Включить вход с помощью ключа безопасности без пароля
Для предприятий, которые в наше время используют пароли и среду с персональными компьютерами совместного использования, ключи безопасности предоставят удобный способ для проверки подлинности сотрудников без ввода имени пользователя и пароля. Ключи безопасности повышают производительность сотрудников и безопасность системы.
В этом документе основное внимание уделяется настройке проверки подлинности без пароля с использованием ключей безопасности. В конце этой статьи вы сможете войти в веб-приложения с помощью учетной записи Microsoft Entra с помощью ключа безопасности FIDO2.
Требования
- Многофакторная проверка подлинности Microsoft Entra
- Включение объединенной регистрации сведений о безопасности
- Совместимые ключи безопасности FIDO2
- Для WebAuthN требуется ОС Windows 10 версии 1903 или более поздней
Чтобы использовать ключи безопасности для входа в веб-приложения и службы, ваш браузер должен поддерживать протокол WebAuthN. Например, его поддерживают Microsoft Edge, Chrome, Firefox и Safari. Дополнительные сведения см. в статье о поддержке браузера проверки подлинности FIDO2 без пароля.
Подготовка устройств
Для устройств, присоединенных к идентификатору Microsoft Entra, лучше всего использовать windows 10 версии 1903 или более поздней.
Устройства, присоединенные к гибридной среде, должны работать под управлением Windows 10 версии 2004 или более поздней.
Включение способа проверки подлинности без пароля
Включение объединенной регистрации
Функции регистрации для методов проверки подлинности без использования пароля зависят от функции объединенной регистрации. Выполните действия, описанные в статье Включение объединенной регистрации сведений о безопасности в Azure Active Directory, чтобы включить объединенную регистрацию.
Включить метод подключения с помощью ключа безопасности FIDO2
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
- Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
- Перейдите к политике >метода проверки подлинности проверки подлинности защиты.>
- В разделе «Ключ безопасности FIDO2″ щелкните «Все пользователи» или нажмите кнопку«Добавить группы», чтобы выбрать определенные группы.Поддерживаются только группы безопасности.
- Сохраните конфигурацию.
Примечание. Если при попытке сохранения появляется сообщение об ошибке, причиной может быть число добавляемых пользователей или групп. В качестве обходного решения замените пользователей и группы, которые вы пытаетесь добавить, одной группой в той же операции, а затем нажмите кнопку Сохранить еще раз.
Необязательные параметры ключа безопасности FIDO
На вкладке «Настройка» есть некоторые необязательные параметры, помогающие управлять способом использования ключей безопасности для входа.
- Параметр Разрешить самостоятельную настройку должен сохранять значение Да. Если задано значение «Нет», пользователи не смогут зарегистрировать ключ FIDO через MySecurityInfo, даже если включена политика методов проверки подлинности.
- Принудительное применение параметра аттестации в «Да» требует публикации и проверки метаданных ключа безопасности FIDO с помощью службы метаданных Альянса FIDO, а также передачи дополнительного набора проверки майкрософт. Дополнительные сведения см. в статье Что такое ключ безопасности, совместимый с Майкрософт?
Политика ограничения ключей
-
Принудительное применение ограничений на ключи должно иметь значение «Да» , только если ваша организация хочет разрешить или запретить доступ к определенным ключам безопасности FIDO, которые определяются идентификатором GUID аттестации authenticator (AAGUID). Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID устройства. Если ключ уже зарегистрирован, вы можете найти AAGUID, просмотрев сведения о методе проверки подлинности ключа для пользователя.
Предупреждение Ограничения ключа задают удобство использования определенных методов FIDO2 для регистрации и проверки подлинности. При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.
Отключение ключа
Чтобы удалить ключ FIDO2, сопоставленный с учетной записью пользователя, удалите этот ключ из способа проверки подлинности для этого пользователя.

- Войдите в Центр администрирования Microsoft Entra и найдите учетную запись пользователя, из которой требуется удалить ключ FIDO.
- Выберите элемент Методы проверки подлинности>, щелкните правой кнопкой ключ безопасности FIDO2 и выберите действие Удалить.
GUID аттестации Authenticator для ключа безопасности (AAGUID)
Спецификация FIDO2 требует, чтобы каждый поставщик ключей безопасности указывал для процесса аттестации значение GUID аттестации Authenticator (AAGUID). 128-разрядное значение идентификатора AAGUID определяет тип ключа, то есть модель и издателя.
Производитель обязан обеспечить, чтобы все по существу идентичные ключи этого производителя имели идентичные значения AAGUID, которые (с высокой вероятностью) отличаются от значений AAGUID любых других типов ключей. Чтобы обеспечить это, при создании значения AAGUID для конкретного типа ключей безопасности следует применить генератор случайных чисел. Дополнительные сведения см. в статье Web Authentication: An API for accessing Public Key Credentials — Level 2 (Проверка подлинности веб-приложений. API для доступа к учетным данным открытого ключа, уровень 2) на сайте w3.org.
