CZ 
 
www.SAMURAJ-cz.com 
15.04.2026 Anastázie VÍTEJTE V MÉM SVĚTĚ
 
 
Petr Bouška
SAMURAJ-cz.com
IT Manager OKsystem
Veeam Vanguard
View profile
An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
FIDO passkeys part 6 - registering Entra passkeys in Windows Hello

FIDO passkeys část 6 - registrace Entra přístupových klíčů do Windows Hello

Upraveno 05.04.2026 11:55 | vytvořeno | Petr Bouška - Samuraj |
Máme tu další novinku pro použití přístupových klíčů pro autentizaci uživatelů v rámci Microsoft Entra ID. Jedná se o nový způsob registrace (přidání) passkeys na Windows počítač do Windows Hello. Funkční je jak pro spravovaná zařízení (připojené či registrované do Entra ID), tak nespravovaná zařízení. Zatím jde o Public preview, ale snad bude brzy GA.
zobrazeno: 1 060x (390 CZ, 670 EN) | Komentáře [0]

Windows Hello a passkeys

Na úvod malý pokus o srovnání základních termínů.

Windows Hello vs. Windows Hello for Business

Když jsem popisoval Windows Hello, tak jsem hledal, jaký je rozdíl v Business verzi. Žádné přehledné srovnání jsem nenalezl. Často mluvíme prostě o Windows Hello a základní vlastnosti jsou shodné. Jde o MFA, používá se PIN nebo biometrie, můžeme použít pouze lokálně na počítači (ne vzdáleně).

Windows Hello je určené pro domácí uživatele. PIN nebo biometrie slouží k pohodlnému přihlášení a získáme pomocí nich heslo uložené v lokálním trezoru. Používáme jej typicky pro lokální účet, ale může jít také o (cloudový) osobní účet Microsoft.

Windows Hello for Business je určeno pro firmy. Konfiguruje se centrálně pomocí politik. Je svázáno s pracovním účtem (Identitiy Provider jako Active Directory nebo Entra ID). Počítač musí být Entra joined nebo Entra hybrid joined. Pro vlastní autentizaci se využívá asymetrická kryptografie, měl by se využít Trusted Platform Module (TPM).

Windows Hello obecně slouží pro přihlášení do počítače. Ale pokud je svázáno s účtem u Identitiy Provider (firemní či cloudový účet), tak jej můžeme použít také pro (FIDO2/WebAuthn) přihlášení přes prohlížeč (na webu).

Passkeys vs. Windows Hello

Nikde se tato otázka příliš nerozebírá, ale když jsem studoval passkeys, tak jsem narazil na následující informaci. Windows Hello bylo vyvinuto v souladu s FIDO2 standardy a od Windows 10 1903 je oficiálně certifikované FIDO Aliancí. Tedy Windows Hello i passkeys představují FIDO2 autentizaci.

Windows Hello je platformní autentizátor, klíče jsou svázány se zařízením. Umožňuje přihlášení do Windows. Passkeys vznikly primárně pro přihlašování na webu, mohou být synchronizované.  

Microsoft v lednu 2024 změnil přihlašovací dialogy při přihlášení cloudovým (pracovním) účtem.

  • dříve zde byla varianta Sign in with Windows Hello or a security key
  • nyní se jmenuje Face, Fingerprint, PIN or security key s dodatečným textem Use your device to sign in with passkey

Terrmín passkey se používá všude. Když se například přihlašujeme pomocí Windows Hello, tak se dialog jmenuje Sign in with a passkey.

Microsoft sign in with passkey dialog

V rámci Entra ID máme stále u uživatelů autentizační metodu Windows Hello for Business. Pokud přidáme passkey do Windows Hello způsobem, který popisuje tento článek, tak je metoda označena jako Passkey.

Entra ID - User - Authentication methods (Windows Hello)

Využití passkeys v Entra ID

Přístupové klíče můžeme použít pro přihlášení na řadě míst. Detailně záleží na typu a splněných podmínkách.

  • lokální přihlášení do zařízení (Windows)
  • přihlášení k aplikaci či službě na webu (přes podporovaný prohlížeč)
  • přihlášení ke vzdálené ploše (RDP) firemního počítače (volba Use a web account to sign in to the remote computer)
  • přihlášení v rámci vzdálení plochy (přesměrování lokálního zařízení WebAuthn (Windows Hello or security keys))

Passkeys ve Windows Hello

Microsoft zavádí Microsoft Entra passkeys on Windows, aby umožnil přihlášení odolné proti phishingu ke zdrojům chráněným pomocí Entra. Public preview probíhá od konce března do května 2026. Zapojit se můžeme dobrovolně konfigurací passkey politiky.

Hlavní vlastnosti

Když tuto možnost povolíme, tak mohou uživatelé standardně u svého účtu v Security Info přidat nový passkey. Ten se uloží do Windows Hello kontejneru jejich počítače (This Windows device).

