通过 Windows Hello 帐户强制使用硬件安全密钥

Question 1

正如你已经注意到的，

Yubico Login for Windows 不支持以下任何功能：

Active Directory (AD) 管理帐户

Azure Active Directory (AAD) 管理帐户

Microsoft Accounts (MSA)

您将需要使用本地帐户。

来源：Yubico 登录 Windows 配置指南

Answer

正如你已经注意到的，

Yubico Login for Windows 不支持以下任何功能：

Active Directory (AD) 管理帐户

Azure Active Directory (AAD) 管理帐户

Microsoft Accounts (MSA)

您将需要使用本地帐户。

来源：Yubico 登录 Windows 配置指南

Question 2

（该帖子已经几个月没有更新了，但我在谷歌搜索相关问题时发现过不止一次，所以这里有一个解决方案。希望它能对某人有所帮助。）

如果您的计算机已加入 AzureAD（可能也适用于混合加入，但我只在加入 AzureAD 的计算机上尝试过），则您不需要 Yubico Login for Windows 来获得 MS 无密码帐户。

我已在 Windows 11 计算机和 Windows 10 VM 上执行此操作（VirtualBox 允许 SecurityKey 直通，Hyper-V 不允许）。

在 Azure AD 中启用 FIDO 密钥的 MS 说明：

https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
确保您选择“所有用户”，或者您的账户包含在其中一个允许的组中

有关将安全密钥添加到您的 MS 帐户的 MS 说明：

https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
虽然没有说明，但此步骤会将您的 AzureAD/MS 凭据添加到您的密钥中

完成这些步骤后，重新启动系统以应用 AzureAD 更改。（根据我有限的经验，您可能需要等待 10-15 分钟才能应用更改。）

这一步可能是必要的，也可能不是，但我从来没有尝试过没有这一步：

重启后，进入开始>设置>帐户>登录选项>安全密钥，点击[管理]。
系统会要求您插入密钥并输入 PIN。关闭加载的窗口（从此界面重置密钥或 PIN 可能会删除密钥中的凭据）。

--

注销以进行测试。您应该会收到标准的密码/PIN 提示，但插入密钥（和/或选择更多选项并选择 USB 图标作为安全密钥）时，它会要求您输入 PIN。第一次执行此操作后，默认登录方法将是安全密钥。

我发现需要 Windows 密钥的唯一方法是：
https://swjm.blog/three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
它说3 种方法，但实际上只是用 3 种不同的方式做同一件事 - 禁用除安全密钥和智能卡之外的所有 Windows 凭据提供程序。

重要注意事项：

虽然您可以将多个用户帐户添加到一个密钥，但 Windows 登录只会识别添加到该密钥的最后一个凭据。
如果您禁用除安全密钥和智能卡之外的所有凭据提供程序，请确保在丢失密钥时有办法重新启用它们。我的机器由 Intune 管理，因此我可以推送 PowerShell 脚本来重新启用其他提供程序，但我不知道如果密钥丢失，没有 MDM 您会怎么做。
如果您禁用除安全密钥和智能卡之外的所有凭据提供程序，则以标准用户身份登录时将无法使用以管理员身份运行。我尝试使用 StandardKey 登录，然后尝试使用 AdminKey 提供管理员凭据，但 Windows 无法识别新密钥具有不同的凭据。（我仅在 Windows 10 Pro 中尝试过此操作 - Windows 11 可能能够识别新的凭据。）

Answer