Reimpostazione del PIN

Windows Hello for Business offre agli utenti la possibilità di reimpostare i PIN dimenticati usando il collegamento HO dimenticato il PIN dalla pagina Opzioni di accesso in Impostazioni o dalla schermata di blocco di Windows. Gli utenti devono autenticare e completare l'autenticazione a più fattori per reimpostare il PIN.

Esistono due forme di reimpostazione del PIN:

  • Reimpostazione distruttiva del PIN: con questa opzione, il PIN esistente dell'utente e le credenziali sottostanti, incluse le chiavi o i certificati aggiunti al contenitore Windows Hello, vengono eliminati dal client e viene effettuato il provisioning di una nuova chiave di accesso e pin. La reimpostazione distruttiva del PIN è l'opzione predefinita e non richiede la configurazione.
  • Reimpostazione non distruttiva del PIN: con questa opzione, il contenitore e le chiavi Windows Hello per le aziende dell'utente vengono mantenuti, ma il PIN dell'utente usato per autorizzare l'utilizzo della chiave viene modificato. Per la reimpostazione non distruttiva del PIN, è necessario distribuire il servizio Reimpostazione PIN Microsoft e configurare i criteri dei client per abilitare la funzionalità di ripristino del PIN .

Uso della reimpostazione del PIN

Esistono due forme di reimpostazione del PIN denominate distruttive e non distruttive. La reimpostazione distruttiva del PIN è l'impostazione predefinita e non richiede la configurazione. Durante una reimpostazione distruttiva del PIN, il PIN esistente dell'utente e le credenziali sottostanti, incluse le chiavi o i certificati aggiunti al contenitore di Windows Hello, verranno eliminati dal client e verrà effettuato il provisioning di una nuova chiave di accesso e pin. Per la reimpostazione non distruttiva del PIN, è necessario distribuire il servizio di reimpostazione del PIN Microsoft e i criteri client per abilitare la funzionalità di ripristino del PIN. Durante una reimpostazione non distruttiva del PIN, il contenitore e le chiavi Windows Hello per le aziende dell'utente vengono mantenuti, ma il PIN dell'utente usato per autorizzare l'utilizzo delle chiavi viene modificato.

La reimpostazione distruttiva e non distruttiva del PIN usa gli stessi passaggi per avviare una reimpostazione del PIN. Se gli utenti hanno dimenticato i PIN, ma hanno un metodo di accesso alternativo, possono passare alle opzioni di accesso in Impostazioni e avviare una reimpostazione del PIN dalle opzioni PIN. Se gli utenti non hanno un modo alternativo per accedere ai propri dispositivi, è anche possibile avviare la reimpostazione del PIN dalla schermata di blocco di Windows nel provider di credenziali PIN.

Importante

Per i dispositivi aggiunti ad Azure AD ibrido, gli utenti devono disporre della connettività di rete aziendale ai controller di dominio per completare la reimpostazione distruttiva del PIN. Se AD FS viene usato per l'attendibilità dei certificati o solo per le distribuzioni locali, gli utenti devono anche disporre della connettività di rete aziendale ai servizi federativi per reimpostare il PIN.

Reimpostare il PIN dalle impostazioni

  1. Accedere a Windows 10 usando credenziali alternative.
  2. Aprire Impostazioni e selezionareOpzioni di accessoagli account>.
  3. Selezionare PIN (Windows Hello)>Ho dimenticato il PIN e seguire le istruzioni.

Reimpostazione del PIN oltre la schermata di blocco

Per i dispositivi aggiunti ad Azure AD:

  1. Se il provider di credenziali PIN non è selezionato, espandere il collegamento Opzioni di accesso e selezionare l'icona del riquadro PIN.
  2. Selezionare Ho dimenticato il PIN dal provider di credenziali PIN.
  3. Selezionare un'opzione di autenticazione nell'elenco delle opzioni presentate. Questo elenco si baserà sui diversi metodi di autenticazione abilitati nel tenant (ad esempio Password, PIN, Chiave di sicurezza).
  4. Seguire le istruzioni fornite dal processo di provisioning.
  5. Al termine, sbloccare il desktop usando il PIN appena creato.

Per i dispositivi aggiunti ad Azure AD ibrido:

  1. Se il provider di credenziali PIN non è selezionato, espandere il collegamento Opzioni di accesso e selezionare l'icona del riquadro PIN.
  2. Selezionare Ho dimenticato il PIN dal provider di credenziali PIN.
  3. Immetti la password e premi INVIO.
  4. Seguire le istruzioni fornite dal processo di provisioning.
  5. Al termine, sbloccare il desktop usando il PIN appena creato.

