无密码登录

• 适用于:

  Windows 11

密码是数字安全的基本组成部分，但它们通常不方便，容易受到网络攻击。 使用 Windows 11，用户可以享受无密码保护，从而提供更安全且用户友好的替代方案。 经过安全授权过程后，凭据由多层硬件和软件安全保护，为用户提供对其应用和云服务的无缝、无密码访问。

Windows Hello

密码通常很弱、被盗或被遗忘。 组织正在转向无密码登录，以降低违规风险，降低密码管理成本，提高用户和客户的工作效率和满意度。 Microsoft致力于通过Windows Hello（Windows 安全和标识保护的基石）帮助组织走向安全、无密码的未来。

Windows Hello可以使用生物识别或 PIN 验证启用无密码登录，并为 FIDO2 无密码行业标准提供内置支持。 因此，用户不再需要携带外部硬件（如安全密钥）进行身份验证。

安全便捷的登录体验可以根据受信任的平台模块 (TPM) 保护的 PIN 或生物识别数据（例如面部或指纹识别）来增强或替换密码。 分步指南使设置变得简单。

使用 TPM 中预配的非对称密钥，Windows Hello通过将用户的凭据绑定到其设备来保护身份验证。 Windows Hello基于 PIN 或生物识别匹配验证用户，并且仅允许在 TPM 中使用绑定到该用户的加密密钥。

PIN 和生物识别数据保留在设备上，不能在外部存储或访问。 由于没有设备物理访问权限的任何人都无法访问数据，因此凭据受到保护，免受重播攻击、网络钓鱼和欺骗以及密码重用和泄漏。

Windows Hello可以通过MICROSOFT帐户 (MSA) 、标识提供者服务或也实施 FIDO2 或 WebAuthn 标准的信赖方对用户进行身份验证。

了解更多信息

• 配置Windows Hello

Windows Hello PIN

Windows Hello PIN（只能由对设备具有物理访问权限的人输入）可用于强多重身份验证。 PIN 受 TPM 保护，与生物识别数据一样，永远不会离开设备。 当用户输入其 PIN 时，身份验证密钥将解锁，并用于对发送到身份验证服务器的请求进行签名。

TPM 可防范威胁，包括对丢失或被盗设备的 PIN 暴力攻击。 经过过多错误的猜测，设备会锁定。 IT 管理员可以为 PIN 设置安全策略，例如复杂性、长度和过期要求。

Windows 11版本 24H2 中的新增功能

如果设备没有内置生物识别，则已增强Windows Hello，默认使用基于虚拟化的安全 (VBS) 来隔离凭据。 这一额外的保护层有助于防范管理员级攻击。 即使使用 PIN 登录，凭据也会存储在安全容器中，确保在具有或不带内置生物识别传感器的设备上提供保护。

Windows Hello生物识别

Windows Hello生物识别登录通过快速方便的登录体验来增强安全性和工作效率。 无需输入 PIN 码;只需使用生物识别数据即可轻松轻松地进行登录。

支持生物识别硬件（如指纹或面部识别摄像头）的 Windows 设备直接与Windows Hello集成，从而允许访问 Windows 客户端资源和服务。 人脸和指纹的生物识别读取器必须符合Windows Hello生物识别要求。 Windows Hello面部识别设计为仅从注册时使用的受信任相机进行身份验证。

如果在注册后将外围摄像头附加到设备，则通过使用内部相机登录进行验证后，即可将其用于面部身份验证。 为了提高安全性，可以禁用外部摄像头以用于Windows Hello面部识别。

了解更多信息

• Windows Hello生物识别要求

Windows 状态感知

Windows 状态感知^[9] 为混合辅助角色提供另一层数据安全保护。 Windows 11设备可以智能地适应用户的状态，以帮助他们保持安全和高效，无论他们是在家里、办公室还是公共环境中工作。

Windows 状态感知将状态检测传感器与Windows Hello人脸识别相结合，让用户免手动登录，并在用户离开时自动锁定设备。 使用自适应调光功能，当用户在具有状态传感器的兼容设备上移开时，电脑会调暗屏幕。 此外，在设备上配置状态传感器也比以往更容易，在现用体验中轻松启用，并在“设置”中提供新链接来帮助查找状态感知功能。 设备制造商可以为状态传感器自定义和生成扩展。

隐私是首要考虑，比以往更加重要。 客户希望对其信息的使用具有更高的透明度和控制权。 新的应用隐私设置使用户能够允许或阻止访问其状态传感器信息。 用户可以在初始Windows 11设置期间决定这些设置。

用户还可以利用更精细的设置来轻松启用和禁用不同的状态感知功能，例如唤醒方法、离开时锁定和自适应调光。 我们还为开发人员提供用于第三方应用程序的状态感知的新 API。 第三方应用程序现在可以使用状态传感器访问设备上的用户状态信息。

了解更多信息

• 状态感知
• 管理 Windows 11 中的状态感知设置

Windows Hello 企业版

Windows Hello 企业版扩展了Windows Hello，以使用组织的 Active Directory 和 Microsoft Entra ID 帐户。 它提供对工作或学校资源（如 OneDrive、工作电子邮件和其他业务应用）的单一登录访问。 Windows Hello 企业版还使 IT 管理员能够管理连接到工作或学校资源的设备的 PIN 和其他登录要求。

预配Windows Hello 企业版后，用户可以使用 PIN、人脸或指纹解锁凭据并登录到其 Windows 设备。

预配方法包括：

• 密钥 (预览) ，它为用户提供了一种无缝方式，无需输入用户名或密码即可对Microsoft Entra ID进行身份验证
• 临时访问密码 (TAP) ，这是一种具有强身份验证要求的限时密码，通过 Microsoft Entra ID
• 使用 Microsoft Entra ID 的现有多重身份验证，包括 Microsoft Authenticator 应用

Windows Hello 企业版通过将传统的用户名和密码替换为安全密钥或证书以及 PIN 或生物识别数据的组合来增强安全性。 此设置会将凭据安全地映射到用户帐户。

有多种部署模型可用于Windows Hello 企业版，从而灵活地满足不同组织的各种需求。 其中，建议使用 混合云 Kerberos 信任 模型，并被视为在混合环境中运营的组织最简单的模型。

了解更多信息

• Windows Hello 企业版概述
• 为组织启用密钥 (FIDO2)

PIN 重置

Microsoft PIN 重置服务允许用户重置忘记的Windows Hello PIN，而无需重新注册。 在 Microsoft Entra ID 租户中注册服务后，必须使用组策略或设备管理解决方案（如 Microsoft Intune^[4]）在 Windows 设备上启用该功能。

用户可以从 Windows 锁屏界面或“设置”中的登录选项启动 PIN 重置。 此过程涉及进行身份验证和完成多重身份验证以重置 PIN。

了解更多信息

• PIN 重置

多重解锁

对于需要额外一层登录安全性的组织，多重解锁使 IT 管理员能够将 Windows 配置为需要两个唯一的受信任信号的组合才能登录。 受信任的信号示例包括 PIN 或生物识别数据 (人脸或指纹) 与 PIN、蓝牙、IP 配置或 Wi-Fi 相结合。

多重解锁对于需要阻止信息工作者共享凭据或需要遵守双重身份验证策略的法规要求的组织非常有用。

了解更多信息

• 多重解锁

Windows 无密码体验

Windows Hello 企业版现在支持完全无密码的体验。

IT 管理员可以在已加入Microsoft Entra ID计算机上配置策略，以便用户在访问公司资源时不再看到输入密码的选项。 配置策略后，将针对设备解锁和会话内身份验证方案从 Windows 用户体验中删除密码。 但是，密码尚未从标识目录中消除。 用户应使用强、防网络钓鱼、基于所有权的凭据（如Windows Hello 企业版和 FIDO2 安全密钥）浏览其核心身份验证方案。 如有必要，用户可以使用无密码恢复机制，例如Microsoft PIN 重置服务或 Web 登录。