У вас есть два способа узнать значение AAGUID. Вы можете обратиться с запросом к поставщику ключа безопасности или изучить сведения о способе проверки подлинности для ключа и конкретного пользователя.

Регистрация пользователей и управление ключами безопасности FIDO2
- Перейдите в https://myprofile.microsoft.com.
- Зарегистрируйтесь, если вы этого еще не сделали.
- Перейдите к разделу Информация о безопасности.
- Если у пользователя уже зарегистрирован хотя бы один метод многофакторной проверки подлинности Microsoft Entra, он может немедленно зарегистрировать ключ безопасности FIDO2.
- Если у них нет хотя бы одного метода многофакторной проверки подлинности Microsoft Entra, необходимо добавить его.
- Администратор может выдать временный секретный код, который позволит пользователю зарегистрировать способ проверки подлинности без пароля.
Введите данные для входа без пароля
В примере ниже пользователь уже предоставил свой ключ безопасности FIDO2. Пользователь может выбрать вход в Интернет с помощью ключа безопасности FIDO2 в поддерживаемом браузере в Windows 10 версии 1903 или более поздней версии.

Устранение неполадок и отзывов
Если хотите оставить отзыв или сообщить о связанных с этой функцией проблемах, это можно сделать с помощью приложения Центра отзывов Windows, выполнив следующие шаги.
- Запустите Центр отзывов и войдите в него.
- Отправьте отзыв в соответствии со следующими категориями:
- Категория: безопасность и конфиденциальность данных
- Подкатегория: FIDO
- Чтобы зафиксировать данные журналов событий, используйте функцию Воспроизвести мою проблему.
Известные проблемы
Подготовка ключа безопасности
Администратор istrator подготовка и отмена подготовки ключей безопасности недоступна.
Изменения имени субъекта-пользователя
В случае изменения имени участника-пользователя вы не сможете внести эти изменения в список ключей безопасности FIDO2, так как потеряете возможность редактировать ключи. Решением для пользователя с ключом безопасности FIDO2 является вход в MySecurityInfo, удаление старого ключа и добавление нового.
Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 11 и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Совет: Иногда можно услышать ключи безопасности, называемые ключами FIDO2. FIDO расшифровывается как Fast IDentity Online, а стандарты устанавливаются и управляются альянсом FIDO.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
- Нажмите Пуск >Параметры >Учетные записи >Варианты входа.
- В разделе Варианты входа выберите элемент Windows Hello, который нужно добавить.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
- Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
- Выберите Безопасность >Расширенные параметры безопасности.
- Нажмите Добавьте новый способ входа или проверки.
- Выберите Используйте компьютер с Windows.
- Следуйте инструкциям по настройке Windows Hello в качестве способа входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Вход в Windows
- Перейдите в раздел Пуск >Параметры >Учетные записи >параметры входа.
- Выберите Ключ безопасности.
- Выберите Управление и следуйте инструкциям.
Чтобы добавить ключ безопасности в качестве метода входа в учетную запись Майкрософт, выполните приведенные далее действия.
- Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
- Выберите Безопасность >Расширенные параметры безопасности.
- Нажмите Добавьте новый способ входа или проверки.
- Выберите Использовать ключ безопасности.
- Определите тип ключа (USB или NFC) и нажмите Далее.
- Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
- Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
- Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
- Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
- Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
- Перейдите в меню Пуск и выберите Параметры .
- Перейдите в раздел Учетные записи >Варианты входа.
- В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.
Важно: Для входа с помощью лица требуется совместимая с Hello камера. Для входа с помощью отпечатка пальца на устройстве должно быть устройство считывания отпечатков пальцев.
Если ваше устройство не поставляются с одним из них, вы можете приобрести его, который может быть подключен к вашему устройству через USB у любого из ряда популярных розничных торговцев.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
- Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
- Выберите Безопасность >Расширенные параметры безопасности
- Нажмите Добавьте новый способ входа или проверки
- Выберите Используйте компьютер с Windows
- Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
- Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
- Выберите Безопасность >Расширенные параметры безопасности
- Нажмите Добавьте новый способ входа или проверки
- Выберите Использовать ключ безопасности
- Определите тип ключа (USB или NFC) и нажмите Далее.
- Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
- Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
- Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
- Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
- Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое поможет вам управлять ключом, например путем изменения ПИН-кода или регистрации отпечатка пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
- Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
- Выберите Безопасность >Расширенные параметры безопасности. Управляйте ключами безопасности в разделе Способы подтверждения вашей личности.
