为 Microsoft 365 组织启用 FIDO2 同步密钥
组织未设置正确的通行密钥配置的表现
如果启用了密钥登录, 在默认通行密钥配置下, Microsoft 365 组织用户只能添加硬件密钥, 在账户安全信息中添加登录方法会显示为 “安全密钥”, 图标为一个 USB 硬件样式:
对比手动配置之后的组织用户的可用登录方法, 显示为 “密钥”:
如果强行用密码管理器通过 “安全密钥” 方式添加, 则会在最终为密钥命名时遇到未知错误:
We’re sorry, we ran into a problem. Please choose ‘Next’ to try again.
此时打开 DevTools 查看网络请求会发现, POST 请求的 URL 响应了 HTTP:400 错误:
https://mysignins.microsoft.com/api/authenticationmethods/verify
载荷为密码管理器中的通行密钥配置, 响应如下:
{
"Type": 12,
"VerificationState": 3,
"DataUpdates": null,
"ErrorCode": 4,
"ErrorType": null
}
遇到类似问题就表示组织没有配置允许密码管理器中的通行密钥这样的同步安全密钥, 默认安全配置下的 Microsoft 365 组织只允许和设备绑定的密钥.
通行密钥配置
访问以下 URL 直接进入 Entra 管理中心的 FIDO2 密钥设置:
或者使用我的短链接:
一般情况下, Microsoft 已经为组织启用了默认设备绑定的通行密钥配置:
新建一个配置文件 “Synced and Device-bound passkey profile”, 不选中「强制认证」复选框, 在「通行密钥类型」下拉列表中选择 “Synced” 和 “Device-bound”, 不配置 AAGUID.
选中了「强制认证」选项就只能选择设备绑定的密钥类型.
点击 “保存” 后会返回到身份验证方法策略面板, 再次点击 “密钥 (FIDO2)” 策略进入:
在 “启用和定向” 栏中为所有用户启用刚才新建的配置后, 点击 “保存”.
用户添加通行密钥
正确的配置应用完成之后, 组织用户现在可以通过密码管理器添加通行密钥了.
通过以下链接可以快速前往账户安全信息设置:
点击 “添加登录方法” :
选择 “密钥” 方法:
成功创建通行密钥:
Write a comment