Utilizarea instrucțiunii „Return” în funcțiile și scripts PowerShell

Principala utilizare a instrucțiunii „return” în PowerShell este aceea de a returna rezultatul unei funcții și/sau de a ieși din domeniul de aplicare curent. Domeniul de aplicare poate fi o funcție, un script sau un bloc de script. După ce instrucțiunea „Return” este invocată, PowerShell iese din funcție și returnează controlul către codul apelant. În acest articol, vom analiza exemple de utilizare a instrucțiunii „Return” în scripturile PowerShell.

[mai mult...]

Cum se pot trunchia și reduce jurnalele de tranzacții din SQL Server

Jurnalele de tranzacții(Transaction logs) ale Microsoft SQL Server tind să crească în timp și pot, uneori, să ocupe tot spațiul liber de pe unitatea de stocare a serverului. Pentru a evita această situație, ar trebui efectuate copii de siguranță periodice ale jurnalelor de tranzacții sau să utilizați operațiunile de trunchiere și reducere a jurnalelor de tranzacții din SQL Server.

Diferența dintre operațiunile „truncate” și „shrink” ale fișierelor jurnal din SQL Server

Trebuie să fiți familiarizați cu modelele de recuperare din SQL Server înainte de a putea înțelege diferența dintre operațiunile „truncate” și „shrink”:

  • Modelul de recuperare simplu — SQL Server marchează fișierele jurnal virtuale inactive ca fiind reutilizabile după un punct de control și atunci când niciun factor (cum ar fi copiile de siguranță sau tranzacțiile active), nu blochează trunchierea. Acest mod de recuperare este destinat exclusiv mediilor de dezvoltare sau de testare și nu este recomandat pentru mediile de producție;
  • Modelul de recuperare complet — jurnalele de tranzacții nu vor fi șterse până când nu se finalizează o copie de rezervă a jurnalului de tranzacții (nu are loc o truncare automată a jurnalului). Jurnalul de tranzacții va fi trunchiat numai după efectuarea copiei de rezervă a acestuia. Acest mod reprezintă cea mai bună metodă de recuperare a datelor după o defecțiune și este utilizat atunci când este necesară o recuperare la un moment dat.
  • Jurnalizare în bloc — acest mod permite reducerea spațiului utilizat de jurnal prin utilizarea setărilor de jurnalizare minimă. SQL Server trunchiază jurnalul de tranzacții numai după efectuarea cu succes a unei copii de rezervă a acestuia.

Copierea de rezervă completă a bazei de date SQL Server nu trunchiază jurnalul de tranzacții. Configurarea copierii de rezervă periodice a jurnalului de tranzacții este singura modalitate valabilă de a trunchia fișierele jurnal. Operațiunea de trunchiere eliberează spațiul, dar nu reduce dimensiunea fișierului jurnalului de tranzacții de pe disc.

Reducerea dimensiunii ar trebui utilizată pentru a reduce dimensiunea jurnalului de tranzacții SQL Server de pe unitate. În timpul operațiunii de reducere, MSSQL mută paginile alocate din fișierul jurnal în spațiul liber și dezalocă VLF-urile neutilizate de la sfârșitul fișierului. Spațiul liber este apoi dezalocat și returnat sistemului de fișiere.

[mai mult...]

Activarea sau dezactivarea comenzii „sudo” în Windows 11

Ce este Sudo pentru Windows?

Sudo pentru Windows îți permite să execuți comenzi cu drepturi de administrator dintr-o consolă cu drepturi ridicate, adăugând prefixul „sudo” în fața comenzii. De exemplu, „sudo netstat -ab”; atunci când folosești „sudo”, Windows îți solicită în continuare să confirmi cererea de ridicare a drepturilor.

