Włącz bezoszowe logowanie się klucza zabezpieczeń do urządzeń z systemem Windows 10 za pomocą usługi Azure Active Directory (wersja zapoznawcza)Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory (preview)

Ten dokument koncentruje się na włączaniu uwierzytelniania bez hasła opartego na kluczu zabezpieczeń FIDO2 na urządzeniach z systemem Windows 10.This document focuses on enabling FIDO2 security key based passwordless authentication with Windows 10 devices. Na końcu tego artykułu będzie można zalogować się do usługi Azure AD i hybrydowej usługi Azure AD przyłączone do systemu Windows 10 z konta usługi Azure AD przy użyciu klucza zabezpieczeń FIDO2.At the end of this article, you will be able to sign in to both your Azure AD and hybrid Azure AD joined Windows 10 devices with your Azure AD account using a FIDO2 security key.

Klucze zabezpieczeń FIDO2 są publiczną funkcją podglądu usługi Azure Active Directory.FIDO2 security keys are a public preview feature of Azure Active Directory. Aby uzyskać więcej informacji na temat wersji zapoznawców, zobacz Dodatkowe warunki użytkowania w wersji Zapoznawczej platformy Microsoft AzureFor more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

WymaganiaRequirements

Typ urządzeniaDevice Type Dołączone do usługi Azure ADAzure AD joined hybrydowym dołączonym do usługi Azure AD.Hybrid Azure AD joined
Uwierzytelnianie wieloskładnikowe platformy AzureAzure Multi-Factor Authentication XX XX
Połączona wersja zapoznawcza rejestracji informacji o zabezpieczeniachCombined security information registration preview XX XX
Kompatybilne klucze zabezpieczeń FIDO2Compatible FIDO2 security keys XX XX
Funkcja WebAuthN wymaga systemu Windows 10 w wersji 1809 lub nowszejWebAuthN requires Windows 10 version 1809 or higher XX XX
Urządzenia przyłączone do usługi Azure AD wymagają systemu Windows 10 w wersji 1903 lub nowszejAzure AD joined devices require Windows 10 version 1903 or higher XX
Urządzenia połączone z usługą Azure AD wymagają kompilacji niejawnego systemu Windows 10 18945 lub nowszegoHybrid Azure AD joined devices require Windows 10 Insider Build 18945 or higher XX
W pełni poprawione kontrolery domeny systemu Windows Server 2016/2019.Fully patched Windows Server 2016/2019 Domain Controllers. XX
Usługa Azure AD Connect w wersji 1.4.32.0 lub nowszejAzure AD Connect version 1.4.32.0 or later XX
Usługa Microsoft Intune (opcjonalnie)Microsoft Intune (Optional) XX XX
Pakiet inicjowania obsługi administracyjnej (opcjonalnie)Provisioning package (Optional) XX XX
Zasady grupy (opcjonalnie)Group Policy (Optional) XX

Nieobsługiwane scenariuszeUnsupported scenarios

Następujące scenariusze nie są obsługiwane:The following scenarios aren't supported:

  • Wdrożenie przyłączonych do domeny Usług domenowych Active Directory (AD DS) systemu Windows Server (tylko urządzenia lokalne).Windows Server Active Directory Domain Services (AD DS) domain-joined (on-premises only devices) deployment.
  • Scenariusze RDP, VDI i Citrix przy użyciu klucza zabezpieczeń.RDP, VDI, and Citrix scenarios using a security key.
  • S/MIME przy użyciu klucza zabezpieczeń.S/MIME using a security key.
  • "Uruchom jako" przy użyciu klucza zabezpieczeń."Run as" using a security key.
  • Zaloguj się do serwera przy użyciu klucza zabezpieczeń.Log in to a server using a security key.
  • Jeśli nie używasz klucza zabezpieczeń do logowania się na urządzeniu w trybie online, nie możesz go używać do logowania się lub odblokowywania w trybie offline.If you haven't used your security key to sign in to your device while online, you can't use it to sign in or unlock offline.
  • Logowanie lub odblokowywanie urządzenia z systemem Windows 10 za pomocą klucza zabezpieczeń zawierającego wiele kont usługi Azure AD.Signing in or unlocking a Windows 10 device with a security key containing multiple Azure AD accounts. W tym scenariuszu wykorzystuje ostatnie konto dodane do klucza zabezpieczeń.This scenario utilizes the last account added to the security key. WebAuthN pozwala użytkownikom wybrać konto, którego chcą używać.WebAuthN allows users to choose the account they wish to use.
  • Odblokuj urządzenie z systemem Windows 10 w wersji 1809.Unlock a device running Windows 10 version 1809. Aby uzyskać najlepsze wrażenia, użyj systemu Windows 10 w wersji 1903 lub nowszej.For the best experience, use Windows 10 version 1903 or higher.

