Pregunta: ¿Es posible omitir Windows Hello (PIN) en un inicio de sesión de Windows 11 vinculado a una cuenta sin contraseña de Microsoft? ¿Por qué? Quiere forzar el uso de una clave de seguridad de hardware para la autenticación.
- Tengo una cuenta de Microsoft sin contraseña en el perfil de Windows 11
- Quiere omitir Windows Hello (PIN) y usar la clave de seguridad del hardware para la autenticación
- https://www.yubico.com/products/computer-login-tools/
- Según Yubico..."YubiKey no se puede usar junto"..."en su computadora usando una cuenta de Microsoft."
Respuesta1
Como ya notaste,
Yubico Login para Windows no admite ninguno de los siguientes:
- Cuentas administradas de Active Directory (AD)
- Cuentas administradas de Azure Active Directory (AAD)
Microsoft Accounts (MSA)
Deberá utilizar una cuenta local.
Fuente:Guía de configuración de inicio de sesión de Yubico para Windows
Respuesta2
(El hilo no se ha actualizado en varios meses, pero lo encontré más de una vez mientras buscaba en Google preguntas relacionadas, así que aquí hay una solución. Con suerte, ayudará a alguien).
No necesita Yubico Login para Windows para una cuenta de MS sin contraseña, si su computadora está unida a AzureAD (podría funcionar también para sistemas híbridos, pero solo lo he probado en máquinas unidas a AzureAD).
Hice esto en mi máquina con Windows 11 y en una máquina virtual con Windows 10 (VirtualBox permite el paso de SecurityKey, Hyper-V no).
Instrucciones de MS para habilitar claves FIDO en Azure AD:
- https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
- Asegúrese de seleccionar Todos los usuarios o su cuenta estará incluida en uno de los grupos permitidos.
Instrucciones de MS para agregar la clave de seguridad a su cuenta de MS:
- https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
- No se indica, pero este paso agrega sus credenciales de AzureAD/MS a su clave.
Reinicie su sistema después de estos pasos para aplicar los cambios de AzureAD. (Según mi experiencia limitada, es posible que tengas que esperar entre 10 y 15 minutos para que se aplique el cambio).
Este paso puede ser necesario o no, pero nunca lo he intentado sin este paso:
- Después de reiniciar, vaya a Inicio>Configuración>Cuentas>Opciones de inicio de sesión>Clave de seguridad y haga clic en [Administrar].
- Se le pedirá que inserte su clave y su PIN. Cierre la ventana que se carga (restablecer la clave o el pin desde esta interfaz probablemente eliminará las credenciales de su clave).
--
Cierra sesión para realizar la prueba. Debería recibir el mensaje estándar de contraseña/PIN, pero al insertar su clave (y/o seleccionar más opciones y seleccionar el ícono USB para una clave de seguridad) se le pedirá su PIN. Una vez que haga esto por primera vez, el método de inicio de sesión predeterminado será la Clave de seguridad.
La única forma que he encontrado de REQUERIR la clave para Windows es aquí:
https://swjm.blog/tres-vías-de-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
Éldice3 formas, pero en realidad son solo 3 formas diferentes de hacer lo mismo: deshabilitar todos los proveedores de credenciales de Windows, excepto las claves de seguridad y las tarjetas inteligentes.
CONSIDERACIONES IMPORTANTES:
- Si bien puede agregar varias cuentas de usuario a una clave, el inicio de sesión de Windows solo reconocerá la última credencial agregada a la clave.
- Si desactiva todos los proveedores de credenciales, excepto las claves de seguridad y las tarjetas inteligentes, asegúrese de tener una manera de volver a habilitarlos si pierde su clave. Mis máquinas están administradas por Intune, por lo que puedo enviar un script de PowerShell para volver a habilitar los otros proveedores, pero no sé qué haría sin un MDM si se perdiera la clave.
- Si desactiva todos los proveedores de credenciales excepto las claves de seguridad y las tarjetas inteligentes, no podrá utilizar Ejecutar como administrador si ha iniciado sesión como usuario estándar.Intenté iniciar sesión con una StandardKey y luego intentar proporcionar credenciales de administrador con una AdminKey, pero Windows no reconoce que la nueva clave tiene credenciales diferentes.(Solo probé esto en Windows 10 Pro; es posible que Windows 11 pueda reconocer las nuevas credenciales.)
Respuesta3
En pocas palabras: es posible omitir el pin de saludo de Windows y forzar el uso de cualquier clave de seguridad de hardware vinculada a una cuenta de Microsoft en un perfil de Windows. No se requiere software ni configuración especial.
Las partes más esenciales son:
- tener la clave de seguridad HW vinculada a la cuenta sin contraseña de MS
- use esta cuenta para iniciar sesión
- elimine manualmente el pin de saludo de Win y reinicie la computadora
- Luego se le solicitará la clave HW.
- Windows le exigirá que restablezca el pin de saludo.
- simplemente ignora esto y el inicio de sesión se completará sin usar el pin de saludo.
- sin software, configuración especial, cambios en la gestión de credenciales...etc. requerido
- No es una solución elegante, pero funciona perfectamente al imponer el uso de la clave HW y eliminar una vulnerabilidad potencial que podría permitir que algunos pirateen el PIN para iniciar sesión.
Advertencias:
- Tienes que quitar el pin de Windows.
- para cada inicio de sesión posterior, haga clic en "configurar mi PIN"
- luego haga clic en "iniciar sesión con una clave de seguridad" y
- finalmente haga clic en "cancelar"
Esto forzará el uso de cualquier clave de seguridad de hardware vinculada a su cuenta de Microsoft.