобы записать журналы, используйте параметр Воспроизвести мою проблему.

Регистрация ключа безопасности FIDO2

После того как администратор создаст профиль ключа доступа, привязанного к устройству, пользователи смогут зарегистрировать ключ безопасности FIDO2 на своем устройстве.

Инструкции по регистрации см. в разделе "Регистрация секретного ключа" с помощью ключа безопасности FIDO2.

Вход с помощью ключа безопасности FIDO2

После регистрации пользователи могут войти в Microsoft Entra ID с помощью ключа безопасности FIDO2 на своем устройстве.

Инструкции по входу см. в разделе "Вход с помощью ключа безопасности FIDO2".