Mengaktifkan masuk kunci keamanan FIDO2 ke perangkat Windows 10 dan 11 dengan ID Microsoft Entra

  • Artikel

Dokumen ini berfokus pada pengaktifan autentikasi tanpa kata sandi berbasis kunci keamanan FIDO2 dengan perangkat Windows 10 dan 11. Setelah menyelesaikan langkah-langkah dalam artikel ini, Anda dapat masuk ke ID Microsoft Entra dan perangkat Windows gabungan hibrid Microsoft Entra dengan akun Microsoft Entra Anda menggunakan kunci keamanan FIDO2.

Persyaratan

Jenis Perangkat Gabungan Microsoft Entra Gabungan hibrida Microsoft Entra
Autentikasi multifaktor Microsoft Entra X X
Registrasi informasi keamanan gabungan X X
Kunci keamanan FIDO2 yang sesuai X X
WebAuthN memerlukan Windows 10 versi 1903 atau lebih baru X X
Perangkat yang bergabung dengan Microsoft Entra memerlukan Windows 10 versi 1909 atau yang lebih tinggi X
Perangkat gabungan hibrid Microsoft Entra memerlukan Windows 10 versi 2004 atau yang lebih tinggi X
Pengontrol Domain Windows Server 2016/2019 dengan patch lengkap. X
Modul Manajemen Autentikasi Hibrid Microsoft Entra X
Microsoft Intune (Opsional) X X
Paket provisi (Opsional) X X
Kebijakan Grup (Opsional) X

Skenario yang tidak didukung

Skenario berikut tidak didukung:

  • Masuk atau membuka kunci perangkat Windows dengan kunci sandi di Microsoft Authenticator.
  • Penerapan domain gabungan (hanya perangkat lokal) Windows Server Active Directory Domain Services (AD DS).
  • Skenario, seperti RDP, VDI, dan Citrix, yang menggunakan kunci keamanan selain pengalihan webauthn.
  • S/MIME menggunakan kunci keamanan.
  • Jalankan sebagai menggunakan kunci keamanan.
  • Masuk ke server menggunakan kunci keamanan.
  • Jika Anda tidak menggunakan kunci keamanan untuk masuk ke perangkat saat online, Anda tidak dapat menggunakannya untuk masuk atau membuka kunci offline.
  • Masuk atau membuka kunci perangkat Windows dengan kunci keamanan yang berisi beberapa akun Microsoft Entra. Skenario ini menggunakan akun terakhir yang ditambahkan ke kunci keamanan. WebAuthN memungkinkan pengguna untuk memilih akun yang ingin digunakan.
  • Membuka kunci perangkat yang menjalankan Windows 10 versi 1809. Untuk pengalaman terbaik, gunakan Windows 10 versi 1903 atau lebih baru.

Menyiapkan perangkat

Perangkat yang bergabung dengan Microsoft Entra harus menjalankan Windows 10 versi 1909 atau yang lebih tinggi.

Perangkat gabungan hibrid Microsoft Entra harus menjalankan Windows 10 versi 2004 atau yang lebih baru.

Mengaktifkan kunci keamanan untuk masuk Windows

Organisasi dapat memilih untuk menggunakan satu atau beberapa metode berikut untuk mengaktifkan penggunaan kunci keamanan untuk masuk Windows berdasarkan persyaratan organisasi mereka:

Penting

Organisasi dengan perangkat gabungan hibrid Microsoft Entra juga harus menyelesaikan langkah-langkah dalam artikel, Mengaktifkan autentikasi FIDO2 ke sumber daya lokal sebelum autentikasi kunci keamanan Windows 10 FIDO2 berfungsi.

Organisasi dengan perangkat yang bergabung dengan Microsoft Entra harus melakukan ini sebelum perangkat mereka dapat mengautentikasi ke sumber daya lokal dengan kunci keamanan FIDO2.

Mengaktifkan dengan Microsoft Intune

Untuk mengaktifkan penggunaan kunci keamanan menggunakan Intune, selesaikan langkah berikut:

  1. Masuk ke pusat admin Microsoft Intune.
  2. Telusuri Perangkat>Daftarkan Perangkat>Pendaftaran Windows>Windows Hello untuk Bisnis.
  3. Atur Gunakan kunci keamanan untuk masuk ke Diaktifkan.

Konfigurasi kunci keamanan untuk masuk tidak bergantung pada konfigurasi Windows Hello for Business.

Catatan

Ini tidak akan mengaktifkan kunci keamanan pada perangkat yang sudah disediakan. Dalam hal ini gunakan metode berikutnya (Penyebaran Intune yang Ditargetkan)

Penerapan Intune yang ditargetkan

Untuk menargetkan grup perangkat tertentu dalam mengaktifkan penyedia info masuk, gunakan pengaturan kustom berikut via Intune:

  1. Masuk ke pusat admin Microsoft Intune.
  2. Telusuri Perangkat>Windows>Profil konfigurasi>Buat profil.
  3. Konfigurasikan profil baru dengan pengaturan berikut:
    • Platform: Windows 10 atau lebih baru
    • Jenis profil: Pola dasar > Kustom
    • Nama: Kunci Keamanan untuk Masuk Windows
    • Deskripsi: Mengaktifkan Kunci Keamanan FIDO untuk digunakan selama Masuk Windows
  4. Pilih Tambahkan Berikutnya>dan di Tambahkan Baris, tambahkan pengaturan OMA-URI Kustom berikut ini:
    • Nama: Mengaktifkan Kunci Keamanan FIDO untuk Masuk Windows
    • Deskripsi (opsional)
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Jenis Data: Bilangan Bulat
    • Nilai: 1
  5. Tetapkan sisa pengaturan kebijakan, termasuk pengguna, perangkat, atau grup tertentu. Untuk informasi selengkapnya, lihat Tetapkan profil pengguna dan perangkat di Microsoft Intune.

