PIN zurücksetzen

In diesem Artikel wird beschrieben, wie der Microsoft-PIN-Zurücksetzungsdienst Es Ihren Benutzern ermöglicht, eine vergessene Windows Hello for Business PIN wiederherzustellen, und wie Sie sie konfigurieren.

Übersicht

Windows Hello for Business bietet Benutzern die Möglichkeit, vergessene PINs zurückzusetzen. Es gibt zwei Formen der PIN-Zurücksetzung:

  • Destruktive PIN-Zurücksetzung: Die vorhandene PIN des Benutzers und die zugrunde liegenden Anmeldeinformationen, einschließlich aller Schlüssel oder Zertifikate, die seinem Windows Hello Container hinzugefügt wurden, werden vom Client gelöscht, und ein neuer Anmeldeschlüssel und eine NEUE PIN werden bereitgestellt. Die destruktive PIN-Zurücksetzung ist die Standardoption und erfordert keine Konfiguration.
  • Nicht destruktive PIN-Zurücksetzung: Der Windows Hello for Business Container und die Schlüssel des Benutzers werden beibehalten, aber die PIN des Benutzers, die er zum Autorisieren der Schlüsselverwendung verwendet, wird geändert. Für die nicht destruktive PIN-Zurücksetzung müssen Sie den Microsoft PIN-Zurücksetzungsdienst bereitstellen und die Richtlinie Ihrer Clients so konfigurieren, dass das PIN-Wiederherstellungsfeature aktiviert wird.

Funktionsweise der nicht destruktiven PIN-Zurücksetzung

Anforderungen:

  • Hybridbereitstellungen oder reine Cloudbereitstellungen Windows Hello for Business
  • Windows Enterprise-, Education- und Pro-Editionen. Es gibt keine Lizenzierungsanforderung für dieses Feature.

Wenn die nicht destruktive PIN-Zurücksetzung auf einem Client aktiviert ist, wird lokal ein 256-Bit-AES-Schlüssel generiert. Der Schlüssel wird dem Windows Hello for Business Container und schlüsseln eines Benutzers als Schutzvorrichtung für die PIN-Zurücksetzung hinzugefügt. Diese PIN-Zurücksetzungsschutzvorrichtung wird mit einem öffentlichen Schlüssel verschlüsselt, der vom Microsoft-PIN-Zurücksetzungsdienst abgerufen und dann zur späteren Verwendung während der PIN-Zurücksetzung auf dem Client gespeichert wird. Nachdem ein Benutzer eine PIN-Zurücksetzung initiiert, die Authentifizierung und die mehrstufige Authentifizierung bei Microsoft Entra ID abgeschlossen hat, wird die verschlüsselte PIN-Zurücksetzungsschutzvorrichtung an den Microsoft-PIN-Zurücksetzungsdienst gesendet, entschlüsselt und an den Client zurückgegeben. Die entschlüsselte PIN-Zurücksetzungsschutzvorrichtung wird verwendet, um die PIN zu ändern, die zum Autorisieren von Windows Hello for Business Schlüsseln verwendet wird, und sie wird dann aus dem Arbeitsspeicher gelöscht.

Mithilfe Gruppenrichtlinie, Microsoft Intune oder einer kompatiblen MDM-Lösung können Sie Windows-Geräte so konfigurieren, dass sie den Microsoft PIN-Zurücksetzungsdienst sicher verwenden, mit dem Benutzer ihre vergessene PIN zurücksetzen können, ohne dass eine erneute Registrierung erforderlich ist.

In der folgenden Tabelle werden destruktive und nicht destruktive PIN-Zurücksetzungen verglichen:

