CZ 
 
www.SAMURAJ-cz.com 
06.12.2025 Mikuláš VÍTEJTE V MÉM SVĚTĚ
 
 
Petr Bouška
SAMURAJ-cz.com
IT Manager OKsystem
Veeam Vanguard
View profile
An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
FIDO passkeys part 4 - using passkeys in Microsoft Authenticator

FIDO passkeys část 4 - použití přístupových klíčů v Microsoft Authenticator

| Petr Bouška - Samuraj |
Od začátku roku 2025 jsou přístupové klíče (passkeys) v Microsoft Entra ID obecně dostupné (generally available). V současnosti je možné používat Device-bound passkeys uložené na FIDO2 bezpečnostním klíči (security key) nebo v aplikaci Microsoft Authenticator (moc se neuvádí Windows Hello). V článku si ukážeme, jak mohou uživatelé přístupové klíče vytvořit a používat v aplikaci Microsoft Authenticator. Passkeys představují moderní a bezpečnější náhradu za tradiční hesla. Umožňují přihlášení bez zadávání hesla s využitím vícefaktorového ověření. Pracují s asymetrickým párem kryptografických klíčů.
zobrazeno: 7 466x (2 147 CZ, 5 319 EN) | Komentáře [1]

Úvod

V předchozích dílech série jsme detailně popsali přístupové klíče (passkeys) v teoretické rovině. Věnovali se použití na platformě Windows a Android. Využití pro Google účet a u osobních Microsoft účtů. A také v rámci Microsoft Entra ID, jak fungovalo před rokem při uvedení Public Preview.

V dnešním článku se zaměříme na to, jak mohou uživatelé pracovat s passkeys v aplikaci Microsoft Authenticator ve spojení se svým firemním účtem v Microsoft Entra ID. Prakticky si ukážeme, jak celý proces funguje na platformě Windows a v mobilní aplikaci Authenticator pro Android.

Co jsou passkeys

  • náhrada hesel za bezpečnější ověření uživatele
  • zjistitelné FIDO2 přihlašovací údaje / pověření (discoverable FIDO2 (WebAuthn) credential)
  • vícefaktorové ověření bez hesla odolné proti phishingu (Phishing Resistant Passwordless Multi-Factor Authentication)
  • pro ověření uživatele se používá PIN nebo biometrie (nikdy neopouští zařízení), které slouží k přístupu k privátnímu klíči, který se použije pro digitální podpis dat (ta se odešlou službě a autentizují uživatele)

Použití passkeys v Microsoft Authenticator

Je třeba si uvědomit, že passkey uložené v aplikaci Microsoft Authenticator (na Android nebo iOS) je vázaný na dané zařízení (device bound). Můžeme jej použít pro přihlášení na tomto mobilním zařízení. Nebo, za určitých podmínek, na jiném zařízení v dosahu (Cross-Device Authentication, třeba notebook s Windows).

Je potřeba, aby spolu zařízení mohla komunikovat pomocí Bluetooth. To omezuje použití této metodu na většině pracovních stanic (které nebývají vybavené Bluetooth). Pro náš pracovní počítač s Windows může být jednodušší použít Windows Hello for Business, tedy passkey uložený lokálně na počítači.

Povolení autentizace pomocí passkey (FIDO2) v Entra ID

Pozn.: Pouze úvodní stručná informace je zaměřena na správce Entra ID.

Autentizační metoda Passkey (FIDO2) musí být povolena a nastavena, aby bylo možno využít přístupové klíče v Microsoft Authenticator. Název metody byl již změněn z původního FIDO2 security key. Aplikace Microsoft Authenticator na Android a iOS je již atestovaná, takže můžeme zapnout Enforce attestation. Není již potřeba použít Enforce key restrictions a uvést AAGUID pro Authenticator.

Zapnutí a nastavení Passkey (FIDO2)

  • Microsoft Entra admin center - Protection - Authentication methods - Policies
  • vybereme metodu Passkey (FIDO2)
  • povolíme (Enable) a vybereme buď všechny uživatele (All users) nebo pouze vybrané pomocí Security Groups (Select groups)
  • přepneme se na Configure
  • Allow self-service set up nastavíme Yes, aby uživatelé mohli registrovat passkeys
  • Enforce attestation nastavíme Yes
  • Enforce key restrictions nastavíme No (můžeme zapnout a vybrat třeba pouze Microsoft Authenticator nebo určité FIDO2 Security keys)
  • uložíme změny (Save)
Microsoft Entra admin center - Passkey (FIDO2)

Entra ID autentizace pomocí passkey (FIDO2) v Microsoft Authenticator

Požadavky

Podpora FIDO2 security key je ve Windows 10 od verze 1903 (v případě Microsoft Entra Joined). Pro Microsoft Entra Hybrid Joined potřebujeme minimálně Windows 10 2004. Přihlášení pomocí passkey v Microsoft Authenticator (FIDO Cross-Device Authentication) potřebuje Windows 11 23H2 (nebo podporu ve webovém prohlížeči).

