Поддержка ключей доступа в Windows

Ключи доступа обеспечивают более безопасный и удобный способ входа на веб-сайты и приложения по сравнению с паролями. В отличие от паролей, которые пользователи должны запомнить и ввести, ключи доступа хранятся на устройстве в виде секретов и могут использовать механизм разблокировки устройства (например, биометрию или ПИН-код). Ключи доступа можно использовать без других проблем входа, что делает процесс проверки подлинности быстрее, безопаснее и удобнее.

Ключи доступа можно использовать с любыми приложениями или веб-сайтами, которые их поддерживают, для создания и входа с помощью Windows Hello. После создания и сохранения ключа доступа в Windows Hello вы можете использовать биометрические данные или ПИН-код устройства для входа. Кроме того, для входа можно использовать вспомогательное устройство (телефон или планшет).

Примечание.

Начиная с Windows 11 версии 22H2 с KB5030310, Windows предоставляет собственный интерфейс для управления ключами доступа. Однако ключи доступа можно использовать во всех поддерживаемых версиях клиентов Windows.

В этой статье описывается создание и использование ключей доступа на устройствах Windows.

Принцип работы ключей доступа

Корпорация Майкрософт уже давно является членом-основателем FIDO Alliance и помогает определять и использовать ключи доступа в собственном коде в средстве проверки подлинности платформы, например Windows Hello. Ключи доступа используют отраслевой стандарт безопасности FIDO, принятый всеми основными платформами. Ведущие технологические компании, такие как Майкрософт, поддерживают ключи доступа в рамках FIDO Alliance, а многочисленные веб-сайты и приложения интегрируют поддержку ключей доступа.

Протоколы FIDO используют стандартные методы шифрования с открытым и закрытым ключами для обеспечения более безопасной проверки подлинности. Когда пользователь регистрируется в веб-службе, его клиентское устройство создает новую пару ключей. Закрытый ключ надежно хранится на устройстве пользователя, а открытый ключ регистрируется в службе. Для проверки подлинности клиентское устройство должно подтвердить, что у него есть закрытый ключ, подписав запрос. Закрытые ключи можно использовать только после того, как пользователь разблокирует их с помощью коэффициента разблокировки Windows Hello (биометрические данные или ПИН-код).

Протоколы FIDO уделяют приоритетное внимание конфиденциальности пользователей, так как они предназначены для предотвращения обмена информацией или отслеживания пользователей в разных службах. Кроме того, все биометрические данные, используемые в процессе проверки подлинности, остаются на устройстве пользователя и не передаются по сети или в службу.

Ключи доступа по сравнению с паролями

Ключи доступа имеют ряд преимуществ по сравнению с паролями, включая их простоту использования и интуитивно понятный характер. В отличие от паролей, ключи доступа легко создавать, их не нужно запоминать и защищать. Кроме того, ключи доступа уникальны для каждого веб-сайта или приложения, что предотвращает их повторное использование. Они очень безопасны, так как хранятся только на устройствах пользователя, а служба хранит только открытые ключи. Ключи доступа предназначены для предотвращения угадывания или получения злоумышленниками, что помогает сделать их устойчивыми к попыткам фишинга, когда злоумышленник может попытаться обмануть пользователя раскрыть закрытый ключ. Ключи доступа принудительно используются браузерами или операционными системами только для соответствующей службы, а не для проверки человека. Наконец, ключи доступа обеспечивают проверку подлинности между устройствами и между платформами. Это означает, что ключ доступа с одного устройства можно использовать для входа на другом устройстве.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие ключи доступа.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии на ключи доступа предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Взаимодействие с пользователем

Создание ключа доступа

По умолчанию Windows предлагает сохранить ключ доступа локально на устройстве Windows. В этом случае ключ доступа защищен Windows Hello (биометрические данные и ПИН-код). Вы также можете сохранить ключ доступа в одном из следующих расположений:

  • iPhone, iPad или устройство Android: ключ доступа сохраняется на телефоне или планшете и защищен биометрическими данными устройства, если он предоставляется устройством. Этот параметр требует отсканировать QR-код на телефоне или планшете, который должен находиться рядом с устройством с Windows.
  • Связанное устройство: ключ доступа сохраняется на телефоне или планшете и защищен биометрическими данными устройства, если он предоставляется устройством. Для этого параметра требуется, чтобы связанное устройство было в непосредственной близости от устройства Windows и поддерживается только для устройств Android.
  • Ключ безопасности: ключ доступа сохраняется в ключ безопасности FIDO2, защищенный механизмом разблокировки ключа (например, биометрические данные или ПИН-код).

Выберите один из следующих вариантов, чтобы узнать, как сохранить ключ доступа в зависимости от места его хранения.

  1. Открытие веб-сайта или приложения, поддерживающего ключи доступа
  1. Создание ключа доступа из параметров учетной записи
  1. Выберите параметр Использовать другое устройство>Далее
  1. Выберите Это устройство> WindowsДалее
  1. Выберите метод проверки Windows Hello и продолжите проверку, а затем нажмите кнопку ОК.
  1. Ключ доступа сохраняется на устройстве с Windows. Чтобы подтвердить, нажмите кнопку ОК.

