Поддержка ключей доступа в Windows

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Ключи доступа обеспечивают более безопасный и удобный способ входа на веб-сайты и приложения по сравнению с паролями. В отличие от паролей, которые пользователи должны запомнить и ввести, ключи доступа хранятся на устройстве в виде секретов и могут использовать механизм разблокировки устройства (например, биометрию или ПИН-код). Ключи доступа можно использовать без других проблем входа, что делает процесс проверки подлинности быстрее, безопаснее и удобнее.

Ключи доступа можно использовать с любыми приложениями или веб-сайтами, поддерживающими их, для создания и входа с помощью Windows Hello. После создания и сохранения ключа доступа с Windows Hello вы можете использовать биометрические данные или ПИН-код устройства для входа. Кроме того, для входа можно использовать вспомогательное устройство (телефон или планшет).

Примечание.

Начиная с Windows 11 версии 22H2 с KB5030310, Windows предоставляет собственный интерфейс для управления ключами доступа. Однако ключи доступа можно использовать во всех поддерживаемых версиях клиентов Windows.

В этой статье описывается создание и использование ключей доступа на устройствах Windows.

Принцип работы ключей доступа

Корпорация Майкрософт уже давно является членом-основателем FIDO Alliance и помогает определять и использовать ключи доступа в собственном коде в средстве проверки подлинности платформы, например Windows Hello. Ключи доступа используют отраслевой стандарт безопасности FIDO, принятый всеми основными платформами. Ведущие технологические компании, такие как Майкрософт, поддерживают ключи доступа в рамках FIDO Alliance, а многочисленные веб-сайты и приложения интегрируют поддержку ключей доступа.

Протоколы FIDO используют стандартные методы шифрования с открытым и закрытым ключами для обеспечения более безопасной проверки подлинности. Когда пользователь регистрируется в веб-службе, его клиентское устройство создает новую пару ключей. Закрытый ключ надежно хранится на устройстве пользователя, а открытый ключ регистрируется в службе. Для проверки подлинности клиентское устройство должно подтвердить, что у него есть закрытый ключ, подписав запрос. Закрытые ключи можно использовать только после того, как пользователь разблокирует их с помощью Windows Hello коэффициента разблокировки (биометрические данные или ПИН-код).

Протоколы FIDO уделяют приоритетное внимание конфиденциальности пользователей, так как они предназначены для предотвращения веб-службы обмена информацией или отслеживания пользователей в разных службах. Кроме того, все биометрические данные, используемые в процессе проверки подлинности, остаются на устройстве пользователя и не передаются по сети или в службу.

Ключи доступа по сравнению с паролями

Ключи доступа имеют ряд преимуществ по сравнению с паролями, включая их простоту использования и интуитивно понятный характер. В отличие от паролей, ключи доступа легко создавать, их не нужно запоминать и защищать. Кроме того, ключи доступа уникальны для каждого веб-сайта или приложения, что предотвращает их повторное использование. Они очень безопасны, так как хранятся только на устройствах пользователя, а служба хранит только открытые ключи. Ключи доступа предназначены для предотвращения их угадывания или получения злоумышленниками, что помогает сделать их устойчивыми к попыткам фишинга, когда злоумышленник может попытаться обмануть пользователя раскрыть закрытый ключ. Ключи доступа принудительно используются браузерами или операционными системами только для соответствующей службы, а не для проверки человека. Наконец, ключи доступа обеспечивают проверку подлинности между устройствами и между платформами. Это означает, что ключ доступа с одного устройства можно использовать для входа на другом устройстве.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие ключи доступа.

Windows Pro	Windows Корпоративная	Windows Pro для образовательных учреждений/SE	Windows для образовательных учреждений
Да	Да	Да	Да

Права на лицензии на ключи доступа предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE	Windows Корпоративная E3	Windows Корпоративная E5	Windows для образовательных учреждений A3	Windows для образовательных учреждений A5
Да	Да	Да	Да	Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Взаимодействие с пользователем

Создание ключа доступа

По умолчанию Windows предлагает сохранить ключ доступа локально на устройстве Windows. В этом случае ключ доступа защищен Windows Hello (биометрические данные и ПИН-код). Вы также можете сохранить ключ доступа в одном из следующих расположений:

• iPhone, iPad или устройство Android: ключ доступа сохраняется на телефоне или планшете и защищен биометрическими данными устройства, если он предоставляется устройством. Этот параметр требует отсканировать QR-код на телефоне или планшете, который должен находиться рядом с устройством с Windows.
• Связанное устройство: ключ доступа сохраняется на телефоне или планшете и защищен биометрическими данными устройства, если он предоставляется устройством. Для этого параметра требуется, чтобы связанное устройство было в непосредственной близости от устройства Windows и поддерживается только для устройств Android.
• Ключ безопасности: ключ доступа сохраняется в ключ безопасности FIDO2, защищенный механизмом разблокировки ключа (например, биометрические данные или ПИН-код).

Выберите один из следующих вариантов, чтобы узнать, как сохранить ключ доступа в зависимости от места его хранения.