Przygotowywanie urządzeń do podgląduPrepare devices for preview

Urządzenia przyłączone do usługi Azure AD, które są pilotażowe podczas podglądu funkcji z musi uruchomić system Windows 10 w wersji 1809 lub nowszej.Azure AD joined devices that you are piloting during the feature preview with must run Windows 10 version 1809 or higher. Najlepsze środowisko jest w systemie Windows 10 w wersji 1903 lub nowszej.The best experience is on Windows 10 version 1903 or higher.

Hybrydowe urządzenia przyłączone do usługi Azure AD muszą działać w kompilacji niejawnego programu testów systemu Windows 10 18945 lub nowszej.Hybrid Azure AD joined devices must run Windows 10 Insider Build 18945 or newer.

Włączanie kluczy zabezpieczeń dla logowania się do systemu WindowsEnable security keys for Windows sign-in

Organizacje mogą użyć co najmniej jednej z następujących metod, aby umożliwić korzystanie z kluczy zabezpieczeń dla logowania systemu Windows na podstawie wymagań organizacji:Organizations may choose to use one or more of the following methods to enable the use of security keys for Windows sign-in based on their organization's requirements:

Ważne

Organizacje z hybrydowymi urządzeniami przyłączającymi do usługi Azure AD muszą również wykonać kroki opisane w artykule Włącz uwierzytelnianie FIDO2 do zasobów lokalnych, zanim zacznie działać uwierzytelnianie klucza zabezpieczeń FIDO2 systemu Windows 10.Organizations with hybrid Azure AD joined devices must also complete the steps in the article, Enable FIDO2 authentication to on-premises resources before Windows 10 FIDO2 security key authentication works.

Organizacje z urządzeniami przyłączającymi do usługi Azure AD muszą to zrobić, zanim ich urządzenia będą mogły uwierzytelniać się w zasobach lokalnych przy użyciu kluczy zabezpieczeń FIDO2.Organizations with Azure AD joined devices must do this before their devices can authenticate to on-premises resources with FIDO2 security keys.

Włącz za pomocą usługi IntuneEnable with Intune

Aby włączyć korzystanie z kluczy zabezpieczeń przy użyciu usługi Intune, wykonaj następujące czynności:To enable the use of security keys using Intune, complete the following steps:

  1. Zaloguj się do Portalu Azure.Sign in to the Azure portal.
  2. Przejdź do rejestracjiurządzenia > usługi Microsoft Intune Rejestracja > systemu Windows > Hello dla właściwości biznesowych > Properties.Browse to Microsoft Intune > Device enrollment > Windows enrollment > Windows Hello for Business > Properties.
  3. W obszarze Ustawieniaustaw pozycję Używanie kluczy zabezpieczeń do logowania się na Włączone.Under Settings, set Use security keys for sign-in to Enabled.

Konfiguracja kluczy zabezpieczeń logowania nie zależy od konfigurowania funkcji Windows Hello dla firm.Configuration of security keys for sign-in isn't dependent on configuring Windows Hello for Business.

Ukierunkowane wdrożenie usługi IntuneTargeted Intune deployment

Aby kierować reklamy na określone grupy urządzeń, aby włączyć dostawcę poświadczeń, użyj następujących ustawień niestandardowych za pośrednictwem usługi Intune:To target specific device groups to enable the credential provider, use the following custom settings via Intune:

  1. Zaloguj się do Portalu Azure.Sign in to the Azure portal.
  2. Przejdź doprofilów > konfiguracji > urządzenia usługi Microsoft Intune > Utwórz profil.Browse to Microsoft Intune > Device configuration > Profiles > Create profile.
  3. Skonfiguruj nowy profil z następującymi ustawieniami:Configure the new profile with the following settings:
    • Nazwa: Klucze zabezpieczeń logowania do systemu WindowsName: Security Keys for Windows Sign-In
    • Opis: umożliwia korzystanie z kluczy zabezpieczeń FIDO podczas logowania do systemu WindowsDescription: Enables FIDO Security Keys to be used during Windows Sign In
    • Platforma: Windows 10 i nowszePlatform: Windows 10 and later
    • Typ profilu: NiestandardowyProfile type: Custom
    • Niestandardowe ustawienia identyfikatora URI OMA:Custom OMA-URI Settings:
      • Nazwa: Włączanie kluczy zabezpieczeń FIDO dla logowania się do systemu WindowsName: Turn on FIDO Security Keys for Windows Sign-In
      • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSigninOMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
      • Typ danych: CałkowitaData Type: Integer
      • Wartość: 1Value: 1
  4. Te zasady można przypisać do określonych użytkowników, urządzeń lub grup.This policy can be assigned to specific users, devices, or groups. Aby uzyskać więcej informacji, zobacz Przypisywanie profilów użytkowników i urządzeń w usłudze Microsoft Intune.For more information, see Assign user and device profiles in Microsoft Intune.

