HOWTO: 使用安全密钥实现无密码登录 Windows

        gOxiA 于20年9月份入手了一款安全密钥产品，是 Yubico 公司出品的 Yubikey 5 NFC，兼容 Windows、Android 和 iOS。之后为了方便在一些 Type-C 接口的设备上使用，还买了一个绿联的 AtoC 的转接头，如下图所示：

        购买安全密钥的主要目的是体验无密码登录 Windows，在当时的 Windows 10 系统版本上是可以直接在 “账户 - 登录选项”下配置安全密钥登录的，但目前来看 Windows 设置下也仅提供了安全密钥 PIN和重置两个选项，那就只能通过 https://myprofile.microsoft.com/ （M365）或 https://account.microsoft.com（MSA）来为账号添加安全密钥，这意味着支持 MSA 和 M365 账号类型。

        在开始为账号配置前我们需要对安全密钥做一些准备工作，首先是重置安全密钥，为此我们 Win+i 打开 Windows 设置，找到“账户 - 登录选项 - 安全密钥”，点击“管理按钮”，向导会提示插入安全密钥，并触摸安全密钥（即触摸一下安全密钥上的圆形金属，具体参考前面的照片）。

        之后会看到两个配置选项：“安全密钥 PIN”，以及“重置安全密钥”。这里我们先选择后者，继续。

        提示“重置安全密钥”确认时，点击“继续”。

        向导会要求重新插入安全密钥，重新插入安全密钥后，向导会要求在10秒内来纳许触摸两次安全密钥，完成后即可看到重置成功的提示。

        完成安全密钥重置后，就可以为其添加一个 PIN，只有在使用时输入正确的 PIN 才能调用安全密钥中的账户验证信息，为此我们重新进入安全密钥管理，选择更改安全密钥 PIN，这里可以输入一个简单的数字形式的密码，不要与常用密码相同哦！

        现在我们就完成了安全密钥的准备工作，对于 M365 用户接下来访问“https://myprofile.microsoft.com”来添加安全密钥验证登录；如果你是 MSA 账号则访问 “https://account.microsoft.com/security” 的高级安全选项来添加，如下图所示：

        本例则基于 M365 账号进行配置，具体步骤如下：

        在“安全信息”页面点击“添加方法”，选择“安全密钥”，由于设置安全密钥需要做双因素验证，接下来向导会指引我们通过手机或验证器执行账号的验证。

        安全密钥类型这里选择“USB 设备”，然后跟随向导继续，为此安全密钥验证输入一个备注名以便于识别，在执行安全密钥 PIN 的验证后向导便会将当前账户的验证信息写入到安全密钥，配置过程结束，具体步骤可参考下图：

        现在我们可以在 Windows 登录时使用安全密钥进行验证了，此外我们还可以在使用 Outlook 等 M365 在线服务时通过安全密钥进行验证。

        如果你在登录 Windows 时没有看到安全密钥的登录选项，可以修改 GPO 已启用这个策略，此配置位于“计算配置 - 管理模板 - 系统 -登录”下，“启用安全密钥登录”。不过通常企业 IT 管理员会统一部署无密码登录，以后有时间 gOxiA 再与大家分享。