Sudo pentru Windows este funcția integrată de la Microsoft care permite executarea comenzilor cu drepturi ridicate direct dintr-o sesiune de consolă fără drepturi ridicate în Windows 11. Aceasta este concepută pentru fluxurile de lucru din linia de comandă în care doriți să adăugați prefixul „sudo” la o comandă, în loc să deschideți mai întâi o consolă de administrator separată. Sudo pentru Windows este disponibil în Windows 11 versiunea 24H2 și versiunile ulterioare. Pentru mai multe informații, consultați linkul:

https://learn.microsoft.com/en-us/windows/advanced-settings/sudo/   

Setarea Sudo se găsește în meniul Settings > System > Advanced. Pe dispozitivele cu Windows 11 versiunea 25H2 și versiunile ulterioare.

Cerințe preliminare

Înainte de a începe, asigurați-vă că pe computer rulează Windows 11 24H2 sau o versiune ulterioară, deoarece Sudo pentru Windows nu este disponibil pe versiunile anterioare de Windows 11. De asemenea, rețineți că, pe dispozitivele gestionate, opțiunea „Setări avansate” poate lipsi sau poate fi dezactivată dacă organizația dvs. aplică politici care o restricționează. Prin urmare, dacă nu vedeți opțiunea „Advanced settings/Setari avansate” în aplicația Setări pe un dispozitiv gestionat, cel mai probabil aceasta este dezactivată de o politică de grup sau de o politică Intune.

[mai mult...]

Funcționalități eliminate și învechite în Windows Server 2025

Windows Server 2025 introduce îmbunătățiri majore în materie de securitate, identitate și platformă, dar continuă totodată procesul de eliminare a componentelor, protocoalelor și instrumentelor de administrare mai vechi inițiat de Microsoft. Pentru administratori, acest lucru este important deoarece unele funcționalități sunt eliminate complet și nu mai sunt disponibile, în timp ce altele sunt doar învechite, ceea ce înseamnă că există încă în prezent, dar nu mai sunt dezvoltate activ și ar putea dispărea într-o versiune viitoare.

Funcții învechite vs. funcții eliminate

O funcție învechită este încă prezentă în Windows Server, beneficiază în continuare de suport pentru utilizarea în producție și primește în continuare actualizări de securitate și de calitate, conform ciclului de viață al produsului. Cu toate acestea, Microsoft nu o mai dezvoltă în mod activ, iar aceasta ar putea fi eliminată într-o versiune viitoare. Pe de altă parte, o funcție eliminată nu mai este disponibilă în imaginea produsului instalat, iar aplicațiile sau fluxurile de lucru care depindeau de aceasta trebuie să treacă la o alternativă.

[mai mult...]

2 moduri de a dezactiva funcția „Unlock Premium” în Microsoft Teams

Soluția constă în dezactivarea înscrierii în regim de autoservire pentru Microsoft Teams Premium prin Centrul de administrare M365 sau PowerShell și în asigurarea faptului că utilizatorii din organizația dumneavoastră nu se abonează și nu inițiază perioada de probă Premium pentru Teams.

Microsoft a introdus versiunile de încercare și achizițiile în regim de autoservire în produsele sale pentru a oferi utilizatorilor flexibilitatea de a le testa fără consimțământul unui administrator. Motivul este că acest lucru poate ajuta administratorii să înțeleagă și să gestioneze cererea. În mod implicit, toate produsele noi sunt configurate pentru a permite utilizatorilor să efectueze achiziții în regim de autoservire, ceea ce este puțin îngrijorător.

Multe organizații nu au fost încântate să vadă noua opțiune „Unlock Premium” în aplicația Microsoft Teams pentru utilizatorii lor. Acest lucru se datorează faptului că utilizatorii se pot înscrie pentru perioade de probă în regim self-service la Teams Premium pe conturile Microsoft 365 existente ale organizației lor, folosind datele de autentificare de serviciu. În plus, nu este necesară introducerea datelor de plată la înscrierea pentru o perioadă de probă(o licență de încercare a serviciului cu o durată de 60 de zile, iar la încheierea perioadei de încercare, utilizatorii sunt invitați să efectueze o achiziție).

[mai mult...]

