Freigeben über

PIN zurücksetzen

In diesem Artikel wird beschrieben, wie der Microsoft-PIN-Zurücksetzungsdienst Es Ihren Benutzern ermöglicht, eine vergessene Windows Hello for Business-PIN wiederherzustellen, und wie Sie sie konfigurieren.

Übersicht

Windows Hello for Business bietet Benutzern die Möglichkeit, vergessene PINs zurückzusetzen. Es gibt zwei Formen der PIN-Zurücksetzung:

  • Destruktive PIN-Zurücksetzung: Die vorhandene PIN des Benutzers und die zugrunde liegenden Anmeldeinformationen, einschließlich aller Schlüssel oder Zertifikate, die dem Windows Hello-Container hinzugefügt werden, werden vom Client gelöscht, und ein neuer Anmeldeschlüssel und eine NEUE PIN werden bereitgestellt. Die destruktive PIN-Zurücksetzung ist die Standardoption und erfordert keine Konfiguration.
  • Nicht destruktive PIN-Zurücksetzung: Der Windows Hello for Business-Container und die Schlüssel des Benutzers bleiben erhalten, aber die PIN des Benutzers, die er zum Autorisieren der Schlüsselverwendung verwendet, wird geändert. Für die nicht destruktive PIN-Zurücksetzung müssen Sie den Microsoft PIN-Zurücksetzungsdienst bereitstellen und die Richtlinie Ihrer Clients so konfigurieren, dass das PIN-Wiederherstellungsfeature aktiviert wird.

Funktionsweise der nicht destruktiven PIN-Zurücksetzung

Anforderungen:

  • Hybrid- oder reine Cloudbereitstellungen für Windows Hello for Business
  • Windows Enterprise-, Education- und Pro-Editionen. Es gibt keine Lizenzierungsanforderung für dieses Feature.

Wenn die nicht destruktive PIN-Zurücksetzung auf einem Client aktiviert ist, wird lokal ein 256-Bit-AES-Schlüssel generiert. Der Schlüssel wird dem Windows Hello for Business-Container eines Benutzers und den Schlüsseln als PIN-Zurücksetzungsschutz hinzugefügt. Diese PIN-Zurücksetzungsschutzvorrichtung wird mit einem öffentlichen Schlüssel verschlüsselt, der vom Microsoft-PIN-Zurücksetzungsdienst abgerufen und dann zur späteren Verwendung während der PIN-Zurücksetzung auf dem Client gespeichert wird. Nachdem ein Benutzer eine PIN-Zurücksetzung initiiert, die Authentifizierung und die mehrstufige Authentifizierung bei Microsoft Entra ID abgeschlossen hat, wird die schutzvorrichtung für die verschlüsselte PIN-Zurücksetzung an den Microsoft-PIN-Zurücksetzungsdienst gesendet, entschlüsselt und an den Client zurückgegeben. Die entschlüsselte PIN-Zurücksetzungsschutzvorrichtung wird verwendet, um die PIN zu ändern, die zum Autorisieren von Windows Hello for Business-Schlüsseln verwendet wird, und sie wird dann aus dem Arbeitsspeicher gelöscht.

Mithilfe von Gruppenrichtlinien, Microsoft Intune oder einer kompatiblen MDM-Lösung können Sie Windows-Geräte so konfigurieren, dass sie den Microsoft PIN-Zurücksetzungsdienst sicher verwenden, mit dem Benutzer ihre vergessene PIN zurücksetzen können, ohne dass eine erneute Registrierung erforderlich ist.

In der folgenden Tabelle werden destruktive und nicht destruktive PIN-Zurücksetzungen verglichen:

