Opcje uwierzytelniania bezhasło dla Azure Active DirectoryPasswordless authentication options for Azure Active Directory

Funkcje, takie jak uwierzytelnianie wieloskładnikowe (MFA), to doskonały sposób na zabezpieczenie organizacji, ale użytkownicy często uzyskują sfrustrowani z dodatkową warstwą zabezpieczeń na potrzeby zapamiętywania haseł.Features like multi-factor authentication (MFA) are a great way to secure your organization, but users often get frustrated with the additional security layer on top of having to remember their passwords. Metody uwierzytelniania bez hasła są wygodniejsze, ponieważ hasło jest usuwane i zastępowane przez użytkownikaPasswordless authentication methods are more convenient because the password is removed and replaced with something you have, plus something you are or something you know.

UwierzytelnianieAuthentication Coś, czego maszSomething you have Coś lub wieszSomething you are or know
Logowanie bez hasłaPasswordless Urządzenia, numery telefonów lub klucze zabezpieczeń systemu Windows 10Windows 10 Device, phone, or security key Biometryczna lub PINBiometric or PIN

Każda organizacja ma inne potrzeby związane z uwierzytelnianiem.Each organization has different needs when it comes to authentication. Firma Microsoft oferuje następujące trzy opcje uwierzytelniania bez hasła, które integrują się z usługą Azure Active Directory (Azure AD):Microsoft offers the following three passwordless authentication options that integrate with Azure Active Directory (Azure AD):

  • Windows Hello for BusinessWindows Hello for Business
  • Aplikacja Microsoft AuthenticatorMicrosoft Authenticator app
  • FIDO2 klucze zabezpieczeńFIDO2 security keys

Uwierzytelnianie: zabezpieczenia i wygoda

Windows Hello for BusinessWindows Hello for Business

Funkcja Windows Hello dla firm jest idealna w przypadku pracowników przetwarzających informacje, którzy mają własne Wyznaczeni komputery z systemem Windows.Windows Hello for Business is ideal for information workers that have their own designated Windows PC. Poświadczenia biometryczne i numery PIN są bezpośrednio powiązane z komputerem użytkownika, co uniemożliwia dostęp od nikogo innego niż właściciel.The biometric and PIN credentials are directly tied to the user's PC, which prevents access from anyone other than the owner. Dzięki integracji infrastruktury kluczy publicznych (PKI) i wbudowanej obsłudze logowania jednokrotnego (SSO) usługa Windows Hello dla firm zapewnia wygodną metodę bezproblemowego uzyskiwania dostępu do zasobów firmy lokalnie i w chmurze.With public key infrastructure (PKI) integration and built-in support for single sign-on (SSO), Windows Hello for Business provides a convenient method for seamlessly accessing corporate resources on-premises and in the cloud.

Przykład logowania użytkownika przy użyciu usługi Windows Hello dla firm

Poniższe kroki pokazują, jak proces logowania współdziała z usługą Azure AD:The following steps show how the sign-in process works with Azure AD:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu usługi Windows Hello dla firm

  1. Użytkownik loguje się do systemu Windows za pomocą gestu biometrycznego lub numeru PIN.A user signs into Windows using biometric or PIN gesture. Gest odblokowuje klucz prywatny usługi Windows Hello dla firm i jest wysyłany do dostawcy obsługi zabezpieczeń uwierzytelniania w chmurze, zwanego dostawcą AP usługi Cloud.The gesture unlocks the Windows Hello for Business private key and is sent to the Cloud Authentication security support provider, referred to as the Cloud AP provider.
  2. Dostawca AP usług w chmurze żąda identyfikatora jednorazowego z usługi Azure AD.The Cloud AP provider requests a nonce from Azure AD.
  3. Usługa Azure AD zwraca identyfikator jednorazowy ważny przez 5 minut.Azure AD returns a nonce that's valid for 5 minutes.
  4. Dostawca AP w chmurze podpisuje identyfikator jednorazowy przy użyciu klucza prywatnego użytkownika i zwraca podpisany identyfikator jednorazowy do usługi Azure AD.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure AD.
  5. Usługa Azure AD weryfikuje podpisany identyfikator jednorazowy przy użyciu bezpiecznie zarejestrowanego klucza publicznego użytkownika w odniesieniu do sygnatury jednorazowej.Azure AD validates the signed nonce using the user's securely registered public key against the nonce signature. Po sprawdzeniu podpisu usługa Azure AD następnie weryfikuje zwrócony podpisany identyfikator jednorazowy.After validating the signature, Azure AD then validates the returned signed nonce. Po sprawdzeniu poprawności identyfikatora jednorazowego usługa Azure AD tworzy podstawowy token odświeżania (PRT) z kluczem sesji zaszyfrowanym do klucza transportu urządzenia i zwraca go do dostawcy usługi AP.When the nonce is validated, Azure AD creates a primary refresh token (PRT) with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
  6. Dostawca AP usług w chmurze odbiera zaszyfrowany PRT za pomocą klucza sesji.The Cloud AP provider receives the encrypted PRT with session key. Przy użyciu prywatnego klucza transportowego urządzenia dostawca AP w chmurze odszyfrowuje klucz sesji i chroni klucz sesji przy użyciu moduł TPM urządzenia (TPM).Using the device's private transport key, the Cloud AP provider decrypts the session key and protects the session key using the device's Trusted Platform Module (TPM).
  7. Dostawca AP w chmurze zwraca pomyślną odpowiedź uwierzytelniania do systemu Windows.The Cloud AP provider returns a successful authentication response to Windows. Następnie użytkownik może uzyskać dostęp do systemu Windows, a także aplikacji lokalnych i w chmurze bez konieczności ponownego uwierzytelniania (SSO).The user is then able to access Windows as well as cloud and on-premises applications without the need to authenticate again (SSO).

