Redefinição de PIN

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve como o serviço de reposição de PIN da Microsoft permite que os seus utilizadores recuperem um PIN esquecido do Windows Hello para Empresas e como configurá-lo.

Visão geral

O Windows Hello para Empresas fornece a capacidade de os utilizadores reporem PINs esquecidos. Existem duas formas de reposição do PIN:

• Reposição destrutiva do PIN: o PIN existente do utilizador e as credenciais subjacentes, incluindo quaisquer chaves ou certificados adicionados ao contentor do Windows Hello, são eliminados do cliente e é aprovisionada uma nova chave de início de sessão e PIN. A reposição destrutiva do PIN é a opção predefinida e não requer configuração
• Reposição não destrutiva do PIN: o contentor e as chaves do Windows Hello para Empresas do utilizador são preservados, mas o PIN do utilizador que utiliza para autorizar a utilização da chave é alterado. Para uma reposição não estruturativa do PIN, tem de implementar o serviço de reposição do PIN da Microsoft e configurar a política dos clientes para ativar a funcionalidade de recuperação do PIN

Como funciona a reposição não estruturativa do PIN

Requisitos:

• Implementações híbridas ou apenas na cloud do Windows Hello para Empresas
• Edições Windows Enterprise, Education e Pro. Não existe nenhum requisito de licenciamento para esta funcionalidade

Quando a reposição não estruturativa do PIN está ativada num cliente, é gerada localmente uma chave AES de 256 bits . A chave é adicionada ao contentor do Windows Hello para Empresas de um utilizador e às chaves como protetor de reposição do PIN. Este protetor de reposição de PIN é encriptado com uma chave pública obtida do serviço de reposição do PIN da Microsoft e, em seguida, armazenada no cliente para utilização posterior durante a reposição do PIN. Depois de um utilizador iniciar uma reposição do PIN, concluir a autenticação e a autenticação multifator no Microsoft Entra ID, o protetor de reposição de PIN encriptado é enviado para o serviço de reposição do PIN da Microsoft, desencriptado e devolvido ao cliente. O protetor de reposição de PIN desencriptado é utilizado para alterar o PIN utilizado para autorizar chaves do Windows Hello para Empresas e, em seguida, é limpo da memória.

Ao utilizar a Política de Grupo, o Microsoft Intune ou uma solução de MDM compatível, pode configurar dispositivos Windows para utilizar em segurança o serviço de reposição do PIN da Microsoft, o que permite aos utilizadores repor o PIN esquecido sem que seja necessário reinscrição.

A tabela seguinte compara a reposição de PIN destrutiva e não estruturativa:

Categoria	Reposição destrutiva do PIN	Reposição não estruturativa do PIN
Funcionalidade	O PIN existente do utilizador e as credenciais subjacentes, incluindo quaisquer chaves ou certificados adicionados ao contentor do Windows Hello, são eliminados do cliente e é aprovisionada uma nova chave de início de sessão e UM PIN.	Tem de implementar o serviço de reposição do PIN da Microsoft e a política de cliente para ativar a funcionalidade de recuperação do PIN. Durante uma reposição não estruturativa do PIN, o contentor e as chaves do Windows Hello para Empresas do utilizador são preservados, mas o PIN do utilizador que utiliza para autorizar a utilização da chave é alterado.
Microsoft Entra aderiu	Fidedignidade do Certificado, Fidedignidade da Chave e confiança do Kerberos na cloud	Fidedignidade do Certificado, Fidedignidade da Chave e confiança do Kerberos na cloud
Microsoft Entra híbrido associado	A confiança do Cert Trust e do Kerberos na cloud para ambas as definições e acima do bloqueio suportam a reposição destrutiva do PIN. A Fidedignidade da Chave não suporta esta opção acima do ecrã de bloqueio. Isto deve-se ao atraso de sincronização entre quando um utilizador aprovisiona a credencial do Windows Hello para Empresas e consegue utilizá-la para iniciar sessão. Suporta a partir da página de definições e os utilizadores têm de ter uma conectividade de rede empresarial ao DC.	A Confiança do Certificado, a Fidedignidade da Chave e a confiança do Kerberos na cloud para ambas as definições e acima do bloqueio suportam a reposição não estruturativa do PIN. Não é necessária nenhuma ligação de rede para o DC.
No Local	Se o AD FS for utilizado para implementações no local, os utilizadores têm de ter uma conectividade de rede empresarial aos serviços de federação.	O serviço de reposição de PIN baseia-se em identidades do Microsoft Entra, pelo que só está disponível para dispositivos associados híbridos do Microsoft Entra e associados ao Microsoft Entra.
Configuração adicional necessária	Suportado por predefinição e não requer configuração	Implemente o serviço de reposição de PIN da Microsoft e a política de cliente para ativar a funcionalidade de recuperação do PIN.
MSA/Enterprise	MSA e Enterprise	Apenas para empresas.

Ativar o Serviço de Reposição do PIN da Microsoft no seu inquilino do Microsoft Entra

Antes de poder utilizar a reposição não estruturativa do PIN, tem de registar duas aplicações no seu inquilino do Microsoft Entra:

• Produção do Serviço de Reposição de Pin da Microsoft
• Microsoft Pin Reset Client Production

Para registar as aplicações, siga estes passos:

1. Aceda ao site microsoft PIN Reset Service Production e inicie sessão como, pelo menos , um Administrador de Aplicações. Reveja as permissões pedidas pela aplicação Microsoft Pin Reset Service Production e selecione Aceitar para dar consentimento à aplicação para aceder à sua organização

2. Aceda ao site microsoft PIN Reset Client Production e inicie sessão como, pelo menos , um Administrador de Aplicações. Reveja as permissões pedidas pela aplicação Microsoft Pin Reset Client Production e selecione Seguinte.

3. Reveja as permissões pedidas pela aplicação Microsoft Pin Reset Service Production e selecione Aceitar para confirmar o consentimento de ambas as aplicações para aceder à sua organização.

Observação

Após a aceitação, a página de redirecionamento mostrará uma página em branco. Este é um comportamento conhecido.

Confirme que os dois principais de serviço de Reposição de PIN estão registados no seu inquilino

1. Iniciar sessão no centro de administração do Microsoft Entra Manager
2. Selecione Aplicações Microsoft Entra ID > Aplicações > empresariais
3. Pesquise pelo nome da aplicação "PIN da Microsoft" e verifique se a Produção do Serviço de Reposição de Pin da Microsoft e a Produção de Cliente de Reposição de Pin da Microsoft estão na

Ativar a recuperação do PIN nos clientes

Para ativar a recuperação do PIN nos clientes, pode utilizar:

• Microsoft Intune/MDM
• Política de grupo

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Intune

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Windows Hello para Empresas	Ativar Recuperação de Pin	True

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Observação

Também pode configurar a recuperação do PIN a partir do painel segurança do Ponto final:

1. Iniciar sessão no centro de administração do Microsoft Intune
2. Selecione Endpoint security > Proteção da conta > Criar Política

Em alternativa, pode configurar dispositivos com uma política personalizada com o PassportForWork CSP.

OMA-URI	Tipo de dados	Valor
./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery	Booliano	True

Observação

Tem de substituir TenantId pelo identificador do seu inquilino do Microsoft Entra. Para procurar o ID do Inquilino, consulte Como encontrar o seu ID de inquilino do Microsoft Entra ou experimente o seguinte, garantindo que inicia sessão com a conta da sua organização::

GET https://graph.microsoft.com/v1.0/organization?$select=id

GPO

Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração > do Computador Modelos Administrativos > Componentes > do Windows Windows Hello para Empresas	Utilizar a Recuperação de PIN	Habilitado

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Confirme que a política de Recuperação de PIN é imposta nos dispositivos

A configuração da reposição do PIN pode ser visualizada ao executar dsregcmd /status a partir da linha de comandos. Este estado pode ser encontrado na saída na secção estado do utilizador como o item de linha CanReset . Se CanReset reporta como DestructiveOnly, apenas a reposição destrutiva do PIN está ativada. Se CanReset reporta DestructiveAndNonDestructive, a reposição não estruturativa do PIN está ativada.

Saída do estado do utilizador de exemplo para reposição destrutiva do PIN

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Saída do estado do utilizador de exemplo para reposição não destrutiva do PIN

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Configurar URLs permitidos para fornecedores de identidade federados em dispositivos associados ao Microsoft Entra

Aplica-se a: Dispositivos associados ao Microsoft Entra

A reposição do PIN em dispositivos associados ao Microsoft Entra utiliza um fluxo chamado início de sessão na Web para autenticar os utilizadores no ecrã de bloqueio. O início de sessão na Web só permite a navegação para domínios específicos. Se o início de sessão na Web tentar navegar para um domínio que não é permitido, apresenta uma página com a mensagem de erro: De momento, não é possível abrir essa página.
Se tiver um ambiente federado e a autenticação for processada através do AD FS ou de um fornecedor de identidade que não seja da Microsoft, tem de configurar os seus dispositivos com uma política para permitir uma lista de domínios que podem ser alcançados durante os fluxos de reposição do PIN. Quando definida, garante que as páginas de autenticação desse fornecedor de identidade podem ser utilizadas durante a reposição do PIN associado ao Microsoft Entra.

