Поддержка ключей доступа в Windows

Применяется к: ✅ Windows 11, ✅ Windows 10

Ключи доступа обеспечивают более безопасный и удобный способ входа на веб-сайты и приложения по сравнению с паролями. В отличие от паролей, которые пользователи должны запомнить и ввести, ключи доступа хранятся на устройстве в виде секретов и могут использовать механизм разблокировки устройства (например, биометрию или ПИН-код). Ключи доступа можно использовать без других проблем входа, что делает процесс проверки подлинности быстрее, безопаснее и удобнее.

Ключи доступа можно использовать с любыми приложениями или веб-сайтами, поддерживающими их, для создания и входа с помощью Windows Hello. После создания и сохранения ключа доступа с Windows Hello вы можете использовать биометрические данные или ПИН-код устройства для входа. Кроме того, для входа можно использовать вспомогательное устройство (телефон или планшет).

Примечание.

Начиная с Windows 11 версии 22H2 с KB5030310, Windows предоставляет собственный интерфейс для управления ключами доступа. Однако ключи доступа можно использовать во всех поддерживаемых версиях клиентов Windows.

В этой статье описывается создание и использование ключей доступа на устройствах Windows.

Принцип работы ключей доступа

Корпорация Майкрософт уже давно является членом-основателем FIDO Alliance и помогает определять и использовать ключи доступа в собственном коде в средстве проверки подлинности платформы, например Windows Hello. Ключи доступа используют отраслевой стандарт безопасности FIDO, принятый всеми основными платформами. Ведущие технологические компании, такие как Майкрософт, поддерживают ключи доступа в рамках FIDO Alliance, а многочисленные веб-сайты и приложения интегрируют поддержку ключей доступа.

Протоколы FIDO используют стандартные методы шифрования с открытым и закрытым ключами для обеспечения более безопасной проверки подлинности. Когда пользователь регистрируется в веб-службе, его клиентское устройство создает новую пару ключей. Закрытый ключ надежно хранится на устройстве пользователя, а открытый ключ регистрируется в службе. Для проверки подлинности клиентское устройство должно подтвердить, что у него есть закрытый ключ, подписав запрос. Закрытые ключи можно использовать только после того, как пользователь разблокирует их с помощью Windows Hello коэффициента разблокировки (биометрические данные или ПИН-код).

Протоколы FIDO уделяют приоритетное внимание конфиденциальности пользователей, так как они предназначены для предотвращения веб-службы обмена информацией или отслеживания пользователей в разных службах. Кроме того, все биометрические данные, используемые в процессе проверки подлинности, остаются на устройстве пользователя и не передаются по сети или в службу.

Ключи доступа по сравнению с паролями

Ключи доступа имеют ряд преимуществ по сравнению с паролями, включая их простоту использования и интуитивно понятный характер. В отличие от паролей, ключи доступа легко создавать, их не нужно запоминать и защищать. Кроме того, ключи доступа уникальны для каждого веб-сайта или приложения, что предотвращает их повторное использование. Они очень безопасны, так как хранятся только на устройствах пользователя, а служба хранит только открытые ключи. Ключи доступа предназначены для предотвращения угадывания или получения злоумышленниками, что помогает сделать их устойчивыми к попыткам фишинга, когда злоумышленник может попытаться обмануть пользователя раскрыть закрытый ключ. Ключи доступа принудительно используются браузерами или операционными системами только для соответствующей службы, а не для проверки человека. Наконец, ключи доступа обеспечивают проверку подлинности между устройствами и между платформами. Это означает, что ключ доступа с одного устройства можно использовать для входа на другом устройстве.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие ключи доступа.

Windows Pro	Windows Корпоративная	Windows Pro для образовательных учреждений/SE	Windows для образовательных учреждений
Да	Да	Да	Да

Права на лицензии на ключи доступа предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE	Windows Корпоративная E3	Windows Корпоративная E5	Windows для образовательных учреждений A3	Windows для образовательных учреждений A5
Да	Да	Да	Да	Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Взаимодействие с пользователем

Пользователи могут выполнить действия, описанные в следующих разделах, чтобы создавать и использовать свои ключи доступа в Windows, а также управлять ими.