Stocarea cheilor de recuperare BitLocker în Active Directory

Baza de date Active Directory poate fi utilizată ca locație centrală pentru stocarea cheilor de recuperare BitLocker. Puteți configura Politica de grup (GPO) pentru a salva automat cheile de recuperare pentru computerele cu BitLocker activat în AD. Administratorii pot apoi recupera în siguranță cheile de recuperare pentru computere din AD și pot debloca unitățile de stocare criptate ale dispozitivelor în cazul în care un utilizator uită parola BitLocker.

Peisajul administrării BitLocker

În prezent, Active Directory nu mai este sistemul principal/recomandat pentru gestionarea cheilor de recuperare BitLocker. Astăzi, pentru administrarea BitLocker, aveți la dispoziție soluții mai bune bazate pe cloud:

Microsoft Endpoint Manager (Intune). Acesta este înlocuitorul principal al MBAM.
Microsoft BitLocker Administration and Monitoring (MBAM) este învechit.
În mediile conectate la Entra ID și în cele hibride, cheile de recuperare BitLocker sunt de obicei depozitate la Entra ID prin intermediul politicilor Intune/de înscriere a dispozitivelor.

Stocarea cheilor BitLocker bazată pe AD este utilizată acum, de obicei, pentru:

  • Mediile locale vechi
  • Dispozitivele hibride alăturate la domeniu
    Rețelele izolate/fără conexiune la internet

Pentru organizațiile care planifică noi implementări, recomandăm să acorde prioritate gestionării BitLocker bazate pe Intune și depozitării cheilor de recuperare în Entra ID în locul stocării de recuperare bazate pe AD DS vechi, ori de câte ori este posibil.

Reguli de decizie

Ar trebui să utilizați copiile de rezervă BitLocker din AD DS în următoarele cazuri:

  • mediu exclusiv Active Directory local
  • nu există o identitate în cloud (Entra ID)
  • rețeaua dvs. este restricționată/izolată

Ar trebui să utilizați Intune/Entra ID în următoarele cazuri:

  • există o identitate în cloud sau hibridă
  • dispozitivele sunt alăturate la Entra ID sau într-un mod hibrid
  • Microsoft Endpoint Manager este disponibil

Nota Bene: Rețineți că Entra ID/Intune este planul de control implicit pentru recuperarea BitLocker în mediile Microsoft moderne. AD DS este o soluție de rezervă mai veche, pe care ar trebui să o utilizați numai în cazul în care identitatea în cloud nu este disponibilă.

În cazul în care utilizați Intune/Entra ID, ar trebui să omiteți toate secțiunile referitoare la schema AD și GPO. În cazul în care utilizați AD DS, omiteți secțiunile referitoare la Intune/Entra.

Cerințe de mediu și validarea schemei Active Directory

Nota Bene: Înainte de a configura backup-ul BitLocker în AD, vă recomandăm să verificați dacă schema AD a fost extinsă corespunzător și dacă atributele legate de BitLocker sunt prezente la nivel de schemă.

Rețineți că metoda de stocare a cheii de recuperare BitLocker depinde de arhitectura mediului. Ar trebui să alegeți una dintre următoarele:

  • AD DS local (vechi/hibrid)
  • Microsoft Entra ID (nativ în cloud)
  • Politici BitLocker gestionate de Intune (aceasta este abordarea modernă recomandată)

Cerințe de sistem

  • Computere cu Windows 10 sau 11 care rulează edițiile Pro, Education sau Enterprise;
  • Schema Active Directory trebuie să conțină un set de atribute personalizate ale obiectelor de tip computer pentru stocarea cheilor de recuperare BitLocker (disponibile în AD începând cu Windows Server 2012).

Pentru a verifica versiunea schemei AD:

(Get-ADObject `
(Get-ADRootDSE).schemaNamingContext `
-Properties objectVersion).objectVersion

Această operațiune verifică versiunea schemei AD pentru a se asigura că extensiile schemei sunt aplicate la nivel de pădure. Rețineți că versiunea schemei are doar caracter informativ (trebuie să verificați compatibilitatea cu BitLocker folosind verificarea prezenței ldapDisplayName).