  • Windows Hello musí být aktivní (nastavený PIN).
  • Jedná se o device-bound passkey, které nemůžeme synchronizovat.
  • Můžeme využít jak Windows Hello for Business, tak Windows Hello pro zařízení, která nejsou Entra joined nebo registered.
  • Uživatel může mít více Entra účtů na stejném Windows zařízení.
  • Pro firemní zařízení je stále doporučeno využití Windows Hello for Business.
  • Uživatelé nemohou registrovat passkey do Windows, pokud pro stejný účet a kontejner existují přihlašovací údaje Windows Hello for Business.

V principu je to stejné, jako možnost vytvořit passkey uložený ve Windows Hello pro osobní účet Microsoft nebo Google účet, která je zde již delší dobu (popisovali jsme v předchozích dílech).

Povolení registrace passkey do Windows Hello

Podobně, jako tomu bylo u Microsoft Authenticator během Preview, tak zatím musíme explicitně povolit AAGUID pro Windows Hello. Jde o tři autentizátory:

  • 08987058-cadc-4b81-b6e1-30de50dcbe96 Windows Hello Hardware Authenticator
  • 9ddd1817-af5a-4672-a2b9-3e3dd95000a9 Windows Hello VBS Hardware Authenticator
  • 6028b017-b1d4-4c02-b4b3-afcdafc96bb2 Windows Hello Software Authenticator

Pozn.: Authenticator Attestation Global Unique Identifier (AAGUID) je unikátní identifikátor typu autentizátoru. Určitý produkt (výrobce a model) se stejnými vlastnostmi sdílí společné AAGUID.

Díky passkey profilům, které jsme si popsali minule, se nám konfigurace dost zjednodušuje (oproti povolení MS Authenticatoru popsanému ve třetí části série, kdy jsme museli přidat všechny používané AAGUID).

  • Microsoft Entra admin center - Entra ID - Authentication methods - Policies
  • vybereme metodu Passkey (FIDO2) se přepneme na Configure
  • přidáme nový profil pomocí Add profile
  • Name pojmenujeme profil, třeba Windows Hello
  • Enforce attestation musíme vypnout (zrušit zatržení)
  • Passkey types vybereme Device-bound
  • Target specific AAGUIDs zapneme (zatrhneme) pro určení modelů Security key a/nebo poskytovatelů passkey
  • Behavior zvolíme Allow
  • Model/Provider AAGUIDs zadáme výše uvedené 3 AAGUID, po uložení se změní na název (nově se přímo nabízí položka Windows Hello (preview))
  • uložíme pomocí tlačítka Save
Entra ID - Authentication methods - Add passkey profile (Windows Hello
Entra ID - Add passkey profile - Add AAGUID

Následně musíme profil přiřadit buď vybrané skupině uživatelů nebo všem.

  • přepneme se na Enable and Target
  • upravíme existující nebo přidáme novou skupinu Add target
  • pod Passkey profiles zatrhneme nově vytvořený profil
  • uložíme tlačítkem Save
Entra ID - Authentication methods - Assign passkey profile

Práce s passkeys ve Windows Hello z pohledu uživatele

Nastavení Windows Hello

Abychom mohli vytvořit passkey ve Windows Hello (na Windows zařízení), tak musí být Windows Hello nastavené (aktivní). To znamená minimálně nastavený PIN.

  • Settings - Accounts - Passkeys

Pokud se podíváme do nastavení na passkeys, tak zde vidíme informaci o nutnosti nastavení Windows Hello PIN.

Windows Settings - Passkeys - set up Windows Hello PIN
  • Settings - Accounts - Sign-in options

V nastavení způsobů přihlášení můžeme vybrat jednu ze tří možností přihlášení pomocí Windows Hello. Pod PIN zvolíme Set up a projdeme průvodce.

Windows Settings - Accounts - Sign-in options - Windows Hello

Vytvoření passkey na nespravovaném Windows zařízení

Standardně si uživatelé spravují autentizační metody v rámci svého účtu My Account pod Security Info. Kde je možnost přidat (registrovat) novou přihlašovací metodu. V této kapitole použijeme soukromý (nespravovaný) počítač s Windows 11.

  • otevřeme stránku Security Info a přihlásíme se (musíme být ověřeni naposledy v předchozích 5 minutách)
  • klikneme na Add sign-in method
  • zvolíme Passkey
  • zobrazí se informace o vytváření passkey, máme možnost zvolit vytvoření na jiném zařízení, pokračujeme Next
Google Password Manager Windows - Add Entra ID passekey 1
  • otevře se dialog Windows Security, kde se zobrazí informace o passkey a že bude uložen na našem Windows zařízení (pouze pokud máme Windows Hello aktivní, místo uložení můžeme změnit), pokračujeme Continue
  • musíme se ověřit k Windows Hello (PIN nebo biometrie)
Windows Security - Save your passkey - Windows (Hello) device
  • zpět na stránce Security Info zadáme jméno pro passkey a dojde k jeho vytvoření
Microsoft Security Info - Passkey created (Windows Hello)

Nový passkey uvidíme jako Passkey (Device bound) Windows Hello. Standardní Windows Hello for Business zde uživatel nevidí.