Kategorie Destruktives Zurücksetzen der PIN Nicht destruktive PIN-Zurücksetzung
Funktion Die vorhandene PIN des Benutzers und die zugrunde liegenden Anmeldeinformationen, einschließlich aller Schlüssel oder Zertifikate, die seinem Windows Hello Container hinzugefügt werden, werden vom Client gelöscht, und ein neuer Anmeldeschlüssel und eine PIN werden bereitgestellt. Sie müssen den Microsoft-PIN-Zurücksetzungsdienst und die Clientrichtlinie bereitstellen, um die PIN-Wiederherstellungsfunktion zu aktivieren. Während einer nicht destruktiven PIN-Zurücksetzung werden der Windows Hello for Business Container und die Schlüssel des Benutzers beibehalten, aber die PIN des Benutzers, die er zum Autorisieren der Schlüsselverwendung verwendet, wird geändert.
Microsoft Entra eingebunden Zertifikatvertrauensstellung, Schlüsselvertrauensstellung und Kerberos-Cloudvertrauensstellung Zertifikatvertrauensstellung, Schlüsselvertrauensstellung und Kerberos-Cloudvertrauensstellung
Microsoft Entra hybrid eingebunden Zertifikatvertrauensstellung und Cloud-Kerberos-Vertrauensstellung für einstellungen und oberhalb der Sperre unterstützen destruktives Zurücksetzen der PIN. Key Trust unterstützt diese Option nicht über dem Sperrbildschirm. Dies ist auf die Synchronisierungsverzögerung zwischen der Bereitstellung seiner Windows Hello for Business Anmeldeinformationen und der Möglichkeit, diese für die Anmeldung zu verwenden, zurückzuführen. Es wird von der Einstellungsseite unterstützt, und die Benutzer müssen über eine Unternehmensnetzwerkkonnektivität mit dem Domänencontroller verfügen. Zertifikatvertrauensstellung, Schlüsselvertrauensstellung und Kerberos-Cloudvertrauensstellung für einstellungen und oberhalb der Sperre unterstützen die nicht destruktive PIN-Zurücksetzung. Für den DC ist keine Netzwerkverbindung erforderlich.
Lokal Wenn AD FS für lokale Bereitstellungen verwendet wird, müssen Benutzer über eine Unternehmensnetzwerkverbindung mit Verbunddiensten verfügen. Der PIN-Zurücksetzungsdienst basiert auf Microsoft Entra Identitäten und ist daher nur für Microsoft Entra hybrid eingebundenen und Microsoft Entra verbundenen Geräten verfügbar.
Zusätzliche Konfiguration erforderlich Standardmäßig unterstützt und erfordert keine Konfiguration. Stellen Sie den Microsoft-PIN-Zurücksetzungsdienst und die Clientrichtlinie bereit, um die PIN-Wiederherstellungsfunktion zu aktivieren.
MSA/Enterprise MSA und Enterprise Nur Enterprise.

Aktivieren des Microsoft PIN-Zurücksetzungsdiensts in Ihrem Microsoft Entra Mandanten

Bevor Sie die nicht destruktive PIN-Zurücksetzung verwenden können, müssen Sie zwei Anwendungen in Ihrem Microsoft Entra Mandanten registrieren:

  • Microsoft Pin Reset Service Production
  • Microsoft Pin Reset Client Production

Führen Sie die folgenden Schritte aus, um die Anwendungen zu registrieren:

  1. Wechseln Sie zur Microsoft PIN Reset Service Production-Website, und melden Sie sich mit einem globalen Administratorkonto an, das Sie zum Verwalten Ihres Microsoft Entra Mandanten verwenden. Überprüfen Sie die von der Microsoft Pin Reset Service Production-Anwendung angeforderten Berechtigungen, und wählen Sie Akzeptieren aus, um der Anwendung die Zustimmung für den Zugriff auf Ihre organization

Screenshot: Seite

  1. Wechseln Sie zur Microsoft PIN Reset Client Production-Website, und melden Sie sich mit einem globalen Administratorkonto an, das Sie zum Verwalten Ihres Microsoft Entra Mandanten verwenden. Überprüfen Sie die von der Microsoft Pin Reset Client Production-Anwendung angeforderten Berechtigungen, und wählen Sie Weiter aus.

Screenshot: Seite

  1. Überprüfen Sie die von der Microsoft Pin Reset Service Production-Anwendung angeforderten Berechtigungen, und wählen Sie Akzeptieren aus, um die Zustimmung für beide Anwendungen für den Zugriff auf Ihre organization zu bestätigen.

Hinweis

Nach der Annahme wird auf der Umleitungsseite eine leere Seite angezeigt. Dies ist ein bekanntes Verhalten.

Screenshot der letzten Seite der Dienstberechtigungen für die PIN-Zurücksetzung

Vergewissern Sie sich, dass die beiden Dienstprinzipale für die PIN-Zurücksetzung in Ihrem Mandanten registriert sind.

  1. Melden Sie sich beim Microsoft Entra Manager Admin Center an.
  2. Wählen Sie Microsoft Entra ID > Applications > Unternehmensanwendungen aus.
  3. Search nach dem Anwendungsnamen "Microsoft PIN" und vergewissern Sie sich, dass sich sowohl Microsoft Pin Reset Service Production als auch Microsoft Pin Reset Client Production auf der Seite "List PIN reset service permissions

Aktivieren der PIN-Wiederherstellung auf den Clients

Um die PIN-Wiederherstellung auf den Clients zu aktivieren, können Sie Folgendes verwenden:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Windows Hello For Business Aktivieren der Pinwiederherstellung Wahr

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Hinweis

Sie können die PIN-Wiederherstellung auch auf dem Blatt Endpunktsicherheit konfigurieren:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Endpunktsicherheit > Kontoschutz > Richtlinie erstellen aus.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem PassportForWork-CSP konfigurieren.

