질문: Microsoft 비밀번호 없는 계정에 연결된 Windows 11 로그인에서 Windows Hello(Pin)를 우회할 수 있습니까? 왜? 인증을 위해 하드웨어 보안 키를 강제로 사용하고 싶습니다.
- Windows 11 프로필에 암호 없는 Microsoft 계정이 있습니다.
- Windows Hello(PIN)를 우회하고 인증을 위해 하드웨어 보안 키를 사용하고 싶습니다.
- https://www.yubico.com/products/computer-login-tools/
- Yubico에 따르면..."YubiKey는 함께 사용할 수 없습니다."..."Microsoft 계정을 사용하는 컴퓨터에서는."
답변1
이미 언급했듯이,
Windows용 Yubico 로그인은 다음을 지원하지 않습니다:
- AD(Active Directory) 관리 계정
- AAD(Azure Active Directory) 관리 계정
Microsoft Accounts (MSA)
로컬 계정을 사용해야 합니다.
답변2
(스레드는 몇달동안 업데이트가 안됐는데 관련 질문을 구글링하다가 여러번 발견해서 해결방법을 알려드립니다. 누군가에게 도움이 되었으면 좋겠습니다.)
컴퓨터가 AzureAD에 가입된 경우 MS 암호 없는 계정에 Windows용 Yubico 로그인이 필요하지 않습니다(하이브리드 가입에서도 작동할 수 있지만 AzureAD에 가입된 컴퓨터에서만 시도했습니다).
저는 Windows 11 컴퓨터와 Windows 10 VM에서 이 작업을 수행했습니다(VirtualBox는 SecurityKey 통과를 허용하지만 Hyper-V는 허용하지 않음).
Azure AD에서 FIDO 키를 활성화하기 위한 MS 지침:
- https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
- 모든 사용자를 선택했는지, 아니면 귀하의 계정이 허용된 그룹 중 하나에 포함되어 있는지 확인하세요.
MS 계정에 보안 키를 추가하기 위한 MS 지침:
- https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
- 명시되지는 않았지만 이 단계에서는 AzureAD/MS 자격 증명을 키에 추가합니다.
AzureAD 변경 사항을 적용하려면 다음 단계를 마친 후 시스템을 다시 시작하세요. (제 경험으로는 변경사항이 적용되려면 10~15분 정도 기다려야 할 수도 있습니다.)
이 단계는 필요할 수도 있고 필요하지 않을 수도 있지만 이 단계 없이는 시도해 본 적이 없습니다.
- 다시 시작한 후 시작>설정>계정>로그인 옵션>보안 키로 이동하여 [관리]를 클릭하세요.
- 키를 삽입하고 PIN을 입력하라는 메시지가 표시됩니다. 로드되는 창을 닫습니다. 이 인터페이스에서 키 또는 핀을 재설정하면 키에서 자격 증명이 제거될 수 있습니다.
--
테스트를 위해 로그오프하세요. 표준 비밀번호/핀 프롬프트가 표시되지만 키를 삽입하면(및/또는 추가 옵션을 선택하고 보안 키에 대해 USB처럼 보이는 아이콘을 선택하면) PIN을 묻는 메시지가 표시됩니다. 처음 이 작업을 수행하면 기본 로그인 방법은 보안 키가 됩니다.
Windows용 키를 요구하는 유일한 방법은 다음과 같습니다.
https://swjm.blog/ three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
그것라고3가지 방법이 있지만 실제로는 동일한 작업을 수행하는 3가지 방법일 뿐입니다. 보안 키와 스마트 카드를 제외한 모든 Windows 자격 증명 공급자를 비활성화하는 것입니다.
중요 고려사항:
- 키에 여러 사용자 계정을 추가할 수 있지만 Windows 로그온은 키에 마지막으로 추가된 자격 증명만 인식합니다.
- 보안 키 및 스마트 카드를 제외한 모든 자격 증명 공급자를 비활성화하는 경우 키를 분실한 경우 이를 다시 활성화할 수 있는 방법이 있는지 확인하십시오. 내 컴퓨터는 Intune으로 관리되므로 PowerShell 스크립트를 푸시하여 다른 공급자를 다시 활성화할 수 있지만 키를 분실한 경우 MDM 없이 무엇을 해야 할지 모르겠습니다.
- 보안 키 및 스마트 카드를 제외한 모든 자격 증명 공급자를 비활성화하면 표준 사용자로 로그인한 경우 관리자 권한으로 실행을 사용할 수 없습니다.StandardKey로 로그인을 시도한 다음 AdminKey로 관리자 자격 증명을 제공하려고 시도했지만 Windows는 새 키에 다른 자격 증명이 있음을 인식하지 못합니다.(저는 Windows 10 Pro에서만 이 작업을 시도했습니다. Windows 11에서는 새 자격 증명을 인식할 수 있습니다.)
답변3
요점: Windows Hello 핀을 우회하고 Windows 프로필의 Microsoft 계정에 연결된 하드웨어 보안 키를 강제로 사용할 수 있습니다. 소프트웨어나 특별한 구성이 필요하지 않습니다.
가장 필수적인 부분은 다음과 같습니다.
- MS 비밀번호 없는 계정에 HW 보안 키가 연결되어 있어야 합니다.
- 로그인에 이 계정을 사용하세요
- Win hello 핀을 수동으로 제거하고 컴퓨터를 재부팅하십시오.
- 그런 다음 HW 키를 입력하라는 메시지가 표시됩니다
- Windows에서는 Hello 핀을 재설정해야 한다고 요구합니다.
- 이것을 무시하면 헬로우 핀을 사용하지 않고도 로그인이 완료됩니다.
- 소프트웨어 없음, 특수 구성, 자격 증명 관리 변경 등. 필수의
- 우아한 솔루션은 아니지만 HW 키 사용을 강제하고 로그인을 위해 핀을 해킹할 수 있는 잠재적인 취약점을 제거함으로써 완벽하게 작동합니다.
주의사항:
- Windows 핀을 제거해야 합니다
- 이후 로그인할 때마다 "내 핀 설정"을 클릭하세요.
- 그런 다음 "보안 키로 로그인"을 클릭하고
- 마지막으로 "취소"를 클릭하세요
이렇게 하면 Microsoft 계정에 연결된 하드웨어 보안 키를 강제로 사용해야 합니다.