与密码相比，密钥提供了一种更安全、更方便的登录网站和应用程序的方法。 与用户必须记住和键入的密码不同，密码作为机密存储在设备上，可以使用设备的解锁机制 (生物识别或 PIN) 。 无需进行其他登录质询即可使用密钥，从而使身份验证过程更快、更安全、更方便。

可以将密钥与支持它们的任何应用程序或网站一起使用，以便使用 Windows Hello 创建和登录。 创建密钥并将其与Windows Hello一起存储后，可以使用设备的生物识别或 PIN 登录。 或者，可以使用手机或平板电脑) (配套设备登录。

注意

从 Windows 11 版本 22H2 和 KB5030310 开始，Windows 提供密钥管理的本机体验。 但是，可以在所有受支持的 Windows 客户端版本中使用密钥。

本文介绍如何在 Windows 设备上创建和使用密钥。

密钥的工作原理

Microsoft长期以来一直是 FIDO 联盟的创始成员，并帮助在平台验证器（如 Windows Hello）中本机定义和使用密钥。 密钥使用 FIDO 行业安全标准，所有主要平台都采用该标准。 Microsoft等领先的技术公司正在支持作为 FIDO 联盟的一部分的密钥，许多网站和应用正在集成对密钥的支持。

FIDO 协议依赖于标准公钥/私钥加密技术来提供更安全的身份验证。 当用户向联机服务注册时，其客户端设备将生成新的密钥对。 私钥安全地存储在用户的设备上，而公钥则注册到服务。 若要进行身份验证，客户端设备必须通过对质询进行签名来证明其拥有私钥。 只有在用户使用Windows Hello解锁因子 (生物识别或 PIN) 解锁私钥后，才能使用私钥。

FIDO 协议优先考虑用户隐私，因为它们旨在防止联机服务跨不同服务共享信息或跟踪用户。 此外，身份验证过程中使用的任何生物识别信息都保留在用户的设备上，不会通过网络或服务传输。

密码与密码的比较

与密码相较，密码具有多种优势，包括其易用性和直观性。 与密码不同，密钥易于创建，无需记住，也不需要受到保护。 此外，每个网站或应用程序都唯一的密钥，从而阻止其重用。 它们高度安全，因为它们仅存储在用户的设备上，服务仅存储公钥。 密钥旨在防止攻击者猜测或获取密钥，这有助于他们抵御攻击者可能试图诱使用户泄露私钥的钓鱼尝试。 浏览器或作系统强制使用密钥，使其仅用于适当的服务，而不依赖于人工验证。 最后，密钥提供跨设备和跨平台身份验证，这意味着一台设备的密钥可用于在另一台设备上登录。

Windows 版本和许可要求

下表列出了支持密钥的 Windows 版本：

Windows 专业版

Windows 企业版

Windows 专业教育版/SE

Windows 教育版

是

是

是

是

Passkeys 许可证权利由以下许可证授予：

Windows 专业版/专业教育版/SE

Windows 企业版 E3

Windows 企业版 E5

Windows 教育版 A3

Windows 教育版 A5

是

是

是

是

是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

用户体验

创建密钥

默认情况下，Windows 提供在 Windows 设备上本地保存密钥，在这种情况下，该密钥受Windows Hello (生物识别和 PIN) 保护。 还可以选择将密钥保存在以下位置之一：

iPhone、iPad 或 Android 设备：密钥保存在手机或平板电脑上，并受设备生物识别保护（如果设备提供）。 此选项要求你使用手机或平板电脑扫描 QR 码，必须靠近 Windows 设备。

链接设备：密钥保存在手机或平板电脑上，如果设备提供，则由设备生物识别保护。 此选项要求链接的设备靠近 Windows 设备，并且仅支持 Android 设备。

安全密钥：密钥保存到 FIDO2 安全密钥中，该密钥受密钥解锁机制 (保护，例如生物识别或 PIN) 。

注意

目前，Microsoft Entra ID密钥不能存储在 Windows 设备上。 若要了解详细信息，请参阅具有Microsoft Entra ID的密钥身份验证矩阵。

选择以下选项之一，了解如何根据存储密钥的位置保存密钥。

Windows 设备

新手机或平板电脑

链接的手机或平板电脑

安全密钥

打开支持密钥的网站或应用

从帐户设置创建密钥

选择“使用其他设备>下一步”选项

选择“此 Windows 设备>下一步”

选择Windows Hello验证方法并继续验证，然后选择“确定”

该密钥将保存到 Windows 设备。 若要确认，请选择 “确定”

打开支持密钥的网站或应用

从帐户设置创建密钥

选择“使用其他设备>下一步”选项

选择 iPhone、iPad 或 Android 设备>“下一步”

使用手机或平板电脑扫描 QR 码。 等待与设备建立连接，并按照说明保存密钥

将密钥保存到手机或平板电脑后，选择“ 确定”

打开支持密钥的网站或应用

从帐户设置创建密钥

选择“使用其他设备>下一步”选项

选择链接的设备名称 (例如 Pixel) >Next

建立与链接设备的连接后，请按照设备上的说明保存密钥

将密钥保存到链接的设备后，选择“ 确定”

打开支持密钥的网站或应用

从帐户设置创建密钥

选择“使用其他设备>下一步”选项

选择“安全密钥>下一步”

选择“ 确定” 以确认要设置安全密钥，并使用密钥的解锁机制解锁安全密钥

将密钥保存到安全密钥后，选择“ 确定”

使用密钥

打开支持密钥的网站或应用时，如果密钥存储在本地，系统会自动提示你使用Windows Hello登录。 还可以选择从以下位置之一使用密钥：

iPhone、iPad 或 Android 设备：如果要使用存储在手机或平板电脑上的密钥登录，请使用此选项。 此选项要求你使用手机或平板电脑扫描 QR 码，必须靠近 Windows 设备