Настройка ключа безопасности в качестве способа проверки
Вы можете использовать ключи безопасности в качестве способа без паролей для входов в организации. Ключ безопасности — это физическое устройство, которое с уникальным ПИН-кодом используется для работы или учебной учетной записи. Так как для ключей безопасности требуется физическое устройство и что-то, что известно только вам, этот способ проверки считается более надежным, чем имя пользователя и пароль.
Использование ключа безопасности в качестве метода проверки подлинности без паролей в настоящее время является общедоступным предварительным просмотром. Если то, что вы видите на экране, не совпадает с тем, что в этой статье, значит, администратор еще не включил эту функцию. Пока эта функция не будет включена, необходимо выбрать другой способ проверки подлинности на странице Сведения о безопасности. Дополнительные сведения о предварительных версиях см. в дополнительных условиях использования Microsoft Azure предварительного просмотра.
- Если вы не видите параметр ключа безопасности, возможно, ваша организация не позволяет использовать этот параметр для проверки. В этом случае вам потребуется выбрать другой способ или обратиться за дополнительной помощью в службу технической поддержки своей организации.
- Прежде чем зарегистрировать ключ безопасности, необходимо зарегистрировать хотя бы один дополнительный способ проверки безопасности.
Что такое ключ безопасности?
В настоящее время мы поддерживаем несколько макетов и поставщиков ключей безопасности с помощью протоколов проверки подлинности без пароля (FIDO2). Эти ключи позволяют вам войти в свою учетную запись на работе или в учебном зачете, чтобы получить доступ к облачным ресурсам организации на поддерживаемом устройстве и в веб-браузере.
Администратор или ваша организация предоставит вам ключ безопасности, если он потребуется для вашей учебной или учебной учетной записи. Существуют различные типы ключей безопасности, например USB-накопитель, подключаемый к устройству, или клавиша NFC, нажатая на NFC-накопитель. Дополнительные сведения о ключе безопасности, включая тип ключа, можно найти в документации производителя.
Примечание: Если вам не удается использовать ключ безопасности FIDO2, существуют и другие способы проверки без паролей, например приложение Microsoft Authenticator или Windows Hello. Дополнительные сведения о Windows Hello см. в Windows Hello обзоре.
Перед началом работы
Перед регистрацией ключа безопасности должны быть выполнены следующие условия:
- Администратор включил эту функцию для использования в организации.
- Вы работаете на устройстве, на обновление Windows 10 за май 2019 г. и используете поддерживаемый браузер.
- У вас есть физический ключ безопасности, утвержденный администратором или вашей организацией. Ключом безопасности должны быть как FIDO2, так и microsoft-compliant. Если у вас есть вопросы о ключе безопасности и его совместимости, обратитесь в службу поддержки своей организации.
Регистрация ключа безопасности
Чтобы войти в свою учетную запись с помощью этого ключа, необходимо создать ключ безопасности и предоставить ему уникальный ПИН-код. В вашей учетной записи может быть зарегистрировано до 10 ключей.
- Перейдите на страницу Мой профиль на странице Моя учетная запись и войдите в свою учетную запись, если вы еще не сделали этого.
- Выберите Сведения для защиты, выберите Добавить метод, а затем в списке Добавить метод выберите ключ безопасности.

Выберите Добавить, а затем выберите тип ключа безопасности: USB-устройство или устройство NFC.

Примечание: Если вы не знаете, какой тип ключа безопасности у вас есть, обратитесь к документации производителя. Если вы не уверены в изготовителе, обратитесь за помощью в службу технической поддержки своей организации.
- Если ключом безопасности является USB-устройство, вставьте ключ безопасности в USB-порт устройства.
- Если ключом безопасности является NFC-устройство, коснитесь ключа безопасности для чтения.

Чтобы закрыть страницу Ключ безопасности, выберите Готово. На странице Сведения о безопасности обновлены сведения о ключе безопасности.
Удаление ключа безопасности из данных безопасности
Если вы потеряли или больше не хотите использовать ключ безопасности, вы можете удалить его из своих данных безопасности. При этом ключ безопасности не будет использоваться с вашей учебной или учебной учетной записью, но при этом будут по-прежнему храниться ваши данные и учетные данные. Чтобы удалить данные и данные учетных данных из самого ключа безопасности, следуйте инструкциям в разделе «Сброс ключа безопасности» этой статьи.
- Выберите ссылку Удалить с ключа безопасности, который нужно удалить.
- В окнеУдалить ключ безопасности выберите ОК.
Ключ безопасности будет удален, и вы больше не сможете использовать его для работы или учебной учетной записи.
Важно: Если вы удалили ключ безопасности по ошибке, вы можете снова зарегистрировать его, используя инструкции из раздела «Регистрация ключа безопасности» этой статьи.
Управление настройками ключа безопасности из Windows Параметры
Вы можете управлять настройками ключа безопасности из приложения Windows Параметры, включая сброс ключа безопасности и создание нового ПИН-кода ключа безопасности.
