Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности

Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)

Что такое Windows Hello?

Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.

Что такое ключ безопасности?

Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.

Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

Перейдите в меню Пуск и выберите Параметры .

Перейдите в раздел Учетные записи > Варианты входа.

В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.

Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Выберите Используйте компьютер с Windows

Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.

Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Определите тип ключа (USB или NFC) и нажмите Далее.

Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.

Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).

Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).

Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.

Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.

Управление ключами

Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.

Windows Hello for Business Overview

Applies to

In WindowsВ 10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.

When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Customers who have already deployed these technologies will not experience any change in functionality. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Windows Hello addresses the following problems with passwords:

• Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
• Server breaches can expose symmetric network credentials (passwords).
• Passwords are subject to replay attacks.
• Users can inadvertently expose their passwords due to phishing attacks.

Windows Hello lets users authenticate to:

• a Microsoft account.
• an Active Directory account.
• a Microsoft Azure Active Directory (Azure AD) account.
• Identity Provider Services or Relying Party Services that support Fast ID Online (FIDO) v2.0 authentication (in progress)

After an initial two-step verification of the user during enrollment, Windows Hello is set up on the user’s device and Windows asks the user to set a gesture, which can be a biometric, such as a fingerprint, or a PIN. The user provides the gesture to verify their identity. Windows then uses Windows Hello to authenticate users.

As an administrator in an enterprise or educational organization, you can create policies to manage Windows Hello for Business use on WindowsВ 10-based devices that connect to your organization.

Biometric sign-in

Windows Hello provides reliable, fully integrated biometric authentication based on facial recognition or fingerprint matching. Windows Hello uses a combination of special infrared (IR) cameras and software to increase accuracy and guard against spoofing. Major hardware vendors are shipping devices that have integrated Windows Hello-compatible cameras. Fingerprint reader hardware can be used or added to devices that don’t currently have it. On devices that support Windows Hello, an easy biometric gesture unlocks users’ credentials.

• Facial recognition. This type of biometric recognition uses special cameras that see in IR light, which allows them to reliably tell the difference between a photograph or scan and a living person. Several vendors are shipping external cameras that incorporate this technology, and major laptop manufacturers are incorporating it into their devices, as well.
• Fingerprint recognition. This type of biometric recognition uses a capacitive fingerprint sensor to scan your fingerprint. Fingerprint readers have been available for Windows computers for years, but the current generation of sensors is significantly more reliable and less error-prone. Most existing fingerprint readers (whether external or integrated into laptops or USB keyboards) work with Windows 10.

Windows stores biometric data that is used to implement Windows Hello securely on the local device only. The biometric data doesn’t roam and is never sent to external devices or servers. Because Windows Hello only stores biometric identification data on the device, there’s no single collection point an attacker can compromise to steal biometric data. For more information about biometric authentication with Windows Hello for Business, see Windows Hello biometrics in the enterprise.

The difference between Windows Hello and Windows Hello for Business

Individuals can create a PIN or biometric gesture on their personal devices for convenient sign-in. This use of Windows Hello is unique to the device on which it is set up, but can use a simple password hash depending on an individual’s account type. This configuration is referred to as Windows Hello convenience PIN and it is not backed by asymmetric (public/private key) or certificate-based authentication.

Windows Hello for Business, which is configured by Group Policy or mobile device management (MDM) policy, always uses key-based or certificate-based authentication. This makes it much more secure than Windows Hello convenience PIN.

Benefits of Windows Hello

Reports of identity theft and large-scale hacking are frequent headlines. Nobody wants to be notified that their user name and password have been exposed.

You may wonder how a PIN can help protect a device better than a password. Passwords are shared secrets; they are entered on a device and transmitted over the network to the server. An intercepted account name and password can be used by anyone, anywhere. Because they’re stored on the server, a server breach can reveal those stored credentials.

In WindowsВ 10, Windows Hello replaces passwords. When the identity provider supports keys, the Windows Hello provisioning process creates a cryptographic key pair bound to the Trusted Platform Module (TPM), if a device has a TPM 2.0, or in software. Access to these keys and obtaining a signature to validate user possession of the private key is enabled only by the PIN or biometric gesture. The two-step verification that takes place during Windows Hello enrollment creates a trusted relationship between the identity provider and the user when the public portion of the public/private key pair is sent to an identity provider and associated with a user account. When a user enters the gesture on the device, the identity provider knows from the combination of Hello keys and gesture that this is a verified identity and provides an authentication token that allows WindowsВ 10 to access resources and services.

Windows Hello as a convenience sign-in uses regular user name and password authentication, without the user entering the password.

Imagine that someone is looking over your shoulder as you get money from an ATM and sees the PIN that you enter. Having that PIN won’t help them access your account because they don’t have your ATM card. In the same way, learning your PIN for your device doesn’t allow that attacker to access your account because the PIN is local to your specific device and doesn’t enable any type of authentication from any other device.

Windows Hello helps protect user identities and user credentials. Because the user doesn’t enter a password (except during provisioning), it helps circumvent phishing and brute force attacks. It also helps prevent server breaches because Windows Hello credentials are an asymmetric key pair, which helps prevent replay attacks when these keys are protected by TPMs.

How Windows Hello for Business works: key points

• Windows Hello credentials are based on certificate or asymmetrical key pair. Windows Hello credentials can be bound to the device, and the token that is obtained using the credential is also bound to the device.
• Identity provider (such as Active Directory, Azure AD, or a Microsoft account) validates user identity and maps the Windows Hello public key to a user account during the registration step.
• Keys can be generated in hardware (TPM 1.2 or 2.0 for enterprises, and TPM 2.0 for consumers) or software, based on the policy.
• Authentication is the two-factor authentication with the combination of a key or certificate tied to a device and something that the person knows (a PIN) or something that the person is (biometrics). The Windows Hello gesture does not roam between devices and is not shared with the server. Biometrics templates are stored locally on a device. The PIN is never stored or shared.
• The private key never leaves a device when using TPM. The authenticating server has a public key that is mapped to the user account during the registration process.
• PIN entry and biometric gesture both trigger WindowsВ 10 to use the private key to cryptographically sign data that is sent to the identity provider. The identity provider verifies the user’s identity and authenticates the user.
• Personal (Microsoft account) and corporate (Active Directory or Azure AD) accounts use a single container for keys. All keys are separated by identity providers’ domains to help ensure user privacy.
• Certificate private keys can be protected by the Windows Hello container and the Windows Hello gesture.

Comparing key-based and certificate-based authentication

Windows Hello for Business can use either keys (hardware or software) or certificates in hardware or software. Enterprises that have a public key infrastructure (PKI) for issuing and managing end user certificates can continue to use PKI in combination with Windows Hello. Enterprises that do not use PKI or want to reduce the effort associated with managing user certificates can rely on key-based credentials for Windows Hello but still use certificates on their domain controllers as a root of trust.

Windows Hello for Business with a key does not support supplied credentials for RDP. RDP does not support authentication with a key or a self signed certificate. RDP with Windows Hello for Business is supported with certificate based deployments as a supplied credential. Windows Hello for Business key trust can be used with Windows Defender Remote Credential Guard.

Learn more

Introduction to Windows Hello, video presentation on Microsoft Virtual Academy

Возможности входа в Windows 10 и защита учетных записей

Чтобы получить доступ к возможностям входа в систему, выберите Пуск > Параметры > Учетные записи > Варианты входа. На странице «Варианты входа» доступны следующие методы входа.

Распознавание лиц Windows Hello

Распознавание отпечатков пальцев Windows Hello

ПИН-код Windows Hello

Также вы увидите следующие параметры.

Требуется вход — требует входа в систему на устройстве после отсутствия.

Динамическая блокировка — автоматически блокирует устройство в ваше отсутствие.

Конфиденциальность — показывает или скрывает личную информацию на экране входа в систему и позволяет устройству использовать ваше данные для входа, чтобы повторно открывать ваши приложения после обновления или перезапуска.

Изменение пароля или управление им

Чтобы изменить пароль, выберите Пуск > Параметры > Учетные записи > Варианты входа. Выберите Пароль, а затем — Изменить.

Примечание: Чтобы изменить пароль, если вы находитесь в домене, нажмите клавиши CTRL+ALT+DEL и выберите Изменить пароль.

Windows Hello

Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Несмотря на то, что ваше устройство с Windows 10 поддерживает биометрическую функцию Windows Hello, вам необязательно ее использовать. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на телефоне или где-либо еще.

Какие данные собираются и почему

При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.

Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows 10

Управление функцией Windows Hello

Чтобы включить функцию Windows Hello, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа и выберите метод Windows Hello, который требуется настроить, а затем нажмите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.

Чтобы удалить функцию Windows Hello и все связанные с ней биометрические идентификационные данные с устройства, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.

Использование ключа безопасности

Ключ безопасности — это устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности

Для настройки ключа безопасности выберите Пуск > Параметры > Учетные записи > Варианты входа и нажмите Ключ безопасности. Выберите Управление и следуйте инструкциям.

Блокировка устройства

Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L , чтобы быстро заблокировать его. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.

Динамическая блокировка

Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.

На компьютере с Windows 10 выберите Пуск > Параметры > Учетные записи > Варианты входа.

В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.

Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth

Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.

Другие варианты входа в систему

Управление временем входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Требуется вход выберите подходящий вариант для тех случаев, когда Windows будет требовать от вас снова войти в систему.

Отображение сведений об учетной записи на экране входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите первый параметр, если требуется отображать сведения об учетной записи на экране входа.

Автоматическое завершение настройки после обновления

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите второй параметр, если вы хотите использовать данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска.