Compartir vía


Restablecer PIN

En este artículo se describe cómo el servicio de restablecimiento de PIN de Microsoft permite a los usuarios recuperar un PIN de Windows Hello para empresas olvidado y cómo configurarlo.

Introducción

Windows Hello para empresas proporciona la funcionalidad para que los usuarios restablezcan los PIN olvidados. Hay dos formas de restablecimiento de PIN:

  • Restablecimiento de PIN destructivo: el PIN existente del usuario y las credenciales subyacentes, incluidas las claves o certificados agregados a su contenedor de Windows Hello, se eliminan del cliente y se aprovisionan una nueva clave de inicio de sesión y un PIN. El restablecimiento de PIN destructivo es la opción predeterminada y no requiere configuración
  • Restablecimiento de PIN no destructivo: se conservan el contenedor y las claves de Windows Hello para empresas del usuario, pero se cambia el PIN del usuario que usa para autorizar el uso de claves. Para el restablecimiento de PIN no destructivo, debe implementar el servicio de restablecimiento de PIN de Microsoft y configurar la directiva de los clientes para habilitar la característica de recuperación de PIN .

Funcionamiento del restablecimiento de PIN no destructivo

Requisitos:

  • Implementaciones de Windows Hello para empresas híbridas o solo en la nube
  • Ediciones Windows Enterprise, Education y Pro. No hay ningún requisito de licencia para esta característica

Cuando se habilita el restablecimiento de PIN no destructivo en un cliente, se genera localmente una clave AES de 256 bits . La clave se agrega al contenedor de Windows Hello para empresas de un usuario y las claves como protector de restablecimiento de PIN. Este protector de restablecimiento de PIN se cifra mediante una clave pública recuperada del servicio de restablecimiento de PIN de Microsoft y, a continuación, se almacena en el cliente para su uso posterior durante el restablecimiento del PIN. Una vez que un usuario inicia un restablecimiento de PIN, completa la autenticación y la autenticación multifactor en el identificador de Microsoft Entra, el protector de restablecimiento de PIN cifrado se envía al servicio de restablecimiento de PIN de Microsoft, se descifra y se devuelve al cliente. El protector de restablecimiento de PIN descifrado se usa para cambiar el PIN usado para autorizar claves de Windows Hello para empresas y, a continuación, se borra de la memoria.

Con la directiva de grupo, Microsoft Intune o una solución MDM compatible, puede configurar dispositivos Windows para que usen de forma segura el servicio de restablecimiento de PIN de Microsoft, que permite a los usuarios restablecer su PIN olvidado sin necesidad de volver a inscribirse.

En la tabla siguiente se compara el restablecimiento de PIN destructivo y no destructivo:

Categoría Restablecimiento de PIN destructivo Restablecimiento de PIN no destructivo
Funcionalidad El PIN existente del usuario y las credenciales subyacentes, incluidas las claves o certificados agregados a su contenedor de Windows Hello, se eliminan del cliente y se aprovisionan una nueva clave de inicio de sesión y un PIN. Debe implementar el servicio de restablecimiento de PIN de Microsoft y la directiva de cliente para habilitar la característica de recuperación de PIN. Durante un restablecimiento de PIN no destructivo, se conservan el contenedor y las claves de Windows Hello para empresas del usuario, pero se cambia el PIN del usuario que usan para autorizar el uso de claves.
Microsoft Entra unido Confianza del certificado, confianza clave y confianza de Kerberos en la nube Confianza del certificado, confianza clave y confianza de Kerberos en la nube
Microsoft Entra híbrido unido La confianza de certificados y la confianza de Kerberos en la nube para la configuración y encima del bloqueo admiten el restablecimiento de PIN destructivo. La confianza de clave no admite esta opción desde encima de la pantalla de bloqueo. Esto se debe al retraso de sincronización entre cuando un usuario aprovisiona su credencial de Windows Hello para empresas y puede usarla para el inicio de sesión. Se admite desde la página de configuración y los usuarios deben tener una conectividad de red corporativa con el controlador de dominio. La confianza del certificado, la confianza de claves y la confianza de Kerberos en la nube para la configuración y encima del bloqueo admiten el restablecimiento de PIN no destructivo. No se requiere ninguna conexión de red para el controlador de dominio.
Local Si AD FS se usa para implementaciones locales, los usuarios deben tener una conectividad de red corporativa con los servicios de federación. El servicio de restablecimiento de PIN se basa en las identidades de Microsoft Entra, por lo que solo está disponible para los dispositivos híbridos unidos a Microsoft Entra y unidos a Microsoft Entra.
Configuración adicional necesaria Compatible de forma predeterminada y no requiere configuración Implemente el servicio de restablecimiento de PIN de Microsoft y la directiva de cliente para habilitar la característica de recuperación de PIN.
MSA/Enterprise MSA y Enterprise Solo enterprise.

Habilitación del servicio de restablecimiento de PIN de Microsoft en el inquilino de Microsoft Entra

Para poder usar el restablecimiento de PIN no destructivo, debe registrar dos aplicaciones en el inquilino de Microsoft Entra:

  • Producción del servicio de restablecimiento de pin de Microsoft
  • Producción de cliente de restablecimiento de pin de Microsoft

Para registrar las aplicaciones, siga estos pasos:

  1. Vaya al sitio web de producción del servicio de restablecimiento de PIN de Microsoft e inicie sesión como administrador de aplicaciones como mínimo. Revise los permisos solicitados por la aplicación Microsoft Pin Reset Service Production y seleccione Aceptar para dar su consentimiento a la aplicación para acceder a su organización.
  1. Vaya al sitio web Microsoft PIN Reset Client Production (Producción de cliente de restablecimiento de PIN de Microsoft) y firme como administrador de aplicaciones como mínimo. Revise los permisos solicitados por la aplicación Microsoft Pin Reset Client Production y seleccione Siguiente.
  1. Revise los permisos solicitados por la aplicación Microsoft Pin Reset Service Production y seleccione Aceptar para confirmar el consentimiento de ambas aplicaciones para acceder a su organización.

Nota

Después de la aceptación, la página de redireccionamiento mostrará una página en blanco. Este es un comportamiento conocido.

Confirme que las dos entidades de servicio de restablecimiento de PIN están registradas en el inquilino.

  1. Iniciar sesión en el Centro de administración de Microsoft Entra Manager
  2. Seleccione Aplicaciones empresariales de Microsoft Entra ID > Applications >
  3. Busque por nombre de aplicación "PIN de Microsoft" y compruebe que tanto Producción de servicio de restablecimiento de pin de Microsoft como Producción de cliente de restablecimiento de pin de Microsoft se encuentran en la página de permisos de servicio de restablecimiento de PIN de la lista.

Habilitación de la recuperación de PIN en los clientes

Para habilitar la recuperación de PIN en los clientes, puede usar:

  • Microsoft Intune/MDM
  • Directiva de grupo

En las instrucciones siguientes se proporciona información detallada sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Windows Hello para empresas Habilitación de la recuperación de patillas Verdadero

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Nota

También puede configurar la recuperación de PIN desde la hoja Seguridad del punto de conexión :

  1. Inicio de sesión en el Centro de administración de Microsoft Intune
  2. Seleccione Endpoint security > Account protection > Create Policy (Crear directiva)

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con passportforwork CSP.

OMA-URI Tipo de datos Valor
./Vendor/MSFT/Policy/PassportForWork/ TenantId/Policies/EnablePinRecovery Booleano Verdadero

Nota

Debe reemplazar por TenantId el identificador del inquilino de Microsoft Entra. Para buscar el identificador de inquilino, consulte Cómo encontrar el identificador de inquilino de Microsoft Entra o pruebe lo siguiente, asegurándose de iniciar sesión con la cuenta de su organización:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Confirmación de que la directiva de recuperación de PIN se aplica en los dispositivos

La configuración de restablecimiento del PIN se puede ver ejecutando dsregcmd /status desde la línea de comandos. Este estado se puede encontrar en la salida de la sección de estado de usuario como elemento de línea CanReset . Si CanReset informa como DestructivoOnly, solo se habilita el restablecimiento de PIN destructivo. Si CanReset informa de DestructiveAndNonDestructive, el restablecimiento de PIN no destructivo está habilitado.

Salida de estado de usuario de ejemplo para el restablecimiento de PIN destructivo

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Salida de estado de usuario de ejemplo para el restablecimiento de PIN no destructivo

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Configuración de direcciones URL permitidas para proveedores de identidades federados en dispositivos unidos a Microsoft Entra

Se aplica a: Dispositivos unidos a Microsoft Entra

El restablecimiento de PIN en dispositivos unidos a Microsoft Entra usa un flujo denominado inicio de sesión web para autenticar a los usuarios en la pantalla de bloqueo. El inicio de sesión web solo permite la navegación a dominios específicos. Si el inicio de sesión web intenta navegar a un dominio que no está permitido, muestra una página con el mensaje de error: No se puede abrir esa página en este momento.
Si tiene un entorno federado y la autenticación se controla mediante AD FS o un proveedor de identidades que no es de Microsoft, debe configurar los dispositivos con una directiva para permitir una lista de dominios a los que se puede acceder durante los flujos de restablecimiento de PIN. Cuando se establece, garantiza que las páginas de autenticación de ese proveedor de identidades se puedan usar durante el restablecimiento del PIN unido a Microsoft Entra.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Authentication Configurar direcciones URL permitidas de inicio de sesión web Proporcione una lista delimitada por punto y coma de los dominios necesarios para la autenticación durante el escenario de restablecimiento de PIN. Un valor de ejemplo sería signin.contoso.com; portal.contoso.com

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.