Сброс ключа безопасности
Если вы хотите удалить все данные учетной записи, хранимые в физическом ключе безопасности, необходимо вернуть этот ключ к заводским значениям по умолчанию. При сбросе ключа безопасности из него удаляются все данные, что позволяет начать сначала.
Важно: При сбросе ключа безопасности все данные с него удаляются, а заводские настройки будут сброшены. Будут очищены все данные и учетные данные.
- Откройте приложение Windows Параметры, выберите Учетные записи ,выберите Параметрывход , выберите Ключ безопасности, а затем — Управление.
- Вставьте ключ безопасности в USB-порт или нажмите NFC-читатель, чтобы подтвердить свою личность.
- Следуйте инструкциям на экране, основанным на конкретном изготовителе ключа безопасности. Если изготовителя ключа нет в инструкциях на экране, за дополнительными сведениями обратитесь на сайт изготовителя.
- Чтобы закрыть экран Управление, выберите закрыть.
Создание НОВОГО ПИН-кода ключа безопасности
Вы можете создать новый ПИН-код ключа безопасности для ключа безопасности.
- Откройте приложение Windows Параметры учетных записей,выберите Учетные записи , выберите Параметры вход, выберите Ключбезопасности , а затем — Управление.
- Вставьте ключ безопасности в USB-порт или нажмите NFC-читатель, чтобы подтвердить свою личность.
- Выберите Добавить в области ПИН-код ключа безопасности, введите и подтвердите новый ПИН-код ключа безопасности, а затем выберите ОК.
- Ключ безопасности будет обновлен с новым ПИН-кодом ключа безопасности для использования с вашей учебной или учебной учетной записью. Если вы решите изменить ПИН-код еще раз, выберите Изменить.
- Чтобы закрыть экран Управление, выберите закрыть.
Проверка безопасности и проверка подлинности при сбросе пароля
Сведения для защиты применяются как для двух факторной проверки безопасности, так и для сброса пароля. Однако не все методы можно использовать для обоих методов.
Используется для
Двух factor verification and password reset authentication.
Двух factor verification and password reset authentication.
Двух factor verification and password reset authentication.
Двух factor verification and password reset authentication.
Учетная запись электронной почты
Только проверка подлинности при сбросе пароля. Для двух факторной проверки необходимо выбрать другой способ.
Вопросы о безопасности
Только проверка подлинности при сбросе пароля. Для двух факторной проверки необходимо выбрать другой способ.
Дальнейшие действия
- Дополнительные сведения о способах проверки без паролей можно получить в статье Служба Azure AD корпорации Майкрософт начинает общеобъективный просмотр ключей безопасности FIDO2, включая запись блога без пароляили в Windows Hello обзоре.
- Подробные сведения о ключах безопасности, совместимых с Майкрософт.
- Если вы потеряли или забыли пароль, сбросите его на портале сброса пароля или выполните действия, которые вы можете сделать в статье Сброс пароля для работы или учебного заведения.
ATKey.Hello — аппаратные ключи
USB-ключ безопасности для Windows Hello со сканером сбоку. Считывает отпечатки пальцев под любым углом меньше, чем за секунду.
- Частота ложных срабатываний (FAR) < 1/50,000.
- Коэффициент ложного пропуска (FRR) < 2 %.
- Светодиодный индикатор для управления.
Подробный обзор ATKey.Hello в этом видео.
FIDO U2F — безопасность и удобство
Более 51,3% пользователей интернета авторизуются на различных сервисах через Facebook, и ещё 44,8% — через учетную запись Google. Для большей безопасности, подключите к ним U2F или 2FA (двухфакторную аутентификацию) с помощью ATKey. Зарегистрируйся в системе Windows Hello и забудь о паролях совсем. Входи в аккаунты по отпечатку пальца — это быстро, безопасно и удобно!
Создан для Windows Hello
Windows Hello — это сервис, основанный на биометрических технологиях, который позволяет входить в систему Windows и авторизоваться на веб-узлах без паролей. Работает он в связке с технологиями FIDO/FIDO2 или NFC, которые имеют датчик отпечатка и браузером Microsoft Edge. ATKey.Hello идеально подходит для работы с сервисом благодаря удобному сканеру с технологией распознавания отпечатков 360°, то есть под любым углом.
Среда для разработки веб-приложений и ПО со входом по отпечатку
Если ты разработчик ПО, сайта или приложения, в котором заказчик хочет сделать вход по отпечатку пальца, используй ATKey.Hello + Client/Server. Это н аиболее экономичное решение, подходящее для любой IT-среды. Если не получится разобраться самостоятельно, свяжись с нами, пожалуйста, чтобы мы могли тебя проконсультировать или настроить проект под твои запросы.