用户直接使用Microsoft Entra ID进行身份验证，帮助加快对本地应用程序和其他资源的访问速度。

了解更多信息

• Windows 无密码体验

增强的登录安全性 (ESS)

Windows Hello支持增强的登录安全性，它使用专用硬件和软件组件提高生物识别登录的安全标准。

增强的登录安全性生物识别使用基于虚拟化的安全性 (VBS) 和 TPM 来隔离用户身份验证过程和数据，并保护信息通信的路径。

这些专用组件可防范一类攻击，包括生物识别样本注入、重播和篡改。 例如，指纹读取器必须实现安全设备连接协议，该协议使用密钥协商和Microsoft颁发的证书来保护并安全地存储用户身份验证数据。 对于面部识别，安全设备 (SDEV 等组件) 表和包含 trustlet 的进程隔离有助于防止更多攻击类。

增强的登录安全性由设备制造商在制造过程中配置，通常受安全核心电脑支持。 对于面部识别，特定芯片和相机组合支持增强的登录安全性 - 与特定设备制造商检查。 指纹身份验证适用于所有处理器类型。 请联系特定 OEM 以获取支持详细信息。

了解更多信息

• Windows Hello 增强的登录安全性

FIDO2

FIDO 联盟是快速标识在线行业标准机构，其成立旨在推广身份验证技术和标准，以减少对密码的依赖。 FIDO 联盟和万维网联盟 (W3C) 协同工作， (CTAP2) 和 Web 身份验证 (WebAuthn) 规范定义客户端到验证器协议。 这些规范是跨 Web 和应用提供强大、防钓鱼、用户友好和隐私保护身份验证的行业标准。 FIDO 标准和认证正逐渐成为跨企业、政府和消费者市场创建安全身份验证解决方案的领先标准。

Windows 11还可以将外部 FIDO2 安全密钥与Windows Hello和Windows Hello 企业版一起使用进行身份验证，这也是 FIDO2 认证的无密码解决方案。 因此，Windows 11可用作许多常用标识管理服务的 FIDO 验证器。

Passkeys

Windows 11使用户能够将密码替换为密钥，使通过网络钓鱼攻击利用被盗密码的黑客更加困难。 密钥是安全登录的跨平台未来。 Microsoft和其他技术领导者支持跨平台和服务传递密钥。

密钥是安全存储在设备上的唯一且不可模糊的加密机密。 Windows 11用户无需使用用户名和密码登录到网站或应用程序，而是可以通过Windows Hello、第三方密钥提供程序、外部 FIDO2 安全密钥或其移动设备创建和使用密钥。 Windows 上的密钥可在支持其登录的任何浏览器或应用中工作。

使用 Windows Hello 创建和保存的密钥受Windows Hello或Windows Hello 企业版保护。 用户可以使用其人脸、指纹或设备 PIN 登录到网站或应用。 用户可以从“设置帐户>密钥”>管理其密钥。

即将推出^[7]

第三方密钥提供程序的插件模型使用户能够使用第三方密钥管理器管理其密钥。 此模型可确保无缝的平台体验，无论密钥是由 Windows 直接管理还是由第三方验证器管理。 使用第三方密钥提供程序时，由第三方提供程序安全地保护和管理这些密钥。

了解更多信息

• Windows 中对密钥的支持
• 为组织启用密钥 (FIDO2)

Microsoft Authenticator

Microsoft Authenticator 应用在 iOS 和 Android 设备上运行，可帮助Windows 11用户保持安全和高效。 Microsoft具有Microsoft Entra密钥的 Authenticator 可用作防钓鱼方法来启动Windows Hello 企业版。