Vytvoření passkey na spravovaném Windows zařízení

Pokud je naše zařízení Microsoft Entra joined, Entra hybrid joined nebo pouze Entra registered, a máme v organizaci povolené (nastavené) Windows Hello for Business, tak se při nastavení Windows Hello vytvoří klíče pro náš Entra účet. Uvádí se, že díky politice je vyžadováno nastavení Windows Hello spolu s pracovním účtem (work or school account).

V případě, že Windows Hello nastavené nemáme, se při pokusu přidat přihlašovací metodu passkey na stránce Security Info vůbec nenabídne tento počítač (This Windows device) pro uložení.

Když nastavíme Windows Hello a podíváme se do Settings - Accounts - Passkeys, tak zde uvidíme passkey pro login.microsoft.com. V administraci Entra ID uvidíme u uživatele autentizační metodu Windows Hello for Business.

Windows Settings - Accounts - Passkeys list

Pokud nyní zkusíme registrovat passkey na toto Windows zařízení, tak dostaneme chybovou zprávu, že toto zařízení je již registrované.

Windows Hello passkey already registered

V nastavení Windows nejde smazat passkey, který patří k Windows Hello (museli bychom v příkazové řádce smazat celý Windows Hello kontejner). Zobrazí se informace, že je potřebný pro přihlášení.

Windows Settings - Accounts - Passkey can't be deleted

Metodu Windows Hello for Business můžeme smazat u uživatelského účtu v administraci Entra ID. Pak je možné v Security Info vytvořit passkey. Průběh je úplně stejný jako pro nespravované zařízení. Ve Windows v nastavení Accounts - Passkeys uvidíme dva úplně stejně označené passkey. Ale tento nový je možno smazat.

Windows Settings - Accounts - Passkeys list 2

Logy z přihlášení a registrace

Pouze stručná zmínka některých míst, kde můžeme nalézt informace o průběhu přihlášení nebo registrace.

Přihlašovací logy v Entra ID

  • Microsoft Entra admin center - Entra ID - Users - Sign-in logs (nebo All Users - uživatel - Sign-in logs)

V detailu přihlášení vidíme použitou autentizační metodu. Zde přihlášení pomocí passkey uloženého ve Windows Hello.

Entra ID Sign-in logs - Authentication Details (Windows Hello)

Logy na klientovi ve Windows

Ve Windows Event Viewer nalezneme mnoho logů. Údaje o Provisioning procesu (registraci) Windows Hello for Business a kontrole předpokladů jsou:

Applications and Services Logs - Microsoft - Windows - User Device Registration - Admin

Pro registraci passkey do Windows Hello může být zajímavější log:

Applications and Services Logs - Microsoft - Windows - HelloForBusiness - Operational

Je pojmenován jako Windows Hello for Business, ale i na nespravovaném zařízení se zde logují informace. Zajímavé mohou být události 5225 Key Creation a 8226 Key Deletion.

Moje první pokusy registrace passkey končily chybou Passkey not registered. Bylo vidět, že hardware klíč se vytvořil, ale selhalo vytvoření v Entra ID. Možná chvíli trvalo, než se uplatnila politika, protože po krátké době již registrace prošla.

Passkey not registered

Logy registrace passkey v Entra ID

  • Microsoft Entra admin center - Entra ID - Users - Audit logs (nebo All Users - uživatel - Audit logs)

Zde nalezneme různé informace o registraci (mazání a dalších událostech) autentizačních metod. Bohužel ve chvíli, kdy se mi nepovedlo vytvořit passkey, se nezalogovala žádná chyba. Byla zde pouze akce User started security info registration a nenásledovala informace o úspěšné registraci.

Zajímat nás mohou určité položky v poli Service

  • Authentication Methods
  • Device Registration Service
  • Azure MFA

Nebo detailnější Activity

  • Get passkey creation options
  • Add Passkey (device-bound)
  • User registered security info
  • Add passwordless phone sign-in credential
  • User started security info registration
Autor:

Související články:

FIDO autentizace - FIDO Authentication

FIDO autentizace je založena na standardu FIDO2 (WebAuthn a CTAP2). Přináší bezpečnější možnost přihlášení k online službám. Patří mezi Passwordless MFA (vícefaktorové ověření bez hesla). Zároveň zvyšuje pohodlí uživatelů (podporuje použití biometrie). Jde například o Windows Hello for Business, FIDO2 security key a obecně passkeys (přístupové klíče).

Azure AD / Entra ID identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizace, přihlašování bez hesla, apod. Často jde o využití FIDO Authentication, třeba za pomoci FIDO2 security key nebo Windows Hello for Business.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím zde nejsou žádné komentáře.

Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách