HOWTO: 为 Microsoft 365 用户启用安全密钥支持

        早前 gOxiA 与大家分享了“HOWTO: 使用安全密钥实现无密码登录 Windows”，如果你所在的企业已经在使用 Microsoft 365（以下简称 M365），身为 IT 管理员希望为企业用户提供安全密钥支持，那么今天这篇日志将会帮助到你。

        要为 M365 组织用户提供安全密钥的支持，需要在 AAD 中为身份验证方法启用 FIDO2 安全密钥，这样用户就可以在账户安全信息网站添加配置安全密钥。此外，管理员还能定义 FIDO2 安全密钥的强制限制策略。

        要为 AAD 启用 FIDO2 安全密钥支持，需要登录 Azure Portal，然后转到“安全组 - 身份验证方法”页面去为所有或根据需要指定用户/组，启用安全密钥支持。如下图所示：

        为了确保合规和安全，组织希望限定用户能够使用的安全密钥类型，那么我们可以在“Configure”中通过“强制密钥限制”来实现，只需要添加 AAGUID 即可。

        AAGUID 除了可以从安全密钥供应商那里获取外，也可以在 AAD 用户 - 身份验证方法 已注册的安全密钥详细信息中查看。

        完成配置之后，用户也参考之前的日志为账户注册了安全密钥，就可以在受支持的浏览器内使用安全密钥登录 Web。

        对于那些组织域名特别长，账号和密码特别复杂的，安全密钥方式登录可有效简化输入时的繁琐过程。

参考文档：https://docs.microsoft.com/zh-cn/azure/active-directory/authentication/howto-authentication-passwordless-security-key#user-registration-and-management-of-fido2-security-keys