支援 Windows 中的通行金鑰

• 適用於:

  ✅ Windows 11, ✅ Windows 10

相較於密碼，通行密鑰提供更安全且方便的方法來登入網站和應用程式。 不同於用戶必須記住並輸入的密碼，密碼會儲存為裝置上的秘密，而且可以使用裝置的解除鎖定機制 (例如生物特徵辨識或 PIN) 。 您可以使用通行密鑰，而不需要進行其他登入挑戰，讓驗證程式更快速、安全且更方便。

您可以將通行金鑰與支援它們的任何應用程式或網站搭配使用，以使用 Windows Hello 建立和登入。 一旦使用 Windows Hello 建立並儲存通行密鑰之後，您就可以使用裝置的生物特徵辨識或 PIN 來登入。 或者，您可以使用隨附裝置 (手機或平板電腦) 來登入。

注意

從 Windows 11 版本 22H2 與 KB5030310 開始，Windows 提供傳遞密鑰管理的原生體驗。 不過，通行密鑰可用於所有支援的 Windows 用戶端版本。

本文說明如何在 Windows 裝置上建立和使用通行密鑰。

通行金鑰的運作方式

Microsoft一直以來都是 FIDO 聯盟的創始成員，並協助在 Windows Hello 等平臺驗證器內以原生方式定義和使用通行密鑰。 通行金鑰會利用所有主要平臺所採用的 FIDO 產業安全性標準。 像是Microsoft等頂尖的技術公司，在 FIDO 聯盟中支援通行密鑰，而許多網站和應用程式正在整合對通行密鑰的支援。

FIDO 通訊協定依賴標準的公鑰/私鑰密碼編譯技術來提供更安全的驗證。 當使用者向在線服務註冊時，其用戶端裝置會產生新的密鑰組。 私鑰會安全地儲存在使用者的裝置上，而公鑰則會向服務註冊。 若要進行驗證，用戶端裝置必須簽署挑戰來證明它擁有私鑰。 只有在使用者使用 Windows Hello 解除鎖定因數 (生物特徵辨識或 PIN) 將其解除鎖定之後，才能使用私鑰。

FIDO 通訊協定會排定用戶隱私權的優先順序，因為其設計目的是要防止在線服務在不同服務之間共用資訊或追蹤使用者。 此外，驗證程式中使用的任何生物特徵辨識信息都會保留在用戶的裝置上，而且不會透過網路或服務傳輸。

相較於密碼的通行金鑰

通行密鑰比密碼有幾項優點，包括其易用性和直覺式本質。 不同於密碼，密碼很容易建立、不需要記住，而且不需要受到保護。 此外，通行密鑰對每個網站或應用程式都是獨一無二的，因此無法重複使用。 它們非常安全，因為它們只儲存在用戶的裝置上，而服務只會儲存公鑰。 通行密鑰的設計目的是要防止攻擊者猜測或取得它們，這有助於讓他們抵禦攻擊者可能會嘗試誘騙使用者揭露私鑰的網路釣魚嘗試。 瀏覽器或操作系統會強制執行通行密鑰，只用於適當的服務，而不是依賴人為驗證。 最後，通行密鑰提供跨裝置和跨平台驗證，這表示來自一個裝置的通行密鑰可用來在另一部裝置上登入。

Windows 版本和授權需求

下表列出支援通行密鑰的 Windows 版本：

Windows 專業版	Windows 企業版	Windows 專業教育版/SE	Windows 教育版
是	是	是	是

傳遞金鑰授權權利由下列授權授與：

Windows 專業版/專業教育版/SE	Windows 企業版 E3	Windows 企業版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

用戶體驗

建立通行金鑰

根據預設，Windows 會在 Windows 裝置本機儲存通行密鑰，在此情況下，通行密鑰會受到 Windows Hello (生物特徵辨識和 PIN) 保護。 您也可以選擇將通行金鑰儲存在下列其中一個位置：

