Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dokumen ini berfokus pada pengaktifan autentikasi tanpa kata sandi berbasis kunci keamanan FIDO2 dengan Windows 10 dan 11 perangkat. Setelah menyelesaikan langkah-langkah dalam artikel ini, Anda dapat masuk ke Microsoft Entra ID dan perangkat Windows gabungan hibrida Microsoft Entra menggunakan akun Microsoft Entra Anda dengan kunci keamanan FIDO2.
Persyaratan
| Jenis Perangkat | Microsoft Entra bergabung | Microsoft Entra bergabung hibrid |
|---|---|---|
| Microsoft Entra autentikasi multifaktor | X | X |
| Pendaftaran informasi keamanan gabungan | X | X |
| Kunci keamanan FIDO2 yang kompatibel | X | X |
| WebAuthN memerlukan Windows 10 versi 1903 atau yang lebih tinggi | X | X |
| Perangkat yang terhubung ke Microsoft Entra memerlukan Windows 10 versi 1909 atau yang lebih tinggi | X | |
| Microsoft Entra perangkat yang terhubung secara hibrid memerlukan Windows 10 versi 2004 atau yang lebih tinggi | X | |
| Pengendali Domain Windows Server 2016/2019 yang sepenuhnya di-patch. | X | |
| modul Manajemen Autentikasi Hibrid Microsoft Entra | X | |
| Microsoft Intune (Opsional) | X | X |
| Paket penyediaan (Opsional) | X | X |
| Kebijakan Grup (Opsional) | X |
Skenario yang tidak didukung
Skenario berikut tidak didukung:
- penyebaran Windows Server Active Directory Domain Services (AD DS) yang terhubung ke domain (hanya untuk perangkat di tempat).
- Skenario, seperti RDP, VDI, dan Citrix, yang menggunakan kunci keamanan selain pengalihan webauthn.
- S/MIME menggunakan kunci keamanan.
- Jalankan sebagai menggunakan kunci keamanan.
- Masuk ke server menggunakan kunci keamanan.
Masuk dan membuka kunci perangkat
- Masuk OOBE dengan kunci akses didukung. Anda dapat menggunakan masuk Web untuk membuka kunci perangkat Windows. Untuk informasi selengkapnya, lihat Menggunakan Sign-In Web Untuk Mengaktifkan Sign-In Tanpa Kata Sandi di Windows.
- Saat masuk atau membuka kunci perangkat Windows menggunakan kunci keamanan yang berisi beberapa akun Microsoft Entra, perangkat default ke akun terakhir yang ditambahkan ke kunci. Namun, WebAuthn memungkinkan pengguna untuk memilih akun tertentu yang ingin mereka gunakan untuk autentikasi.
- Membuka kunci perangkat memerlukan Windows 10 versi 1809. Untuk pengalaman terbaik, gunakan Windows 10 versi 1903 atau yang lebih tinggi.
Menyiapkan perangkat
perangkat Microsoft Entra yang bergabung harus menjalankan Windows 10 versi 1909 atau yang lebih tinggi.
Microsoft Entra perangkat gabungan hibrid harus berjalan Windows 10 versi 2004 atau yang lebih baru.
Mengaktifkan kunci keamanan untuk masuk Windows
Organisasi dapat memilih untuk menggunakan satu atau beberapa metode berikut untuk mengaktifkan penggunaan kunci keamanan untuk masuk Windows berdasarkan persyaratan organisasi mereka:
- Aktifkan dengan Microsoft Intune
- penyebaran Microsoft Intune yang Tertarget
- Mengaktifkan dengan paket provisi
- Aktifkan dengan Kebijakan Grup (hanya untuk perangkat yang tergabung secara hibrid dengan Microsoft Entra)
Penting
Organisasi dengan perangkat Microsoft Entra gabungan hibrid harus juga menyelesaikan langkah-langkah dalam artikel, Mengaktifkan autentikasi FIDO2 ke sumber daya lokal sebelum autentikasi kunci keamanan FIDO2 Windows 10 berfungsi.
Organisasi dengan perangkat Microsoft Entra bergabung harus melakukan ini sebelum perangkat mereka dapat mengautentikasi ke sumber daya lokal dengan kunci keamanan FIDO2.
Aktifkan dengan Microsoft Intune
Untuk mengaktifkan penggunaan kunci keamanan menggunakan Intune, selesaikan langkah berikut:
- Masuk ke pusat admin Microsoft Intune.
- Arahkan ke Devices>Daftarkan Perangkat>Pendaftaran Windows>Windows Hello for Business.
- Atur Gunakan kunci keamanan untuk masuk ke Diaktifkan.
Konfigurasi kunci keamanan untuk masuk tidak bergantung pada konfigurasi Windows Hello for Business.
Catatan
Ini tidak akan mengaktifkan kunci keamanan pada perangkat yang sudah disediakan. Dalam hal ini gunakan metode berikutnya (Penyebaran Intune yang Ditargetkan)
Penerapan Intune yang ditargetkan
Untuk menargetkan grup perangkat tertentu untuk mengaktifkan penyedia kredensial, gunakan pengaturan kustom berikut melalui Intune.
- Masuk ke pusat admin Microsoft Intune.
- Masuk ke Devices>Windows>Profil konfigurasi>Buat profil.