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Authentication	Configurar URLs Permitidos de Início de Sessão na Web	Forneça uma lista delimitada por ponto e vírgula de domínios necessários para autenticação durante o cenário de reposição do PIN. Um valor de exemplo seria signin.contoso.com; portal.contoso.com

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP de Política.

Configuração
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls Tipo de dados: string Valor: forneça uma lista delimitada por ponto e vírgula de domínios necessários para autenticação durante o cenário de reposição do PIN. Um valor de exemplo seria signin.contoso.com; portal.contoso.com

Observação

Para o Azure Government, existe um problema conhecido com a falha da reposição do PIN nos dispositivos associados ao Microsoft Entra. Quando o utilizador tenta iniciar a reposição do PIN, a IU de reposição do PIN mostra uma página de erro a indicar "Não é possível abrir essa página neste momento". A política ConfigureWebSignInAllowedUrls pode ser utilizada para resolver este problema. Se estiver a ter este problema e estiver a utilizar a cloud do Azure US Government, defina login.microsoftonline.us como o valor da política ConfigureWebSignInAllowedUrls.

Experiência do usuário

Os cenários de reposição destrutiva e não estruturativa do PIN utilizam os mesmos passos para iniciar uma reposição do PIN. Se os utilizadores se esquecerem dos PINs, mas tiverem um método de início de sessão alternativo, podem navegar para Opções de início de sessão em Definições e iniciar uma reposição do PIN a partir das opções de PIN. Se os utilizadores não tiverem uma forma alternativa de iniciar sessão nos respetivos dispositivos, a reposição do PIN também pode ser iniciada a partir do ecrã de bloqueio do Windows com o fornecedor de credenciais de PIN. Os utilizadores têm de autenticar e concluir a autenticação multifator para repor o PIN. Após a conclusão da reposição do PIN, os utilizadores podem iniciar sessão com o novo PIN.

Importante

Para dispositivos associados híbridos do Microsoft Entra, os utilizadores têm de ter conectividade de rede empresarial aos controladores de domínio para concluir a reposição destrutiva do PIN. Se o AD FS estiver a ser utilizado para a confiança de certificados ou apenas para implementações no local, os utilizadores também têm de ter conectividade de rede empresarial aos serviços de federação para repor o PIN.

Redefinir PIN em Configurações

1. Iniciar sessão no Windows 10 com uma credencial alternativa
2. Abrir as opções de Início de Sessão de Contas > de Definições >
3. Selecione PIN (Windows Hello) > Esqueci-me do PIN e siga as instruções

Repor o PIN a partir do ecrã de bloqueio

Para dispositivos associados ao Microsoft Entra:

1. Se o fornecedor de credenciais de PIN não estiver selecionado, expanda a ligação Opções de início de sessão e selecione o ícone do teclado PIN
2. Selecione Esqueci-me do PIN no fornecedor de credenciais do PIN
3. Selecione uma opção de autenticação na lista de opções apresentadas. Esta lista baseia-se nos diferentes métodos de autenticação ativados no seu inquilino (como Palavra-passe, PIN, Chave de segurança)
4. Siga as instruções fornecidas pelo processo de provisionamento
5. Quando terminar, desbloqueie o ambiente de trabalho com o PIN criado recentemente

Para dispositivos associados híbridos do Microsoft Entra:

1. Se o fornecedor de credenciais de PIN não estiver selecionado, expanda a ligação Opções de início de sessão e selecione o ícone do teclado PIN
2. Selecione Esqueci-me do PIN no fornecedor de credenciais do PIN
3. Introduza a sua palavra-passe e prima Enter
4. Siga as instruções fornecidas pelo processo de provisionamento
5. Quando terminar, desbloqueie o ambiente de trabalho com o PIN criado recentemente

Observação

A confiança fundamental nos dispositivos associados híbridos do Microsoft Entra não suporta a reposição destrutiva do PIN acima do Ecrã de Bloqueio. Isto deve-se ao atraso de sincronização entre quando um utilizador aprovisiona a credencial do Windows Hello para Empresas e consegue utilizá-la para iniciar sessão. Para este modelo de implementação, tem de implementar a reposição não destrutiva do PIN para que a reposição do PIN de bloqueio acima funcione.

Poderá constatar que a reposição do PIN a partir das Definições só funciona após o início de sessão. Além disso, a função de reposição do PIN do ecrã de bloqueio não funciona se tiver alguma limitação correspondente da reposição personalizada de palavra-passe a partir do ecrã de bloqueio. Para obter mais informações, consulte Ativar a reposição personalizada de palavra-passe do Microsoft Entra no ecrã de início de sessão do Windows.