OMA-URI Datentyp Wert
./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery Boolesch Wahr

Hinweis

Ersetzen Sie durch TenantId den Bezeichner Ihres Microsoft Entra Mandanten. Informationen zum Nachschlagen Ihrer Mandanten-ID finden Sie unter Suchen Ihrer Microsoft Entra Mandanten-ID, oder versuchen Sie Folgendes, um sicherzustellen, dass Sie sich mit dem Konto Ihres organization anmelden:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Vergewissern Sie sich, dass die PIN-Wiederherstellungsrichtlinie auf den Geräten erzwungen wird.

Die Konfiguration der PIN-Zurücksetzung kann angezeigt werden, indem Sie dsregcmd /status über die Befehlszeile ausführen. Dieser Zustand befindet sich unter der Ausgabe im Abschnitt "Benutzerzustand" als CanReset-Zeilenelement . Wenn CanReset als DestructiveOnly meldet, ist nur die destruktive PIN-Zurücksetzung aktiviert. Wenn CanReset DestructiveAndNonDestructive meldet, ist die nicht destruktive PIN-Zurücksetzung aktiviert.

Beispiel für die Ausgabe des Benutzerzustands für die destruktive PIN-Zurücksetzung

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Beispielausgabe des Benutzerzustands für die nicht destruktive PIN-Zurücksetzung

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Konfigurieren zulässiger URLs für Verbundidentitätsanbieter auf Microsoft Entra verbundenen Geräten

Gilt für: Microsoft Entra verbundene Geräte

Die PIN-Zurücksetzung auf Microsoft Entra verbundenen Geräten verwendet einen Flow namens Webanmeldung, um Benutzer auf dem Sperrbildschirm zu authentifizieren. Die Webanmeldung ermöglicht nur die Navigation zu bestimmten Domänen. Wenn die Webanmeldung versucht, zu einer domäne zu navigieren, die nicht zulässig ist, wird eine Seite mit der folgenden Fehlermeldung angezeigt: Diese Seite kann derzeit nicht geöffnet werden.
Wenn Sie über eine Verbundumgebung verfügen und die Authentifizierung mithilfe von AD FS oder einem Nicht-Microsoft-Identitätsanbieter erfolgt, müssen Sie Ihre Geräte mit einer Richtlinie konfigurieren, um eine Liste von Domänen zuzulassen, die während der PIN-Zurücksetzungsflows erreicht werden können. Wenn diese Einstellung festgelegt ist, wird sichergestellt, dass Authentifizierungsseiten dieses Identitätsanbieters während Microsoft Entra pin-Zurücksetzung verwendet werden können.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Authentication Konfigurieren zulässiger UrLs für die Webanmeldung Stellen Sie eine durch Semikolons getrennte Liste von Domänen bereit, die während des PIN-Zurücksetzungsszenarios für die Authentifizierung erforderlich sind. Ein Beispielwert wäre signin.contoso.com; portal.contoso.com

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.

Einstellung
  • OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
  • Datentyp: Zeichenfolge
  • Wert: Geben Sie eine durch Semikolons getrennte Liste von Domänen an, die während des PIN-Zurücksetzungsszenarios für die Authentifizierung erforderlich sind. Ein Beispielwert wäre signin.contoso.com; portal.contoso.com
    		•

    Hinweis

    Für Azure Government gibt es ein bekanntes Problem, dass die PIN-Zurücksetzung auf Microsoft Entra verbundenen Geräten fehlschlägt. Wenn der Benutzer versucht, die PIN-Zurücksetzung zu starten, wird auf der Benutzeroberfläche für die PIN-Zurücksetzung eine Fehlerseite angezeigt, die besagt, dass diese Seite im Moment nicht geöffnet werden kann. Die Richtlinie ConfigureWebSignInAllowedUrls kann verwendet werden, um dieses Problem zu umgehen. Wenn dieses Problem auftritt und Sie die Azure US Government-Cloud verwenden, legen Sie login.microsoftonline.us als Wert für die Richtlinie ConfigureWebSignInAllowedUrls fest.