Przewodnik planowania usługi Windows Hello dla firm może służyć do podejmowania decyzji dotyczących typu wdrożenia usługi Windows Hello dla firm i opcji, które należy wziąć pod uwagę.The Windows Hello for Business planning guide can be used to help you make decisions on the type of Windows Hello for Business deployment and the options you'll need to consider.

Aplikacja Microsoft AuthenticatorMicrosoft Authenticator App

Możesz również pozwolić, aby telefon pracownika stał się metodą uwierzytelniania bezhasłem.You can also allow your employee's phone to become a passwordless authentication method. Aplikacja Microsoft Authenticator może już być używana jako wygodna opcja uwierzytelniania wieloskładnikowego oprócz hasła.You may already be using the Microsoft Authenticator App as a convenient multi-factor authentication option in addition to a password. Możesz również użyć aplikacji Authenticator jako opcji bezhaseł.You can also use the Authenticator App as a passwordless option.

Zaloguj się do przeglądarki Microsoft Edge przy użyciu aplikacji Microsoft Authenticator

Aplikacja Authenticator włącza każdy telefon z systemem iOS lub Android do silnego poświadczenia bez hasła.The Authenticator App turns any iOS or Android phone into a strong, passwordless credential. Użytkownicy mogą logować się do dowolnej platformy lub przeglądarki, uzyskując powiadomienie na telefonie, dopasowując liczbę wyświetlaną na ekranie na telefonie, a następnie używając ich biometrycznych (dotykowych lub ubocznych) lub numerów PIN, aby potwierdzić.Users can sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using their biometric (touch or face) or PIN to confirm. Zapoznaj się z artykułem pobieranie i instalowanie aplikacji Microsoft Authenticator, Aby uzyskać szczegółowe informacje dotyczące instalacji.Refer to Download and install the Microsoft Authenticator app for installation details.

Uwierzytelnianie bezhasła przy użyciu aplikacji Authenticator jest zgodne z tym samym wzorcem, co w przypadku usługi Windows Hello dla firm.Passwordless authentication using the Authenticator app follows the same basic pattern as Windows Hello for Business. Jest to nieco bardziej skomplikowany sposób, w jaki użytkownik musi zostać zidentyfikowany, aby usługa Azure AD mogła znaleźć używaną wersję aplikacji Microsoft Authenticator:It's a little more complicated as the user needs to be identified so that Azure AD can find the Microsoft Authenticator App version being used:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu aplikacji Microsoft Authenticator

