支援 Windows 中的通行金鑰

• 適用於:

  ✅ Windows 11, ✅ Windows 10

相較於密碼，通行密鑰提供更安全且方便的方法來登入網站和應用程式。 不同於用戶必須記住並輸入的密碼，密碼會儲存為裝置上的秘密，而且可以使用裝置的解除鎖定機制 (例如生物特徵辨識或 PIN) 。 您可以使用通行密鑰，而不需要進行其他登入挑戰，讓驗證程式更快速、安全且更方便。

您可以將通行金鑰與支援它們的任何應用程式或網站搭配使用，以使用 Windows Hello 建立和登入。 一旦使用 Windows Hello 建立並儲存通行密鑰，您就可以使用裝置的生物特徵辨識或 PIN 來登入。 或者，您可以使用隨附裝置 (手機或平板電腦) 來登入。

注意

從 Windows 11 22H2 版與 KB5030310 開始，Windows 提供傳遞金鑰管理的原生體驗。 不過，通行密鑰可用於所有支援的 Windows 用戶端版本。

本文說明如何在 Windows 裝置上建立和使用通行密鑰。

通行金鑰的運作方式

Microsoft 一直都是 FIDO 聯盟的創始成員，並協助在平台驗證器內以原生方式定義和使用密碼，例如 Windows Hello。 通行金鑰會利用所有主要平臺所採用的 FIDO 產業安全性標準。 Microsoft 等頂尖技術公司支援傳遞密鑰作為 FIDO 聯盟的一部分，而許多網站和應用程式正在整合對通行密鑰的支援。

FIDO 通訊協定依賴標準的公鑰/私鑰密碼編譯技術來提供更安全的驗證。 當使用者向在線服務註冊時，其用戶端裝置會產生新的密鑰組。 私鑰會安全地儲存在使用者的裝置上，而公鑰則會向服務註冊。 若要進行驗證，用戶端裝置必須簽署挑戰來證明它擁有私鑰。 只有在使用者使用生物特徵辨識或 PIN) (Windows Hello 解除鎖定因數將其解除鎖定之後，才能使用私鑰。

FIDO 通訊協定會排定用戶隱私權的優先順序，因為它們的設計目的是要防止 線上服務 共用資訊或追蹤不同服務的使用者。 此外，驗證程式中使用的任何生物特徵辨識信息都會保留在用戶的裝置上，而且不會透過網路或服務傳輸。

相較於密碼的通行金鑰

通行密鑰比密碼有幾項優點，包括其易用性和直覺式本質。 不同於密碼，密碼很容易建立、不需要記住，而且不需要受到保護。 此外，通行密鑰對每個網站或應用程式都是獨一無二的，因此無法重複使用。 它們非常安全，因為它們只儲存在用戶的裝置上，而服務只會儲存公鑰。 通行密鑰的設計目的是要防止攻擊者猜測或取得它們，這有助於讓他們抵禦攻擊者可能會嘗試誘騙使用者揭露私鑰的網路釣魚嘗試。 瀏覽器或操作系統會強制執行通行密鑰，只用於適當的服務，而不是依賴人為驗證。 最後，通行密鑰提供跨裝置和跨平台驗證，這表示來自一個裝置的通行密鑰可用來在另一部裝置上登入。

Windows 版本和授權需求

下表列出支援通行密鑰的 Windows 版本：

Windows 專業版	Windows 企業版	Windows 專業教育版/SE	Windows 教育版
是	是	是	是

傳遞金鑰授權權利由下列授權授與：

Windows 專業版/專業教育版/SE	Windows 企業版 E3	Windows 企業版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

用戶體驗

建立通行金鑰

根據預設，Windows 會提供在 Windows 裝置本機儲存通行密鑰，在此情況下，傳遞密鑰會受到 Windows Hello (生物特徵辨識和 PIN) 保護。 您也可以選擇將通行金鑰儲存在下列其中一個位置：

• iPhone、iPad 或 Android 裝置：如果裝置提供密碼，則會將通行密鑰儲存在手機或平板電腦上，並受到裝置的生物特徵辨識保護。 此選項需要您使用手機或平板電腦掃描 QR 代碼，其必須位於 Windows 裝置附近
• 鏈接的裝置：如果裝置提供密碼，則會將通行密鑰儲存在手機或平板電腦上，並受到裝置的生物特徵辨識保護。 此選項需要連結的裝置位於 Windows 裝置附近，且僅支援 Android 裝置
• 安全性金鑰：傳遞金鑰會儲存至 FIDO2 安全性金鑰，並受到密鑰解除鎖定機制的保護 (例如生物特徵辨識或 PIN)

挑選下列其中一個選項，以瞭解如何根據您要儲存的地點來儲存通行密鑰。

Windows 裝置

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [下一步使用此 Windows 裝置>]

5. 選取 Windows Hello 驗證方法並繼續進行驗證，然後選取 [確定]

6. 通行金鑰會儲存到您的 Windows 裝置。 若要確認選取 [確定]

新的手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [iPhone]、[iPad] 或 [Android 裝置>] [下一步]

5. 使用手機或平板電腦掃描 QR 代碼。 等候裝置連線建立，並依照指示儲存通行密鑰

6. 將通行金鑰儲存至手機或平板計算機之後，請選取 [ 確定]

鏈接的手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選取連結的裝置名稱 (例如 圖元) >下一步

5. 建立連結裝置的連線之後，請遵循裝置上的指示來儲存通行密鑰

6. 將通行金鑰儲存至連結的裝置之後，請選取 [ 確定]

安全性金鑰

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [安全性金鑰>] [下一步]

5. 選取 [確定 ] 以確認您想要設定安全性金鑰，並使用金鑰的解除鎖定機制解除鎖定安全性密鑰

6. 將通行金鑰儲存至安全性金鑰之後，請選取 [ 確定]

使用通行金鑰

當您開啟支援通行金鑰的網站或應用程式時，如果密碼金鑰儲存在本機，系統會自動提示您使用 Windows Hello 登入。 您也可以選擇使用下列其中一個位置的通行金鑰：

• iPhone、iPad 或 Android 裝置：如果您想要使用儲存在手機或平板電腦上的通行金鑰登入，請使用此選項。 此選項需要您使用手機或平板電腦掃描 QR 代碼，其必須位於 Windows 裝置附近
• 鏈接的裝置：如果您想要使用儲存在 Windows 裝置附近裝置上的通行密鑰登入，請使用此選項。 只有 Android 裝置才支援此選項
• 安全性金鑰：如果您想要使用儲存在 FIDO2 安全性金鑰上的通行金鑰登入，請使用此選項

根據儲存位置，挑選下列其中一個選項來瞭解如何使用通行密鑰。

Windows 裝置

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [下一步使用此 Windows 裝置>]

5. 選取 Windows Hello 解除鎖定選項

6. 選取 [確定 ] 繼續登入

手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [iPhone]、[iPad] 或 [Android 裝置>] [下一步]

5. 使用您儲存通行金鑰的手機或平板電腦掃描 QR 代碼。 建立裝置連線之後，請依照指示使用通行密鑰

6. 您已登入網站或應用程式

鏈接的手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選取連結的裝置名稱 (例如 圖元) >下一步

5. 建立連結裝置的連線之後，請遵循裝置上的指示來使用通行密鑰

6. 您已登入網站或應用程式

安全性金鑰

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [安全性金鑰>] [下一步]

5. 使用金鑰的解除鎖定機制解除鎖定安全性金鑰

6. 您已登入網站或應用程式

管理通行金鑰

從 Windows 11 22H2 版與 KB5030310 開始，您可以使用 [設定] 應用程式來檢視和管理為應用程式或網站儲存的通行密鑰。 移至 [設定 > 帳戶 > ] [通行金鑰]，或使用下列快捷方式：

管理通行金鑰

• 隨即顯示已儲存的通行金鑰清單，您可以依名稱篩選它們
• 若要刪除通行金鑰，請選取 ...>。刪除通行金鑰名稱旁邊的通行金鑰

注意

無法刪除 login.microsoft.com 的一些通行密鑰，因為它們與 Microsoft Entra ID 和/或 Microsoft 帳戶搭配使用，以登入裝置和 Microsoft 服務。

提供意見反應

若要為通行密鑰提供意見反應，請開啟 意見反應中樞 ，並使用安全 性和隱私 > 權通行密鑰類別。