Использование ключа доступа

При открытии веб-сайта или приложения, поддерживающего ключи доступа, если ключ доступа хранится локально, вам автоматически будет предложено использовать Windows Hello для входа. Вы также можете использовать ключ доступа из одного из следующих расположений:

  • iPhone, iPad или устройство Android: используйте этот параметр, если вы хотите войти с помощью ключа доступа, хранящегося на телефоне или планшете. Этот параметр требует отсканировать QR-код на телефоне или планшете, который должен находиться рядом с устройством с Windows.
  • Связанное устройство: используйте этот параметр, если вы хотите войти с помощью ключа доступа, хранящегося на устройстве, которое находится рядом с устройством Windows. Этот параметр поддерживается только для устройств Android.
  • Ключ безопасности: используйте этот параметр, если вы хотите войти с помощью ключа доступа, хранящегося в ключе безопасности FIDO2.

Выберите один из следующих вариантов, чтобы узнать, как использовать ключ доступа в зависимости от того, где вы его сохранили.

  1. Открытие веб-сайта или приложения, поддерживающего ключи доступа
  1. Выберите Войти с помощью ключа доступа или аналогичный параметр.
  1. Выберите параметр Использовать другое устройство>Далее
  1. Выберите Это устройство> WindowsДалее
  1. Выбор параметра разблокировки Windows Hello
  1. Нажмите кнопку ОК , чтобы продолжить вход.

Управление ключами доступа

Начиная с Windows 11 версии 22H2 с KB5030310, вы можете использовать приложение "Параметры" для просмотра ключей доступа, сохраненных для приложений или веб-сайтов, и управления ими. Перейдите в раздел Параметры > Учетные записи Ключи > доступа или используйте следующий ярлык:

  • Отобразится список сохраненных ключей доступа, и их можно отфильтровать по имени.
  • Чтобы удалить ключ доступа, выберите ... > Удаление ключа доступа рядом с именем ключа доступа

Снимок экрана: приложение

Примечание.

Некоторые ключи доступа для login.microsoft.com нельзя удалить, так как они используются с идентификатором Microsoft Entra и (или) учетной записью Майкрософт для входа в систему на устройстве и в службах Майкрософт.

Ключи доступа в средах с ограничением Bluetooth

Для сценариев проверки подлинности на нескольких устройствах с ключами доступа на устройстве с Windows и на мобильном устройстве должен быть включен Bluetooth и подключен к Интернету. Это позволяет пользователю безопасно авторизовать другое устройство по Bluetooth без передачи или копирования самого ключа доступа.

Некоторые организации ограничивают использование Bluetooth, включая использование ключей доступа. В таких случаях организации могут разрешать ключи доступа, разрешая связывание Bluetooth исключительно с средствами проверки подлинности FIDO2 с поддержкой ключа доступа.

Чтобы ограничить использование Bluetooth только вариантами использования ключа доступа, используйте поставщик служб CSP политики Bluetooth и CSP политики установки устройства.

Конфигурация устройств

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Чтобы настроить устройства с помощью Microsoft Intune, можно использовать настраиваемую политику со следующими параметрами:

Параметр
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
  • Тип данных: целое число
  • Значение: 0

  • Если задано значение 0, устройство не отправляет объявления.
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode
  • Тип данных: целое число
  • Значение: 0

  • Если задано значение 0, другие устройства не могут обнаружить устройство.
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing
  • Тип данных: целое число
  • Значение: 0

  • Запрещает автоматическое связывание определенных периферийных устройств Bluetooth с хост-устройством.
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections
  • Тип данных: целое число
  • Значение: 0

  • Запрещает пользователям использовать Swift Pair и другие сценарии на основе близкого взаимодействия.
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList
  • Тип данных: String
  • Значение: {0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB}

    Задайте список допустимых служб и профилей Bluetooth:
    — служба fido Alliance Universal Second Factor Authenticator (0000fffd-0000-1000-8000-00805f9b34fb)
    — безопасная служба передачи fiDO2 "клиент — средство проверки подлинности" (0000FFF9-0000-1000-8000-00805F9B34FB)

    Дополнительные сведения см. в статье Стандартная спецификация FIDO CTAP 2.1 и Назначенные номера Bluetooth.
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
  • Тип данных: String
  • Значение: <enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/>

  • Отключает существующий сетевой адаптер Bluetooth Personal Area Network (PAN), предотвращая установку сетевого адаптера Bluetooth, который можно использовать для сетевого подключения или подключения к сети.

    Примечание.

    После применения параметров, если вы попытаетесь связать устройство через Bluetooth, оно сначала будет сопряжено и немедленно отключается. Устройство Bluetooth заблокировано для загрузки и недоступно в параметрах или диспетчере устройств.

    Предоставление отзывов

    Чтобы предоставить отзыв о ключах доступа, откройте Центр отзывов и используйте раздел Безопасность и конфиденциальность>.