Сценарії адміністратора IPI – Як увімкнути безпарольну автентифікацію FIDO2 з Microsoft Azure AD для використання з Windows 10
Last updated
Авторизуйтеся на порталі Azure https://portal.azure.com/.
Оберіть "Azure Active Directory" та перейдіть у розділ "Users":
Натисніть кнопку "New User", заповніть усі необхідні поля:
Натисніть кнопку "Create", користувача буде додано до списку і він буде готовий для входу:
Авторизуйтеся у обліковий запис Security Admin чи Global Admin на порталі Azure portal.azure.com та перейдіть у налаштування Azure Active Directory > User Settings > Manage user feature:
Оберіть опцію “Users can use the combined security information registration experience”, оберіть опцію “All” і натисніть кнопку“Save”.
Після збереження у правому верхньому кутку сторінки з'явиться сповіщення, яке означатиме, що усі налаштування були оновлені:
Перейдіть до Azure AD Authentication Methods на порталі Azure:
На порталі Azure перейдіть до розділу "Azure AD Authentication Methods" та оберіть метод "FIDO2 Security Key":
Встановіть перемикач “ENABLE” на значення “Yes” та натисніть кнопку “Save”:
Після збереження у правому верхньому кутку сторінки з'явиться сповіщення, яке означатиме, що налаштування політик були оновлені:
Ми також рекомендуємо увімкнути автентифікацію таким ж чином для нативного застосунку Microsoft Authenticator passwordless sign-in.
Інструкції від Microsoft можна знайти тут.
Перейдіть у розділ Accounts -> Access work or school в налаштуваннях Windows**.**
Натисніть кнопку “Connect”.
Натисніть "Join this device to Azure Active Directory"
Вам буде потрібно ввести ваш логін та пароль, які Ви отримаєте в AD. Також Ви маєте ввести новий пароль:
Після цього система покаже вам фінальне повідомлення:
Натисніть кнопку "Join":
Ваш новий обліковий запис можна знайти в налаштуваннях.
Тепер Ви можете використовувати його для входу в цей ПК з паролем.
Оберіть Other user, введіть Ваш логін та пароль.
Система може попросити Вас налаштувати двохфакторну автентифікацію. Задайте свій телефон як метод автентифікації, наприклад. Тепер задайте PIN для доступу до цього ПК.
Виконайте файл, який збереже у реєстрі можливість використання ключа FIDO:
Авторизуйтеся на порталі https://myprofile.microsoft.com/.
Перейдіть у розділ Security info та додайте ваш номер телефону для увімкнення двофакторної автентифікації.
Підключіть ваш IPI Key до Windows.
Додайте ключ безпеки на порталі. Натисніть кнопку "Add Method" та оберіть опцію "Security Key".
Ви можете обрати опцію USB або NFC пристрою, це не має значення.
Для завершення налаштування система може попросити Вас авторизуватися з доданим ключем FIDO:
Натисніть кнопку на ключі, коли з'явиться запит:
Введіть ім'я для нового ключа безпеки:
Налаштування завершено.
Ключ з'явиться у списку доступних методів автентифікації:
Тепер Ви можете використовувати сценарій розблокування ключем безпеки.