Nota

L'attendibilità chiave nei dispositivi aggiunti ad Azure AD ibrido non supporta la reimpostazione distruttiva del PIN dall'alto della schermata di blocco. Ciò è dovuto al ritardo di sincronizzazione tra il momento in cui un utente effettua il provisioning delle credenziali Windows Hello for Business e la possibilità di usarlo per l'accesso. Per questo modello di distribuzione, è necessario distribuire la reimpostazione non distruttiva del PIN per il funzionamento della reimpostazione del PIN di blocco precedente.

È possibile che la reimpostazione del PIN dalle impostazioni funzioni solo dopo l'accesso. Inoltre, la funzione di reimpostazione del PIN "schermata di blocco" non funzionerà se si dispone di una limitazione corrispondente della reimpostazione della password self-service dalla schermata di blocco. Per altre informazioni, vedere Abilitare la reimpostazione della password self-service di Azure Active Directory nella schermata di accesso di Windows - Generale .

Reimpostazione del PIN non distruttivo

Requisiti:

  • Azure Active Directory
  • Windows 10, versione da 1709 a 1809, edizione Enterprise. Questa funzionalità non prevede alcun requisito di licenza dalla versione 1903.
  • Distribuzione di Windows Hello for Business ibrido
  • Azure AD registrato, aggiunto ad Azure AD e aggiunto ad Azure AD ibrido

Quando la reimpostazione non distruttiva del PIN è abilitata in un client, viene generata una chiave AES a 256 bit in locale. La chiave viene aggiunta al contenitore e alle chiavi di Windows Hello for Business di un utente come protezione per la reimpostazione del PIN. Questa protezione per la reimpostazione del PIN viene crittografata usando una chiave pubblica recuperata dal servizio di reimpostazione del PIN Microsoft e quindi archiviata nel client per un uso successivo durante la reimpostazione del PIN. Dopo che un utente avvia una reimpostazione del PIN, completa l'autenticazione e l'autenticazione a più fattori in Azure AD, la protezione per la reimpostazione del PIN crittografata viene inviata al servizio di reimpostazione del PIN Microsoft, decrittografata e restituita al client. La protezione per la reimpostazione del PIN decrittografata viene usata per modificare il PIN usato per autorizzare Windows Hello per le chiavi business e viene quindi cancellata dalla memoria.

Usando Criteri di gruppo, Microsoft Intune o una soluzione MDM compatibile, è possibile configurare i dispositivi Windows in modo da usare in modo sicuro il servizio Di reimpostazione PIN Microsoft, che consente agli utenti di reimpostare il PIN dimenticato senza dover ripetere la registrazione.

Importante

Il servizio Reimpostazione PIN Microsoft funziona solo con edizione Enterprise per Windows 10, versione da 1709 a 1809 e versioni successive e Windows 11. La funzionalità funziona con edizione Enterprise ed edizione Pro con Windows 10, versione 1903 e successive, Windows 11. Il servizio Reimpostazione PIN Microsoft non è attualmente disponibile in Azure per enti pubblici.

Riepilogo

Categoria Reimpostazione distruttiva del PIN Reimpostazione del PIN non distruttivo
Funzionalità Il PIN esistente dell'utente e le credenziali sottostanti, incluse le chiavi o i certificati aggiunti al contenitore Windows Hello, verranno eliminati dal client e verrà effettuato il provisioning di una nuova chiave di accesso e pin. È necessario distribuire il servizio di reimpostazione del PIN Microsoft e i criteri client per abilitare la funzionalità di ripristino del PIN. Per altre informazioni su come distribuire il servizio di reimpostazione del PIN Microsoft e i criteri client, vedere Connettere Azure Active Directory con il servizio di reimpostazione del PIN. Durante una reimpostazione non distruttiva del PIN, il contenitore e le chiavi Windows Hello per le aziende dell'utente vengono mantenuti, ma il PIN dell'utente usato per autorizzare l'utilizzo delle chiavi viene modificato.
Edizioni e versioni di Windows Reimpostazione dalle impostazioni: Windows 10 versione 1703 o successiva Windows 11. Reimpostare il blocco precedente: Windows 11 Windows 10 versione 1709 o successiva. Windows 10, versione da 1709 a 1809, edizione Enterprise. Non esiste alcun requisito di licenza per questa funzionalità dalla versione 1903. edizione Enterprise e Pro edition con Windows 10, versione 1903 e Windows 11 più recenti.
Aggiunta ad Azure Active Directory Attendibilità del certificato, trust chiave e trust Kerberos cloud Attendibilità del certificato, trust chiave e trust Kerberos cloud
Aggiunta ad Azure Active Directory ibrido L'attendibilità dei certificati e l'attendibilità Kerberos cloud per entrambe le impostazioni e oltre il blocco supportano la reimpostazione distruttiva del PIN. L'attendibilità chiave non supporta questa operazione dall'alto della schermata di blocco. Ciò è dovuto al ritardo di sincronizzazione tra il momento in cui un utente effettua il provisioning delle credenziali Windows Hello for Business e la possibilità di usarlo per l'accesso. Supporta dalla pagina delle impostazioni e gli utenti devono avere una connettività di rete aziendale al controller di dominio. L'attendibilità del certificato, l'attendibilità chiave e l'attendibilità Kerberos cloud per entrambe le impostazioni e oltre il blocco supportano la reimpostazione non distruttiva del PIN. Non è necessaria alcuna connessione di rete per il controller di dominio.
Locale Se ADFS viene usato per le distribuzioni locali, gli utenti devono avere una connettività di rete aziendale ai servizi federativi. Il servizio di reimpostazione del PIN si basa sulle identità di Azure Active Directory, quindi è disponibile solo per i dispositivi aggiunti ad Azure Active Directory ibrido e aggiunti ad Azure Active Directory.
Configurazione aggiuntiva necessaria Supportato per impostazione predefinita e non richiede la configurazione Distribuire il servizio di reimpostazione PIN Microsoft e i criteri client per abilitare la funzionalità di ripristino del PIN A bordo del servizio di reimpostazione del PIN Microsoft nel rispettivo tenant di Azure Active Directory Configurare i dispositivi Windows per l'uso della reimpostazione pin tramite Criteri di gruppo\MDM.
MSA/Enterprise MSA ed Enterprise Solo enterprise.

Onboarding del servizio di reimpostazione del PIN Microsoft nel tenant di Intune

Il servizio Reimpostazione PIN Microsoft non è attualmente disponibile in Azure per enti pubblici.

Abilitare il servizio Reimpostazione PIN Microsoft nel tenant di Azure AD

Prima di poter reimpostare i PIN in remoto, è necessario registrare due applicazioni nel tenant di Azure Active Directory:

  • Servizio di reimpostazione PIN
  • Client di reimpostazione PIN

Connettere Azure Active Directory con il servizio di reimpostazione pin

  1. Passare al sito Web Microsoft PIN Reset Service Production e accedere usando un account amministratore globale usato per gestire il tenant di Azure Active Directory.
  2. Dopo aver eseguito l'accesso, selezionare Accetta per fornire il consenso al servizio di reimpostazione pin per accedere all'organizzazione. Applicazione del servizio di reimpostazione DEL PIN in Azure.

Connettere Azure Active Directory con il client di reimpostazione pin

  1. Passare al sito Web Microsoft PIN Reset Client Production e accedere usando un account amministratore globale usato per gestire il tenant di Azure Active Directory.
  2. Dopo aver eseguito l'accesso, selezionare Accetta per fornire il consenso per il client di reimpostazione pin per accedere all'organizzazione. Applicazione client per la reimpostazione del PIN in Azure.

Verificare che le due entità servizio di reimpostazione PIN siano registrate nel tenant

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra Manager.
  2. SelezionareApplicazionidi Azure Active Directory>Enterprise>.
  3. La ricerca in base al nome dell'applicazione "PIN Microsoft" e sia Microsoft Pin Reset Service Production che Microsoft Pin Reset Client Production verranno visualizzate nell'elenco. Pagina delle autorizzazioni del servizio di reimpostazione pin.

Abilitare il ripristino del PIN nei dispositivi

Prima di poter reimpostare i PIN in remoto, è necessario configurare i dispositivi per abilitare il ripristino del PIN. Seguire le istruzioni seguenti per configurare i dispositivi usando Microsoft Intune, Criteri di gruppo Objects (GPO) o Configuration Service Provider (CSP).

