Aktivera inloggning med FIDO2-säkerhetsnyckel till Windows 10- och 11-enheter med Microsoft Entra-ID

  • Artikel

Det här dokumentet fokuserar på att aktivera FIDO2-säkerhetsnyckelbaserad lösenordslös autentisering med Windows 10- och 11-enheter. När du har slutfört stegen i den här artikeln kan du logga in på både ditt Microsoft Entra-ID och Microsoft Entra-hybridanslutna Windows-enheter med ditt Microsoft Entra-konto med hjälp av en FIDO2-säkerhetsnyckel.

Krav

Enhetstyp Microsoft Entra-anslutning Hybrid Microsoft Entra-anslutning
Microsoft Entra multifaktorautentisering X X
Kombinerad registrering av säkerhetsinformation X X
Kompatibla FIDO2-säkerhetsnycklar X X
WebAuthN kräver Windows 10 version 1903 eller senare X X
Microsoft Entra-anslutna enheter kräver Windows 10 version 1909 eller senare X
Microsoft Entra Hybrid-anslutna enheter kräver Windows 10 version 2004 eller senare X
Fullständigt korrigerade Domänkontrollanter för Windows Server 2016/2019. X
Microsoft Entra Hybrid Authentication Management-modul X
Microsoft Intune (valfritt) X X
Etableringspaket (valfritt) X X
Grupprincip (valfritt) X

Scenarier som inte stöds

Följande scenarier stöds inte:

  • Logga in eller låsa upp en Windows-enhet med en nyckel i Microsoft Authenticator.
  • Windows Server Active Directory-domän Services (AD DS) domänansluten (endast lokala enheter) distribution.
  • Scenarier, till exempel RDP, VDI och Citrix, som använder en annan säkerhetsnyckel än webauthn-omdirigering.
  • S/MIME med hjälp av en säkerhetsnyckel.
  • Kör som med en säkerhetsnyckel.
  • Logga in på en server med hjälp av en säkerhetsnyckel.
  • Om du inte använder en säkerhetsnyckel för att logga in på enheten när du är online kan du inte använda den för att logga in eller låsa upp offline.
  • Logga in eller låsa upp en Windows-enhet med en säkerhetsnyckel som innehåller flera Microsoft Entra-konton. Det här scenariot använder det senaste kontot som lades till i säkerhetsnyckeln. Med WebAuthN kan användare välja det konto de vill använda.
  • Låsa upp en enhet som kör Windows 10 version 1809. För bästa möjliga upplevelse använder du Windows 10 version 1903 eller senare.

Förbereda enheter

Microsoft Entra-anslutna enheter måste köra Windows 10 version 1909 eller senare.

Microsoft Entra Hybrid-anslutna enheter måste köra Windows 10 version 2004 eller senare.

Aktivera säkerhetsnycklar för Windows-inloggning

Organisationer kan välja att använda en eller flera av följande metoder för att aktivera användning av säkerhetsnycklar för Windows-inloggning baserat på organisationens krav:

Viktigt!

Organisationer med Microsoft Entra-hybridanslutna enheter måste också slutföra stegen i artikeln Aktivera FIDO2-autentisering till lokala resurser innan windows 10 FIDO2-säkerhetsnyckelautentisering fungerar.

Organisationer med Microsoft Entra-anslutna enheter måste göra detta innan deras enheter kan autentisera till lokala resurser med FIDO2-säkerhetsnycklar.

Aktivera med Microsoft Intune

Utför följande steg för att aktivera användning av säkerhetsnycklar med Intune:

  1. Logga in på administrationscentret för Microsoft Intune.
  2. Bläddra till Enheter>Registrera enheter>Windows-registrering> Windows Hello för företag.
  3. Ange Använd säkerhetsnycklar för inloggning till Aktiverad.

Konfigurationen av säkerhetsnycklar för inloggning är inte beroende av att konfigurera Windows Hello för företag.

Kommentar

Detta aktiverar inte säkerhetsnycklar på redan etablerade enheter. I så fall använder du nästa metod (Riktad Intune-distribution)

Riktad Intune-distribution

Om du vill rikta specifika enhetsgrupper för att aktivera providern för autentiseringsuppgifter använder du följande anpassade inställningar via Intune:

  1. Logga in på administrationscentret för Microsoft Intune.
  2. Bläddra till Enheter>Windows-konfigurationsprofiler>>Skapa profil.
  3. Konfigurera den nya profilen med följande inställningar:
    • Plattform: Windows 10 och senare
    • Profiltyp: Anpassade mallar >
    • Namn: Säkerhetsnycklar för Windows-inloggning
    • Beskrivning: Gör att FIDO-säkerhetsnycklar kan användas under Windows-inloggning
  4. Välj Nästa>lägg till och lägg till följande anpassade OMA-URI-inställningar i Lägg till rad:
    • Namn: Aktivera FIDO-säkerhetsnycklar för Windows-inloggning
    • Beskrivning: (valfritt)
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Datatyp: Heltal
    • Värde: 1
  5. Tilldela resten av principinställningarna, inklusive specifika användare, enheter eller grupper. Mer information finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.