Mengaktifkan dengan paket provisi

Untuk perangkat yang tidak dikelola oleh Microsoft Intune, paket provisi dapat diinstal untuk mengaktifkan fungsionalitas. Aplikasi Windows Configuration Designer dapat diinstal dari Microsoft Store. Selesaikan langkah berikut untuk membuat paket provisi:

  1. Luncurkan Windows Configuration Designer.
  2. Pilih File>Proyek baru.
  3. Beri nama proyek dan catat jalur tempat proyek dibuat, kemudian pilih Berikutnya.
  4. Biarkan Paket provisi yang dipilih sebagai Alur kerja proyek yang dipilih dan pilih Berikutnya.
  5. Pilih Semua edisi desktop Windows pada Pilih pengaturan untuk dilihat dan dikonfigurasi, kemudian pilih Berikutnya.
  6. Pilih Selesai.
  7. Pada proyek yang baru saja dibuat, telusuri Pengaturan runtime>WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn.
  8. Atur UseSecurityKeyForSignIn ke Diaktifkan.
  9. Pilih Ekspor>Paket provisi
  10. Biarkan default pada jendela Build pada Deskripsikan paket provisi, kemudian pilih Berikutnya.
  11. Biarkan default pada jendela Build pada Pilih detail keamanan untuk paket provisi dan pilih Berikutnya.
  12. Catat atau ubah jalur pada jendela Build pada Pilih tempat menyimpan paket provisi dan pilih Berikutnya.
  13. Pilih Build pada halaman Bangun paket provisi.
  14. Simpan kedua file yang dibuat (ppkg dan cat) ke lokasi tempat Anda menerapkannya ke komputer nanti.
  15. Untuk menerapkan paket provisi yang dibuat, lihat Menerapkan paket provisi.

Catatan

Perangkat yang menjalankan Windows 10 versi 1903 juga harus mengaktifkan mode PC bersama (EnableSharedPCMode). Untuk informasi selengkapnya mengenai pengaktifan fungsi ini, lihat Menyiapkan PC bersama atau tamu dengan Windows 10.

Mengaktifkan dengan Kebijakan Grup

Untuk perangkat gabungan hibrid Microsoft Entra, organisasi dapat mengonfigurasi pengaturan Kebijakan Grup berikut untuk mengaktifkan masuk kunci keamanan FIDO. Pengaturan berikut dapat ditemukan pada Konfigurasi Komputer>Templat Administratif>Sistem>Logon>aktifkan masuk kunci keamanan:

  • Mengatur kebijakan ini ke Diaktifkan memungkinkan pengguna untuk masuk dengan kunci keamanan.
  • Mengatur kebijakan ini ke Nonaktifkan atau Tidak Dikonfigurasi menghentikan pengguna untuk masuk dengan kunci keamanan.

Pengaturan Kebijakan Grup ini memerlukan versi terbaru dari templat Kebijakan Grup CredentialProviders.admx. Templat baru ini tersedia dengan versi Windows Server selanjutnya dan Windows 10 20H1. Pengaturan ini dapat dikelola dengan perangkat yang menjalankan salah satu versi Windows yang lebih baru ini atau secara terpusat dengan mengikuti panduan di sini: Cara membuat dan mengelola Penyimpanan Pusat untuk Templat Administratif Kebijakan Grup di Windows.

Masuk dengan kunci keamanan FIDO2

Dalam contoh ini, pengguna bernama Bala Sandhu sudah menyediakan kunci keamanan FIDO2 mereka menggunakan langkah-langkah di artikel sebelumnya, Mengaktifkan masuk kunci keamanan tanpa kata sandi. Untuk perangkat gabungan hibrid Microsoft Entra, pastikan Anda juga mengaktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal. Bala dapat memilih penyedia info masuk kunci keamanan dari layar penguncian Windows 10 dan memasukkan kunci keamanan untuk masuk ke Windows.

Masuk kunci keamanan pada layar penguncian Windows 10

Mengelola biometrik kunci keamanan, PIN, atau reset kunci keamanan

  • Windows 10 versi 1903 atau lebih tinggi
    • Pengguna dapat membuka Pengaturan Windows di >Akun>Kunci Keamanan perangkat mereka
    • Pengguna dapat mengubah PIN, memperbarui biometrik, atau mereset kunci keamanan mereka

Pemecahan masalah dan tanggapan

Jika Anda ingin membagikan umpan balik atau mengalami masalah mengenai fitur ini, bagikan melalui aplikasi Windows Feedback Hub melalui langkah berikut:

  1. Luncurkan Feedback Hub dan pastikan Anda masuk.
  2. Kirimkan umpan balik di bawah kategorisasi berikut:
    • Kategori: Keamanan dan Privasi
    • Subkategori: FIDO
  3. Untuk menyimpan catatan, gunakan opsi untuk Reka ulang Masalah saya.

Langkah berikutnya

Mengaktifkan akses ke sumber daya lokal untuk ID Microsoft Entra dan perangkat gabungan hibrid Microsoft Entra

Pelajari lebih lanjut tentang pendaftaran perangkat

Pelajari selengkapnya tentang autentikasi multifaktor Microsoft Entra