Pentru a verifica prezența extensiei de schemă BitLocker, executați următoarea comandă:

$schemaNC = (Get-ADRootDSE).schemaNamingContext
Get-ADObject $schemaNC -Property objectVersion, name
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext `
-Filter “ldapDisplayName -like ‘msFVE*'” `
-Properties ldapDisplayName |
Select-Object ldapDisplayName

Validarea compatibilității BitLocker cu Active Directory ar trebui să includă:

  • Verificarea versiunii schemelor
  • Confirmarea prezenței atributelor legate de BitLocker (msFVE*)
  • În cele din urmă, verificarea stării de funcționare cu ajutorul comenzii:

Get-ADReplicationFailure -Target * -Scope Forest
Get-ADReplicationPartnerMetadata -Target * | Select LastReplicationSuccess

Chiar și în cazul în care atributele de schemă sunt prezente, copierea de rezervă BitLocker poate eșua din următoarele motive:

  • lipsa aplicării GPO
  • lipsa permisiunilor de scriere pe computer
  • direcționarea incorectă către unitatea organizațională (OU)
  • dispozitivul hibrid nu este conectat corespunzător la AD DS

Pentru o implementare reușită a BitLocker, trebuie să îndepliniți toate condițiile următoare:

  • Există o parolă de recuperare
  • Starea protecției BitLocker este activată
  • Obiectul msFVE-RecoveryInformation există în AD
  • Parola de recuperare poate fi recuperată din ADUC/PowerShell

Atribute obligatorii ale schemei Active Directory

Trebuie să existe următoarele cinci atribute:

  • ms-FVE-KeyPackage
  • ms-FVE-RecoveryGuid
  • ms-FVE-RecoveryInformation
  • ms-FVE-RecoveryPassword
  • ms-FVE-VolumeGuid
[mai mult...]

Cum se setează mesajul Out Of Office Message in Outlook pentru un alt utilizator

Cerințe:

  • Drepturi de administrator pentru Exchange Online. Se vor ilustra pașii necesari folosind o organizație Exchange Online dintr-un tenant Microsoft 365. Aceleași comenzi se aplică și organizațiilor cu servere Exchange locale.
  • Acces la Consola de administrare Exchange pentru căsuțele poștale Exchange locale.
  • Asigurați-vă că aveți instalat modulul Exchange Online PowerShell V3 pe computerul dumneavoastră dacă lucrați cu căsuțe Exchange Online.

Metode de configurare a mesajului Out of Office pentru un alt utilizator

Puteți configura mesajul Out of Office al unui alt utilizator folosind clientul Outlook. Această metodă este cea mai potrivită dacă doriți să creați mesajul de absență folosind un editor vizual din cadrul clientului Outlook. Rețineți că metodele bazate pe Outlook necesită acces complet la căsuța ; dacă utilizați metoda PowerShell, nu veți avea nevoie de un astfel de acces, motiv pentru care aceasta este cea mai bună opțiune.

Acordarea permisiunii de acces complet la căsuță

Însă, mai întâi, trebuie să dețineți permisiunea de acces complet la cutia poștală înainte de a putea modifica configurarea mesajului de absență. Iată cum se procedează.

1. Deschideți Consola de administrare Exchange (On-Prem) sau conectați-vă la sesiunea PowerShell Exchange Online.

2. În PowerShell, executați această comandă pentru a vă acorda permisiunea de acces complet la căsuță:

Add-MailboxPermission `
-AccessRights FullAccess `
-Identity ‘MAILBOX’ `
-User ‘USER’ `
-AutoMapping:$false

Comanda acordă permisiunea „FullAccess” pentru căsuța specificată și nu o va adăuga automat la profilul dvs. Outlook.

Notă importantă. În cazul în care acordați permisiunea „FullAccess”, aceasta va face vizibil conținutul căsuței poștale; vă recomandăm să evitați acest lucru pe cât posibil. Vă recomandăm să utilizați metoda PowerShell, deoarece oferă un nivel mai ridicat de securitate.

