無密碼登入

密碼是數位安全性的基本部分，但通常不方便且容易遭受網路攻擊。 透過 Windows 11，使用者可以享有無密碼保護，這提供更安全且方便使用的替代方案。 經過安全的授權程序之後，認證會受到多層硬體和軟體安全性的保護，讓用戶能夠順暢、無密碼地存取其應用程式和雲端服務。

Windows Hello

密碼經常是弱式、遭竊或忘記。 組織正朝向無密碼登入，以降低缺口的風險、降低管理密碼的成本，以及改善其使用者和客戶的生產力和滿意度。 Microsoft致力於協助組織透過 windows 安全性和身分識別保護的基石 Windows Hello，邁向安全、無密碼的未來。

Windows Hello 可以使用生物特徵辨識或 PIN 驗證來啟用無密碼登入，並提供 FIDO2 無密碼產業標準的內建支援。 因此，人們不再需要攜帶外部硬體，例如用於驗證的安全性密鑰。

安全、方便的登入體驗可以根據 PIN 或生物特徵辨識數據，例如受信賴平臺模塊保護的臉部或指紋辨識，增強或取代密碼， (TPM) 。 逐步指引可讓設定變得簡單。

使用 TPM 中佈建的非對稱金鑰，Windows Hello 將使用者的認證系結至其裝置來保護驗證。 Windows Hello 根據 PIN 或生物特徵辨識比對來驗證使用者，然後才允許使用 TPM 中系結至該使用者的密碼編譯密鑰。

PIN 和生物特徵辨識數據會保留在裝置上，而且無法在外部儲存或存取。 由於沒有裝置實體存取權的任何人都無法存取數據，因此認證會受到保護，免於遭受重新執行攻擊、網路釣魚和詐騙，以及密碼重複使用和外洩。

Windows Hello 可以 (MSA) 、識別提供者服務或也實作 FIDO2 或 WebAuthn 標準的信賴憑證者，向Microsoft帳戶驗證使用者。

瞭解更多資訊

• 設定 Windows Hello

Windows Hello PIN

Windows Hello PIN 只能由具有裝置實體存取權的人員輸入，可用於強式多重要素驗證。 PIN 受到 TPM 保護，而且像生物特徵辨識數據一樣，永遠不會離開裝置。 當使用者輸入 PIN 碼時，驗證金鑰會解除鎖定，並用來簽署傳送至驗證伺服器的要求。

TPM 可防範威脅，包括遺失或遭竊裝置上的 PIN 暴力密碼破解攻擊。 在太多不正確的猜測之後，裝置就會鎖定。 IT 系統管理員可以設定 PIN 的安全策略，例如複雜度、長度和到期需求。

Windows 11 版本 24H2 的新功能

如果您的裝置沒有內建的生物特徵辨識技術，Windows Hello 已增強為使用虛擬化型安全性 (VBS) 默認會隔離認證。 這一層額外的保護有助於防範系統管理員層級的攻擊。 即使您使用 PIN 登入，您的認證仍會儲存在安全的容器中，以確保在具有或不含內建生物特徵辨識感測器的裝置上提供保護。

Windows Hello 生物特徵辨識

Windows Hello 生物特徵辨識登入可透過快速且方便的登入體驗來增強安全性和生產力。 不需要輸入您的 PIN;只要使用您的生物特徵辨識數據來輕鬆且有趣的登入即可。

支援生物特徵辨識硬體的 Windows 裝置，例如指紋或臉部辨識相機，會直接與 Windows Hello 整合，讓您能夠存取 Windows 用戶端資源和服務。 臉部和指紋的生物特徵辨識讀取器必須符合 Windows Hello 生物特徵辨識需求。 Windows Hello 臉部辨識是設計成只從註冊時所使用的信任相機進行驗證。

如果周邊相機在註冊后連接到裝置，則只要使用內部相機登入，即可在驗證后用於臉部驗證。 為了增加安全性，可以停用外部相機，以便與 Windows Hello 臉部辨識搭配使用。

瞭解更多資訊

• Windows Hello 生物特徵辨識需求

Windows 存在感測

Windows 目前狀態^感知器[9] 為混合式背景工作角色提供另一層數據安全性保護。 Windows 11 裝置可以智慧地適應使用者的目前狀態，以協助他們保持安全且具生產力，不論是在家、辦公室或公用環境中工作。

Windows 目前狀態感知結合了目前狀態偵測感測器與 Windows Hello 臉部辨識，以手動方式簽署使用者，並在使用者離開時自動鎖定裝置。 使用調適性變暗時，當使用者在相容的裝置上查看具有目前狀態感測器的裝置時，計算機會使螢幕變暗。 在裝置上設定目前狀態感測器也比以往更容易，只要在現成的體驗中輕鬆啟用，也可使用 [設定] 中的新鏈接來協助尋找目前狀態感知功能。 裝置製造商可以自定義和建置目前狀態感測器的擴充功能。

隱私權是最重要的，而且比以往更加重要。 客戶想要擁有更高的透明度，並控制其資訊的使用。 新的應用程式隱私權設定可讓使用者允許或封鎖存取其目前狀態感測器資訊。 用戶可以在初始 Windows 11 設定期間決定這些設定。

使用者也可以利用更細微的設定，輕鬆地啟用和停用不同的目前狀態感知功能，例如喚醒方法、請假鎖定和調適性變暗。 我們也支持開發人員使用新的 API 來顯示第三方應用程式。 第三方應用程式現在可以在具有目前狀態感測器的裝置上存取使用者目前狀態資訊。

瞭解更多資訊

• 目前狀態感知
• 在 Windows 11 中管理目前狀態感知設定

Windows Hello 企業版

Windows Hello 企業版 會擴充 Windows Hello，以使用組織的 Active Directory 和 Microsoft Entra ID 帳戶。 它提供工作或學校資源的單一登錄存取權，例如 OneDrive、工作電子郵件和其他商務應用程式。 Windows Hello 企業版 也可讓 IT 系統管理員管理 PIN，以及連線到公司或學校資源之裝置的其他登入需求。

布建 Windows Hello 企業版 之後，使用者可以使用 PIN、臉部或指紋來解除鎖定認證並登入其 Windows 裝置。

佈建方法包括：

• 傳遞金鑰 (預覽) ，可讓用戶順暢地向 Microsoft Entra ID 進行驗證，而不需要輸入使用者名稱或密碼
• 臨時存取階段 (TAP) ，這是透過 Microsoft Entra ID 發出且具有強身份驗證需求的時間限制密碼
• 使用 Microsoft Entra ID 的現有多重要素驗證，包括 Microsoft Authenticator 應用程式

Windows Hello 企業版 以安全性密鑰或憑證以及 PIN 或生物特徵辨識數據的組合取代傳統的使用者名稱和密碼，以增強安全性。 此設定會安全地將認證對應至用戶帳戶。

有各種部署模型可供 Windows Hello 企業版 使用，可提供彈性以符合不同組織的各種需求。 其中，建議 使用混合式雲端 Kerberos 信任 模型，並視為在混合式環境中運作的組織最簡單。

瞭解更多資訊

• Windows Hello 企業版 概觀
• 為您的組織啟用 FIDO2) (機碼

PIN 重設

Microsoft PIN 重設服務可讓使用者重設忘記的 Windows Hello PIN，而不需要重新註冊。 在 Microsoft Entra ID 租用戶中註冊服務之後，必須在 Windows 裝置上使用組策略或裝置管理解決方案來啟用此功能，例如 Microsoft Intune^[4]。

使用者可以從 Windows 鎖定畫面或從 [設定] 中的登入選項起始 PIN 重設。 此程式牽涉到驗證和完成多重要素驗證，以重設 PIN。

瞭解更多資訊

• PIN 重設

多重要素解除鎖定

對於需要額外一層登入安全性的組織，多重要素解除鎖定可讓IT系統管理員將 Windows 設定為需要兩個唯一信任訊號的組合才能登入。 受信任的訊號範例包括 PIN 或生物特徵辨識數據 (臉部或指紋) 與 PIN、藍牙、IP 組態或 Wi-Fi 結合。

