如何在 Microsoft Entra ID 中配置密钥

密钥是一种简单而安全的登录方式，无需输入用户名或密码。它还增加了额外的安全层来保护您的帐户。在本文中，您将了解如何使用 Microsoft Authenticator 在 Microsoft Entra ID 中配置密钥。

先决条件

Microsoft Entra ID 允许使用密钥进行无密码身份验证。此密钥可代替密码使用，并允许您使用面部、指纹或 PIN 码登录。

在 Microsoft Entra 中启用密钥并为用户注册之前，需要满足一些先决条件：

• 建议将旧版 MFA 和 SSPR 迁移到身份验证方法策略
• 用户必须启用 Microsoft Authenticator 方法 (MFA)
• 更新到最新的 Microsoft Authenticator 应用（版本 6.8.7 或更高版本）
• 至少需要 Android 14 或 IOS 17 及更高版本
• 移动设备和桌面设备应连接到互联网并打开蓝牙（跨设备身份验证）

在 Microsoft Entra ID 中启用密钥

有两种方法可以通过 Microsoft Authenticator 应用在 Microsoft Entra ID 中启用密钥：

• 微软 Entra 管理中心
• 微软图形PowerShell

方法 1. Microsoft Entra 管理中心

要在 Microsoft Entra 中启用密钥，请按照下列步骤操作：

1. 登录 Microsoft Entra 管理中心
2. 单击保护>身份验证方法
3. 点击FIDO2安全密钥

1. 选择启用
2. 包括所有用户
3. 点击保存

1. 点击配置
2. 允许自助服务设置 > 选择是
3. 强制证明 > 选择否*
4. 强制密钥限制 > 选择是
5. 限制特定键 > 选择允许

6. 选择Microsoft Authenticator（预览版），它将添加适用于 iOS 和 Android 的 AAGUID

   • iOS：90a3ccdf-635c-4729-a248-9b709135078f
7. Android：de1e552d-db1d-4423-a619-566b625cdc84
8. 点击保存

*您必须为强制证明选择否，因为 Microsoft 不支持 Microsoft Authenticator 中的密钥证明。否则，它会将密钥添加到您的身份验证器应用中，但不会将其添加到您的 Microsoft 帐户安全信息。此外，当您为用户注册密钥时，会出现以下错误。

错误：密钥注册期间发生未知错误。请重试或联系您的管理员以获得支持。

1. FIDO2 安全密钥策略已成功保存并为用户启用

现在，一切都已在 Microsoft Entra ID 中设置完毕。下一步是用户需要在移动设备上执行的操作。

方法 2：Microsoft Graph PowerShell

要使用 Microsoft Graph PowerShell 在 Microsoft Entra ID 中启用密钥，请按照以下步骤操作：

1. 以管理员身份启动 Windows PowerShell 并运行以下命令来安装 Microsoft Graph PowerShell 模块。

Install-Module Microsoft.Graph -Force

重要提示：在运行 cmdlet 或脚本之前，请务必安装最新的 Microsoft Graph PowerShell 模块版本，以防止出现错误和不正确的结果。

1. 使用以下范围运行 Connect-MgGraph cmdlet 以通过 Microsoft Graph 进行身份验证。

Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

1. 运行以下 PowerShell 脚本。

Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

$params = @{
    "@odata.type"                    = "#microsoft.graph.fido2AuthenticationMethodConfiguration"
    id                               = "Fido2"
    state                            = "enabled"
    includeTargets                   = @(
        @{
            id         = "all_users"
            targetType = "group"
        }
    )
    excludeTargets                   = @(
    )
    isSelfServiceRegistrationAllowed = $true
    isAttestationEnforced            = $false
    keyRestrictions                  = @{
        isEnforced      = $true
        enforcementType = "Allow"
        aaGuids         = @(
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"
        )
    }
}

Update-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration -AuthenticationMethodConfigurationId "Fido2" -BodyParameter $params