Eliminarea permisiunii de acces complet

Permisiunea de acces complet la cutia poștală trebuie eliminată după ce v-ați îndeplinit sarcina. Menținerea permisiunii de acces complet pentru administrator pe termen nelimitat reprezintă o practică necorespunzătoare. Pentru a elimina permisiunea, executați această comandă în PowerShell.

Remove-MailboxPermission `
-AccessRights FullAccess `
-Identity «MAILBOX» `
-User «USER»

Notă. Nu uitați să înlocuiți MAILBOX și USER cu identificatorii reali ai căsuței poștale și ai utilizatorului atunci când executați comanda.

Configurarea mesajului de Out of Office folosind PowerShell

Fără a accesa căsuța din Outlook, puteți configura mesajul Out of Office al utilizatorului prin intermediul PowerShell. Această metodă presupune ca contul dvs. de administrator să dețină cel puțin permisiunile RBAC de gestionare a destinatarilor. Nu este necesar să aveți acces complet la căsuța.

În sesiunea dvs. de PowerShell Exchange, executați această comandă.

Set-MailboxAutoReplyConfiguration -Identity “MAILBOX” `
-AutoReplyState Scheduled `
-StartTime “04/19/2026 05:00:00” `
-EndTime “04/25/2026 05:00:00” `
-InternalMessage “<html><body><p>Sunt in vacanta pana pe 25 Aprilie.</p></body></html>” `
-ExternalMessage “<html><body><p>Sunt in vacanta pana pe 25 Aprilie.</p></body></html>” `
-ExternalAudience Known

Iată ce face fiecare parte a codului:

Set-MailboxAutoReplyConfiguration: Acest cmdlet configurează răspunsul automat pentru o căsuță.
Identity „MAILBOX”: Aceasta specifică numele căsuței pentru care se configurează răspunsul automat.
AutoReplyState Scheduled: Aceasta specifică faptul că răspunsul automat va fi trimis într-un interval de timp programat.
StartTime „04/19/2026 05:00:00”: Aceasta specifică ora de începere a perioadei de răspuns automat.
EndTime „04/25/2026 05:00:00”: Aceasta specifică ora de încheiere a perioadei de răspuns automat.
InternalMessage „<html><body><p>Bună ziua,</p><p>Sunt în vacanță. Vă rog să nu mă deranjați.</p><br/><p>NumeleMeu</p></body></html>”: Aceasta specifică mesajul formatat în HTML care va fi trimis utilizatorilor interni. Mesajul include o formulă de salut, un mesaj și o semnătură.
ExternalMessage „<html><body><p>Bună ziua,</p><p>Sunt în vacanță. Vă rog să nu mă deranjați.</p><br/><p>NumeleMeu</p></body></html>”: Aceasta specifică mesajul formatat HTML care va fi trimis contactelor externe. Mesajul include o formulă de salut, un mesaj și o semnătură.
ExternalAudience Known: Aceasta specifică faptul că răspunsul automat va fi trimis numai tuturor contactelor externe cunoscute (adresele din lista de contacte a utilizatorului căsuței). Alte opțiuni valide sunt:

  • None — dezactivează răspunsurile automate externe.
  • All — activează răspunsurile automate externe către toate adresele.

Dacă comanda se execută cu succes, nu va apărea niciun mesaj pe ecran.

În cele din urmă, să verificăm dacă mesajul de absență este configurat, executând această comandă.

Get-MailboxAutoReplyConfiguration -Identity “NumeleMeu” | `
Format-List AutoReplyState, StartTime, Endtime, `
ExternalAudience, InternalMessage, ExternalMessage

Adăugarea unui mesaj Out of Office la căsuța a altui utilizator se poate realiza în câteva moduri. În calitate de administrator, puteți obține permisiuni complete pentru căsuța respectivă și o puteți deschide în Outlook pentru desktop sau în Outlook pe web. De acolo, puteți edita configurația răspunsurilor automate folosind un editor grafic.