Kategorie Destruktives Zurücksetzen der PIN Nicht destruktive PIN-Zurücksetzung
Funktion Die vorhandene PIN und die zugrunde liegenden Anmeldeinformationen des Benutzers, einschließlich aller Schlüssel oder Zertifikate, die dem Windows Hello-Container hinzugefügt werden, werden vom Client gelöscht, und ein neuer Anmeldeschlüssel und eine PIN werden bereitgestellt. Sie müssen den Microsoft-PIN-Zurücksetzungsdienst und die Clientrichtlinie bereitstellen, um die PIN-Wiederherstellungsfunktion zu aktivieren. Während einer nicht destruktiven PIN-Zurücksetzung werden der Windows Hello for Business-Container und die Schlüssel des Benutzers beibehalten, aber die PIN des Benutzers, die er zum Autorisieren der Schlüsselverwendung verwendet, wird geändert.
In Microsoft Entra eingebunden Zertifikatvertrauensstellung, Schlüsselvertrauensstellung und Kerberos-Cloudvertrauensstellung Zertifikatvertrauensstellung, Schlüsselvertrauensstellung und Kerberos-Cloudvertrauensstellung
Hybrid eingebunden in Microsoft Entra Zertifikatvertrauensstellung und Cloud-Kerberos-Vertrauensstellung für einstellungen und oberhalb der Sperre unterstützen destruktives Zurücksetzen der PIN. Key Trust unterstützt diese Option nicht über dem Sperrbildschirm. Dies liegt an der Synchronisierungsverzögerung zwischen der Bereitstellung von Windows Hello for Business-Anmeldeinformationen und der Möglichkeit, diese für die Anmeldung zu verwenden. Es wird von der Einstellungsseite unterstützt, und die Benutzer müssen über eine Unternehmensnetzwerkkonnektivität mit dem Domänencontroller verfügen. Zertifikatvertrauensstellung, Schlüsselvertrauensstellung und Kerberos-Cloudvertrauensstellung für einstellungen und oberhalb der Sperre unterstützen die nicht destruktive PIN-Zurücksetzung. Für den DC ist keine Netzwerkverbindung erforderlich.
Lokal Wenn AD FS für lokale Bereitstellungen verwendet wird, müssen Benutzer über eine Unternehmensnetzwerkverbindung mit Verbunddiensten verfügen. Der PIN-Zurücksetzungsdienst basiert auf Microsoft Entra-Identitäten, sodass er nur für hybrid in Microsoft Entra eingebundene und in Microsoft Entra eingebundene Geräte verfügbar ist.
Zusätzliche Konfiguration erforderlich Standardmäßig unterstützt und erfordert keine Konfiguration. Stellen Sie den Microsoft-PIN-Zurücksetzungsdienst und die Clientrichtlinie bereit, um die PIN-Wiederherstellungsfunktion zu aktivieren.
MSA/Enterprise MSA und Enterprise Nur Enterprise.

Aktivieren des Microsoft PIN-Zurücksetzungsdiensts in Ihrem Microsoft Entra-Mandanten

Bevor Sie die nicht destruktive PIN-Zurücksetzung verwenden können, müssen Sie zwei Anwendungen in Ihrem Microsoft Entra-Mandanten registrieren:

  • Microsoft Pin Reset Service Production
  • Microsoft Pin Reset Client Production

Führen Sie die folgenden Schritte aus, um die Anwendungen zu registrieren:

  1. Wechseln Sie zur Microsoft PIN Reset Service Production-Website, und melden Sie sich mindestens als Anwendungsadministrator an. Überprüfen Sie die von der Microsoft Pin Reset Service Production-Anwendung angeforderten Berechtigungen, und wählen Sie Akzeptieren aus, um der Anwendung die Zustimmung für den Zugriff auf Ihre Organisation zu erteilen.

Screenshot: Seite

  1. Wechseln Sie zur Produktionswebsite des Microsoft PIN Reset Client, und melden Sie sich mindestens als Anwendungsadministrator an. Überprüfen Sie die von der Microsoft Pin Reset Client Production-Anwendung angeforderten Berechtigungen, und wählen Sie Weiter aus.

Screenshot: Seite

  1. Überprüfen Sie die von der Microsoft Pin Reset Service Production-Anwendung angeforderten Berechtigungen, und wählen Sie Akzeptieren aus, um die Zustimmung für beide Anwendungen für den Zugriff auf Ihre Organisation zu bestätigen.

Hinweis

Nach der Annahme wird auf der Umleitungsseite eine leere Seite angezeigt. Dies ist ein bekanntes Verhalten.

Screenshot der letzten Seite der Dienstberechtigungen für die PIN-Zurücksetzung

Vergewissern Sie sich, dass die beiden Dienstprinzipale für die PIN-Zurücksetzung in Ihrem Mandanten registriert sind.

  1. Melden Sie sich beim Microsoft Entra Manager Admin Center an.
  2. Auswählen von Microsoft Entra ID > Applications > Enterprise Applications
  3. Suchen Sie nach dem Anwendungsnamen "Microsoft PIN", und vergewissern Sie sich, dass sich sowohl Microsoft Pin Reset Service Production als auch Microsoft Pin Reset Client Production auf der Seite "List PIN reset service permissions

Aktivieren der PIN-Wiederherstellung auf den Clients

Um die PIN-Wiederherstellung auf den Clients zu aktivieren, können Sie Folgendes verwenden:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie

Die folgenden Anweisungen enthalten Einzelheiten zur Konfiguration Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.

Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Windows Hello For Business Aktivieren der Pinwiederherstellung Wahr

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Hinweis

Sie können die PIN-Wiederherstellung auch auf dem Blatt Endpunktsicherheit konfigurieren:

  1. Anmelden beim Microsoft Intune Admin Center
  2. Wählen Sie Endpunktsicherheit > Kontoschutz > Richtlinie erstellen aus.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem PassportForWork-CSP konfigurieren.

OMA-URI Datentyp Wert
./Vendor/MSFT/Policy/PassportForWork/ TenantId/Policies/EnablePinRecovery Boolesch Wahr

Hinweis

Sie müssen durch den Bezeichner Ihres Microsoft Entra-Mandanten ersetzen TenantId . Informationen zum Nachschlagen Ihrer Mandanten-ID finden Sie unter Suchen Ihrer Microsoft Entra-Mandanten-ID , oder versuchen Sie Folgendes, um sicherzustellen, dass Sie sich mit dem Konto Ihrer Organisation anmelden:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Vergewissern Sie sich, dass die PIN-Wiederherstellungsrichtlinie auf den Geräten erzwungen wird.

Die Pin-Zurücksetzungskonfiguration kann durch Ausführen von dsregcmd /status über die Befehlszeile angezeigt werden. Dieser Zustand befindet sich unter der Ausgabe im Abschnitt "Benutzerzustand" als CanReset-Zeilenelement . Wenn CanReset als DestructiveOnly meldet, ist nur die destruktive PIN-Zurücksetzung aktiviert. Wenn CanReset DestructiveAndNonDestructive meldet, ist die nicht destruktive PIN-Zurücksetzung aktiviert.

Beispiel für die Ausgabe des Benutzerzustands für die destruktive PIN-Zurücksetzung

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Beispielausgabe des Benutzerzustands für die nicht destruktive PIN-Zurücksetzung

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Konfigurieren zulässiger URLs für Verbundidentitätsanbieter auf in Microsoft Entra eingebundenen Geräten

Gilt für: In Microsoft Entra eingebundene Geräte

Die PIN-Zurücksetzung auf in Microsoft Entra eingebundenen Geräten verwendet einen Flow namens Webanmeldung, um Benutzer auf dem Sperrbildschirm zu authentifizieren. Die Webanmeldung ermöglicht nur die Navigation zu bestimmten Domänen. Wenn die Webanmeldung versucht, zu einer domäne zu navigieren, die nicht zulässig ist, wird eine Seite mit der folgenden Fehlermeldung angezeigt: Diese Seite kann derzeit nicht geöffnet werden.
Wenn Sie über eine Verbundumgebung verfügen und die Authentifizierung mithilfe von AD FS oder einem Nicht-Microsoft-Identitätsanbieter erfolgt, müssen Sie Ihre Geräte mit einer Richtlinie konfigurieren, um eine Liste von Domänen zuzulassen, die während der PIN-Zurücksetzungsflows erreicht werden können. Wenn diese Einstellung festgelegt ist, wird sichergestellt, dass Authentifizierungsseiten dieses Identitätsanbieters während der Zurücksetzung der in Microsoft Entra eingebundenen PIN verwendet werden können.

Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Authentication Konfigurieren zulässiger UrLs für die Webanmeldung Stellen Sie eine durch Semikolons getrennte Liste von Domänen bereit, die während des PIN-Zurücksetzungsszenarios für die Authentifizierung erforderlich sind. Ein Beispielwert wäre signin.contoso.com; portal.contoso.com

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.

Einstellung
  • OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
  • Datentyp: Zeichenfolge
  • Wert: Geben Sie eine durch Semikolons getrennte Liste von Domänen an, die während des PIN-Zurücksetzungsszenarios für die Authentifizierung erforderlich sind. Ein Beispielwert wäre signin.contoso.com; portal.contoso.com
    		•

    Hinweis

    Bei Azure Government gibt es ein bekanntes Problem, dass die PIN-Zurücksetzung auf in Microsoft Entra eingebundenen Geräten fehlschlägt. Wenn der Benutzer versucht, die PIN-Zurücksetzung zu starten, wird auf der Benutzeroberfläche für die PIN-Zurücksetzung eine Fehlerseite angezeigt, die besagt, dass diese Seite im Moment nicht geöffnet werden kann. Die Richtlinie ConfigureWebSignInAllowedUrls kann verwendet werden, um dieses Problem zu umgehen. Wenn dieses Problem auftritt und Sie die Azure US Government-Cloud verwenden, legen Sie login.microsoftonline.us als Wert für die Richtlinie ConfigureWebSignInAllowedUrls fest.

    Benutzerfreundlichkeit

    Destruktive und nicht destruktive PIN-Zurücksetzungsszenarien verwenden dieselben Schritte zum Initiieren einer PIN-Zurücksetzung. Wenn Benutzer ihre PINs vergessen haben, aber über eine alternative Anmeldemethode verfügen, können sie in den Einstellungen zu Anmeldeoptionen navigieren und eine PIN-Zurücksetzung über die PIN-Optionen initiieren. Wenn Benutzer keine alternative Möglichkeit haben, sich bei ihren Geräten anzumelden, kann die PIN-Zurücksetzung auch über den Windows-Sperrbildschirm mit dem PIN-Anmeldeinformationsanbieter initiiert werden. Benutzer müssen sich authentifizieren und die mehrstufige Authentifizierung abschließen, um ihre PIN zurückzusetzen. Nach Abschluss der PIN-Zurücksetzung können sich Benutzer mit ihrer neuen PIN anmelden.

    Wichtig

    Bei hybrid eingebundenen Microsoft Entra-Geräten müssen Benutzer über eine Unternehmensnetzwerkkonnektivität mit Domänencontrollern verfügen, um die destruktive PIN-Zurücksetzung abzuschließen. Wenn AD FS für Zertifikatvertrauensstellungen oder nur für lokale Bereitstellungen verwendet wird, müssen Benutzer auch über Eine Unternehmensnetzwerkverbindung mit Verbunddiensten verfügen, um ihre PIN zurücksetzen zu können.

    PIN von den Einstellungen zurücksetzen

    1. Anmelden bei Windows 10 mit alternativen Anmeldeinformationen
    2. Öffnen von Einstellungen > Konten > Anmeldeoptionen
    3. Wählen Sie PIN (Windows Hello) > Ich habe meine PIN vergessen , und folgen Sie den Anweisungen.

    Zurücksetzen der PIN über den Sperrbildschirm

    Für in Microsoft Entra eingebundene Geräte:

    1. Wenn der PIN-Anmeldeinformationsanbieter nicht ausgewählt ist, erweitern Sie den Link Anmeldeoptionen, und wählen Sie das Symbol für das PIN-Pad aus.
    2. Wählen Sie Ich habe meine PIN vergessen aus dem PIN-Anmeldeinformationsanbieter aus.
    3. Wählen Sie eine Authentifizierungsoption aus der Liste der angezeigten Optionen aus. Diese Liste basiert auf den verschiedenen Authentifizierungsmethoden, die in Ihrem Mandanten aktiviert sind (z. B. Kennwort, PIN, Sicherheitsschlüssel).
    4. Führen Sie die Anweisungen des Bereitstellungsprozesses aus
    5. Wenn Sie fertig sind, entsperren Sie Ihren Desktop mit Ihrer neu erstellten PIN.

    Für hybrid eingebundene Microsoft Entra-Geräte:

    1. Wenn der PIN-Anmeldeinformationsanbieter nicht ausgewählt ist, erweitern Sie den Link Anmeldeoptionen, und wählen Sie das Symbol für das PIN-Pad aus.
    2. Wählen Sie Ich habe meine PIN vergessen aus dem PIN-Anmeldeinformationsanbieter aus.
    3. Geben Sie Ihr Kennwort ein, und drücken Sie die EINGABETASTE.
    4. Führen Sie die Anweisungen des Bereitstellungsprozesses aus
    5. Wenn Sie fertig sind, entsperren Sie Ihren Desktop mit Ihrer neu erstellten PIN.

    Hinweis

    Die Schlüsselvertrauensstellung auf hybrid eingebundenen Microsoft Entra-Geräten unterstützt keine destruktive PIN-Zurücksetzung über dem Sperrbildschirm. Dies liegt an der Synchronisierungsverzögerung zwischen der Bereitstellung von Windows Hello for Business-Anmeldeinformationen und der Möglichkeit, diese für die Anmeldung zu verwenden. Für dieses Bereitstellungsmodell müssen Sie eine nicht destruktive PIN-Zurücksetzung bereitstellen, damit das Zurücksetzen der PIN über der Sperre funktioniert.

    Möglicherweise stellen Sie fest, dass die PIN-Zurücksetzung in den Einstellungen nur nach der Anmeldung funktioniert. Außerdem funktioniert die Pin-Zurücksetzungsfunktion des Sperrbildschirms nicht, wenn sie eine entsprechende Einschränkung der Self-Service-Kennwortzurücksetzung über den Sperrbildschirm haben. Weitere Informationen finden Sie unter Aktivieren der Self-Service-Kennwortzurücksetzung von Microsoft Entra auf dem Windows-Anmeldebildschirm.