Abychom se mohli přihlásit na počítači pomocí passkey v mobilním zařízení (Microsoft Authenticator), tak je potřeba povolené (funkční) Bluetooth na obou zařízeních. A aplikace Authenticator musí být nastavena jako další poskytovatel pro passkeys. To je podporováno až od verze Android 14 a iOS 17.

Nastavení aplikace Authenticator jako passkey poskytovatele

Abychom mohli v mobilním operačním systému používat aplikaci Microsoft Authenticator pro ověřování pomocí passkeys, je nejprve nutné ji nastavit jako passkey provider.

Nastavení pro Android

  • otevřeme nastavení (Settings app)
  • Passwords & Accounts
  • v části Additional providers povolíme Authenticator

Na mém telefonu Xiaomi 13HyperOS se tato položka v menu nenachází (a nejde ji ani vyhledat). Před rokem jsem dělal testy pouze na jiných telefonech. Asi před 2 měsíci přišla aktualizace aplikace Authenticator a zobrazila se v ní informace, že nemám nastavení aktivní. Tlačítko mi otevřelo to nastavení, které jsem v systému nenalezl.

Authenticator Android - passkey provider

Nastavení pro iOS

  • otevřeme nastavení (Settings app)
  • otevřeme Passwords a zvolíme Password Options
  • musí být zapnuté Autofill Passwords and Passkeys
  • v části Use Passwords and Passkeys From povolíme Authenticator

Registrace passkey v aplikaci Microsoft Authenticator

Pro registraci (vytvoření) passkey je mnoho možností, ale nejjednodušší metoda je vytvoření přímo na Android nebo iOS zařízení v aplikaci Microsoft Authenticator. Můžeme to provést, když přidáváme nový účet do Authenticatoru (popsali jsme v minulém díle) nebo přidat k již existujícímu účtu (popsáno níže).

  • Microsoft Authenticator
  • otevřeme náš účet a klikneme na Create a passkey
  • pro ověření se musíme přihlásit Sign in (použijeme některou z dostupných metod)
Authenticator Android - Create a passkey 1
  • pro vytvoření passkey použijeme zámek obrazovky (screen lock)
Authenticator Android - Create a passkey 2

Další možnosti registrace

  • na mobilním zařízení v prohlížeči na stránce My Security Info
  • registrace napříč zařízeními (Cross-device), tedy pomocí prohlížeče v počítači (My Security Info), který se přes Bluetooth spojí s mobilním zařízením, aby bylo možno použít tuto metodu, tak musí být vypnutá atestace, při přidání Passkey in Microsoft Authenticator zvolíme Having trouble

Správa autentizačních metod

Uživatelé si spravují autentizační metody přes web, v rámci svého účtu pod Security Info. Přístupový klíč v My Security Info je označen ikonou passkey a názvem Passkey (device bound) s uvedenou metodou Microsoft Authenticator. Jako zařízení je Authenticator: Default Profile Android device.

Microsoft Security Info - Passkey (device bound)

Přihlášení k pracovnímu účtu pomocí passkey v Authenticatoru

Pozn.: Zde jsou popsány aktuální informace k určitým situacím. Další možnosti, a některé větší detaily, se nachází v předchozích dílech série. Třeba ve FIDO passkeys část 2 - praktické použití přístupových klíčů na Windows a Android. Jde o starší článek, ale řada věcí stále platí.

Lokální passkey na Android zařízení

Přihlášení na Android zařízení pomocí lokálního přístupového klíče. Přesný průběh se liší podle zařízení a prohlížeče. Firefox, který mi při předchozích testech dobře fungoval, mi nyní možnost passkey vůbec nenabízí. Chrome funguje dobře.

  • zadáme svoji emailovou adresu (může být uložena a nabízet se) nebo klikneme na Sign-in options pro použití bez uživatelského jména
  • zvolíme možnost Face, fingerprint, PIN or security key
  • nabídne se dostupný passkey (pokud jich máme více, tak výběr), pokračujeme tlačítkem Continue
  • použijeme zámek obrazovky (otisk prstu, sken obličeje, PIN) pro přístup k passkey a dojde k přihlášení
Android Sign-in local passkey

Přihlášení na Windows zařízení pomocí externího passkey na Android zařízení

Jde o tak zvanou Cross-device authentication, kdy se přihlašujeme pomocí přístupového klíče uloženého na mobilním zařízení. Počítač i telefon (nebo třeba dva telefony) musí být vybaven Bluetooth a musí být možno navázat spojení. Není potřeba, aby byly vzájemně spárované, dočasné Bluetooth spojení se provede automaticky. Na Windows zařízení musí být Bluetooth aktivní (nesmí být zakázané nebo nesmíme být k počítači přihlášení přes RDP). Na Android zařízení může být Bluetooth vypnuté, ale budeme vyzváni k jeho zapnutí.