Устройство с Windows

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Создание ключа доступа из параметров учетной записи

3. Выберите параметр Использовать другое устройство>Далее

4. Выберите Это устройство> WindowsДалее

5. Выберите метод проверки Windows Hello и продолжите проверку, а затем нажмите кнопку ОК.

6. Ключ доступа сохраняется на устройстве с Windows. Чтобы подтвердить, нажмите кнопку ОК.

Новый телефон или планшет

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Создание ключа доступа из параметров учетной записи

3. Выберите параметр Использовать другое устройство>Далее

4. Выберите устройство >iPhone, iPad или AndroidДалее

5. Отсканируйте QR-код на телефоне или планшете. Дождитесь установки подключения к устройству и следуйте инструкциям, чтобы сохранить ключ доступа.

6. После сохранения ключа доступа на телефоне или планшете нажмите кнопку ОК.

Связанный телефон или планшет

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Создание ключа доступа из параметров учетной записи

3. Выберите параметр Использовать другое устройство>Далее

4. Выберите имя связанного устройства (например, Pixel). >Далее

5. После установки подключения к связанному устройству следуйте инструкциям на устройстве, чтобы сохранить ключ доступа.

6. После сохранения ключа доступа на связанном устройстве нажмите кнопку ОК.

Ключ безопасности

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Создание ключа доступа из параметров учетной записи

3. Выберите параметр Использовать другое устройство>Далее

4. Нажмите кнопку "Далее">

5. Нажмите кнопку ОК , чтобы подтвердить, что вы хотите настроить ключ безопасности, и разблокировать ключ безопасности с помощью механизма разблокировки ключа.

6. После сохранения ключа доступа в ключ безопасности нажмите кнопку ОК.

Использование ключа доступа

При открытии веб-сайта или приложения, поддерживающего ключи доступа, если ключ доступа хранится локально, вам автоматически будет предложено использовать Windows Hello для входа. Вы также можете использовать ключ доступа из одного из следующих расположений:

• iPhone, iPad или устройство Android: используйте этот параметр, если вы хотите войти с помощью ключа доступа, хранящегося на телефоне или планшете. Этот параметр требует отсканировать QR-код на телефоне или планшете, который должен находиться рядом с устройством с Windows.
• Связанное устройство: используйте этот параметр, если вы хотите войти с помощью ключа доступа, хранящегося на устройстве, которое находится рядом с устройством Windows. Этот параметр поддерживается только для устройств Android.
• Ключ безопасности: используйте этот параметр, если вы хотите войти с помощью ключа доступа, хранящегося в ключе безопасности FIDO2.

Выберите один из следующих вариантов, чтобы узнать, как использовать ключ доступа в зависимости от того, где вы его сохранили.

Устройство с Windows

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Выберите Войти с помощью ключа доступа или аналогичный параметр.

3. Выберите параметр Использовать другое устройство>Далее

4. Выберите Это устройство> WindowsДалее

5. Выбор Windows Hello разблокировки

6. Нажмите кнопку ОК , чтобы продолжить вход.

Телефон или планшет

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Выберите Войти с помощью ключа доступа или аналогичный параметр.

3. Выберите параметр Использовать другое устройство>Далее

4. Выберите устройство >iPhone, iPad или AndroidДалее

5. Проверьте QR-код на телефоне или планшете, где вы сохранили ключ доступа. После установки подключения к устройству следуйте инструкциям по использованию ключа доступа.

6. Вы вошли на веб-сайт или в приложение

Связанный телефон или планшет

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Выберите Войти с помощью ключа доступа или аналогичный параметр.

3. Выберите параметр Использовать другое устройство>Далее

4. Выберите имя связанного устройства (например, Pixel). >Далее

5. После установки подключения к связанному устройству следуйте инструкциям на устройстве, чтобы использовать ключ доступа.

6. Вы вошли на веб-сайт или в приложение

Ключ безопасности

1. Открытие веб-сайта или приложения, поддерживающего ключи доступа

2. Выберите Войти с помощью ключа доступа или аналогичный параметр.

3. Выберите параметр Использовать другое устройство>Далее

4. Нажмите кнопку "Далее">

5. Разблокировка ключа безопасности с помощью механизма разблокировки ключа

6. Вы вошли на веб-сайт или в приложение

Управление ключами доступа

Начиная с Windows 11 версии 22H2 с KB5030310, вы можете использовать приложение Параметры для просмотра ключей доступа, сохраненных для приложений или веб-сайтов, и управления ими. Перейдите в раздел Параметры > Учетные записи Ключи > доступа или используйте следующий ярлык:

Управление ключами доступа

• Отобразится список сохраненных ключей доступа, и их можно отфильтровать по имени.
• Чтобы удалить ключ доступа, выберите ... > Удаление ключа доступа рядом с именем ключа доступа

Примечание.

Некоторые ключи доступа для login.microsoft.com нельзя удалить, так как они используются с Microsoft Entra ID и (или) учетной записью Майкрософт для входа в службы Майкрософт и устройство.

Предоставление отзывов

Чтобы предоставить отзыв о ключах доступа, откройте Центр отзывов и используйте раздел Безопасность и конфиденциальность>.