多重要素解除鎖定適用於需要防止資訊工作者共享認證，或需要符合雙因素驗證原則法規需求的組織。

瞭解更多資訊

• 多重要素解除鎖定

Windows 無密碼體驗

Windows Hello 企業版 現在支援完全無密碼的體驗。

IT 系統管理員可以在已加入 Microsoft Entra ID 計算機上設定原則，讓使用者在存取公司資源時，不會再看到輸入密碼的選項。 設定原則之後，系統會針對裝置解除鎖定和會話內驗證案例，從 Windows 用戶體驗中移除密碼。 不過，尚未從身分識別目錄中排除密碼。 用戶應該使用強式、防網路釣魚、以擁有權為基礎的認證，例如 Windows Hello 企業版 和 FIDO2 安全性密鑰，來流覽其核心驗證案例。 如有必要，使用者可以使用無密碼復原機制，例如Microsoft PIN 重設服務或Web登入。

使用者直接向 Microsoft Entra ID 進行驗證，協助您快速存取內部部署應用程式和其他資源。

瞭解更多資訊

• Windows 無密碼體驗

增強的登入安全性 (ESS)

Windows Hello 支援增強式登入安全性，其會使用特製化的硬體和軟體元件來提高生物特徵辨識登入的安全性列。

增強的登入安全性生物識別技術會使用虛擬化型安全性 (VBS) 和 TPM 來隔離用戶驗證程式和數據，並保護資訊的通訊路徑。

這些特殊化元件可防範一種攻擊，包括生物特徵辨識範例插入、重新執行和竄改。 例如，指紋讀取器必須實作安全裝置連線通訊協定，其會使用密鑰交涉和Microsoft核發的憑證來保護及安全地儲存使用者驗證數據。 針對臉部辨識，安全裝置 (SDEV 等元件) 數據表和使用 trustlet 進行隔離，有助於防止更多攻擊類別。

增強型登入安全性是由裝置製造商在製造過程中設定的，通常支援安全核心計算機。 針對臉部辨識，特定晶元和相機組合支持增強式登入安全性 - 請與特定裝置製造商進行檢查。 指紋驗證可跨所有處理器類型使用。 如需支持詳細數據，請連絡特定 OEM。

瞭解更多資訊

• Windows Hello 增強式登入安全性 (ESS)

FIDO2

FIDO 聯盟是快速身分識別在線產業標準主體，其建立目的是為了提升驗證技術和標準，以減少對密碼的依賴。 FIDO 聯盟和萬維網聯合會 (W3C) 共同合作， (CTAP2) 和 Web 驗證 (WebAuthn) 規格定義用戶端對驗證器通訊協定。 這些規格是業界標準，可提供強式、防網路釣魚、易記使用者和隱私權，並保留整個 Web 和應用程式的驗證。 FIDO 標準和認證正成為跨企業、政府和消費者市場建立安全驗證解決方案的領先標準。

除了 Windows Hello 和 Windows Hello 企業版 之外，Windows 11 也可以使用外部 FIDO2 安全性密鑰進行驗證，這也是 FIDO2 認證的無密碼解決方案。 因此，Windows 11 可以作為許多熱門身分識別管理服務的 FIDO 驗證器。

Passkeys

Windows 11 可讓使用者以密碼取代密碼，讓透過網路釣魚攻擊惡意探索遭竊密碼的駭客更加困難。 通行金鑰是安全登入的跨平台未來。 Microsoft和其他技術領導者支援跨平臺和服務的通行密鑰。

通行金鑰是可安全地儲存在裝置上的唯一、不明確密碼編譯秘密。 使用者不需要使用使用者名稱和密碼來登入網站或應用程式，Windows 11 使用者可以使用 Windows Hello、第三方密碼提供者、外部 FIDO2 安全性密鑰或其行動裝置來建立和使用通行密鑰。 Windows 上的通行密鑰可在支援它們登入的任何瀏覽器或應用程式中運作。

使用 Windows Hello 建立和儲存的通行密鑰會受到 Windows Hello 或 Windows Hello 企業版 保護。 使用者可以使用臉部、指紋或裝置 PIN 登入網站或應用程式。 使用者可以從 [設定>帳戶>][通行金鑰] 管理其通行金鑰。

瞭解更多資訊

• 支援 Windows 中的通行金鑰
• 為您的組織啟用 FIDO2) (機碼

Microsoft Authenticator

在 iOS 和 Android 裝置上執行的 Microsoft Authenticator 應用程式可協助 Windows 11 使用者保持安全且具生產力。 Microsoft具有 Microsoft Entra 密碼的 Authenticator 可用來作為防網路釣魚方法，以啟動載入 Windows Hello 企業版。

Microsoft驗證器也可讓所有在線帳戶使用多重要素驗證、無密碼電話登入、防網路釣魚驗證 (密碼) 或密碼自動填寫，輕鬆、安全地登入。 Authenticator 應用程式中的帳戶會在硬體支援的記憶體中使用公開/私鑰組來保護，例如 iOS 中的金鑰鏈和 Android 上的密鑰存放區。 IT 系統管理員可以使用不同的工具來微調用戶來設定 Authenticator 應用程式、提供驗證來源的額外內容，並確保他們主動使用它。

個別使用者可以在設定中啟用加密備份選項，以將其認證備份至雲端。 他們也可以查看其登入歷程記錄，以及Microsoft個人、公司或學校帳戶的安全性設定。

使用此安全應用程式進行驗證和授權，可讓使用者控制其認證的使用方式、位置和時機。 為了跟上不斷變化的安全性環境，應用程式會持續更新，並新增新功能以掌握新興的威脅媒介。

瞭解更多資訊

• Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式

網路登入

透過 Web 登入的支援，使用者可以使用 Microsoft Authenticator 應用程式或臨時存取傳遞 (TAP) ，而不需要密碼即可登入。 Web 登入也可讓同盟登入 SAML-P 識別提供者。

瞭解更多資訊

• Windows 的網路登入

同盟登入

Windows 11 支援使用外部教育身分識別管理服務的同盟登入。 對於無法輕鬆輸入或記住複雜密碼的學生，這項功能可透過 QR 代碼或圖片等方法安全地登入。

瞭解更多資訊

• 設定 Windows 裝置的同盟登入

智慧卡

組織也可以選擇智慧卡，這是在生物特徵辨識驗證之前存在的驗證方法。 這些防竄改的可攜式儲存設備可藉由驗證使用者、簽署程式代碼、保護電子郵件，以及使用 Windows 網域帳戶登入，來增強 Windows 安全性。

智慧卡提供：

• 在醫療保健等案例中易於使用，使用者需要快速登入和註銷，而不需要使用他們的手或共用工作站
• 隔離涉及驗證、數位簽名和從計算機其他部分進行金鑰交換的安全性關鍵計算。 這些計算是在智慧卡上執行
• 公司、家用或道路上的計算機之間認證和其他私人資訊的可移植性

智慧卡只能用來登入網域帳戶或 Microsoft Entra ID 帳戶。

使用密碼登入網域帳戶時，Windows 會使用 Kerberos 第 5 版 (V5) 通訊協定進行驗證。 如果您使用智慧卡，操作系統會使用 Kerberos V5 驗證搭配 X.509 V3 憑證。 在 Microsoft Entra ID 聯結的裝置上，智慧卡可以搭配 Microsoft Entra ID 憑證式驗證使用。 智慧卡無法與本機帳戶搭配使用。

Windows Hello 企業版 和 FIDO2 安全性金鑰是適用於 Windows 的新式雙因素驗證方法。 建議使用虛擬智慧卡的客戶移至 Windows Hello 企業版 或 FIDO2。 針對新的 Windows 安裝，建議您 Windows Hello 企業版 或 FIDO2 安全性密鑰。

瞭解更多資訊

• 智慧卡技術參考

Microsoft Defender SmartScreen 中的增強式網路釣魚保護

隨著惡意代碼保護和其他保護措施的演進，網路犯罪者會尋找規避安全性措施的新方式。 網路釣魚是一項前導威脅，其應用程式和網站旨在藉由誘使人員主動輸入密碼來竊取認證。 因此，許多組織會轉換成使用 Windows Hello 或 Windows Hello 企業版 的無密碼登入的輕鬆和安全性。

我們知道人們在其無密碼旅程的不同部分。 為了協助仍在使用密碼的人員進行該旅程，Windows 11 提供強大的認證保護。 Microsoft Defender SmartScreen 現在包含增強的網路釣魚保護，可在使用者的Microsoft密碼輸入到任何應用程式或網站時自動偵測。 Windows 接著會識別應用程式或網站是否安全地向Microsoft進行驗證，並在認證有風險時發出警告。 由於使用者在可能遭到認證竊取時會收到警示，因此他們可以先採取先佔式動作，再對使用者或其組織使用密碼。

瞭解更多資訊

• Microsoft Defender SmartScreen 中的增強式網路釣魚保護