Dacă adăugarea permisiunilor complete pentru căsuța nu este posibilă (sau permisă), puteți realiza aceeași sarcină folosind Set-MailboxAutoReplyConfiguration în PowerShell. Această metodă este mai rapidă și necesită mai puțini pași pentru a fi finalizată. De asemenea, nu expune inutil conținutul căsuței poștale oricui ar accesa-o.

[mai mult...]

Cum se remediază eroarea:„Remote Desktop can’t find the Computer” în Windows

Când o conexiune RDP eșuează, este posibil să primiți mesajul de eroare: „Remote Desktop Can’t Find the Computer”. Problema apare după ce specificați numele de gazdă RDP (RDS) la distanță în clientul încorporat Remote Desktop Connection (RDC) (mstsc.exe) și încercați să vă conectați.

Remote Desktop nu poate găsi computerul RDPHostName. Acest lucru ar putea însemna că RDPHostName nu aparține rețelei specificate. Verificați prima dată numele computerului și domeniul la care încercați să vă conectați.

Soluții rapide pentru situația în care „Remote Desktop” nu găsește computerul

1. În primul rând, asigurați-vă că numele de gazdă este corect. Încercați să vă conectați folosind adresa IP.
2. Verificați rezolvarea DNS:

nslookup hostname

Dacă comanda nslookup returnează eroarea „DNS request timed out”, înseamnă că serverul DNS nu este accesibil (este offline sau blocat de firewall) sau că în setările conexiunii de rețea este specificat un server DNS incorect.

5. Testați portul RDP:

Test-NetConnection nume gazdă -Port 3389

Dacă primiți TcpTestSucceeded: False, înseamnă că portul este blocat sau că RDP este dezactivat.
4. Verificați dacă Remote Desktop este activat pe gazda țintă (target host).

[mai mult...]

Process Monitor (ProcMon) pentru monitorizarea modificărilor aduse fișierelor și registrului

Instrumentul Process Monitor (ProcMon) este utilizat pentru a monitoriza activitatea diverselor procese din sistemul de operare Windows. Acest utilitar vă permite să vizualizați în timp real modul în care procesele accesează fișierele de pe disc, cheile de registru, activitatea de rețea etc.

Ce poți face cu ProcMon?

Urmăriți evenimentele de pornire și oprire ale proceselor și firelor de execuție, inclusiv informații despre codul de ieșire (utilitarul capturează evenimentul Process Exit, care furnizează starea de ieșire);
Colectați date despre parametrii operațiunilor de intrare și ieșire. Este important de reținut că acest instrument nu numai că afișează acești parametri, ci și rezultatul (de exemplu, SUCCESS, NAME NOT FOUND, ACCESS DENIED);
Setați filtre pentru a afișa numai informațiile necesare. De exemplu, despre acțiunile unui proces specific, accesul la un anumit fișier sau la o cheie de registru;
Înregistrați toate operațiunile din timpul pornirii sistemului (procesele de pornire, serviciile, încărcarea driverelor). Acest lucru este util pentru diagnosticarea pornirii lente a Windows.

Instalare ProcMon

ProcMon nu este un utilitar de sistem integrat, așa că trebuie să îl descărcați manual de pe site-ul Microsoft. Process Monitor nu necesită instalare. Dezarhivați fișierul și rulați fișierul executabil procmon.exe (procmon64.exe sau Procmon64a.exe pentru arhitectura ARM64) ca administrator.

Când porniți Process Monitor pentru prima dată, pe ecran apare un acord de licență (EULA) care necesită confirmarea utilizatorului (totuși, atunci când automatizați sau creați scripturi, utilizatorii pot ocoli fereastra EULA folosind comanda /AcceptEula).

La pornire, ProcMon instalează un driver de sistem special, PROCMON24.SYS. Acesta interceptează apelurile către funcțiile de sistem legate de operațiunile sistemului de fișiere, accesul la registru, ciclul de viață al proceselor și al firelor de execuție, precum și conectivitatea la rețea (TCP/UDP).

