Gostaria de usar uma chave FIDO2 para fazer login no Windows 10. Existem vários guias que explicam como adicionar uma chave a uma conta da Web da Microsoft ou às opções de login do Windows 10, mas nenhum deles aparece como uma opção quando eu tente entrar no Windows.
Como posso configurar o Windows para usar minha chave FIDO2 para fazer login?
Você não pode fazer login em seu próprio computador Windows 10 sem domínio usando uma chave de segurança.
Você PODE se estiver usando o Azure Active Directory. O login sem senha via chave de segurança de hardware é um recurso on-line controlado pelo AAD e não pode ser feito localmente sem software de terceiros.
Você não pode se estiver fazendo login em uma conta local em uma instância do Windows 10 fora do domínio.
A página de configuração "Opções de entrada" que permite selecionar uma chave de segurança a descreve como "Gerenciar uma chave de segurança física que pode fazer login em APLICATIVOS ". Seu login do Windows 10 não é um aplicativo; o login da sua conta Microsoft online é um aplicativo.
A confusão está madura em torno deste tópico porque a Microsoft usa a frase "Windows Hello" em vez de "login" - a maioria dos leitores pensa no processo de login do usuário em uma caixa do Windows 10 quando alguém diz "Windows Hello" e não logins de aplicativos. O Edge permitirá que você faça login no aplicativo online da Microsoft usando métodos "Windows Hello", como impressões digitais ou reconhecimento facial. Colocar um método de login somente de aplicativo no Windows Hello que não pode ser usado para o login do Windows foi uma má ideia que gerou toda essa confusão.
Referência: https://answers.microsoft.com/en-us/windows/forum/all/adding-a-security-key-for-pc-login-in-windows-10/ffd27920-5c51-4b04-afb8- 21e1a6810536?page=2
Primeiro, existem alguns pré-requisitos que você precisa ter antes de poder usar a funcionalidade FIDO2 .
1) O recurso FIDO2 requer o uso da atualização do Windows 10 de outubro de 2018 (versão 1809) e do navegador Microsoft Edge. ( Observação: a atualização ainda pode estar bloqueada devido a alguns problemas de driver, como drivers Intel - não sei se todos os problemas foram resolvidos - você deve verificar aqui .)
2) A Microsoft está usando as especificações
WebAuthneFIDO2 CTAP2, que exigem que uma chave privada e uma pública sejam adicionadas a um dispositivo. As organizações precisarão ter um Trusted Platform Module (TPM) no dispositivo para armazenar essas chaves. O TPMe pode ser implementado via hardware ou software (geralmente presente em notebooks empresariais como HP, DELL).O que torna uma chave compatível com a solução da Microsoft? Você deve lê-lo em: O que é uma chave de segurança compatível com a Microsoft?
Os detalhes sobre a implementação da Microsoft estão descritos em Tudo sobre FIDO2, CTAP2 e WebAuthn .
O suporte para a versão corporativa estará disponível à medida que as empresas aumentarem sua versão para a atualização mencionada acima e a MS permitir isso para elas (suporte completo no AD e no Azure AD).
Para habilitar uma conta da Microsoft (MSA) para usar o FIDO2
1) Você já está usando o Windows 10 1809 (atualização de outubro), como dito acima, você pode configurar o Windows Hello para usar o FIDO2
2) Para habilitá-lo, vá para a página da sua conta da Microsoft e entre em Security\More Security from Windows Edge (não funcionará no IE, Chrome, Firefox, etc.)