  1. Użytkownik wprowadza nazwę użytkownika.The user enters their username.
  2. Usługa Azure AD wykryje, że użytkownik ma silne poświadczenie i uruchamia strumień silnego poświadczenia.Azure AD detects that the user has a strong credential and starts the Strong Credential flow.
  3. Powiadomienie jest wysyłane do aplikacji za pośrednictwem Apple Push Notification Service (APNS) na urządzeniach z systemem iOS lub za pośrednictwem usługi Firebase Cloud Messaging (FCM) na urządzeniach z systemem Android.A notification is sent to the app via Apple Push Notification Service (APNS) on iOS devices, or via Firebase Cloud Messaging (FCM) on Android devices.
  4. Użytkownik odbiera Powiadomienie wypychane i otwiera aplikację.The user receives the push notification and opens the app.
  5. Aplikacja wywołuje usługę Azure AD i odbiera żądanie potwierdzenia obecności oraz identyfikator jednorazowy.The app calls Azure AD and receives a proof-of-presence challenge and nonce.
  6. Użytkownik kończy wyzwanie przez wprowadzenie ich biometrycznych lub numerów PIN w celu odblokowania klucza prywatnego.The user completes the challenge by entering their biometric or PIN to unlock private key.
  7. Identyfikator jednorazowy jest podpisywany z kluczem prywatnym i wysyłany z powrotem do usługi Azure AD.The nonce is signed with the private key and sent back to Azure AD.
  8. Usługa Azure AD wykonuje walidację klucza publicznego/prywatnego i zwraca token.Azure AD performs public/private key validation and returns a token.

Aby rozpocząć logowanie bez hasła, wykonaj następujące czynności:To get started with passwordless sign-in, complete the following how-to:

FIDO2 klucze zabezpieczeńFIDO2 security keys

Klucze zabezpieczeń FIDO2 to metoda uwierzytelniania bez hasła oparta na standardach, która może mieć dowolny współczynnik form.FIDO2 security keys are an unphishable standards-based passwordless authentication method that can come in any form factor. Szybka tożsamość w trybie online (FIDO) to otwarty standard uwierzytelniania bezhaseł.Fast Identity Online (FIDO) is an open standard for passwordless authentication. FIDO umożliwia użytkownikom i organizacjom korzystanie ze standardu do logowania się do swoich zasobów bez użycia nazwy użytkownika ani hasła przy użyciu zewnętrznego klucza zabezpieczeń lub klucza platformy wbudowanego w urządzenie.FIDO allows users and organizations to leverage the standard to sign in to their resources without a username or password using an external security key or a platform key built into a device.

Pracownicy mogą korzystać z kluczy zabezpieczeń, aby zalogować się do usługi Azure AD lub hybrydowych urządzeń z systemem Windows 10 dołączonych do usługi Azure AD i uzyskać Logowanie jednokrotne do swoich zasobów w chmurze i lokalnych.Employees can use security keys to sign in to their Azure AD or hybrid Azure AD joined Windows 10 devices and get single-sign on to their cloud and on-premises resources. Użytkownicy mogą również zalogować się w obsługiwanych przeglądarkach.Users can also sign in to supported browsers. Klucze zabezpieczeń FIDO2 są świetną opcją dla przedsiębiorstw, które mają bardzo duże znaczenie dla bezpieczeństwa lub mają scenariusze lub pracowników, którzy nie chcą korzystać z telefonu jako drugiego czynnika.FIDO2 security keys are a great option for enterprises who are very security sensitive or have scenarios or employees who aren't willing or able to use their phone as a second factor.

Logowanie przy użyciu kluczy zabezpieczeń FIDO2 w usłudze Azure AD jest obecnie w wersji zapoznawczej.Sign-in with FIDO2 security keys to Azure AD are currently in preview.

Zaloguj się do przeglądarki Microsoft Edge przy użyciu klucza zabezpieczeń

Następujący proces jest używany, gdy użytkownik loguje się przy użyciu klucza zabezpieczeń FIDO2:The following process is used when a user signs in with a FIDO2 security key:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu klucza zabezpieczeń FIDO2

  1. Użytkownik podłącza klucz zabezpieczeń FIDO2 na swoim komputerze.The user plugs the FIDO2 security key into their computer.
  2. System Windows wykrywa klucz zabezpieczeń FIDO2.Windows detects the FIDO2 security key.
  3. System Windows wysyła żądanie uwierzytelnienia.Windows sends an authentication request.
  4. Usługa Azure AD wysyła kopię zapasową.Azure AD sends back a nonce.
  5. Użytkownik wykonuje swój gest, aby odblokować klucz prywatny zapisany w bezpiecznym enklawy klucz zabezpieczeń FIDO2.The user completes their gesture to unlock the private key stored in the FIDO2 security key's secure enclave.
  6. Klucz zabezpieczeń FIDO2 podpisuje identyfikator jednorazowy kluczem prywatnym.The FIDO2 security key signs the nonce with the private key.
  7. Żądanie tokenu podstawowego odświeżania tokenu (PRT) z podpisanym identyfikatorem jednorazowym jest wysyłane do usługi Azure AD.The primary refresh token (PRT) token request with signed nonce is sent to Azure AD.
  8. Usługa Azure AD weryfikuje podpisany identyfikator jednorazowy przy użyciu klucza publicznego FIDO2.Azure AD verifies the signed nonce using the FIDO2 public key.
  9. Usługa Azure AD zwraca PRT, aby umożliwić dostęp do zasobów lokalnych.Azure AD returns PRT to enable access to on-premises resources.

