4. března 2026

Jak nakonfigurovat WCP pro vzdálenou plochu Windows

Nastavení Notakey Windows Credential Provider pro dvoufaktorové přihlašování ke vzdálené ploše, od konfigurace zařízení až po přihlašování bez hesla.

Tento návod popisuje konfiguraci Notakey Windows Credential Provider (WCP), poskytovatele přihlašovacích údajů pro Windows, pro autentizaci ke vzdálené ploše s druhým faktorem na telefonu.

Nastavení zařízení Notakey

Vytvořte aplikaci. V zařízení Notakey vytvořte novou aplikaci pojmenovanou Windows Remote Desktop; odpovídající grafika se načte automaticky. Zapněte podporu biometrické kontroly; pokud má každé přihlášení vyžadovat otisk prstu nebo ověření obličeje, zapněte navíc force biometric check (vynucenou biometrickou kontrolu).

Definujte uživatele. Uživatele vytvořte přímo, nebo připojte externí zdroj uživatelů. Nejčastější volbou je Active Directory a jeho napojení popisuje dokumentace zařízení. Uživatelům synchronizovaným z AD lze později přiřadit zásady eskalace nebo schvalování více uživateli.

Nastavte požadavky na registraci, aby se aplikace zobrazila v Notakey Authenticatoru. Pokud jsou v AD uložena telefonní čísla, je k dispozici registrace přes SMS nebo WhatsApp. Používáte-li jednoduché přihlašovací údaje ověřované proti AD, upravte požadavek a zaškrtněte Authenticate against remote AUTH user sources.

Vygenerujte přihlašovací údaje k API. Vytvořte nového API klienta s prázdným polem scopes, a systém vygeneruje Client ID a tajný klíč (secret) pro credential provider.

Nastavení počítače s Windows

Vytvořte soubor registru s přihlašovacími údaji ke svému zařízení, uložte jej jako wcp_notakey.reg a poklepáním jej importujte:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

První čtyři hodnoty nahraďte vlastními: ServiceURL je API endpoint vašeho zařízení, ServiceID je identifikátor aplikace a ClientID/ClientSecret jsou přihlašovací údaje k API vygenerované výše. Zbývající položky mají rozumné výchozí hodnoty, zapsané šestnáctkově: MessageTtlSeconds (0x1e = 30 s) určuje, jak dlouho lze push notifikaci schválit, AuthCreateTimeoutSecs (0x14 = 20 s), jak dlouho WCP čeká na vytvoření požadavku, a AuthWaitTimeoutSecs (0x3c = 60 s), jak dlouho čeká na odpověď uživatele. V MessageDescription představuje {0} uživatelské jméno a {1} název počítače.

Nainstalujte nejnovější Windows Credential Provider ze stránky ke stažení, restartujte Windows a jednou se přihlaste běžným způsobem. Poté zkontrolujte hodnotu LastLoggedOnProvider v klíči HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Uzamkněte počítač a vyberte Notakey Credential Provider. Zadejte uživatelské jméno a heslo – Notakey požádá o svolení heslo zašifrovat a od té chvíle probíhá přihlášení jako uživatelské jméno + schválení na telefonu.

Přechod na přihlašování bez hesla

Aby byl Notakey jedinou cestou dovnitř, zakažte výchozí credential provider: najděte jeho CLSID v klíči HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers a přidejte hodnotu DWORD s názvem Disabled nastavenou na 1. Ve větším nasazení nabízí totéž nastavení Group Policy.

Poté zůstane aktivní pouze Notakey Credential Provider, a k přihlášení stačí uživatelské jméno a druhý faktor.

← Všechny články

První přihlášení bez hesla už tento týden

30minutový rozhovor s inženýrem, žádná prodejní prezentace. Společně naplánujeme, jak ve vašem prostředí s VPN, SSO nebo Windows spustit funkční pilotní projekt.