Tworzenie zasad konfiguracji niestandardowej usługi Intune

Włącz za pomocą pakietu inicjowania obsługi administracyjnejEnable with a provisioning package

W przypadku urządzeń, które nie są zarządzane przez usługę Intune, można zainstalować pakiet inicjowania obsługi administracyjnej, aby włączyć te funkcje.For devices not managed by Intune, a provisioning package can be installed to enable the functionality. Aplikację Projektant konfiguracji systemu Windows można zainstalować ze sklepu Microsoft Store.The Windows Configuration Designer app can be installed from the Microsoft Store. Wykonaj następujące kroki, aby utworzyć pakiet inicjowania obsługi administracyjnej:Complete the following steps to create a provisioning package:

  1. Uruchom Projektanta konfiguracji systemu Windows.Launch the Windows Configuration Designer.
  2. Wybierz pozycję Plik > nowy projekt.Select File > New project.
  3. Nadaj projektowi nazwę i zanotuj ścieżkę, w której tworzony jest projekt, a następnie wybierz pozycję Dalej.Give your project a name and take note of the path where your project is created, then select Next.
  4. Pozostaw pakiet inicjowania obsługi administracyjnej wybrany jako wybrany przepływ pracy projektu i wybierz przycisk Dalej.Leave Provisioning package selected as the Selected project workflow and select Next.
  5. Wybierz pozycję Wszystkie wersje pulpitu systemu Windows w obszarze Wybierz ustawienia, które mają być wyświetlane i konfigurowane, a następnie wybierz pozycję Dalej.Select All Windows desktop editions under Choose which settings to view and configure, then select Next.
  6. Wybierz pozycję Zakończ.Select Finish.
  7. W nowo utworzonym projekcie przejdź do ustawień > środowiska uruchomieniowego****WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.In your newly created project, browse to Runtime settings > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.
  8. Ustaw funkcję UseSecurityKeyForSignIn na Włączoną.Set UseSecurityKeyForSignIn to Enabled.
  9. Wybierz pakiet eksportu > aprowizacjiSelect Export > Provisioning package
  10. Pozostaw wartości domyślne w oknie Kompilacja w obszarze Opis pakietu inicjowania obsługi administracyjnej, a następnie wybierz przycisk Dalej.Leave the defaults in the Build window under Describe the provisioning package, then select Next.
  11. Pozostaw wartości domyślne w oknie Kompilacja w obszarze Wybierz szczegóły zabezpieczeń dla pakietu inicjowania obsługi administracyjnej i wybierz pozycję Dalej.Leave the defaults in the Build window under Select security details for the provisioning package and select Next.
  12. Zanotuj lub zmień ścieżkę w oknach kompilacji w obszarze Wybierz miejsce zapisania pakietu inicjowania obsługi administracyjnej i wybierz pozycję Dalej.Take note of or change the path in the Build windows under Select where to save the provisioning package and select Next.
  13. Wybierz pozycję Kompilacja na stronie pakietu inicjowania obsługi administracyjnej.Select Build on the Build the provisioning package page.
  14. Zapisz dwa utworzone pliki (ppkg i cat) w miejscu, w którym możesz zastosować je później na maszynach.Save the two files created (ppkg and cat) to a location where you can apply them to machines later.
  15. Aby zastosować utworzony pakiet inicjowania obsługi administracyjnej, zobacz Stosowanie pakietu inicjowania obsługi administracyjnej.To apply the provisioning package you created, see Apply a provisioning package.

Uwaga

Urządzenia z systemem Windows 10 w wersji 1809 muszą również włączyć tryb współdzielonego komputera (EnableSharedPCMode).Devices running Windows 10 Version 1809 must also enable shared PC mode (EnableSharedPCMode). Aby uzyskać więcej informacji na temat włączania tej funkcji, zobacz Konfigurowanie udostępnionego lub gościnnego komputera w systemie Windows 10.For more information about enabling this functionality, see Set up a shared or guest PC with Windows 10.