Chociaż istnieje wiele kluczy, które są FIDO2 certyfikowane przez usługi FIDO Alliance, firma Microsoft wymaga, aby niektóre opcjonalne rozszerzenia specyfikacji protokołu Klient-wystawca FIDO2 (CTAP) zostały zaimplementowane przez dostawcę w celu zapewnienia maksymalnego poziomu zabezpieczeń i najlepszego środowiska.While there are many keys that are FIDO2 certified by the FIDO Alliance, Microsoft requires some optional extensions of the FIDO2 Client-to-Authenticator Protocol (CTAP) specification to be implemented by the vendor to ensure maximum security and the best experience.

Klucz zabezpieczeń musi implementować następujące funkcje i rozszerzenia z protokołu CTAP FIDO2, aby były zgodne z firmą Microsoft:A security key MUST implement the following features and extensions from the FIDO2 CTAP protocol to be Microsoft-compatible:

# Zaufanie funkcji/rozszerzeniaFeature / Extension trust Dlaczego ta funkcja lub rozszerzenie jest wymagane?Why is this feature or extension required?
11 Klucz rezydentnyResident key Ta funkcja umożliwia przenośny Klucz zabezpieczeń, w którym Twoje poświadczenia są przechowywane w kluczu zabezpieczeń.This feature enables the security key to be portable, where your credential is stored on the security key.
22 Numer PIN klientaClient pin Ta funkcja umożliwia ochronę poświadczeń przy użyciu drugiego czynnika i ma zastosowanie do kluczy zabezpieczeń, które nie mają interfejsu użytkownika.This feature enables you to protect your credentials with a second factor and applies to security keys that do not have a user interface.
33 HMAC-Secrethmac-secret To rozszerzenie zapewnia możliwość zalogowania się na urządzeniu, gdy jest ono wyłączone lub w trybie samolotowym.This extension ensures you can sign in to your device when it's off-line or in airplane mode.
44 Wiele kont na jednostkę UZALEŻNIONąMultiple accounts per RP Ta funkcja zapewnia, że można użyć tego samego klucza zabezpieczeń dla wielu usług, takich jak konto Microsoft i Azure Active Directory.This feature ensures you can use the same security key across multiple services like Microsoft Account and Azure Active Directory.

Następujący dostawcy oferują klucze zabezpieczeń FIDO2 różnego rodzaju, które są znane jako zgodne z funkcją bezhaseł.The following providers offer FIDO2 security keys of different form factors that are known to be compatible with the passwordless experience. Zachęcamy do ocenienia właściwości zabezpieczeń tych kluczy, kontaktując się z dostawcą oraz FIDO Alliance.We encourage you to evaluate the security properties of these keys by contacting the vendor as well as FIDO Alliance.

DostawcaProvider KontaktContact
YubicoYubico https://www.yubico.com/support/contact/
FeitianFeitian https://www.ftsafe.com/about/Contact_Us
INTERFEJSUHID https://www.hidglobal.com/contact-us
EnsurityEnsurity https://www.ensurity.com/contact
Rozwiązania TrustKeyTrustKey Solutions https://www.trustkeysolutions.com/security-keys/
AuthenTrendAuthenTrend https://authentrend.com/about-us/#pg-35-3
Firmy Gemalto (Grupa firmy Thales)Gemalto (Thales Group) https://safenet.gemalto.com/multi-factor-authentication/authenticators/passwordless-authentication/
OneSpan Inc.OneSpan Inc. https://www.onespan.com/products/fido
IDmelon Technologies Inc.IDmelon Technologies Inc. https://www.idmelon.com/#idmelon

Uwaga

Jeśli kupisz i planujesz korzystanie z kluczy zabezpieczeń opartych na NFC, musisz mieć obsługiwany czytnik NFC dla klucza zabezpieczeń.If you purchase and plan to use NFC-based security keys, you need a supported NFC reader for the security key. Czytnik NFC nie jest wymaganiem ani ograniczeniem platformy Azure.The NFC reader isn't an Azure requirement or limitation. Aby uzyskać listę obsługiwanych czytników NFC, należy skontaktować się z dostawcą dla klucza zabezpieczeń opartego na NFC.Check with the vendor for your NFC-based security key for a list of supported NFC readers.