  • zadáme svoji emailovou adresu (může být uložena a nabízet se) nebo klikneme na Sign-in options pro použití bez uživatelského jména
  • zvolíme možnost Face, fingerprint, PIN or security key
Přihlášení pomocí passkey k Microsoft účtu bez zadání jména
  • zvolíme možnost iPhone, iPad, or Android device
  • zobrazí se (WebAuthn) QR kód
Windows - Sign-in passkey - iPhone, iPad, or Android device
  • na mobilním zařízení otevřeme Microsoft Authenticator (v některých případech můžeme použít přímo kameru telefonu či Google Lens)
  • v pravém dolním rohu klikneme na ikonu pro skenování QR kódu
  • zobrazí se informace, že se máme připojovat pouze k důvěryhodným zařízením, a možnost uložit spojení těchto zařízení (takže při dalším přihlašování není potřeba skenovat QR kód), klikneme na Connect devices
Authenticator Android - Scan QR Code
  • na počítači se objeví informace, že jsou zařízení propojena
Windows - Sign-in passkey - Device connected
  • nabídne se dostupný passkey (pokud jich máme více, tak výběr), pokračujeme tlačítkem Continue
  • použijeme zámek obrazovky (otisk prstu, sken obličeje, PIN) pro přístup k passkey a dojde k přihlášení
Android Sign-in passkey

Uložené propojení mezi zařízeními

Pokud jsme při předchozím přihlášení zatrhli zapamatování spojení, tak se ve Windows uložilo propojené zařízení. Nalezneme je v registrech HKEY_USERS\S-1-5-20\Software\Microsoft\Cryptography\FIDO\(Account SID)\LinkedDevices. Proces přihlášení je pak jednodušší.

  • zvolíme možnost Face, fingerprint, PIN or security key
  • zvolíme uložené mobilní zařízení (zde Xiaomi 13)
  • zobrazí se informace, že se do zařízení odeslala notifikace
Windows - Sign-in passkey - linked device
  • na telefonu vyskočí notifikace o připojení
Android Sign-in passkey - Connect devices
  • pokračujeme standardně Connect devices, výběr passkey, použití zámku obrazovky

Počítač bez Bluetooth

Pokud zkusíme přihlášení pomocí passkey na počítači, který není vybaven Bluetooth, tak se nám volba iPhone, iPad, or Android device nenabídne. Obecně se nabízí možnosti, které jsou na daném počítači dostupné. V příkladu níže je to FIDO2 Security key a Windows Hello (This Windows device).

Windows - Sign-in passkey - Security key, Windows Hello

Přihlášení ke vzdálené ploše (Remote Desktop) pomocí passkey

Když se připojujeme pomocí Remote Desktop Connection (mstsc.exe) na vzdálený počítač, který je Microsoft Entra Hybrid Joined nebo Microsoft Entra Joined, tak můžeme využít Entra ID autentizaci, včetně passkeys (FIDO2).

Adresu vzdáleného počítače musíme zadat jako DNS jméno (FQDN) a na záložce Advanced zatrhnout volbu Use a web account to sign in to the remote computer.

Remote Desktop Connection s FIDO2 - Use a web account to sign in

Více informací se nachází ve starším článku Remote Desktop - připojení ke vzdálené ploše.

Využití passkeys na vzdálené ploše (Remote Desktop)

Remote Desktop Connection podporuje přesměrování Web Authentication do vzdálené session. Díky tomu je možné při připojení ke vzdálenému počítači využít FIDO2 bezpečnostní klíč připojený k lokálnímu zařízení, Windows Hello nebo i externí passkey uložený na zařízení s Androidem, které se k lokálnímu počítači připojuje přes Bluetooth.

nastavení vzdáleného připojení na záložce Local Resources, Local devices and resource tlačítko More, musí být zatržené WebAuthn (Windows Hello or security keys).

Remote Desktop Connection přesměrování WebAuthn (passkey)
Autor:

Související články:

FIDO autentizace - FIDO Authentication

FIDO autentizace je založena na standardu FIDO2 (WebAuthn a CTAP2). Přináší bezpečnější možnost přihlášení k online službám. Patří mezi Passwordless MFA (vícefaktorové ověření bez hesla). Zároveň zvyšuje pohodlí uživatelů (podporuje použití biometrie). Jde například o Windows Hello for Business, FIDO2 security key a obecně passkeys (přístupové klíče).

Azure AD / Entra ID identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizace, přihlašování bez hesla, apod. Často jde o využití FIDO Authentication, třeba za pomoci FIDO2 security key nebo Windows Hello for Business.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře
  1. [1] Khalil ur Rehman

    Hi Petr Bouška,

    Thank you for this — it’s a masterpiece and an excellent article. It was extremely helpful in understanding and implementing passwordless authentication with the Microsoft Authenticator app.

    Středa, 15.10.2025 17:17 | odpovědět
Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách