A FIDO2 biztonsági kulcs bejelentkezésének engedélyezése Windows 10- és 11-eszközökre Microsoft Entra-azonosítóval
Ez a dokumentum a FIDO2 biztonsági kulcson alapuló jelszó nélküli hitelesítés engedélyezésére összpontosít Windows 10 és 11 rendszerű eszközökkel. A cikk lépéseinek elvégzése után a FIDO2 biztonsági kulcs használatával bejelentkezhet a Microsoft Entra-azonosítójába és a Microsoft Entra hibrid csatlakoztatott Windows-eszközére is a Microsoft Entra-fiókjával.
Követelmények
| Eszköz típusa | Csatlakoztatott Microsoft Entra | Csatlakoztatott Microsoft Entra hibrid |
|---|---|---|
| Microsoft Entra többtényezős hitelesítés | X | X |
| Kombinált biztonsági információk regisztrálása | X | X |
| Kompatibilis FIDO2 biztonsági kulcsok | X | X |
| A WebAuthN használatához a Windows 10 1903-es vagy újabb verziója szükséges | X | X |
| A Microsoft Entra-hoz csatlakoztatott eszközökhöz a Windows 10 1909-es vagy újabb verziója szükséges | X | |
| A Microsoft Entra hibrid csatlakoztatott eszközeihez a Windows 10 2004-es vagy újabb verziója szükséges | X | |
| Windows Server 2016/2019 tartományvezérlők teljes körű javítása. | X | |
| Microsoft Entra Hybrid Authentication Management modul | X | |
| Microsoft Intune (nem kötelező) | X | X |
| Kiépítési csomag (nem kötelező) | X | X |
| Csoportházirend (nem kötelező) | X |
Nem támogatott forgatókönyvek
A következő forgatókönyvek nem támogatottak:
- Windows-eszköz bejelentkezése vagy zárolásának feloldása jelszóval a Microsoft Authenticatorban.
- Windows Server Active Directory tartományi szolgáltatások (AD DS) tartományhoz csatlakoztatott (csak helyszíni eszközök) üzembe helyezése.
- Olyan forgatókönyvek, mint az RDP, a VDI és a Citrix, amelyek nem webauthn átirányítást használnak.
- S/MIME biztonsági kulcs használatával.
- Futtatás biztonsági kulcs használatával.
- Bejelentkezés egy kiszolgálóra egy biztonsági kulccsal.
- Ha nem használ biztonsági kulcsot az eszközre való bejelentkezéshez online állapotban, nem használhatja a bejelentkezéshez vagy az offline zárolás feloldásához.
- Windows-eszköz bejelentkezése vagy zárolásának feloldása több Microsoft Entra-fiókot tartalmazó biztonsági kulccsal. Ez a forgatókönyv a biztonsági kulcshoz utoljára hozzáadott fiókot használja. A WebAuthN lehetővé teszi a felhasználók számára a használni kívánt fiók kiválasztását.
- A Windows 10 1809-es verzióját futtató eszköz zárolásának feloldása. A legjobb élmény érdekében használja a Windows 10 1903-es vagy újabb verzióját.
Eszközök előkészítése
A Microsoft Entra-hoz csatlakoztatott eszközöknek a Windows 10 1909-es vagy újabb verzióját kell futtatniuk.
A Microsoft Entra hibrid csatlakoztatott eszközeinek a Windows 10 2004-es vagy újabb verzióját kell futtatniuk.
Biztonsági kulcsok engedélyezése Windows-bejelentkezéshez
A szervezetek dönthetnek úgy, hogy az alábbi módszerek közül egyet vagy többet használnak a Windows-bejelentkezéshez szükséges biztonsági kulcsok használatának engedélyezéséhez a szervezet követelményei alapján:
- Engedélyezés a Microsoft Intune-nal
- Célzott Microsoft Intune-telepítés
- Engedélyezés kiépítési csomaggal
- Engedélyezés csoportházirenddel (csak a Microsoft Entra hibrid csatlakoztatott eszközeivel)
Fontos
A Microsoft Entra hibrid csatlakoztatott eszközökkel rendelkező szervezeteknek a Windows 10 FIDO2 biztonságikulcs-hitelesítés működése előtt is végre kell hajtaniuk a fido2-hitelesítés engedélyezése a helyszíni erőforrásokon című cikkben ismertetett lépéseket.