Jeśli jesteś dostawcą i chcesz uzyskać urządzenie na tej liście obsługiwanych urządzeń, skontaktuj się z firmą Fido2Request@Microsoft.com .If you're a vendor and want to get your device on this list of supported devices, contact Fido2Request@Microsoft.com.

Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2, wykonaj następujące czynności:To get started with FIDO2 security keys, complete the following how-to:

Jakie scenariusze pracują z podglądem?What scenarios work with the preview?

Funkcje logowania bezhasła usługi Azure AD są obecnie dostępne w wersji zapoznawczej.Azure AD passwordless sign-in features are currently in preview. Obowiązują następujące zastrzeżenia:The following considerations apply:

  • Administratorzy mogą włączać metody uwierzytelniania bezhasło dla swojej dzierżawyAdministrators can enable passwordless authentication methods for their tenant
  • Administratorzy mogą kierować wszystkich użytkowników lub wybierać użytkowników/grupy w ramach ich dzierżawy dla każdej metodyAdministrators can target all users or select users/groups within their tenant for each method
  • Użytkownicy końcowi mogą rejestrować te metody uwierzytelniania bezhasło i zarządzać nimi w portalu kontaEnd users can register and manage these passwordless authentication methods in their account portal
  • Użytkownicy końcowi mogą logować się przy użyciu tych metod uwierzytelniania bez hasłaEnd users can sign in with these passwordless authentication methods
    • Aplikacja Microsoft Authenticator: działa w scenariuszach, w których używane jest uwierzytelnianie usługi Azure AD, w tym między wszystkimi przeglądarkami, podczas instalacji systemu Windows 10 (OOBE) i zintegrowanych aplikacji mobilnych w dowolnym systemie operacyjnym.Microsoft Authenticator App: Works in scenarios where Azure AD authentication is used, including across all browsers, during Windows 10 Out Of Box (OOBE) setup, and with integrated mobile apps on any operating system.
    • Klucze zabezpieczeń: Pracuj na ekranie blokady dla systemu Windows 10 i sieci Web w obsługiwanych przeglądarkach, takich jak Microsoft Edge (starsza i Nowa krawędź).Security keys: Work on lock screen for Windows 10 and the web in supported browsers like Microsoft Edge (both legacy and new Edge).

Wybierz metodę bezhasłoChoose a passwordless method

Wybór między tymi trzema opcjami bezhaseł zależy od zabezpieczeń, platformy i wymagań aplikacji firmy.The choice between these three passwordless options depends on your company's security, platform, and app requirements.

Oto kilka czynników, które należy wziąć pod uwagę podczas wybierania technologii bezhasło Microsoft:Here are some factors for you to consider when choosing Microsoft passwordless technology:

