4 marca 2026

Konfiguracja WCP dla pulpitu zdalnego w systemie Windows

Konfiguracja Notakey Windows Credential Provider do dwuskładnikowego logowania przez pulpit zdalny – od ustawień appliance po logowanie bez hasła.

Ten przewodnik przedstawia konfigurację Notakey Windows Credential Provider (WCP) do uwierzytelniania przez pulpit zdalny z drugim składnikiem opartym na telefonie.

Konfiguracja appliance

Utwórz aplikację. W Notakey Authentication Appliance utwórz nową aplikację o nazwie Windows Remote Desktop. Pasująca grafika wczyta się automatycznie. Włącz obsługę weryfikacji biometrycznej; włącz opcję force biometric check, jeśli logowanie ma zawsze wymagać odcisku palca lub rozpoznania twarzy.

Zdefiniuj użytkowników. Utwórz użytkowników bezpośrednio lub podłącz zewnętrzne źródło użytkowników, najczęściej wybiera się Active Directory, którego konfigurację opisano w dokumentacji appliance. Użytkownikom zsynchronizowanym z AD można później przypisać zasady eskalacji lub zatwierdzania wieloosobowego.

Skonfiguruj wymagania rejestracji, aby aplikacja pojawiła się w Notakey Authenticator. Jeśli w AD zapisane są numery telefonów, dostępna jest rejestracja przez SMS lub WhatsApp. Przy prostych danych logowania weryfikowanych względem AD otwórz wymaganie i zaznacz opcję Authenticate against remote AUTH user sources.

Wygeneruj dane logowania API. Utwórz nowego klienta API z pustym polem zakresów (scopes), system wygeneruje Client ID oraz sekret dla dostawcy poświadczeń.

Konfiguracja komputera z systemem Windows

Utwórz plik rejestru z danymi logowania do appliance, zapisz go jako wcp_notakey.reg i zaimportuj podwójnym kliknięciem:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

Zastąp pierwsze cztery wartości własnymi: ServiceURL to punkt końcowy API twojego appliance, ServiceID to identyfikator aplikacji, a ClientID/ClientSecret to dane logowania API wygenerowane powyżej. Pozostałe wartości to rozsądne ustawienia domyślne, podane szesnastkowo: MessageTtlSeconds (0x1e = 30 s) określa, jak długo powiadomienie push można zatwierdzić, AuthCreateTimeoutSecs (0x14 = 20 s) określa, jak długo WCP czeka na utworzenie żądania, a AuthWaitTimeoutSecs (0x3c = 60 s) określa, jak długo czeka na odpowiedź użytkownika. W polu MessageDescription {0} to nazwa użytkownika, a {1} to nazwa komputera.

Zainstaluj najnowszą wersję Windows Credential Provider ze strony pobierania, uruchom ponownie system Windows i zaloguj się raz w zwykły sposób. Następnie sprawdź wartość LastLoggedOnProvider w kluczu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Zablokuj komputer i wybierz Notakey Credential Provider. Wprowadź nazwę użytkownika i hasło. Notakey poprosi o zgodę na zaszyfrowanie hasła, a od tej pory logowanie polega na podaniu nazwy użytkownika i zatwierdzeniu na telefonie.

Przejście wyłącznie na logowanie bez hasła

Aby Notakey stał się jedyną drogą logowania, wyłącz domyślnego dostawcę poświadczeń: znajdź jego identyfikator CLSID w kluczu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers i dodaj wartość DWORD o nazwie Disabled równą 1. Zasady grupy (Group Policy) zapewniają tę samą kontrolę w skali całej floty urządzeń.

Po tej zmianie aktywny pozostaje wyłącznie Notakey Credential Provider: do zalogowania wystarczą nazwa użytkownika i drugi składnik.

← Wszystkie artykuły

Pierwsze logowanie bez hasła jeszcze w tym tygodniu

30 minut rozmowy z inżynierem, a nie prezentacja handlowa. Wspólnie zaplanujemy, jak uruchomić działający projekt pilotażowy w Państwa środowisku VPN, SSO lub Windows.