• iPhone、iPad 或 Android 裝置：如果裝置提供密碼，則會將通行密鑰儲存在手機或平板電腦上，並受到裝置的生物特徵辨識保護。 此選項需要您使用手機或平板電腦掃描 QR 代碼，其必須位於 Windows 裝置附近
• 鏈接的裝置：如果裝置提供密碼，則會將通行密鑰儲存在手機或平板電腦上，並受到裝置的生物特徵辨識保護。 此選項需要連結的裝置位於 Windows 裝置附近，且僅支援 Android 裝置
• 安全性金鑰：傳遞金鑰會儲存至 FIDO2 安全性金鑰，並受到密鑰解除鎖定機制的保護 (例如生物特徵辨識或 PIN)

挑選下列其中一個選項，以瞭解如何根據您要儲存的地點來儲存通行密鑰。

Windows 裝置

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [下一步使用此 Windows 裝置>]

5. 選取 Windows Hello 驗證方法並繼續進行驗證，然後選取 [ 確定]

6. 通行金鑰會儲存到您的 Windows 裝置。 若要確認選取 [確定]

新的手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [iPhone]、[iPad] 或 [Android 裝置>] [下一步]

5. 使用手機或平板電腦掃描 QR 代碼。 等候裝置連線建立，並依照指示儲存通行密鑰

6. 將通行金鑰儲存至手機或平板計算機之後，請選取 [ 確定]

鏈接的手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選取連結的裝置名稱 (例如 圖元) >下一步

5. 建立連結裝置的連線之後，請遵循裝置上的指示來儲存通行密鑰

6. 將通行金鑰儲存至連結的裝置之後，請選取 [ 確定]

安全性金鑰

1. 開啟支援通行金鑰的網站或應用程式

2. 從您的帳戶設定建立通行密鑰

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [安全性金鑰>] [下一步]

5. 選取 [確定 ] 以確認您想要設定安全性金鑰，並使用金鑰的解除鎖定機制解除鎖定安全性密鑰

6. 將通行金鑰儲存至安全性金鑰之後，請選取 [ 確定]

使用通行金鑰

當您開啟支援通行密鑰的網站或應用程式時，如果密碼金鑰儲存在本機，系統會自動提示您使用 Windows Hello 登入。 您也可以選擇使用下列其中一個位置的通行金鑰：

• iPhone、iPad 或 Android 裝置：如果您想要使用儲存在手機或平板電腦上的通行金鑰登入，請使用此選項。 此選項需要您使用手機或平板電腦掃描 QR 代碼，其必須位於 Windows 裝置附近
• 鏈接的裝置：如果您想要使用儲存在 Windows 裝置附近裝置上的通行密鑰登入，請使用此選項。 只有 Android 裝置才支援此選項
• 安全性金鑰：如果您想要使用儲存在 FIDO2 安全性金鑰上的通行金鑰登入，請使用此選項

根據儲存位置，挑選下列其中一個選項來瞭解如何使用通行密鑰。

Windows 裝置

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [下一步使用此 Windows 裝置>]

5. 選取 Windows Hello 解除鎖定選項

6. 選取 [確定 ] 繼續登入

手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [iPhone]、[iPad] 或 [Android 裝置>] [下一步]

5. 使用您儲存通行金鑰的手機或平板電腦掃描 QR 代碼。 建立裝置連線之後，請依照指示使用通行密鑰

6. 您已登入網站或應用程式

鏈接的手機或平板電腦

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選取連結的裝置名稱 (例如 圖元) >下一步

5. 建立連結裝置的連線之後，請遵循裝置上的指示來使用通行密鑰

6. 您已登入網站或應用程式

安全性金鑰

1. 開啟支援通行金鑰的網站或應用程式

2. 選取 [ 使用通行金鑰登入] 或類似選項

3. 選取 [使用另一個裝置>下一步] 選項

4. 選 取 [安全性金鑰>] [下一步]

5. 使用金鑰的解除鎖定機制解除鎖定安全性金鑰

6. 您已登入網站或應用程式

管理通行金鑰

從 Windows 11 版本 22H2 與 KB5030310 開始，您可以使用 [設定] 應用程式來檢視和管理為應用程式或網站儲存的通行密鑰。 移至 [設定 > 帳戶 > ] [通行金鑰]，或使用下列快捷方式：