Windows Hello for BusinessWindows Hello for Business Logowanie bez hasła przy użyciu aplikacji Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app FIDO2 klucze zabezpieczeńFIDO2 security keys
Wymagania wstępnePre-requisite Windows 10, wersja 1809 lub nowszaWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
Aplikacja Microsoft AuthenticatorMicrosoft Authenticator app
Telefon (urządzenia z systemem iOS i Android z systemem Android 6,0 lub nowszym)Phone (iOS and Android devices running Android 6.0 or above.)
Windows 10, wersja 1809 lub nowszaWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
TrybMode PlatformaPlatform OprogramowanieSoftware SprzętHardware
Systemy i urządzeniaSystems and devices KOMPUTER z wbudowaną moduł TPM (TPM)PC with a built-in Trusted Platform Module (TPM)
Rozpoznawanie kodu PIN i biometriiPIN and biometrics recognition
Rozpoznawanie kodu PIN i biometrii na telefoniePIN and biometrics recognition on phone FIDO2 urządzenia zabezpieczające zgodne z firmą MicrosoftFIDO2 security devices that are Microsoft compatible
Środowisko użytkownikaUser experience Zaloguj się przy użyciu kodu PIN lub rozpoznawania biometrycznego (twarzy, Iris lub odcisku palca) z urządzeniami z systemem Windows.Sign in using a PIN or biometric recognition (facial, iris, or fingerprint) with Windows devices.
Uwierzytelnianie przy użyciu systemu Windows Hello jest powiązane z urządzeniem; Aby uzyskać dostęp do zasobów firmy, użytkownik potrzebuje zarówno urządzenia, jak i składnika logowania, takiego jak kod PIN lub czynnik biometryczny.Windows Hello authentication is tied to the device; the user needs both the device and a sign-in component such as a PIN or biometric factor to access corporate resources.
Zaloguj się przy użyciu telefonu komórkowego z funkcją skanowania odcisków palców, rozpoznawania twarzy lub tęczówki lub numeru PIN.Sign in using a mobile phone with fingerprint scan, facial or iris recognition, or PIN.
Użytkownicy logują się do konta służbowego lub osobistego z komputera lub telefonu komórkowego.Users sign in to work or personal account from their PC or mobile phone.
Zaloguj się przy użyciu urządzenia zabezpieczeń FIDO2 (biometrii, kod PIN i NFC)Sign in using FIDO2 security device (biometrics, PIN, and NFC)
Użytkownik może uzyskać dostęp do urządzenia w oparciu o kontrolki organizacji i uwierzytelniać się na podstawie kodu PIN, biometrii przy użyciu urządzeń, takich jak klucze zabezpieczeń USB i karty inteligentne obsługujące NFC, klucze lub noszenia.User can access device based on organization controls and authenticate based on PIN, biometrics using devices such as USB security keys and NFC-enabled smartcards, keys, or wearables.
Włączone scenariuszeEnabled scenarios Korzystanie z urządzenia z systemem Windows bez hasła.Password-less experience with Windows device.
Dotyczy dedykowanego komputera służbowego z możliwością logowania jednokrotnego do urządzenia i aplikacji.Applicable for dedicated work PC with ability for single sign-on to device and applications.
Rozwiązanie z obsługą hasła bez miejsca przy użyciu telefonu komórkowego.Password-less anywhere solution using mobile phone.
Dotyczy uzyskiwania dostępu do służbowych aplikacji w sieci Web z dowolnego urządzenia.Applicable for accessing work or personal applications on the web from any device.
Środowisko pracy bez hasła dla pracowników korzystających z biometrii, numeru PIN i NFC.Password-less experience for workers using biometrics, PIN, and NFC.
Dotyczy komputerów udostępnionych i lokalizacji, w których telefon komórkowy nie jest żywotną opcją (na przykład dla personelu pomocy technicznej, kiosku publicznego lub zespołu szpitalowego)Applicable for shared PCs and where a mobile phone is not a viable option (such as for help desk personnel, public kiosk, or hospital team)

Skorzystaj z poniższej tabeli, aby wybrać metodę, która będzie obsługiwać Twoje wymagania i użytkowników.Use the following table to choose which method will support your requirements and users.

OsobaPersona ScenariuszScenario ŚrodowiskoEnvironment Technologia bezhasłoPasswordless technology
AdministracjaAdmin Zabezpieczanie dostępu do urządzenia na potrzeby zadań zarządzaniaSecure access to a device for management tasks Przypisane urządzenie z systemem Windows 10Assigned Windows 10 device Klucz zabezpieczeń usługi Windows Hello dla firm i/lub FIDO2Windows Hello for Business and/or FIDO2 security key
AdministracjaAdmin Zadania zarządzania na urządzeniach z systemem innym niż WindowsManagement tasks on non-Windows devices Urządzenie przenośne lub inne niż systemu WindowsMobile or non-windows device Logowanie bez hasła przy użyciu aplikacji Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Pracownik przetwarzający informacjeInformation worker Praca w produktywnościProductivity work Przypisane urządzenie z systemem Windows 10Assigned Windows 10 device Klucz zabezpieczeń usługi Windows Hello dla firm i/lub FIDO2Windows Hello for Business and/or FIDO2 security key
Pracownik przetwarzający informacjeInformation worker Praca w produktywnościProductivity work Urządzenie przenośne lub inne niż systemu WindowsMobile or non-windows device Logowanie bez hasła przy użyciu aplikacji Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Teraźniejszości proces roboczyFrontline worker Kioski w fabryce, zakładzie, sprzedaży detalicznej lub danychKiosks in a factory, plant, retail, or data entry Udostępnione urządzenia z systemem Windows 10Shared Windows 10 devices FIDO2 klucze zabezpieczeńFIDO2 Security keys

Następne krokiNext steps

Aby zacząć korzystać z hasła w usłudze Azure AD, wykonaj jedną z następujących czynności:To get started with passwordless in Azure AD, complete one of the following how-tos: