我想使用 FIDO2 密钥登录 Windows 10。有各种指南解释如何将密钥添加到 Microsoft 网络帐户或 Windows 10 登录选项,但当我尝试登录 Windows 时,都没有显示为选项。
如何配置 Windows 以使用我的 FIDO2 密钥登录?
答案1
首先,在使用之前,你需要满足一些先决条件FIDO2功能。
1)FIDO2该功能需要使用 Windows 10 2018 年 10 月更新(版本 1809)和 Microsoft Edge 浏览器。(笔记:由于某些驱动程序问题(如英特尔驱动程序),更新可能仍受阻 - 我不知道所有问题都已得到解决 - 你必须自己检查这里。
2)微软正在使用WebAuthn
和FIDO2 CTAP2
规范,要求将私钥和公钥添加到设备中。组织需要在设备上安装可信平台模块 (TPM) 来存储这些密钥。TPMe 可以通过硬件或软件实现(通常存在于 HP、DELL 等商务笔记本电脑中)。
什么使得密钥与 Microsoft 解决方案兼容?您应该在以下网址阅读:什么是与 Microsoft 兼容的安全密钥?
有关 Microsoft 实施的详细信息,请参阅关于 FIDO2、CTAP2 和 WebAuthn 的所有信息。
当企业将其版本提升到上述更新并且 MS 为他们启用该功能时(在 AD 和 Azure AD 中完全支持),将提供对企业版本的支持。
启用 Microsoft 帐户 (MSA) 以使用FIDO2
1)您已经在使用 Windows 10 1809(十月更新),如上所述,您可以设置Windows Hello使用FIDO2
2)要启用它,请转到您的Microsoft 帐户页面并输入安全\更多安全从 Windows Edge(它不适用于 IE、Chrome、Firefox 等)
- 如果您已设置好一切,您将看到以下屏幕:
答案2
您无法使用安全密钥登录自己的 Windows 10 非域计算机。
你能如果您使用的是 Azure Active Directory。通过硬件安全密钥进行无密码登录是一项在线 AAD 控制功能,如果没有第三方软件则无法在本地完成。
如果您登录非域 Windows 10 实例上的本地帐户,则无法做到这一点。
允许您选择安全密钥的“登录选项”设置页面将其描述为“管理可以登录的物理安全密钥应用”您的 Windows 10 登录名不是应用程序;您的在线 Microsoft 帐户登录名是一个应用程序。
围绕这个话题很容易引起混淆,因为微软使用了“Windows Hello”而不是“登录”这个短语——当有人说“Windows Hello”而不是应用程序登录时,大多数读者会想到 Windows 10 机器上的用户登录过程。Edge 将允许您使用“Windows Hello”方法(如指纹或面部识别)登录 Microsoft 在线应用程序。在 Windows Hello 下放置一个不能用于 Windows 登录的应用程序专用登录方法是一个坏主意,它造成了所有这些混乱。