Як налаштувати YubiKey з обліковим записом Windows 10
Як налаштувати YubiKey для захисту облікових записів Windows 10?
Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу до облікових записів безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко настроїти U2F ключ безпеки для роботи з обліковими записами Windows 10.
Вимоги
- Microsoft Windows 10 Домашня, Pro або Корпоративна.
- Потрібна версія 1607 з номером збірки 14393.321 або новішим.
- Щоб дізнатися, яку версію Windows ви використовуєте, натисніть клавішу Windows разом із клавішею R, у полі «Відкрити» введіть winver і натисніть OK. У діалоговому вікні «Відомості» показуватиметься інформація про версію та номер збірки ОС Windows 10.
- YubiKey.
- Режим CCID має бути увімкнений на вашому YubiKey.
- Обліковий запис користувача (локальний або у хмарі).
- Локальна політика безпеки повинна дозволяти використання пристроїв-компаньйонів для додаткової автентифікації.
- PIN-код має бути встановлений для користувача, який буде використовувати YubiKey (обов’язково).
Завантаження та встановлення YubiKey для додатка Windows Hello
- У Windows Store знайдіть додаток YubiKey для Windows Hello.
- Натисніть Отримати.
- Після завершення встановлення натисніть кнопку Запустити.
Як отримати доступ до додатка YubiKey for Windows
- У меню Пуск виберітьAll Apps >Start > YubiKey for Windows Hello.
Як видалити додаток YubiKey for Windows Hello
Переконайтеся, що ви зняли з реєстрації всі ключі YubiKey перед тим, як видалити додаток.
- У меню Пуск перейдіть до додатка YubiKey for Windows Hello.
- Наведіть курсор на додаток, правою клавішею миші відкрийте контекстне меню та виберіть Видалити.
- Виконуйте вказівки на екрані. Якщо потрібно, перезавантажте комп’ютер.
Налаштування локальної політики безпеки для отримання дозволу на використання допоміжних пристроїв
Для систем під керуванням Windows Pro або Windows Корпоративна вам потрібно увімкнути опцію «Дозволити використовувати допоміжний пристрій для додаткової автентифікації» в налаштуваннях розділу Локальна політика безпеки. Якщо ваша політика безпеки керується організацією, зв’яжіться з вашим системним адміністратором і вимагайте змінити параметри локальної політики безпеки до встановлення додатка. На системах під керуванням Windows Домашня параметри локальної політики безпеки змінювати неможливо, але ця опція увімкнена за замовчуванням.
Як внести зміни до локальної політики безпеки
- Відкрийте «Редактор локальної групової політики». Для цього натисніть клавішу Windows і натисніть R, а потім наберіть gpedit.msc і натисніть OK.
- У Редакторі локальної групової політики перейдіть до Конфігурація комп’ютера —> Адміністративні шаблони —> Компоненти Windows — > Фактор додаткової автентифікації Microsoft.
- У правій панелі клацніть посилання «Змінити параметр політики». (Також ви можете відкрити подвійним клацанням опцію «Дозволити використовувати допоміжний пристрій для додаткової автентифікації») За замовчуванням ця опція має стан «Не задана».
- Якщо опція показується як «Не задана» або «Увімкнена», тоді змін не потрібно. Натисніть «Скасувати».
- Якщо опція показується як «Вимкнена», продовжуйте з наступного пункту.
- На екрані налаштувань виберіть опцію «Увімкнено» та натисніть «ОК».
- Закрийте «Редактор локальної групової політики» та «Адміністрування».
Примітки
- Цей додаток використовується лише для розблокування вашої системи — не працює для входу до облікового запису (вихід із режиму очікування/сну вимагає входу до облікового запису).
- Цей додаток дозволяє зареєструвати до чотирьох YubiKey на один обліковий запис.
- Немає можливості зареєструвати той самий YubiKey на більш ніж один обліковий запис у системі.
- Ми рекомендуємо використовувати цей додаток лише з однокористувацькими конфігураціями Windows; додаток не підтримує кількох користувачів.
Відомі проблеми
- Yubico Authenticator із встановленим паролем. Ви не зможете використовувати YubiKey для розблокування системи, якщо ви використовуєте Yubico Authenticator із встановленим паролем. Проте, ви можете зареєструвати YubiKey, якщо Yubico Authenticator відкрито, і ви вже підтвердили пароль.
- Обов’язкова вимога YubiKey. Зараз немає можливості використовувати YubiKey для розблокування системи — ви завжди можете отримати доступ до системи за допомогою PIN-коду або пароля.
- Видалення всіх ключів. Якщо ви видалили всі ключі YubiKey, але не видалили додаток, для розблокування системи все ще буде потрібний ключ. Щоб розв’язати цю проблему, видаліть додаток.
- Видалення ключа. Якщо ви видаляєте ключ YubiKey, але в цей час ключ не підключений до системи, це призводить до створення двох облікових записів OATH. Вам потрібно видалити їх, використовуючи більш ранню версію Yubico Authenticator (2.3.0 або раніше), або скинути налаштування OATH аплету (за допомогою утиліти командного рядка ykneomgr або opensc-tool).
- Скидання настройок OATH аплета на YubiKey. Якщо ви використовуєте в командному рядку утиліти opensc-tool або ykneomgr для скидання OATH аплету на YubiKey, таким чином ви стираєте всі облікові дані, зареєстровані для додатка YubiKey for Windows Hello.
FAQ: Запитання, що часто ставлять
- Чому я отримую помилку під час спроби реєстрації YubiKey за допомогою програми YubiKey для Windows Hello?
Це може бути викликано тим, що ваші налаштування локальної політики безпеки не дозволяють використовувати допоміжні пристрої (це стосується лише систем під керуванням Windows Pro або Windows Корпоративна). Для зміни вашої локальної політики безпеки дивіться пункти попередньої секції. Для зміни вашої локальної політики безпеки дивіться інструкції в попередньому розділі.