Microsoft Authenticator 还支持使用多重身份验证、无密码电话登录、防钓鱼身份验证 (密钥) 或密码自动填充的所有联机帐户轻松安全登录。 Authenticator 应用中的帐户在硬件支持的存储（例如 iOS 中的密钥链和 Android 上的密钥存储）中使用公钥/私钥对进行保护。 IT 管理员可以使用不同的工具来微移其用户来设置 Authenticator 应用，为他们提供有关身份验证源的额外上下文，并确保他们正在积极使用它。

单个用户可以通过在设置中启用加密备份选项，将其凭据备份到云。 他们还可以查看Microsoft个人、工作或学校帐户的登录历史记录和安全设置。

使用此安全应用进行身份验证和授权使用户能够控制其凭据的使用方式、地点和时间。 为了跟上不断变化的安全环境，应用会不断更新，并添加了新功能，以保持领先于新兴的威胁途径。

了解更多信息

• Microsoft Entra ID 中的身份验证方法 - Microsoft Authenticator 应用中

Web 登录

在支持 Web 登录的情况下，用户可以使用 Microsoft Authenticator 应用或临时访问密码 (TAP) 登录。 Web 登录还支持使用 SAML-P 标识提供者进行联合登录。

了解更多信息

• 适用于 Windows 的 Web 登录

联合登录

Windows 11支持与外部教育标识管理服务的联合登录。 对于无法轻松键入或无法记住复杂密码的学生，此功能可通过 QR 码或图片等方法实现安全登录。

了解更多信息

• 为 Windows 设备配置联合登录

智能卡

组织还可以选择智能卡，这是生物识别身份验证之前存在的身份验证方法。 这些防篡改的便携式存储设备通过对用户进行身份验证、对代码进行签名、保护电子邮件以及使用 Windows 域帐户登录来增强 Windows 安全性。

智能卡提供：

• 在医疗保健等场景中的易用性，用户无需动手或共享工作站即可快速登录和注销
• 从计算机的其他部分隔离涉及身份验证、数字签名和密钥交换的安全关键型计算。 这些计算是在智能卡
• 在工作、家庭或路上的计算机之间可移植凭据和其他私人信息

智能卡只能用于登录到域帐户或Microsoft Entra ID帐户。

使用密码登录到域帐户时，Windows 使用 Kerberos 版本 5 (V5) 协议进行身份验证。 如果使用智能卡，则操作系统使用带有 X.509 V3 证书的 Kerberos V5 身份验证。 在已加入Microsoft Entra ID设备上，智能卡可用于基于Microsoft Entra ID证书的身份验证。 智能卡不能与本地帐户一起使用。

Windows Hello 企业版和 FIDO2 安全密钥是适用于 Windows 的新式双因素身份验证方法。 建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版 或 FIDO2。 对于新的 Windows 安装，建议Windows Hello 企业版或 FIDO2 安全密钥。

了解更多信息

• 智能卡技术参考

Microsoft Defender SmartScreen 中的增强网络钓鱼防护

随着恶意软件防护和其他安全措施的发展，网络罪犯会寻找规避安全措施的新方法。 网络钓鱼是一种主要威胁，其应用和网站旨在通过诱骗用户自愿输入密码来窃取凭据。 因此，许多组织正在过渡到使用Windows Hello或Windows Hello 企业版轻松且安全的无密码登录。

我们知道，人们处于无密码旅程的不同阶段。 为了帮助仍在使用密码的用户进行此旅程，Windows 11提供了强大的凭据保护。 Microsoft Defender SmartScreen 现在包括增强的钓鱼防护功能，可在用户Microsoft密码输入到任何应用或网站时自动检测。 然后，Windows 会识别应用或站点是否对Microsoft进行安全身份验证，并在凭据存在风险时发出警告。 由于用户在潜在凭据被盗时收到警报，因此他们可以在对用户或组织使用密码之前采取抢先措施。

了解更多信息

• Microsoft Defender SmartScreen 中的增强网络钓鱼防护