Cheile de acces Microsoft Entra de pe Windows acceptă acum autentificarea rezistentă la phishing

Configurare noua (How To)

Situatie

Cheile de acces pe Windows tocmai au beneficiat de o îmbunătățire semnificativă. Microsoft lansează suportul pentru cheile de acces Microsoft Entra pe Windows, permițând utilizatorilor să creeze chei de acces asociate dispozitivului, stocate în containerul Windows Hello, și să se autentifice folosind metodele Windows Hello, precum recunoașterea facială, amprenta digitală sau codul PIN.

Ceea ce face această actualizare deosebit de interesantă este domeniul de aplicare. Aceasta nu se limitează la dispozitivele conectate la Entra sau înregistrate. Utilizatorii de pe PC-uri Windows personale, partajate și neadministrate vor putea, de asemenea, să utilizeze cheile de acces pentru a se conecta la resursele protejate de Entra.

Ce sunt cheile de acces Microsoft Entra pe Windows

Recent, Microsoft a adăugat deja suport pentru cheile de acces sincronizate prin intermediul unor furnizori precum Apple iCloud Keychain sau Google Password Manager, pe lângă cheile de acces obișnuite, acceptate de mai mult timp, cum ar fi cheile de securitate FIDO2.

Această nouă funcție abordează problema dintr-o perspectivă diferită. În loc să se bazeze pe o cheie de securitate externă sau pe un furnizor terț de chei de acces, cheile de acces sunt acum stocate direct în containerul Windows Hello de pe dispozitiv. Autentificarea se realizează prin metodele Windows Hello pe care utilizatorul le-a configurat deja: recunoaștere facială, amprentă digitală sau cod PIN.

Aceste chei de acces sunt legate de dispozitiv și nu se sincronizează, astfel încât, dacă un utilizator se conectează de pe un alt PC cu Windows, va trebui să înregistreze o nouă cheie de acces și pe acel dispozitiv. Acesta este același model ca și în cazul unei chei de securitate hardware, dar integrat direct în Windows.

În ce fel diferă aceasta de Windows Hello for Business

Windows Hello for Business rămâne soluția recomandată pentru dispozitivele gestionate, înscrise în Entra sau înregistrate. Este perfect integrată cu gestionarea dispozitivelor și acceptă atât autentificarea pe dispozitiv, cât și autentificarea pentru resursele din cloud.

Cheile de acces Entra pe Windows sunt o completare a acesteia, nu un înlocuitor. Acestea sunt concepute special pentru scenarii în care Windows Hello for Business nu este utilizat, cum ar fi dispozitivele personale, PC-urile partajate sau mașinile neadministrate, unde utilizatorii au în continuare nevoie de acces rezistent la phishing la resursele protejate de Entra.

Un aspect de care trebuie să țineți cont: utilizatorii nu pot înregistra o cheie de acces pe Windows dacă există deja o acreditare Windows Hello for Business pentru același cont și container. Așadar, pe dispozitivele dvs. complet gestionate și conectate la Entra, Windows Hello for Business va continua să aibă prioritate.

Când va avea loc lansarea

Lansarea se desfășoară în două etape: versiune preliminară publică și disponibilitate generală:

  • Versiune preliminară publică: Mijlocul lunii Martie – sfârșitul lunii Aprilie 2026
  • Disponibilitate generală:   Mijlocul lunii Martie – mijlocul lunii Aprilie 2026 Mijlocul lunii Aprilie – mijlocul lunii Mai 2026

Nu există niciun impact asupra vreunei organizații, cu excepția cazului în care se face înscrierea. Așadar, dacă nu se doreste testarea acestei noi functii, nu trebuie facut nimic.

Solutie

Cum se activează codurile de acces Entra pe Windows

Înainte de a putea activa codurile de acces Entra pe Windows, trebuie mai întâi să vă înscrieți la versiunea de previzualizare publică a profilurilor de coduri de acces, dacă nu ați făcut-o deja. După ce v-ați înscris, urmați pașii de mai jos pentru a configura în mod specific codurile de acces Windows Hello.