Włącz za pomocą zasad grupyEnable with Group Policy

W przypadku hybrydowych urządzeń przyłączonych do usługi Azure ADorganizacje mogą skonfigurować następujące ustawienie zasad grupy, aby włączyć logowanie klucza zabezpieczeń FIDO.For hybrid Azure AD joined devices, organizations can configure the following Group Policy setting to enable FIDO security key sign-in. To ustawienie można znaleźć w obszarze Konfiguracja konfiguracji > komputeraSzablony administracyjne > Logowanie > systemowe > Włącz logowanie klucza zabezpieczeń:The setting can be found under Computer Configuration > Administrative Templates > System > Logon > Turn on security key sign-in:

  • Ustawienie tej zasady na Włączone umożliwia użytkownikom logowanie się przy za pomocą kluczy zabezpieczeń.Setting this policy to Enabled allows users to sign in with security keys.
  • Ustawienie tej zasady na Wyłączone lub Nieskonfigurowane uniemożliwia użytkownikom logowanie się przy za pomocą kluczy zabezpieczeń.Setting this policy to Disabled or Not Configured stops users from signing in with security keys.

To ustawienie zasad grupy wymaga credentialprovider.admx zaktualizowanej wersji szablonu zasad grupy.This Group Policy setting requires an updated version of the credentialprovider.admx Group Policy template. Ten nowy szablon jest dostępny z następną wersją systemu Windows Server i windows 10 20H1.This new template is available with the next version of Windows Server and with Windows 10 20H1. To ustawienie można zarządzać za pomocą urządzenia z jedną z tych nowszych wersji systemu Windows lub centralnie, postępujących zgodnie ze wskazówkami zawartymi w temacie pomocy technicznej Jak utworzyć szablony administracyjne zasad grupy i zarządzać nim w systemie Windows.This setting can be managed with a device running one of these newer versions of Windows or centrally by following the guidance in the support topic, How to create and manage the Central Store for Group Policy Administrative Templates in Windows.

Logowanie się za pomocą klucza zabezpieczeń FIDO2Sign in with FIDO2 security key

W poniższym przykładzie użytkownik o nazwie Bala Sandhu już aprowizował swój klucz zabezpieczeń FIDO2, wykonując czynności opisane w poprzednim artykule Włącz logowanie się bez hasła.In the example below, a user named Bala Sandhu has already provisioned their FIDO2 security key using the steps in the previous article, Enable passwordless security key sign in. W przypadku hybrydowych urządzeń przyłączonych do usługi Azure AD upewnij się, że włączono również logowanie bez hasła do zasobów lokalnych.For hybrid Azure AD joined devices, make sure you have also enabled passwordless security key sign-in to on-premises resources. Bala może wybrać dostawcę poświadczeń klucza zabezpieczeń z ekranu blokady systemu Windows 10 i wstawić klucz zabezpieczeń, aby zalogować się do systemu Windows.Bala can choose the security key credential provider from the Windows 10 lock screen and insert the security key to sign into Windows.

Logowanie klucza zabezpieczeń na ekranie blokady systemu Windows 10

Zarządzanie kluczem zabezpieczeń biometrycznym, PIN lub resetowaniem klucza zabezpieczeńManage security key biometric, PIN, or reset security key

  • Windows 10 w wersji 1903 lub nowszejWindows 10 version 1903 or higher
    • Użytkownicy mogą otwierać ustawienia systemu Windows na urządzeniu > kluczzabezpieczeń konta > Users can open Windows Settings on their device > Accounts > Security Key
    • Użytkownicy mogą zmieniać kod PIN, aktualizować dane biometryczne lub resetować klucz zabezpieczeńUsers can change their PIN, update biometrics, or reset their security key

Rozwiązywanie problemów i opinieTroubleshooting and feedback

Jeśli chcesz udostępnić opinię lub napotkasz problemy podczas wyświetlania podglądu tej funkcji, udostępnij za pośrednictwem aplikacji Centrum opinii systemu Windows, wykonując następujące czynności:If you'd like to share feedback or encounter issues while previewing this feature, share via the Windows Feedback Hub app using the following steps:

  1. Uruchom Centrum opinii i upewnij się, że się zalogowałeś.Launch Feedback Hub and make sure you're signed in.
  2. Prześlij opinię w następującej kategorii:Submit feedback under the following categorization:
    • Kategoria: Bezpieczeństwo i prywatnośćCategory: Security and Privacy
    • Podkategoria: FIDOSubcategory: FIDO
  3. Aby przechwycić dzienniki, użyj opcji, aby ponownie utworzyć problemTo capture logs, use the option to Recreate my Problem

Następne krokiNext steps

Włączanie dostępu do zasobów lokalnych dla usługi Azure AD i urządzeń przyłączonych do usługi Azure ADEnable access to on-premises resources for Azure AD and hybrid Azure AD joined devices

Dowiedz się więcej o rejestracji urządzeniaLearn more about device registration

Dowiedz się więcej o uwierzytelnianiu wieloskładnikowym platformy AzureLearn more about Azure Multi-Factor Authentication