- Konfigurasikan profil baru dengan pengaturan berikut:
- Platform: Windows 10 dan yang lebih baru
- Jenis profil: Templat > Kustom
- Nama: Kunci Keamanan untuk Masuk Windows
- Deskripsi: Memungkinkan Kunci Keamanan FIDO digunakan selama Proses Masuk ke Windows
- Pilih Tambahkan Berikutnya> dan di Tambahkan Baris, tambahkan pengaturan OMA-URI Kustom berikut ini:
- Nama: Aktifkan Kunci Keamanan FIDO untuk masuk Windows
- Deskripsi (opsional)
- OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/GunakanKunciKeamananUntukMasuk (UseSecurityKeyForSignin)
- Jenis Data: Bilangan Bulat
- Nilai: 1
- Tetapkan sisa pengaturan kebijakan, termasuk pengguna, perangkat, atau grup tertentu. Untuk informasi selengkapnya, lihat profil pengguna dan perangkat Assign di Microsoft Intune.
Aktifkan dengan paket pelengkapan
Untuk perangkat yang tidak dikelola oleh Microsoft Intune, paket provisi dapat diinstal untuk mengaktifkan fungsionalitas. Aplikasi Windows Configuration Designer dapat diinstal dari Microsoft Store. Selesaikan langkah berikut untuk membuat paket provisi:
- Luncurkan Windows Configuration Designer.
- Pilih File>Proyek baru.
- Beri nama proyek Anda dan catat jalur tempat proyek Anda dibuat, lalu pilih Berikutnya.
- Biarkan Paket provisi dipilih sebagai alur kerja proyek yang dipilih dan pilih Berikutnya.
- Pilih Semua edisi desktop Windows di bawah Pilih pengaturan mana yang ingin dilihat dan dikonfigurasi, lalu pilih Selanjutnya.
- Pilih Selesai.
- Dalam proyek yang baru dibuat, telusuri pengaturan >WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn.
- Setel UseSecurityKeyForSignIn ke Diaktifkan.
- Pilih Ekspor>paket Provisi
- Biarkan default di jendela Build di bawah Jelaskan paket provisi, lalu pilih Berikutnya.
- Biarkan default di jendela Build di bawah Pilih detail keamanan untuk paket provisi dan pilih Berikutnya.
- Catat atau ubah jalur di jendela Build di bawah Pilih tempat menyimpan paket provisi dan pilih Berikutnya.
- Pilih Bangun di halaman Bangun paket provisi .
- Simpan dua file yang dibuat (ppkg dan kucing) ke lokasi tempat Anda dapat menerapkannya ke komputer nanti.
- Untuk menerapkan paket provisi yang Anda buat, lihat Menerapkan paket provisi.
Catatan
Perangkat yang menjalankan Windows 10 Versi 1903 juga harus mengaktifkan mode PC bersama (EnableSharedPCMode). Untuk informasi selengkapnya tentang mengaktifkan fungsionalitas ini, lihat Siapkan PC bersama atau tamu dengan Windows 10.
Mengaktifkan dengan Kebijakan Grup
Untuk perangkat yang digabungkan secara hibrid Microsoft Entra, organisasi dapat mengonfigurasi pengaturan Kebijakan Grup berikut untuk mengaktifkan memasukkan kunci keamanan FIDO. Pengaturan dapat ditemukan di bawah Konfigurasi Komputer>Templat Administratif>Sistem>Masuk>Aktifkan masuk dengan kunci keamanan:
- Mengatur kebijakan ini ke Diaktifkan memungkinkan pengguna untuk masuk dengan kunci keamanan.
- Mengatur kebijakan ini ke Dinonaktifkan atau Tidak Dikonfigurasi akan menghentikan pengguna untuk masuk dengan kunci keamanan.
Pengaturan Kebijakan Grup ini memerlukan versi templat Kebijakan Grup yang diperbarui CredentialProviders.admx . Templat baru ini tersedia dengan versi Windows Server berikutnya dan dengan Windows 10 20H1. Pengaturan ini dapat dikelola dengan perangkat yang menjalankan salah satu versi Windows yang lebih baru ini atau secara terpusat dengan mengikuti panduan di sini: Cara membuat dan mengelola Penyimpanan Pusat untuk Templat Administratif Kebijakan Grup di Windows.
Masuk dengan kunci keamanan FIDO2
Dalam contoh ini, pengguna bernama Bala Sandhu sudah menyediakan kunci keamanan FIDO2 mereka menggunakan langkah-langkah di artikel sebelumnya, Mengaktifkan masuk kunci keamanan tanpa kata sandi. Untuk perangkat gabungan hibrid Microsoft Entra, pastikan Anda juga aktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal. Bala dapat memilih penyedia kredensial kunci keamanan dari layar kunci Windows 10 dan menyisipkan kunci keamanan untuk masuk ke Windows.
Mengelola biometrik kunci keamanan, PIN, atau mereset kunci keamanan
- Windows 10 versi 1903 atau lebih tinggi
- Di perangkat, pengguna dapat membuka Pengaturan
Windows Akun < Opsi />Sign-in Keamanan , lalu pilih tombolKelola . - Pengguna dapat mengubah PIN, memperbarui biometrik, atau mereset kunci keamanan mereka
- Di perangkat, pengguna dapat membuka Pengaturan
Pemecahan masalah dan tanggapan
Jika Anda ingin berbagi umpan balik atau mengalami masalah tentang fitur ini, bagikan melalui aplikasi Windows Feedback Hub menggunakan langkah-langkah berikut:
- Luncurkan Hub Umpan Balik dan pastikan Anda masuk.
- Kirimkan umpan balik di bawah kategorisasi berikut:
- Kategori: Keamanan dan Privasi
- Subkategori: FIDO
- Untuk mengambil log, gunakan opsi untuk Membuat Ulang Masalah saya.
Langkah berikutnya
Pelajari lebih lanjut tentang pendaftaran perangkat
Pelajari selengkapnya tentang autentikasi multifaktor Microsoft Entra