A Microsoft Entra-hoz csatlakoztatott eszközökkel rendelkező szervezeteknek ezt meg kell tenniük ahhoz, hogy eszközük FIDO2 biztonsági kulcsokkal hitelesíthesse magát a helyszíni erőforrásokon.
Engedélyezés a Microsoft Intune-nal
A biztonsági kulcsok Intune-beli használatának engedélyezéséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Intune felügyeleti központjába.
- Keresse meg az Eszközök>regisztrálása windowsos>regisztrációt> Vállalati Windows Hello.
- Állítsa be a Use security keys for sign-in for Enabled (Biztonsági kulcsok használata) lehetőséget az Engedélyezve állapotba való bejelentkezéshez.
A bejelentkezési biztonsági kulcsok konfigurálása nem függ a Vállalati Windows Hello konfigurálásától.
Feljegyzés
Ez nem engedélyezi a biztonsági kulcsokat a már kiépített eszközökön. Ebben az esetben használja a következő metódust (Célzott Intune-telepítés)
Célzott Intune-telepítés
A hitelesítőadat-szolgáltató engedélyezéséhez használjon az alábbi egyéni beállításokat az Intune-on keresztül meghatározott eszközcsoportok megcélzásához:
- Jelentkezzen be a Microsoft Intune felügyeleti központjába.
- Tallózással keresse meg az Eszközök>Windows>konfigurációs profilokat>Profil létrehozása.
- Konfigurálja az új profilt a következő beállításokkal:
- Platform: Windows 10 és újabb verziók
- Profil típusa: Egyéni sablonok >
- Név: Biztonsági kulcsok a Windows-bejelentkezéshez
- Leírás: Engedélyezi a FIDO biztonsági kulcsok használatát a Windows-bejelentkezés során
- Válassza a Következő>hozzáadás lehetőséget, majd a Sor hozzáadása területen adja hozzá a következő egyéni OMA-URI-beállításokat:
- Név: A FIDO biztonsági kulcsainak bekapcsolása a Windows-bejelentkezéshez
- Leírás: (Nem kötelező)
- OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
- Adattípus: Egész szám
- Érték: 1
- Rendelje hozzá a szabályzat többi beállítását, beleértve az adott felhasználókat, eszközöket vagy csoportokat is. További információ: Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ban.
Engedélyezés kiépítési csomaggal
A Nem a Microsoft Intune által felügyelt eszközök esetében egy kiépítési csomag telepíthető a funkció engedélyezéséhez. A Windows Configuration Tervező alkalmazás a Microsoft Store áruházból telepíthető. Végezze el a következő lépéseket egy kiépítési csomag létrehozásához:
- Indítsa el a Windows konfigurációs Tervező.
- Válassza az Új fájl>projekt lehetőséget.
- Adjon nevet a projektnek, és jegyezze fel a projekt létrehozásának útvonalát, majd válassza a Tovább gombot.
- Hagyja kijelölve a kiépítési csomagot a kijelölt projekt munkafolyamataként, és válassza a Tovább gombot.
- Válassza az Összes windowsos asztali kiadás lehetőséget a Válassza ki, hogy mely beállításokat szeretné megtekinteni és konfigurálni, majd válassza a Tovább gombot.
- Válassza a Befejezés lehetőséget.
- Az újonnan létrehozott projektben keresse meg a Futtatókörnyezet beállításai windowsHelloForBusiness>>SecurityKeys>UseSecurityKeyForSignIn parancsot.
- Állítsa a UseSecurityKeyForSignIn értékét engedélyezve.
- >Exportálási kiépítési csomag kiválasztása
- Hagyja meg az alapértelmezett értékeket a Build ablakban a Kiépítési csomag leírása területen, majd válassza a Tovább gombot.
