Як увімкнути безпарольну автентифікацію FIDO2 з Microsoft Azure AD для використання з Windows 10

Додати користувача в AD

Крок 1

Авторизуйтеся на порталі Azure https://portal.azure.com/.

Крок 2

Оберіть "Azure Active Directory" та перейдіть у розділ "Users":

Крок 3

Натисніть кнопку "New User", заповніть усі необхідні поля:

Крок 4

Натисніть кнопку "Create", користувача буде додано до списку і він буде готовий для входу:

Увімкнення методів автентифікації та ключів безпеки FIDO2

Крок 1

Авторизуйтеся у обліковий запис Security Admin чи Global Admin на порталі Azure portal.azure.com та перейдіть у налаштування Azure Active Directory > User Settings > Manage user feature:

Крок 2

Оберіть опцію “Users can use the combined security information registration experience”, оберіть опцію “All” і натисніть кнопку“Save”.

Крок 3

Після збереження у правому верхньому кутку сторінки з'явиться сповіщення, яке означатиме, що усі налаштування були оновлені:

Крок 4

Перейдіть до Azure AD Authentication Methods на порталі Azure:

Крок 5

На порталі Azure перейдіть до розділу "Azure AD Authentication Methods" та оберіть метод "FIDO2 Security Key":

Крок 6

Встановіть перемикач “ENABLE” на значення “Yes” та натисніть кнопку “Save”:

Крок 7

Після збереження у правому верхньому кутку сторінки з'явиться сповіщення, яке означатиме, що налаштування політик були оновлені:

Крок 8

Ми також рекомендуємо увімкнути автентифікацію таким ж чином для нативного застосунку Microsoft Authenticator passwordless sign-in.

Інструкції від Microsoft можна знайти тут.

Підключення ПК у домен Azure AD та додавання користувача

Крок 1

Перейдіть у розділ Accounts -> Access work or school в налаштуваннях Windows.

Натисніть кнопку “Connect”.

Крок 2

Натисніть "Join this device to Azure Active Directory"

Крок 3

Вам буде потрібно ввести ваш логін та пароль, які Ви отримаєте в AD. Також Ви маєте ввести новий пароль:

Після цього система покаже вам фінальне повідомлення:

Крок 4

Натисніть кнопку "Join":

Ваш новий обліковий запис можна знайти в налаштуваннях.

Тепер Ви можете використовувати його для входу в цей ПК з паролем.

Оберіть Other user, введіть Ваш логін та пароль.

Система може попросити Вас налаштувати двохфакторну автентифікацію. Задайте свій телефон як метод автентифікації, наприклад. Тепер задайте PIN для доступу до цього ПК.

Крок 5

Виконайте файл, який збереже у реєстрі можливість використання ключа FIDO:

Додавання ключа безпеки до облікового запису Microsoft

Крок 1

Авторизуйтеся на порталі https://myprofile.microsoft.com/.

Крок 2

Перейдіть у розділ Security info та додайте ваш номер телефону для увімкнення двофакторної автентифікації.

Крок 3

Підключіть ваш Hideez Key до Windows.

Крок 4

Додайте ключ безпеки на порталі. Натисніть кнопку "Add Method" та оберіть опцію "Security Key".

Ви можете обрати опцію USB або NFC пристрою, це не має значення.

Крок 5

Для завершення налаштування система може попросити Вас авторизуватися з доданим ключем FIDO:

Крок 6

Натисніть кнопку на ключі, коли з'явиться запит:

Крок 7

Введіть ім'я для нового ключа безпеки:

Налаштування завершено.

Ключ з'явиться у списку доступних методів автентифікації:

Тепер Ви можете використовувати сценарій розблокування ключем безпеки.