管理通行金鑰

• 隨即顯示已儲存的通行金鑰清單，您可以依名稱篩選它們
• 若要刪除通行金鑰，請選取 ...>。刪除通行金鑰名稱旁邊的通行金鑰

注意

無法刪除 login.microsoft.com 的一些通行密鑰，因為它們與 Microsoft Entra ID 和/或 Microsoft 帳戶搭配使用，以登入裝置和Microsoft服務。

藍牙限制環境中的通行密鑰

在複雜跨裝置驗證案例中，Windows 裝置和行動裝置都必須啟用藍牙並連線到因特網。 這可讓使用者透過藍牙安全地授權另一個裝置，而不需要傳輸或複製通行密鑰本身。

有些組織會限制藍牙使用方式，包括使用通行密鑰。 在這種情況下，組織可以允許藍牙以獨佔方式與已啟用密碼的 FIDO2 驗證器配對，以允許傳遞密鑰。

若要將藍牙的使用限制為僅限傳遞密鑰使用案例，請使用 藍牙原則 CSP 和 DeviceInstallation 原則 CSP。

裝置設定

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune/CSP

若要使用 Microsoft Intune 設定裝置， 您可以使用自定義原則 搭配下列設定：

設定
OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising 資料類型: 整數 值：0 當設定為 0時，裝置不會傳送公告。
OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode 資料類型: 整數 值：0 當設定為 0時，其他裝置無法偵測到裝置。
OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing 資料類型: 整數 值：0 防止特定配套的藍牙周邊自動與主機裝置配對。
OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections 資料類型: 整數 值：0 防止使用者使用 Swift 配對和其他近接式案例。
OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList 數據類型： 字串 值：{0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB} 設定允許的藍牙服務和設定檔案清單： - FIDO 聯盟通用第二因素驗證器服務 (0000fffd-0000-1000-8000-00805f9b34fb) - FIDO2 安全的用戶端對驗證器傳輸服務 (0000FFF9-0000-1000-8000-00805F9B34FB) 如需詳細資訊，請參閱 FIDO CTAP 2.1 標準規格 和 藍牙指派號碼檔。
OMA-URI： ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs 數據類型： 字串 值：<enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/> 停用現有的藍牙個人局域網路 (PAN) 網路適配器，防止安裝可用於網路連線或系結的藍牙網路適配器。

PowerShell

透過 MDM 網橋 WMI 提供者，使用 PowerShell 腳本設定您的裝置。

重要

針對所有裝置設定，WMI 網橋客戶端必須以 SYSTEM (LocalSystem) 帳戶執行。

若要測試 PowerShell 腳本，您可以：

1. 下載 psexec 工具
2. 開啟提升權限的命令提示字元並執行： psexec.exe -i -s powershell.exe
3. 在 PowerShell 工作階段中執行腳本

# Bluetooth configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_Bluetooth02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="Bluetooth";
    AllowDiscoverableMode=0;
    AllowAdvertising=0;
    AllowPrepairing=0;
    AllowPromptedProximalConnections=0;
    ServicesAllowedList="{0000FFF9-0000-1000-8000-00805F9B34FB};{0000FFFD-0000-1000-8000-00805F9B34FB}"
}


# Device installation configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_DeviceInstallation02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="DeviceInstallation";
    PreventInstallationOfMatchingDeviceIDs='<![CDATA[<Enabled/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/><Data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/>]]>'
}

如需詳細資訊，請 參閱搭配 WMI 網橋提供者使用 PowerShell 腳本。

注意

套用設定之後，如果您嘗試透過藍牙配對裝置，它一開始會配對並立即中斷連線。 藍牙裝置遭到封鎖而無法載入，且無法從 [設定] 或 [設備管理器] 取得。

提供意見反應

若要為通行密鑰提供意見反應，請開啟 意見反應中樞 ，並使用安全 性和隱私 > 權通行密鑰類別。