È possibile configurare i dispositivi Windows per l'uso del servizio Di reimpostazione PIN Microsoft tramite Microsoft Intune.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare Profilidi configurazione dispositivi>>Crea profilo.
  3. Immettere le proprietà seguenti:
    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Catalogo impostazioni.
  4. Seleziona Crea.
  5. In Nozioni di base immettere le proprietà seguenti:
    • Nome: immettere un nome descrittivo per il profilo.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa, ma consigliata.
  6. Seleziona Avanti.
  7. In Impostazioni di configurazione selezionare Aggiungi impostazioni.
  8. Nel selettore impostazioni selezionare Windows Hello For BusinessEnable Pin Recovery (Abilita ripristino pin per le aziende>).
  9. Configurare Abilita ripristino pin su true.
  10. Seleziona Avanti.
  11. In Tag ambito assegnare eventuali tag applicabili (facoltativo).
  12. Seleziona Avanti.
  13. In Assegnazioni selezionare i gruppi di sicurezza che riceveranno i criteri.
  14. Seleziona Avanti.
  15. In Rivedi e crea esaminare le impostazioni e selezionare Crea.

Nota

È anche possibile configurare il ripristino del PIN dal pannello Sicurezza degli endpoint :

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare Protezione degli endpoint>Protezione> accountCrea criteri.

Verificare che i criteri di ripristino pin siano applicati ai dispositivi

La configurazione della reimpostazione del PIN può essere visualizzata eseguendo dsregcmd /status dalla riga di comando. Questo stato è disponibile nella sezione relativa allo stato utente nell'output come elemento della riga CanReset . Se CanReset segnala come DestructiveOnly, è abilitata solo la reimpostazione distruttiva del PIN. Se CanReset segnala DestructiveAndNonDestructive, la reimpostazione del PIN non distruttiva è abilitata.

Output dello stato utente di esempio per la reimpostazione distruttiva del PIN

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Output dello stato utente di esempio per la reimpostazione non distruttiva del PIN

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Configurare gli URL consentiti per l'accesso Web per i provider di identità di terze parti nei dispositivi aggiunti ad Azure AD

Si applica a:

  • Dispositivo aggiunti ad Azure AD

Il criterio ConfigureWebSignInAllowedUrls consente di specificare un elenco di domini che è possibile raggiungere durante i flussi di reimpostazione del PIN nei dispositivi aggiunti ad Azure AD. Se si dispone di un ambiente federato e l'autenticazione viene gestita usando AD FS o un provider di identità di terze parti, è necessario impostare questo criterio. Se impostato, garantisce che le pagine di autenticazione di tale provider di identità possano essere usate durante la reimpostazione del PIN aggiunto ad Azure AD.

Configurare gli URL consentiti per l'accesso Web tramite Microsoft Intune

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager
  2. Selezionare Profilidi configurazione>dispositivi>Crea profilo
  3. Immettere le proprietà seguenti:
    • Piattaforma: selezionare Windows 10 e versioni successive
    • Tipo di profilo: Selezionare i modelli
    • Nell'elenco dei modelli caricati selezionare Creazione personalizzata>
  4. In Nozioni di base immettere le proprietà seguenti:
    • Nome: immettere un nome descrittivo per il profilo
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa, ma consigliata
  5. Selezionare Avanti
  6. In Impostazioni di configurazione selezionare Aggiungi e immettere le impostazioni seguenti:
    • Nome: URL consentiti per l'accesso Web
    • Descrizione: (Facoltativo) Elenco di domini consentiti durante i flussi di reimpostazione del PIN
    • URI OMA: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
    • Tipo di dati: String
    • Valore: specificare un elenco delimitato da punto e virgola dei domini necessari per l'autenticazione durante lo scenario di reimpostazione del PIN. Un valore di esempio è signin.contoso.com;portal.contoso.comConfigurazione personalizzata per i criteri ConfigureWebSignInAllowedUrls.
  7. Selezionare Salva>avanti
  8. In Assegnazioni selezionare i gruppi di sicurezza che riceveranno i criteri
  9. Selezionare Avanti
  10. In Regole di applicabilità selezionare Avanti
  11. In Rivedi e crea esaminare le impostazioni e selezionare Crea

Nota

Per Azure per enti pubblici, si è verificato un problema noto con la reimpostazione del PIN nei dispositivi aggiunti ad Azure AD. Quando l'utente tenta di avviare la reimpostazione del PIN, l'interfaccia utente di reimpostazione del PIN visualizza una pagina di errore che indica che non è possibile aprire la pagina in questo momento. Il criterio ConfigureWebSignInAllowedUrls può essere usato per risolvere questo problema. Se si verifica questo problema e si usa il cloud di Azure US Government, impostare login.microsoftonline.us come valore per i criteri ConfigureWebSignInAllowedUrls.