Pasul 1: Activați metoda de autentificare „Passkeys (FIDO2)”

Dacă nu ați utilizat încă deloc cheile de acces, trebuie mai întâi să activați această opțiune în secțiunea „Metode de autentificare”:

  • Deschideți Centrul de administrare Microsoft Entra;
  • Desfășurați secțiunea „Entra ID” și deschideți „Authentication Methods”;
  • Apăsati pe „Passkeys (FIDO2)” și asigurați-vă că este activată.

Pasul 2: Creați un profil de parolă pentru Windows Hello

În continuare, trebuie să creați un profil de parolă pentru Windows Hello. Este important de reținut că, pentru parolele sincronizate, trebuie dezactivată aplicarea atestării, dar în timpul perioadei de previzualizare publică trebuie, de asemenea, să adăugați în mod explicit codurile AAGUID ale Windows Hello pe lista de permisiuni

1. Accesați secțiunea „Passkeys (FIDO2)” și deschideți tab-ul „Configure”
2. Click pe „Add profile”
3. Denumiți profilul, de exemplu „Windows Hello Passkeys”
4. Setați opțiunea „Attestation enformecement” la „Disabled”
5. Activați opțiunea „Target Specific AAGUIDs”
6. Setați opțiunea „Behavior” la „Allow”
7. În secțiunea „Allowed AAGUIDs”, adăugați următoarele:

Authenticator                                                          AAGUID
Windows Hello Hardware Authenticator                  08987058-cadc-4b81-b6e1-30de50dcbe96
Windows Hello VBS Hardware Authenticator          9ddd1817-af5a-4672-a2b9-3e3dd95000a9
Windows Hello Software Authenticator                    6028b017-b1d4-4c02-b4b3-afcdafc96bb2

Nota Bene: În timpul perioadei de previzualizare publică, trebuie să adăugați în mod explicit aceste AAGUID-uri. Această cerință se poate modifica atunci când funcționalitatea va fi disponibilă pentru publicul larg.

Pasul 3: Alocați profilul unui grup

După ce ați salvat profilul, alocați-l unui grup pentru a putea testa noua funcție:

  • În secțiunea de prezentare generală a codurilor de acces (FIDO2), click pe „Add target”
  • Selectați grupul pilot
  • Alocați noul profil de cod de acces Windows Hello(Windows Hello passkey profile)

Pasul 4: Verificați politicile privind accesul condiționat și nivelul de securitate al autentificării

Vestea bună este că politicile existente privind accesul condiționat și nivelul de securitate al autentificării rămân valabile fără modificări. Autentificarea cu parolă pe Windows va îndeplini aceleași cerințe de securitate împotriva atacurilor de tip phishing ca și alte tipuri de parole.

Cu toate acestea, este recomandat să verificați acest aspect în mediul de testare înainte de a implementa schimbările pentru utilizatorii din mediul de producție, mai ales dacă aveți politici stricte privind nivelul de securitate al autentificării, legate de anumite tipuri de autentificatori.

Suport pentru mai multe conturi

Este bine de știut că utilizatorii se pot conecta la mai multe conturi Entra pe același dispozitiv Windows. Fiecare cont își înregistrează propria parolă în mod independent, astfel încât nu există conflicte între conturi.

Această funcție este utilă pentru utilizatorii care lucrează cu mai mulți clienți sau care au atât un cont Entra personal, cât și unul de serviciu pe același computer.

Concluzii

Cheile de acces Entra pe Windows acoperă o lacună reală. Windows Hello for Business a fost întotdeauna soluția potrivită pentru dispozitivele gestionate, dar a existat mereu un grup de utilizatori care foloseau computere personale sau partajate și care erau nevoiți să se mulțumească cu opțiuni de autentificare mai puțin sigure. Acum, situația se schimbă.

Dacă testați deja profilurile de chei de acces sau cheile de acces sincronizate, adăugarea cheilor de acces Windows Hello la programul pilot este următorul pas firesc. Calendarul de disponibilitate generală oferă câteva săptămâni pentru a configura un program pilot înainte ca acesta să ajungă la utilizatori la scară largă.

 

Tip solutie

Permanent

Voteaza

Up Down
(4 din 5 persoane apreciaza acest articol)
Share
Tweet
Share

Despre Autor

Leave A Comment?