Aktivera med ett etableringspaket

För enheter som inte hanteras av Microsoft Intune kan ett etableringspaket installeras för att aktivera funktionerna. Windows Configuration Designer-appen kan installeras från Microsoft Store. Slutför följande steg för att skapa ett etableringspaket:

  1. Starta Windows Configuration Designer.
  2. Välj Arkiv>Nytt projekt.
  3. Ge projektet ett namn och anteckna sökvägen där projektet skapas och välj sedan Nästa.
  4. Låt etableringspaketet vara markerat som det valda projektarbetsflödet och välj Nästa.
  5. Välj Alla Windows-skrivbordsversioner under Välj vilka inställningar som ska visas och konfigureras och välj sedan Nästa.
  6. Välj Slutför.
  7. I det nyligen skapade projektet bläddrar du till Körningsinställningar>WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn.
  8. Ange UseSecurityKeyForSignIn till Aktiverad.
  9. Välj Exportera etableringspaket>
  10. Lämna standardvärdena i fönstret Skapa under Beskriv etableringspaketet och välj sedan Nästa.
  11. Lämna standardvärdena i fönstret Skapa under Välj säkerhetsinformation för etableringspaketet och välj Nästa.
  12. Anteckna eller ändra sökvägen i build-fönstren under Välj var etableringspaketet ska sparas och välj Nästa.
  13. Välj Skapasidan Skapa etableringspaketet .
  14. Spara de två filer som skapats (ppkg och cat) på en plats där du kan använda dem på datorer senare.
  15. Information om hur du tillämpar etableringspaketet som du skapade finns i Tillämpa ett etableringspaket.

Kommentar

Enheter som kör Windows 10 Version 1903 måste också aktivera delat datorläge (EnableSharedPCMode). Mer information om hur du aktiverar den här funktionen finns i Konfigurera en delad dator eller gästdator med Windows 10.

Aktivera med grupprincip

För Hybrid-anslutna Microsoft Entra-enheter kan organisationer konfigurera följande grupprincipinställning för att aktivera inloggning med FIDO-säkerhetsnyckeln. Inställningen finns under Datorkonfiguration>Administrativa mallar>Systeminloggning>>Aktivera inloggning av säkerhetsnyckel:

  • Om du anger den här principen till Aktiverad kan användare logga in med säkerhetsnycklar.
  • Om den här principen anges till Inaktiverad eller Inte konfigurerad hindras användarna från att logga in med säkerhetsnycklar.

Den här grupprincipinställningen CredentialProviders.admx kräver en uppdaterad version av grupprincipmallen. Den här nya mallen är tillgänglig med nästa version av Windows Server och med Windows 10 20H1. Den här inställningen kan hanteras med en enhet som kör någon av dessa nyare versioner av Windows eller centralt genom att följa anvisningarna här: Så här skapar och hanterar du Central Store för administrativa mallar för grupprinciper i Windows.

Logga in med FIDO2-säkerhetsnyckel

I det här exemplet har en användare med namnet Bala Sandhu redan etablerat sin FIDO2-säkerhetsnyckel med hjälp av stegen i föregående artikel, Aktivera inloggning med lösenordslös säkerhetsnyckel. För Hybrid-anslutna Microsoft Entra-enheter kontrollerar du att du också har aktiverat inloggning med lösenordslös säkerhetsnyckel till lokala resurser. Bala kan välja providern för säkerhetsnyckelns autentiseringsuppgifter från Windows 10-låsskärmen och infoga säkerhetsnyckeln för att logga in i Windows.

Inloggning med säkerhetsnyckel på Windows 10-låsskärmen

Hantera säkerhetsnyckeln biometrisk, PIN-kod eller återställningssäkerhetsnyckel

  • Windows 10 version 1903 eller senare
    • Användare kan öppna Windows Inställningar på sina enhetskontons >>säkerhetsnyckel
    • Användare kan ändra sin PIN-kod, uppdatera biometri eller återställa sin säkerhetsnyckel

Felsökning och feedback

Om du vill dela feedback eller stöta på problem med den här funktionen kan du dela via appen Windows Feedbackhubben med hjälp av följande steg:

  1. Starta Feedback Hub och se till att du är inloggad.
  2. Skicka feedback under följande kategorisering:
    • Kategori: Säkerhet och sekretess
    • Underkategori: FIDO
  3. Om du vill samla in loggar använder du alternativet för att återskapa mitt problem.

Nästa steg

Aktivera åtkomst till lokala resurser för Microsoft Entra-ID och Hybrid-anslutna Microsoft Entra-enheter

Läs mer om enhetsregistrering

Läs mer om Multifaktorautentisering i Microsoft Entra