Configuración
  • OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
  • Tipo de datos: String
  • Valor: proporcione una lista delimitada por punto y coma de los dominios necesarios para la autenticación durante el escenario de restablecimiento de PIN. Un valor de ejemplo sería signin.contoso.com; portal.contoso.com
  • Nota

    En El caso de Azure Government, hay un problema conocido con el error de restablecimiento de PIN en dispositivos unidos a Microsoft Entra. Cuando el usuario intenta iniciar el restablecimiento del PIN, la interfaz de usuario de restablecimiento de PIN muestra una página de error que indica : "No se puede abrir esa página en este momento". La directiva ConfigureWebSignInAllowedUrls se puede usar para solucionar este problema. Si experimenta este problema y usa la nube de Azure US Government, establezca login.microsoftonline.us como el valor de la directiva ConfigureWebSignInAllowedUrls.

    Experiencia del usuario

    Los escenarios de restablecimiento de PIN destructivos y no destructivos usan los mismos pasos para iniciar un restablecimiento de PIN. Si los usuarios han olvidado sus PIN, pero tienen un método de inicio de sesión alternativo, pueden ir a Opciones de inicio de sesión en Configuración e iniciar un restablecimiento del PIN desde las opciones de PIN. Si los usuarios no tienen una manera alternativa de iniciar sesión en sus dispositivos, el restablecimiento de PIN también se puede iniciar desde la pantalla de bloqueo de Windows con el proveedor de credenciales de PIN. Los usuarios deben autenticarse y completar la autenticación multifactor para restablecer su PIN. Una vez completado el restablecimiento del PIN, los usuarios pueden iniciar sesión con su nuevo PIN.

    Importante

    En el caso de los dispositivos unidos a microsoft Entra híbrido, los usuarios deben tener conectividad de red corporativa con controladores de dominio para completar el restablecimiento de PIN destructivo. Si AD FS se usa para la confianza de certificados o solo para implementaciones locales, los usuarios también deben tener conectividad de red corporativa con los servicios de federación para restablecer su PIN.

    Restablecer el PIN desde la configuración

    1. Inicio de sesión en Windows 10 con una credencial alternativa
    2. Abrir opciones de inicio de sesión de cuentas > de configuración >
    3. Seleccione PIN (Windows Hello) > Olvidé mi PIN y siga las instrucciones.

    Restablecer EL PIN desde la pantalla de bloqueo

    Para dispositivos unidos a Microsoft Entra:

    1. Si no está seleccionado el proveedor de credenciales de PIN, expanda el vínculo Opciones de inicio de sesión y seleccione el icono del panel pin.
    2. Seleccione Olvidé mi PIN en el proveedor de credenciales de PIN.
    3. Seleccione una opción de autenticación en la lista de opciones presentadas. Esta lista se basa en los distintos métodos de autenticación habilitados en el inquilino (como contraseña, PIN, clave de seguridad)
    4. Sigue las instrucciones proporcionadas por el proceso de aprovisionamiento
    5. Cuando haya terminado, desbloquee el escritorio con el PIN recién creado.

    En el caso de los dispositivos unidos a microsoft entra híbrido:

    1. Si no está seleccionado el proveedor de credenciales de PIN, expanda el vínculo Opciones de inicio de sesión y seleccione el icono del panel pin.
    2. Seleccione Olvidé mi PIN en el proveedor de credenciales de PIN.
    3. Escriba la contraseña y presione Entrar.
    4. Sigue las instrucciones proporcionadas por el proceso de aprovisionamiento
    5. Cuando haya terminado, desbloquee el escritorio con el PIN recién creado.

    Nota

    La confianza clave en los dispositivos unidos a Microsoft Entra híbrido no admite el restablecimiento de PIN destructivo desde encima de la pantalla de bloqueo. Esto se debe al retraso de sincronización entre cuando un usuario aprovisiona su credencial de Windows Hello para empresas y puede usarla para el inicio de sesión. Para este modelo de implementación, debe implementar el restablecimiento de PIN no destructivo para que el restablecimiento del PIN de bloqueo anterior funcione.

    Es posible que el restablecimiento del PIN desde Configuración solo funcione después del inicio de sesión. Además, la función de restablecimiento de PIN de pantalla de bloqueo no funciona si tiene alguna limitación coincidente del autoservicio de restablecimiento de contraseña desde la pantalla de bloqueo. Para obtener más información, vea Habilitar el autoservicio de restablecimiento de contraseña de Microsoft Entra en la pantalla de inicio de sesión de Windows.