HOWTO: 为 Microsoft 365 用户启用安全密钥支持
HOWTO: 为 Microsoft 365 用户启用安全密钥支持
早前 gOxiA 与大家分享了“HOWTO: 使用安全密钥实现无密码登录 Windows”,如果你所在的企业已经在使用 Microsoft 365(以下简称 M365),身为 IT 管理员希望为企业用户提供安全密钥支持,那么今天这篇日志将会帮助到你。
要为 M365 组织用户提供安全密钥的支持,需要在 AAD 中为身份验证方法启用 FIDO2 安全密钥,这样用户就可以在账户安全信息网站添加配置安全密钥。此外,管理员还能定义 FIDO2 安全密钥的强制限制策略。
要为 AAD 启用 FIDO2 安全密钥支持,需要登录 Azure Portal,然后转到“安全组 - 身份验证方法”页面去为所有或根据需要指定用户/组,启用安全密钥支持。如下图所示:
为了确保合规和安全,组织希望限定用户能够使用的安全密钥类型,那么我们可以在“Configure”中通过“强制密钥限制”来实现,只需要添加 AAGUID 即可。
AAGUID 除了可以从安全密钥供应商那里获取外,也可以在 AAD 用户 - 身份验证方法 已注册的安全密钥详细信息中查看。
完成配置之后,用户也参考之前的日志为账户注册了安全密钥,就可以在受支持的浏览器内使用安全密钥登录 Web。
对于那些组织域名特别长,账号和密码特别复杂的,安全密钥方式登录可有效简化输入时的繁琐过程。
WDS 变更部署支持
WDS 变更部署支持
在 Windows 11 发布后,微软也公布了 Windows 部署服务(WDS)的最新支持说明 - https://docs.microsoft.com/zh-cn/windows/deployment/wds-boot-support ,大致意思是通过 WDS 的 PXE 加载 Windows 11 的 Boot.wim 来实施 Windows Setup 时,该方案将不再受支持。 如下图所示,进入 PE 环境后会有一个否决通知,且无法跳过,只能重启动。(PS:通过测试在此界面下仍能调出 CMD)
在说明文档中提给出了详细的受影响的部署方案,说实话看了半天也没完全理解,尤其是在做过实验之后。
gOxiA 的实验是这样的,以 VM 方式安装了一台 Windows Server 2022,然后分别导入了 Win 10、11 和 2022 的 Boot.wim,然后又分别导入了它们的 Install.wim,执行部署测试。
如果选择 Windows 11 的 Boot.wim 启动,会出现文章前面提到的的“否决通知”;选择 Windows 10 的 Boot.wim 启动,则如以往一样正常安装映像。
但选择 Windows Server 2022 的 Boot.wim 启动虽然也会显示“否决通知”,但仍可以通过点击“下一页”跳过,并正常安装映像。
从目前的测试看,限制仅仅是 Boot.wim 中的 Setup 程序会检测是否基于 WDS PXE 启动,并给出对应的“否则通知”,还并没有基于 WDS 本身进行限制,还允许一段时间的过渡期。但从另一篇文档(Windows Server 2022 已删除或不再开发的功能)中可以了解到,WDS 的操作系统部署功能将逐渐弃用,并建议企业 IT 桌面交付部门尽快使用 Configuration Manager 或 MDT 进行桌面系统的交付。
HOWTO: 使用安全密钥实现无密码登录 Windows
HOWTO: 使用安全密钥实现无密码登录 Windows
gOxiA 于20年9月份入手了一款安全密钥产品,是 Yubico 公司出品的 Yubikey 5 NFC,兼容 Windows、Android 和 iOS。之后为了方便在一些 Type-C 接口的设备上使用,还买了一个绿联的 AtoC 的转接头,如下图所示:
购买安全密钥的主要目的是体验无密码登录 Windows,在当时的 Windows 10 系统版本上是可以直接在 “账户 - 登录选项”下配置安全密钥登录的,但目前来看 Windows 设置下也仅提供了安全密钥 PIN和重置两个选项,那就只能通过 https://myprofile.microsoft.com/ (M365)或 https://account.microsoft.com(MSA)来为账号添加安全密钥,这意味着支持 MSA 和 M365 账号类型。
在开始为账号配置前我们需要对安全密钥做一些准备工作,首先是重置安全密钥,为此我们 Win+i 打开 Windows 设置,找到“账户 - 登录选项 - 安全密钥”,点击“管理按钮”,向导会提示插入安全密钥,并触摸安全密钥(即触摸一下安全密钥上的圆形金属,具体参考前面的照片)。
之后会看到两个配置选项:“安全密钥 PIN”,以及“重置安全密钥”。这里我们先选择后者,继续。
提示“重置安全密钥”确认时,点击“继续”。
向导会要求重新插入安全密钥,重新插入安全密钥后,向导会要求在10秒内来纳许触摸两次安全密钥,完成后即可看到重置成功的提示。
完成安全密钥重置后,就可以为其添加一个 PIN,只有在使用时输入正确的 PIN 才能调用安全密钥中的账户验证信息,为此我们重新进入安全密钥管理,选择更改安全密钥 PIN,这里可以输入一个简单的数字形式的密码,不要与常用密码相同哦!
现在我们就完成了安全密钥的准备工作,对于 M365 用户接下来访问“https://myprofile.microsoft.com”来添加安全密钥验证登录;如果你是 MSA 账号则访问 “https://account.microsoft.com/security” 的高级安全选项来添加,如下图所示:
本例则基于 M365 账号进行配置,具体步骤如下:
在“安全信息”页面点击“添加方法”,选择“安全密钥”,由于设置安全密钥需要做双因素验证,接下来向导会指引我们通过手机或验证器执行账号的验证。
安全密钥类型这里选择“USB 设备”,然后跟随向导继续,为此安全密钥验证输入一个备注名以便于识别,在执行安全密钥 PIN 的验证后向导便会将当前账户的验证信息写入到安全密钥,配置过程结束,具体步骤可参考下图:
现在我们可以在 Windows 登录时使用安全密钥进行验证了,此外我们还可以在使用 Outlook 等 M365 在线服务时通过安全密钥进行验证。
如果你在登录 Windows 时没有看到安全密钥的登录选项,可以修改 GPO 已启用这个策略,此配置位于“计算配置 - 管理模板 - 系统 -登录”下,“启用安全密钥登录”。不过通常企业 IT 管理员会统一部署无密码登录,以后有时间 gOxiA 再与大家分享。
