Ve firemním prostředí můžeme zvýšit bezpečnost uživatelských účtů, a často také pohodlí uživatelů, když nasadíme Windows Hello for Business. Jde o vytvoření přihlašovacích údajů (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD). Tyto údaje jsou napevno svázány s určitým zařízením (počítačem) a nelze je použít jinde (vzdáleně). Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. Tento článek stručně popisuje technologii a uvádí argumenty o zvýšení bezpečnosti.

Windows Hello vytvoří přihlašovací údaje (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD), které jsou napevno svázány s určitým zařízením. Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. V článku si popíšeme možný způsob nasazení Windows Hello for Business v hybridním firemním prostředí. Jde o nejnovější a velmi jednoduchou metodu nasazení zvanou Cloud Kerberos Trust.

Windows Hello vytvoří přihlašovací údaje (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD), které jsou napevno svázány s určitým zařízením. Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. V tomto článku si popíšeme průběh registrace (Provisioning) Windows Hello na zařízení. Může probíhat při prvním přihlášení po zapnutí nebo přes nastavení Windows. Zmíníme přihlašování a reset PINu.

Podíváme se na Microsoft podporu pro přihlašování (autentizaci) pomocí FIDO2 security key (ve firemním prostředí). V rámci Azure AD je podporováno ověření pomocí FIDO2 bezpečnostního klíče. V hybridním prostředí, můžeme využít také pro přihlášení do Windows a lokálního Active Directory. FIDO2 se řadí mezi bezpečné vícefaktorové ověření bez hesla, navíc odolné proti phishingu, a můžeme tak výrazně zvýšit bezpečnost uživatelských účtů. Přihlašování klíčem může být také pohodlnější.

Uživatelská FIDO autentizace s přístupovými klíči (passkeys). Přístupové klíče jsou výrazně bezpečnější možnost, jak se přihlásit k nějaké službě, než použití hesla. Využívá se soukromý (vlastní uživatel) a veřejný (uložen u služby) klíč. Passkeys jsou FIDO credentials podle standardu FIDO2. V článku se podíváme jak passkeys fungují, jaké jsou jejich vlastnosti a jak souvisí s FIDO2 security key.

Podíváme se na praktické možnosti vytváření a používání přístupových klíčů pro přihlášení k online službám na platformách Microsoft Windows a Google Android, včetně Cross-Device Authentication (ověření mezi zařízeními). Tedy využití interního autentizátoru (a lokálních passkeys) nebo externího autentizátoru (a passkeys na jiném zařízení), včetně FIDO2 bezpečnostního klíče. Vyzkoušíme různé webové prohlížeče. Testy budeme provádět na Google účtu, pro který vytvoříme passkey na různých zařízeních.

Microsoft v současné chvíli přidává (možná lépe řečeno rozšiřuje) podporu pro přístupové klíče na svých účtech, jak pro osobní Microsoft účty, tak pracovní nebo školní účty v Entra ID. Podíváme se na možnosti pro osobní účty, kde je použití volnější. Více se budeme věnovat firemním účtům, které vyžadují přístupové klíče vázané na zařízení. Navíc na mobilních zařízeních Android (od verze 14) a iOS (od verze 17) se zatím mohou nacházet pouze v aplikaci Microsoft Authenticator.