HOWTO: 使用 Intune 为组织用户启用安全密钥登录 Windows
HOWTO: 使用 Intune 为组织用户启用安全密钥登录 Windows
之前已经为大家分享了有关安全密钥配置和应用的日志,在开始前我们可以回顾两篇日志:“HOWTO: 使用安全密钥实现无密码登录 Windows”,“HOWTO: 为 Microsoft 365 用户启用安全密钥支持”。如果组织 IT 管理员希望为受管理的 Intune 客户端启用安全密钥登录 Windows,则需要配置相关的策略。我们可以通过 Intune 启用安全密钥,或以特定设备组为目标启用支持。
要通过 Intune 启用安全密钥,首先访问 Intune Portal,即 Microsoft Endpoint Manager 管理中心,然后定位到“设备 - 注册设备 - Windows Hello 企业版”,设置“将安全密钥用于登录”为“已启用”。很奇怪这个安全密钥与 Windows Hello 企业版并没关系,不知道为什么会放在一起,很干扰用户的理解。设置完毕,当设备注册到 Intune 时就会启用安全密钥登录 Windows,我们可以从 OOBE 阶段进行体验。
如果要为特定目标实施部署,则可以创建设备配置文件,使用自定义类别手动添加 OMA-URI,很奇怪这个策略竟然没有包含在管理模板中。OMA-URI 的具体配置如下:
- 名称:用于安全密钥登录 Windows(PS:可根据需要命名)
- 说明:可选
- 平台:Windows 10 及更高版本
- 配置文件类型:模板 - 自定义
- 自定义 OMA-URI 设置:
- 名称:开启安全密钥登录 Windows
- OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UserSecurityKeyForSignin
- 数据类型:整数
- 值:1
该配置文件可分配给特定的用户、设备和组。此外还要注意的要点是使用包含多个账户的安全密钥登录或解锁 Windows 设备时,只会使用添加到安全密钥的最近一个账户,仅在 Web 方式登录时才能够选择要使用的账户。
除了早先 gOxiA 介绍过的通过组策略(GPO)启用安全密钥登录外,今天我们还了解如何通过 Intune 来启用,此外我们还可以使用预配包为设备启用此功能。
更详尽的介绍建议阅读微软官方文档:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key-windows
HOWTO: 为 Microsoft 365 用户启用安全密钥支持
HOWTO: 为 Microsoft 365 用户启用安全密钥支持
早前 gOxiA 与大家分享了“HOWTO: 使用安全密钥实现无密码登录 Windows”,如果你所在的企业已经在使用 Microsoft 365(以下简称 M365),身为 IT 管理员希望为企业用户提供安全密钥支持,那么今天这篇日志将会帮助到你。
要为 M365 组织用户提供安全密钥的支持,需要在 AAD 中为身份验证方法启用 FIDO2 安全密钥,这样用户就可以在账户安全信息网站添加配置安全密钥。此外,管理员还能定义 FIDO2 安全密钥的强制限制策略。
要为 AAD 启用 FIDO2 安全密钥支持,需要登录 Azure Portal,然后转到“安全组 - 身份验证方法”页面去为所有或根据需要指定用户/组,启用安全密钥支持。如下图所示:
为了确保合规和安全,组织希望限定用户能够使用的安全密钥类型,那么我们可以在“Configure”中通过“强制密钥限制”来实现,只需要添加 AAGUID 即可。
AAGUID 除了可以从安全密钥供应商那里获取外,也可以在 AAD 用户 - 身份验证方法 已注册的安全密钥详细信息中查看。
完成配置之后,用户也参考之前的日志为账户注册了安全密钥,就可以在受支持的浏览器内使用安全密钥登录 Web。
对于那些组织域名特别长,账号和密码特别复杂的,安全密钥方式登录可有效简化输入时的繁琐过程。
HOWTO: 通过 Intune 分发 WinGet 测试版
HOWTO: 通过 Intune 分发 WinGet 测试版
WinGet 即 Windows 程序包管理器,官方解释为一个综合的程序包管理解决方案,由一个命令行工具和一组用于在 Windows 10 上安装应用程序的服务组成,主要面向开发人员或 ISV。对于企业 ITer 来说,如果你使用过这个工具就会发现它有无限潜能,因为我们可以利用 WinGet 实现应用程序的自动安装、升级等管理功能。如果希望了解 WinGet 的有关资讯,可以参考 gOxiA 之前的分享 “体验新的 Windows 程序包管理器”。
由于 WinGet 还处于预览版阶段,所以并不是每一台 Windows 10 计算机都具备这个功能。根据微软官方目前的介绍,有三种方案可以获取到 WinGet:
1. 参加 Windows 程序包管理器预览体验计划,然后从 微软应用商店 下载 Windows 应用安装程序,即可开始体验 WinGet。
2. 参加 Windows Insider 项目,只要升级到了 Insider 版本,系统会内置 WinGet 可直接使用。
3. 下载 WinGet 安装包,手动安装 WinGet。
本次分享将基于第三个方案,即下载 WinGet 安装包,然后通过 Intune 分发给 Windows 客户端,这样就能很轻松的部署或安装应用程序。首先访问 WinGet 项目页面,下载 msixbundle 格式的安装包。
接下来,通过 Microsoft Endpoint Manager 管理中心(Intune Portal)添加应用,应用类型为“LOB”即“业务线应用”,此类型可用于分发 msi、appx、appxbundle、msix 和 msixbundle 安装包。在选择应用包文件后,向导会执行依赖检测,如下图所示,要成功安装该应用,客户端计算机上必须已经安装 VCLibs 组件。如果无法确认客户端的组件安装情况,可手动上传这些组件。
对于 Microsoft VCLibs 可以从下面的网页获取上传即可。
C++ Runtime framework packages for Desktop Bridge:https://docs.microsoft.com/en-us/troubleshoot/cpp/c-runtime-packages-desktop-bridge
应用信息中根据实际需求填写相关信息即可,没有特别之处。
在 分配应用 这里,考虑到是面向系统层面的应用,且希望所有设备都安装,所以采用了“Required”选项,分配给了所有设备。
至此,配置结束!非常期待 Windows 11 里的 NewStore 尽快开放,因为预示着 Android 应用的到来!!!
