通过

部署无密码替换选项

密码自由的第一步是提供密码的替代方法。
Windows Hello 企业版,Windows 提供了一种经济实惠且简单的内置密码替代方法。 另一个选项是使用 FIDO2 安全密钥,但它们要求组织购买和分发它们。

这两个选项都为 Microsoft Entra ID 和 Active Directory 提供强大的双因素身份验证。

标识表示目标工作角色的测试用户

成功的转换取决于用户验收测试。 你不可能知道每个工作角色如何进行其日常活动,或者如何准确验证它们。 你需要获取适合目标工作角色的用户的帮助。 只需要目标工作角色中的几个用户。 循环执行步骤 2 时,可能需要更改一些用户 (或添加几个) 作为验证过程的一部分。

部署Windows Hello 企业版或 FIDO2 安全密钥以测试用户

接下来,需要规划密码替换部署。 在步骤 2 中,测试用户需要一种替代方式进行登录,以使用无密码的方式进行登录。 使用Windows Hello 企业版规划指南来帮助了解哪种部署最适合你的环境。 接下来,使用其中一个部署指南来部署Windows Hello 企业版。 Windows Hello 企业版基础结构到位后,可以将Windows Hello 企业版注册限制为目标工作角色。 好消息是,只需部署基础结构一次。 当其他目标工作角色需要开始使用Windows Hello 企业版时,请将它们添加到组中。 使用第一个工作角色来验证Windows Hello 企业版部署。

如果你决定使用 FIDO2 安全密钥,请按照 启用安全密钥登录 Windows 指南 了解如何采用 FIDO2 安全密钥。

注意

部署因设备加入Microsoft Entra ID的方式而异。 查看规划指南,了解支持设备所需的基础结构类型。

验证密码和Windows Hello 企业版或 FIDO2 安全密钥

在第一步中,密码和密码替换选项必须共存。 你希望验证所有方案,而目标工作角色可以使用Windows Hello或安全密钥登录和解锁。 用户还可以根据需要登录、解锁和使用密码。 过早减少用户可见的密码图面可能会对目标用户角色造成挫折和混淆。

Windows 锁屏界面的屏幕截图,其中显示了指纹、PIN 和密码凭据提供程序。

后续步骤

在转到步骤 2 之前,请确保已:

  • 选择目标工作角色
  • 标识了代表目标工作角色的测试用户
  • 已部署Windows Hello 企业版或 FIDO2 安全密钥以测试用户
  • 验证了密码替换选项和密码是否适用于测试用户

步骤 2:减少用户可见的密码外围应用 >