链接设备：如果要使用存储在靠近 Windows 设备的设备上的密钥登录，请使用此选项。 此选项仅支持 Android 设备

安全密钥：如果要使用 FIDO2 安全密钥上存储的密钥登录，请使用此选项

根据保存密钥的位置，选择以下选项之一来了解如何使用密钥。

Windows 设备

手机或平板电脑

链接的手机或平板电脑

安全密钥

打开支持密钥的网站或应用

选择“ 使用密钥登录”或类似选项

选择“使用其他设备>下一步”选项

选择“此 Windows 设备>下一步”

选择Windows Hello解锁选项

选择 “确定” 以继续登录

打开支持密钥的网站或应用

选择“ 使用密钥登录”或类似选项

选择“使用其他设备>下一步”选项

选择 iPhone、iPad 或 Android 设备>“下一步”

使用保存密钥的手机或平板电脑扫描 QR 码。 建立与设备的连接后，请按照说明使用密钥

你已登录到网站或应用

打开支持密钥的网站或应用

选择“ 使用密钥登录”或类似选项

选择“使用其他设备>下一步”选项

选择链接的设备名称 (例如 Pixel) >Next

建立与链接设备的连接后，请按照设备上的说明使用密钥

你已登录到网站或应用

打开支持密钥的网站或应用

选择“ 使用密钥登录”或类似选项

选择“使用其他设备>下一步”选项

选择“安全密钥>下一步”

使用密钥的解锁机制解锁安全密钥

你已登录到网站或应用

管理密钥

从 Windows 11 版本 22H2 和 KB5030310 开始，可以使用“设置”应用查看和管理为应用或网站保存的密钥。 转到“设置帐户>密钥”>，或使用以下快捷方式：

管理密钥

将显示已保存的密钥列表，可以按名称筛选它们

若要删除密钥，请选择“ ...” > 删除密钥 名称旁边的 passkey

注意

无法删除 login.microsoft.com 的某些密钥，因为它们与 Microsoft Entra ID 和/或 Microsoft 帐户一起使用，用于登录到设备和Microsoft服务。

蓝牙受限环境中的密钥

对于密钥跨设备身份验证方案，Windows 设备和移动设备都必须启用蓝牙并连接到 Internet。 这允许用户通过蓝牙安全地授权另一台设备，而无需传输或复制密钥本身。

某些组织限制蓝牙的使用，包括使用密钥。 在这种情况下，组织可以通过允许仅使用已启用密钥传递的 FIDO2 验证器进行蓝牙配对来允许密钥。

若要将蓝牙的使用限制为仅传递密钥用例，请使用 蓝牙策略 CSP 和 DeviceInstallation Policy CSP。

设备配置

以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。

Intune/CSP

PowerShell

若要配置具有Microsoft Intune的设备，可以结合以下设置使用自定义策略：

设置

OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/允许广告 数据类型：整数 值：0 设置为 0时，设备不会发送广告。

OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode 数据类型：整数 值：0 设置为 0时，其他设备无法检测到该设备。

OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing数据类型：整数 值：0 防止特定的捆绑蓝牙外设自动与主机设备配对。

OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections 数据类型：整数 值：0防止用户使用 Swift Pair 和其他基于邻近的方案。

OMA-URI： ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList 数据类型： 字符串 值：{0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB} 设置允许的蓝牙服务和配置文件的列表：- FIDO 联盟通用第二因素验证器服务 (0000fffd-0000-1000-8000-00805f9b34fb) - FIDO2 保护客户端到验证器的传输服务 (0000FFF9-0000-1000-8000-00805F9B34FB) 有关详细信息，请参阅 FIDO CTAP 2.1 标准规范 和 蓝牙分配号码文档。

OMA-URI： ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs数据类型： 字符串 值：禁用现有的蓝牙个人区域网络 (PAN) 网络适配器，从而阻止安装可用于网络连接或网络共享的蓝牙网络适配器。

通过 MDM Bridge WMI 提供程序使用 PowerShell 脚本配置设备。

重要提示

对于所有设备设置，必须以 SYSTEM (LocalSystem) 帐户的身份执行 WMI Bridge 客户端。

若要测试 PowerShell 脚本，可以：

下载 psexec 工具

打开提升权限的命令提示符并运行：psexec.exe -i -s powershell.exe

在 PowerShell 会话中运行脚本

# Bluetooth configuration

$namespaceName = "root\cimv2\mdm\dmmap"

$className = "MDM_Policy_Config01_Bluetooth02"

New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{

ParentID="./Vendor/MSFT/Policy/Config";

InstanceID="Bluetooth";

AllowDiscoverableMode=0;

AllowAdvertising=0;

AllowPrepairing=0;

AllowPromptedProximalConnections=0;

ServicesAllowedList="{0000FFF9-0000-1000-8000-00805F9B34FB};{0000FFFD-0000-1000-8000-00805F9B34FB}"

}

# Device installation configuration

$namespaceName = "root\cimv2\mdm\dmmap"

$className = "MDM_Policy_Config01_DeviceInstallation02"

New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{

ParentID="./Vendor/MSFT/Policy/Config";

InstanceID="DeviceInstallation";

PreventInstallationOfMatchingDeviceIDs=']]>'

}

有关详细信息，请参阅将 PowerShell 脚本与 WMI Bridge 程序配合使用。

注意

应用设置后，如果尝试通过蓝牙配对设备，它将最初配对并立即断开连接。 蓝牙设备被阻止加载，并且无法从“设置”或设备管理器。

提供反馈

若要为密钥提供反馈，请打开 “反馈中心 ”，并使用“ 安全和隐私 > 密钥”类别。