    Benutzerfreundlichkeit

    Destruktive und nicht destruktive PIN-Zurücksetzungsszenarien verwenden dieselben Schritte zum Initiieren einer PIN-Zurücksetzung. Wenn Benutzer ihre PINs vergessen haben, aber über eine alternative Anmeldemethode verfügen, können sie in den Einstellungen zu Anmeldeoptionen navigieren und eine PIN-Zurücksetzung über die PIN-Optionen initiieren. Wenn Benutzer keine alternative Möglichkeit haben, sich bei ihren Geräten anzumelden, kann die PIN-Zurücksetzung auch über den Windows-Sperrbildschirm mit dem PIN-Anmeldeinformationsanbieter initiiert werden. Benutzer müssen sich authentifizieren und die mehrstufige Authentifizierung abschließen, um ihre PIN zurückzusetzen. Nach Abschluss der PIN-Zurücksetzung können sich Benutzer mit ihrer neuen PIN anmelden.

    Wichtig

    Bei Microsoft Entra hybrid eingebundenen Geräten müssen Benutzer über eine Unternehmensnetzwerkkonnektivität mit Domänencontrollern verfügen, um die destruktive PIN-Zurücksetzung abzuschließen. Wenn AD FS für Zertifikatvertrauensstellungen oder nur für lokale Bereitstellungen verwendet wird, müssen Benutzer auch über Eine Unternehmensnetzwerkverbindung mit Verbunddiensten verfügen, um ihre PIN zurücksetzen zu können.

    PIN von den Einstellungen zurücksetzen

    1. Anmelden bei Windows 10 mit alternativen Anmeldeinformationen
    2. Öffnen von Einstellungen > Konten > Anmeldeoptionen
    3. Wählen Sie PIN (Windows Hello) > Ich habe meine PIN vergessen, und folgen Sie den Anweisungen.

    Zurücksetzen der PIN über den Sperrbildschirm

    Für Microsoft Entra verbundene Geräte:

    1. Wenn der PIN-Anmeldeinformationsanbieter nicht ausgewählt ist, erweitern Sie den Link Anmeldeoptionen, und wählen Sie das Symbol für das PIN-Pad aus.
    2. Wählen Sie Ich habe meine PIN vergessen aus dem PIN-Anmeldeinformationsanbieter aus.
    3. Wählen Sie eine Authentifizierungsoption aus der Liste der angezeigten Optionen aus. Diese Liste basiert auf den verschiedenen Authentifizierungsmethoden, die in Ihrem Mandanten aktiviert sind (z. B. Kennwort, PIN, Sicherheitsschlüssel).
    4. Führen Sie die Anweisungen des Bereitstellungsprozesses aus
    5. Wenn Sie fertig sind, entsperren Sie Ihren Desktop mit Ihrer neu erstellten PIN.

    Für Microsoft Entra hybrid eingebundene Geräte:

    1. Wenn der PIN-Anmeldeinformationsanbieter nicht ausgewählt ist, erweitern Sie den Link Anmeldeoptionen, und wählen Sie das Symbol für das PIN-Pad aus.
    2. Wählen Sie Ich habe meine PIN vergessen aus dem PIN-Anmeldeinformationsanbieter aus.
    3. Geben Sie Ihr Kennwort ein, und drücken Sie die EINGABETASTE.
    4. Führen Sie die Anweisungen des Bereitstellungsprozesses aus
    5. Wenn Sie fertig sind, entsperren Sie Ihren Desktop mit Ihrer neu erstellten PIN.

    Hinweis

    Die Schlüsselvertrauensstellung auf Microsoft Entra hybrid eingebundenen Geräten unterstützt keine destruktive PIN-Zurücksetzung über dem Sperrbildschirm. Dies ist auf die Synchronisierungsverzögerung zwischen der Bereitstellung seiner Windows Hello for Business Anmeldeinformationen und der Möglichkeit, diese für die Anmeldung zu verwenden, zurückzuführen. Für dieses Bereitstellungsmodell müssen Sie eine nicht destruktive PIN-Zurücksetzung bereitstellen, damit das Zurücksetzen der PIN über der Sperre funktioniert.

    Möglicherweise stellen Sie fest, dass die PIN-Zurücksetzung in den Einstellungen nur nach der Anmeldung funktioniert. Außerdem funktioniert die Pin-Zurücksetzungsfunktion des Sperrbildschirms nicht, wenn sie eine entsprechende Einschränkung der Self-Service-Kennwortzurücksetzung über den Sperrbildschirm haben. Weitere Informationen finden Sie unter Aktivieren Microsoft Entra Self-Service-Kennwortzurücksetzung auf dem Windows-Anmeldebildschirm.