Ключи доступа в средах с ограничением Bluetooth

Для сценариев проверки подлинности на нескольких устройствах с ключами доступа на устройстве с Windows и на мобильном устройстве должен быть включен Bluetooth и подключен к Интернету. Это позволяет пользователю безопасно авторизовать другое устройство по Bluetooth без передачи или копирования самого ключа доступа.

Некоторые организации ограничивают использование Bluetooth, включая использование ключей доступа. В таких случаях организации могут разрешать ключи доступа, разрешая связывание Bluetooth исключительно с средствами проверки подлинности FIDO2 с поддержкой ключа доступа.

Чтобы ограничить использование Bluetooth только вариантами использования ключа доступа, используйте поставщик служб CSP политики Bluetooth и CSP политики установки устройства.

Конфигурация устройств

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP
PowerShell

Чтобы настроить устройства с помощью Microsoft Intune, можно использовать настраиваемую политику со следующими параметрами:

Параметр
OMA-URI: `./Device/Vendor/MSFT/Policy/Config/Bluetooth/`AllowAdvertising Тип данных: целое число Значение: `0` Если задано значение `0`, устройство не отправляет объявления.
OMA-URI: `./Device/Vendor/MSFT/Policy/Config/Bluetooth/`AllowDiscoverableMode Тип данных: целое число Значение: `0` Если задано значение `0`, другие устройства не могут обнаружить устройство.
OMA-URI: `./Device/Vendor/MSFT/Policy/Config/Bluetooth/`AllowPrepairing Тип данных: целое число Значение: `0` Запрещает автоматическое связывание определенных периферийных устройств Bluetooth с хост-устройством.
OMA-URI: `./Device/Vendor/MSFT/Policy/Config/Bluetooth/`AllowPromptedProximalConnections Тип данных: целое число Значение: `0` Запрещает пользователям использовать Swift Pair и другие сценарии на основе близкого взаимодействия.
OMA-URI: `./Device/Vendor/MSFT/Policy/Config/Bluetooth/`ServicesAllowedList Тип данных: String Значение: `{0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB}` Задайте список допустимых служб и профилей Bluetooth: — служба fido Alliance Universal Second Factor Authenticator (`0000fffd-0000-1000-8000-00805f9b34fb`) — безопасная служба передачи fiDO2 "клиент — средство проверки подлинности" (`0000FFF9-0000-1000-8000-00805F9B34FB`) Дополнительные сведения см. в статье Стандартная спецификация FIDO CTAP 2.1 и Назначенные номера Bluetooth.
OMA-URI: `./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/`PreventInstallationOfMatchingDeviceIDs Тип данных: String Значение: `<enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1BTH\MS_BTHPAN"/>` Отключает существующий сетевой адаптер Bluetooth Personal Area Network (PAN), предотвращая установку сетевого адаптера Bluetooth, который можно использовать для сетевого подключения или подключения к сети.

Настройте устройства с помощью скриптов PowerShell с помощью поставщика WMI моста MDM.

Важно.

Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).

Чтобы протестировать сценарий PowerShell, можно:

Скачивание средства psexec
Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
Запуск сценария в сеансе PowerShell

# Bluetooth configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_Bluetooth02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="Bluetooth";
    AllowDiscoverableMode=0;
    AllowAdvertising=0;
    AllowPrepairing=0;
    AllowPromptedProximalConnections=0;
    ServicesAllowedList="{0000FFF9-0000-1000-8000-00805F9B34FB};{0000FFFD-0000-1000-8000-00805F9B34FB}"
}


# Device installation configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_DeviceInstallation02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="DeviceInstallation";
    PreventInstallationOfMatchingDeviceIDs='<![CDATA[<Enabled/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/><Data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/>]]>'
}

Дополнительные сведения см. в статье Использование сценариев PowerShell с поставщиком моста WMI.

Примечание.

После применения параметров, если вы попытаетесь связать устройство через Bluetooth, оно сначала будет сопряжено и немедленно отключается. Устройство Bluetooth заблокировано для загрузки и недоступно в разделе Параметры или диспетчер устройств.

Предоставление отзывов

Чтобы предоставить отзыв о ключах доступа, откройте Центр отзывов и используйте раздел Безопасность и конфиденциальность>.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-01-09