- Hagyja meg az alapértelmezett értékeket a Build ablakban a Kiépítési csomag biztonsági részleteinek kiválasztása területén, és válassza a Tovább gombot.
- Jegyezze fel vagy módosítsa az elérési utat a Buildablakokban a Kiosztási csomag mentésének helye területen, és válassza a Tovább gombot.
- Válassza a Build lehetőséget a Kiépítési csomag létrehozása lapon.
- Mentse a létrehozott két fájlt (ppkg és macska) egy olyan helyre, ahol később alkalmazhatja őket a gépekre.
- A létrehozott kiépítési csomag alkalmazásához lásd : Kiépítési csomag alkalmazása.
Feljegyzés
A Windows 10 1903-at futtató eszközöknek engedélyeznie kell a megosztott PC-módot (EnableSharedPCMode). A funkció engedélyezésével kapcsolatos további információkért lásd : Megosztott vagy vendégszámítógép beállítása a Windows 10-zel.
Engedélyezés csoportházirenddel
A Microsoft Entra hibrid csatlakoztatott eszközei esetében a szervezetek a következő csoportházirend-beállítást konfigurálhatják a FIDO biztonsági kulcsok bejelentkezésének engedélyezéséhez. A beállítás a Számítógép konfigurációja> Rendszergazda a>>rendszer bejelentkezési> beállításai között található:
- Ha ezt a házirendet Engedélyezve értékre állítja , a felhasználók biztonsági kulcsokkal jelentkezhetnek be.
- Ha ezt a házirendet Letiltva vagy Nincs konfigurálva értékre állítja, azzal megakadályozza, hogy a felhasználók biztonsági kulcsokkal jelentkezzenek be.
Ehhez a csoportházirend-beállításhoz a CredentialProviders.admx csoportházirend-sablon frissített verziója szükséges. Ez az új sablon a Windows Server következő verziójával és a Windows 10 20H1-zel érhető el. Ez a beállítás a Windows egyik újabb verzióját futtató eszközzel vagy központilag kezelhető az alábbi útmutatást követve: A Csoportházirend Rendszergazda istrative Sablonok központi áruházának létrehozása és kezelése a Windowsban.
Bejelentkezés FIDO2 biztonsági kulccsal
Ebben a példában egy Bala Sandhu nevű felhasználó már kiépítette a FIDO2 biztonsági kulcsát az előző, Jelszó nélküli biztonsági kulcs bejelentkezés engedélyezése című cikkben ismertetett lépésekkel. A Microsoft Entra hibrid csatlakoztatott eszközei esetében győződjön meg arról, hogy a jelszó nélküli biztonsági kulcs bejelentkezését is engedélyezte a helyszíni erőforrásokba. Bala kiválaszthatja a biztonsági kulcs hitelesítőadat-szolgáltatóját a Windows 10 zárolási képernyőjén, és beszúrhatja a biztonsági kulcsot a Windowsba való bejelentkezéshez.
Biztonsági kulcs biometrikus, PIN-kód vagy alaphelyzetbe állítási biztonsági kulcs kezelése
- Windows 10 1903-es vagy újabb verzió
- A felhasználók megnyithatják a Windows Gépház az eszközfiókjuk >>biztonsági kulcsán
- A felhasználók módosíthatják a PIN-kódjukat, frissíthetik a biometrikus adatokat, vagy alaphelyzetbe állíthatják a biztonsági kulcsukat
Hibaelhárítás és visszajelzés
Ha visszajelzést szeretne megosztani, vagy problémákba ütközik ezzel a funkcióval kapcsolatban, ossza meg a Windows Visszajelzési központ alkalmazáson keresztül az alábbi lépéseket:
- Indítsa el a Visszajelzési központot , és győződjön meg arról, hogy bejelentkezett.
- Küldjön visszajelzést a következő kategorizálás alatt:
- Kategória: Biztonság és adatvédelem
- Alkategória: FIDO
- A naplók rögzítéséhez használja a probléma újbóli létrehozását.
Következő lépések
További információ az eszközregisztrációról
További információ a Microsoft Entra többtényezős hitelesítéséről