Instalare ProcMon folosind winget

1. Deschideți PowerShell sau Command Prompt ca administrator.
2. Executați următoarea comandă:

winget install Microsoft.Sysinternals.ProcessMonitor

3. Odată ce procesul se finalizează, puteți lansa instrumentul tastând „procmon” în terminal sau accesând meniul Start.

[mai mult...]

Cheile de acces Microsoft Entra de pe Windows acceptă acum autentificarea rezistentă la phishing

Cheile de acces pe Windows tocmai au beneficiat de o îmbunătățire semnificativă. Microsoft lansează suportul pentru cheile de acces Microsoft Entra pe Windows, permițând utilizatorilor să creeze chei de acces asociate dispozitivului, stocate în containerul Windows Hello, și să se autentifice folosind metodele Windows Hello, precum recunoașterea facială, amprenta digitală sau codul PIN.

Ceea ce face această actualizare deosebit de interesantă este domeniul de aplicare. Aceasta nu se limitează la dispozitivele conectate la Entra sau înregistrate. Utilizatorii de pe PC-uri Windows personale, partajate și neadministrate vor putea, de asemenea, să utilizeze cheile de acces pentru a se conecta la resursele protejate de Entra.

Ce sunt cheile de acces Microsoft Entra pe Windows

Recent, Microsoft a adăugat deja suport pentru cheile de acces sincronizate prin intermediul unor furnizori precum Apple iCloud Keychain sau Google Password Manager, pe lângă cheile de acces obișnuite, acceptate de mai mult timp, cum ar fi cheile de securitate FIDO2.

Această nouă funcție abordează problema dintr-o perspectivă diferită. În loc să se bazeze pe o cheie de securitate externă sau pe un furnizor terț de chei de acces, cheile de acces sunt acum stocate direct în containerul Windows Hello de pe dispozitiv. Autentificarea se realizează prin metodele Windows Hello pe care utilizatorul le-a configurat deja: recunoaștere facială, amprentă digitală sau cod PIN.

Aceste chei de acces sunt legate de dispozitiv și nu se sincronizează, astfel încât, dacă un utilizator se conectează de pe un alt PC cu Windows, va trebui să înregistreze o nouă cheie de acces și pe acel dispozitiv. Acesta este același model ca și în cazul unei chei de securitate hardware, dar integrat direct în Windows.

În ce fel diferă aceasta de Windows Hello for Business

Windows Hello for Business rămâne soluția recomandată pentru dispozitivele gestionate, înscrise în Entra sau înregistrate. Este perfect integrată cu gestionarea dispozitivelor și acceptă atât autentificarea pe dispozitiv, cât și autentificarea pentru resursele din cloud.

Cheile de acces Entra pe Windows sunt o completare a acesteia, nu un înlocuitor. Acestea sunt concepute special pentru scenarii în care Windows Hello for Business nu este utilizat, cum ar fi dispozitivele personale, PC-urile partajate sau mașinile neadministrate, unde utilizatorii au în continuare nevoie de acces rezistent la phishing la resursele protejate de Entra.

Un aspect de care trebuie să țineți cont: utilizatorii nu pot înregistra o cheie de acces pe Windows dacă există deja o acreditare Windows Hello for Business pentru același cont și container. Așadar, pe dispozitivele dvs. complet gestionate și conectate la Entra, Windows Hello for Business va continua să aibă prioritate.

Când va avea loc lansarea

Lansarea se desfășoară în două etape: versiune preliminară publică și disponibilitate generală:

  • Versiune preliminară publică: Mijlocul lunii Martie – sfârșitul lunii Aprilie 2026
  • Disponibilitate generală:   Mijlocul lunii Martie – mijlocul lunii Aprilie 2026 Mijlocul lunii Aprilie – mijlocul lunii Mai 2026

Nu există niciun impact asupra vreunei organizații, cu excepția cazului în care se face înscrierea. Așadar, dacă nu se doreste testarea acestei noi functii, nu trebuie facut nimic.

[mai mult...]