4. 验证 Fido2 身份验证方法状态和属性。

Get-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration -AuthenticationMethodConfigurationId "Fido2" | Select-Object -ExpandProperty AdditionalProperties

将出现以下输出。

Key                              Value
---                              -----
@odata.context                   https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity
@odata.type                      #microsoft.graph.fido2AuthenticationMethodConfiguration
isSelfServiceRegistrationAllowed True
isAttestationEnforced            False
keyRestrictions                  {[isEnforced, True], [enforcementType, allow], [aaGuids, System.Object[]]}
[email protected]     https://graph.microsoft.com/v1.0/$metadata#policies/authenticationMethodsPolicy/authenticationMethodConfigurations('Fido2')/microsoft.graph.fido2AuthenticationMethodConfiguration/includeTargets  
includeTargets                   {System.Collections.Generic.Dictionary`2[System.String,System.Object]}

现在，一切都已在 Microsoft Entra ID 中设置完毕。下一步是用户需要在移动设备上执行的操作。

在 Microsoft Authenticator 应用程序中注册密钥

用户需要在其移动设备上的 Microsoft Authenticator 应用程序中注册密钥。在我们的示例中，我们将在 iOS 设备上注册它，但这也可以在 Android 设备上完成。

注意：您可以按照以下步骤从桌面使用移动设备或仅从移动设备注册密钥。

请按照以下步骤在 Microsoft Authenticator 中注册密钥：

1. 登录安全信息
2. 点击添加登录方法

1. 选择Microsoft Authenticator（预览版）中的密钥
2. 点击添加

1. 点击下一步

1. 选择您的移动设备 > iPhone 或 iPad

1. 按照您的 iOS 移动设备上的步骤操作

   • 单击设置 > 密码 > 密码选项
2. 启用自动填充密码和密钥 > 选择身份验证器
3. 点击继续

1. 点击下一步

1. 点击我明白

1. 选择iPhone、iPad 或 Android 设备
2. 点击下一步

1. 使用移动设备扫描二维码

1. 您的移动设备上会收到消息 > 创建密钥？用户“[email protected]”的密钥将被保存并在安装了 Authenticator 的设备上可用。
2. 点击继续
3. 在您的桌面上，会出现此消息 > 设备已连接！在您的设备上继续

1. 单击确定

1. 命名您的万能钥匙
2. 点击完成

1. 您已在 iOS 设备上成功创建了密钥

验证使用密钥登录

在 Microsoft Entra ID 中启用密钥并将其注册到 Microsoft Authenticator 应用后，您可以通过两种方式使用它们：

• 从您的移动设备
• 从您的 Windows 桌面和移动设备（跨设备身份验证）

在移动设备上使用密钥

要从移动设备使用密钥登录，请按照以下步骤操作：

1. 转到 Microsoft 365 门户
2. 选择登录选项

1. 选择面部、指纹、PIN 码或安全密钥

1. 选择密钥 > 单击继续

现在您已成功登录您的 Microsoft 365 帐户。

在桌面和移动设备上使用密钥

要使用密钥从桌面登录，请按照以下步骤操作。

1. 转到 Microsoft 365 门户
2. 点击登录选项

1. 点击改为面部、指纹、PIN 码或安全密钥

1. 选择iPhone、iPad 或 Android 设备
2. 点击下一步

1. 使用移动设备扫描二维码
2. 点击移动设备上显示的链接

1. 在您的移动设备上 > 点击继续使用您的密码登录
2. 您的桌面上将显示以下消息 > 设备已连接！在您的设备上继续

就是这样！

了解更多：导出所有 Microsoft 365 用户 MFA 状态报告 »

结论

您学习了如何在 Microsoft Entra ID 中配置密钥。首先，您必须在 Microsoft Entra ID 中设置密钥。之后，用户需要使用移动设备在 Microsoft Authenticator 应用程序中注册密钥。从现在开始，用户可以使用其密钥而不是用户名和密码登录。

您喜欢这篇文章吗？您可能还喜欢管理 Microsoft 365 用户密码。不要忘记关注我们并分享这篇文章。