启用无密码安全密钥登录

对于目前使用密码并且具有共享的 PC 环境的企业,安全密钥为工作者提供了无需输入用户名或密码即可进行身份验证的无缝方式。 安全密钥可提高工作者的工作效率,并且安全性更高。

本文档重点介绍如何启用基于安全密钥的无密码身份验证。 在本文末尾,你将能够使用 FIDO2 安全密钥通过 Microsoft Entra 帐户登录到基于 Web 的应用程序。

要求

若要使用安全密钥来登录 Web 应用和服务,你必须具有支持 WebAuthN 协议的浏览器。 这种浏览器包括 Microsoft Edge、Chrome、Firefox 和 Safari。 有关详细信息,请参阅 FIDO2 无密码身份验证的浏览器支持

注意

Entra ID 尚不支持存储在计算机和移动设备上的支持密钥 (FIDO2),以及通过 WebAuthn QR 码注册和登录。

准备设备

对于已联接到 Microsoft Entra ID 的设备,可在 Windows 10 版本 1903 或更高版本上获得最佳体验。

已建立混合联接的设备必须运行 Windows 10 版本 2004 或更高版本。

启用无密码身份验证方法

启用合并注册体验

适用于无密码身份验证方法的注册功能依赖于合并式 MFA/SSPR 注册。 详细了解合并式注册

启用 FIDO2 安全密钥方法

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“身份验证方法策略”。

  3. 在“FIDO2 安全密钥”方法下,单击“所有用户”,或单击“添加组”以选择特定组。 仅支持安全组。

  4. “保存”配置。

    注意

    如果尝试保存时出现错误,原因可能是添加的用户或组的数量过多。 变通方法是,在同一操作中将尝试添加的用户和组替换为单个组,然后再次单击“保存”。

FIDO 安全密钥可选设置

“配置”选项卡上有一些可选设置,可帮助管理如何使用安全密钥进行登录。

Screenshot of FIDO2 security key options

  • “允许自助设置”应保持设置为“是”。 如果设置为“否”,那么你的用户将无法通过 MySecurityInfo 注册 FIDO 密钥,即使已通过身份验证方法策略进行了启用。
  • “强制证明”设置为“是”,这要求 FIDO 安全密钥元数据通过 FIDO 联盟元数据服务进行发布和验证,还要求该元数据通过 Microsoft 的另外一组验证测试。 有关详细信息,请参阅何为 Microsoft 兼容的安全密钥?

密钥限制策略

  • “强制密钥限制”设置为“是”,只有当你的组织仅允许或禁止特定的 FIDO 安全密钥(由它们的 Authenticator 证明 GUID (AAGUID) 进行标识)时才能这样做。 可以使用安全密钥提供程序来确定设备的 AAGUID。 如果已注册密钥,可查看用户的密钥的身份验证方法详细信息来找到 AAGUID。

    警告

    对于注册和身份验证,密钥限制设定了特定 FIDO2 方法的可用性。 如果更改密钥限制,并移除以前允许的 AAGUID,那么以前注册允许方法的用户无法再使用该方法来进行登录。

禁用密钥

若要删除与用户帐户关联的 FIDO2 密钥,请从用户的身份验证方法中删除该密钥。

  1. 登录到 Microsoft Entra 管理中心并搜索要从中删除 FIDO 密钥的用户帐户。

  2. 选中“身份验证方法”> 右击“FIDO2 安全密钥”,然后单击“删除”。

    View Authentication Method details

安全密钥身份验证器证明 GUID (AAGUID)

FIDO2 规范要求每个安全密钥提供程序在证明期间提供身份验证器证明 GUID (AAGUID)。 AAGUID 是指示密钥类型的 128 位标识符,如制造商和型号。

注意

制造商必须确保该制造商所产成的所有完全相同的密钥的 AAGUID 完全相同,并且不同于(概率较高)所有其他类型密钥的 AAGUID。 为了确保这一点,应随机生成给定类型安全密钥的 AAGUID。 有关详细信息,请参阅 Web 身份验证:用于访问公钥凭据的 API - 级别 2 (w3.org)

可通过两种方式获取你的 AAGUID。 你可以询问安全密钥供应商,或查看每个用户的密钥的身份验证方法详细信息。

View AAGUID for security key

FIDO2 安全密钥的用户注册和管理

  1. 浏览到 https://myprofile.microsoft.com

  2. 如果尚未登录,请登录。

  3. 单击“安全信息”。

    1. 如果已注册至少一种 MFA 方法,可以立即注册 FIDO2 安全密钥。
    2. 如果未注册至少一种 MFA 方法,则必须添加一种方法。
    3. 身份验证策略管理员还可以发出临时访问密码,以允许用户注册无密码身份验证方法。
  4. 若要添加 FIDO2 安全密钥,请单击“添加方法”并选择“安全密钥”。

  5. 选择USB 设备NFC 设备

  6. 准备好密钥,然后选择下一步。 如果使用 Chrome 或 Edge,浏览器可能会优先注册存储在移动设备上的密钥,而不是存储在安全密钥上的密钥。

    • 从 Windows 11 版本 23H2 开始,操作系统将在登录期间显示以下提示。 在“更多选项”下方,选择“安全密钥”,然后单击“下一步”

      Screenshot of option to save a security key on Windows 11 version 23 H2.

    • 在早期版本的 Windows 中,浏览器可能会显示 QR 配对屏幕,以便注册存储在其他移动设备上的密钥。 如果要注册存储在安全密钥上的密钥,请插入并触摸安全密钥以继续。

      Screenshot of option to choose security key on Windows 10.

  7. 系统会提示创建或输入安全密钥的 PIN,然后执行所需密钥手势。

  8. 你会返回到合并注册体验,可以在其中为该密钥提供一个有意义的名称,以便轻松地识别该密钥。 单击“下一步”。

  9. 单击“完成”以完成此过程。

通过无密码凭据登录

在本屏幕截图中,用户已预配 FIDO2 安全密钥。 在 Windows 10 版本 1903 或更高版本中,用户可以选择在受支持的浏览器内使用 FIDO2 安全密钥登录 Web。

有关支持使用 FIDO2 安全密钥登录到 Microsoft Entra ID 的浏览器和操作系统的详细信息,请参阅浏览器对 FIDO2 无密码身份验证的支持

Screenshot of option to choose security key on Windows 10 version 1903 or higher.

故障排除和反馈

如果你想要共享有关此功能的反馈或遇到的问题,请使用以下步骤,通过 Windows 反馈中心应用来进行共享:

  1. 启动"反馈中心"并确保你已登录。
  2. 按照以下分类提交反馈:
    • 类别:安全和隐私
    • 子类别:FIDO
  3. 若要捕获日志,请使用选项“重新创建问题”。

已知问题

安全密钥预配

管理员预配和取消预配安全密钥不可用。

UPN 更改

如果用户的 UPN 发生更改,你将无法再修改 FIDO2 安全密钥来消除该更改。 为 FIDO2 安全密钥用户提供的解决方案是登录到 MySecurityInfo,删除旧密钥并添加一个新密钥。

后续步骤

FIDO2 安全密钥 Windows 10 登录

对本地资源启用 FIDO2 身份验证

详细了解如何注册设备

了解 Microsoft Entra 多重身份验证的详细信息