PIN 重置
本文介绍了 Microsoft PIN 重置服务 如何使用户能够恢复忘记的 Windows Hello 企业版 PIN,以及如何对其进行配置。
概述
Windows Hello 企业版为用户提供重置忘记的 PIN 的功能。 有两种形式的 PIN 重置:
- 破坏性 PIN 重置:将从客户端中删除用户的现有 PIN 和基础凭据(包括添加到其 Windows Hello 容器的任何密钥或证书),并预配新的登录密钥和 PIN。 破坏性 PIN 重置是默认选项,不需要配置
- 非破坏性 PIN 重置:将保留用户的 Windows Hello 企业版容器和密钥,但用户用于授权密钥使用的 PIN 已更改。 对于非破坏性 PIN 重置,必须部署 Microsoft PIN 重置服务 ,并配置客户端策略以启用 PIN 恢复 功能
非破坏性 PIN 重置的工作原理
要求:
- 混合或仅限云的 Windows Hello 企业版部署
- Windows 企业版、教育版和专业版。 此功能没有许可要求
在客户端上启用非破坏性 PIN 重置时,会在本地生成 256 位 AES 密钥。 密钥将添加到用户的 Windows Hello 企业版容器和密钥作为 PIN 重置保护程序。 此 PIN 重置保护程序使用从Microsoft PIN 重置服务检索到的公钥进行加密,然后存储在客户端上供以后在 PIN 重置期间使用。 用户启动 PIN 重置、完成身份验证和多重身份验证以Microsoft Entra ID 后,加密的 PIN 重置保护程序将发送到Microsoft PIN 重置服务,解密并返回到客户端。 解密的 PIN 重置保护程序用于更改用于授权 Windows Hello 企业版密钥的 PIN,然后将其从内存中清除。
使用组策略、Microsoft Intune 或兼容的 MDM 解决方案,可以将 Windows 设备配置为安全地使用Microsoft PIN 重置服务,该服务使用户无需重新注册即可重置忘记的 PIN。
下表比较了破坏性 PIN 重置和非破坏性 PIN 重置:
类别 | 破坏性 PIN 重置 | 非破坏性 PIN 重置 |
---|---|---|
功能 | 用户的现有 PIN 和基础凭据(包括添加到其 Windows Hello 容器的任何密钥或证书)将从客户端中删除,并预配新的登录密钥和 PIN。 | 必须部署Microsoft PIN 重置服务和客户端策略才能启用 PIN 恢复功能。 在非破坏性 PIN 重置期间,会保留用户的 Windows Hello 企业版容器和密钥,但用于授权密钥使用的用户 PIN 会更改。 |
已加入 Microsoft Entra | 证书信任、密钥信任和云 Kerberos 信任 | 证书信任、密钥信任和云 Kerberos 信任 |
已加入 Microsoft Entra 混合 | 证书信任和云 Kerberos 信任这两个设置和锁上方支持破坏性 PIN 重置。 密钥信任不支持锁屏界面上方的此选项。 这是因为用户预配其 Windows Hello 企业版凭据和能够使用该凭据进行登录之间的同步延迟。 它确实支持设置页,并且用户必须具有与 DC 的企业网络连接。 | 两个设置的证书信任、密钥信任和云 Kerberos 信任都支持非破坏性 PIN 重置。 DC 不需要网络连接。 |
本地 | 如果 AD FS 用于本地部署,则用户必须具有与联合身份验证服务的企业网络连接。 | PIN 重置服务依赖于Microsoft Entra 标识,因此它仅适用于Microsoft Entra 混合联接和Microsoft Entra 联接的设备。 |
需要其他配置 | 默认支持,不需要配置 | 部署Microsoft PIN 重置服务和客户端策略以启用 PIN 恢复功能。 |
MSA/Enterprise | MSA 和企业版 | 仅限企业版。 |
在 Microsoft Entra 租户中启用Microsoft PIN 重置服务
在使用非破坏性 PIN 重置之前,必须在 Microsoft Entra 租户中注册两个应用程序:
- Microsoft引脚重置服务生产
- Microsoft引脚重置客户端生产
若要注册应用程序,请执行以下步骤:
- 转到 Microsoft PIN 重置服务生产网站,并至少以 应用程序管理员身份登录。 查看 Microsoft Pin 重置服务生产 应用程序请求的权限,然后选择“ 接受 ”以同意应用程序访问你的组织
- 转到 Microsoft PIN 重置客户端生产网站,并至少以 应用程序管理员身份签名。 查看 Microsoft Pin 重置客户端生产 应用程序请求的权限,然后选择“ 下一步”。
- 查看 Microsoft Pin 重置服务生产 应用程序请求的权限,然后选择“ 接受” 以确认同意这两个应用程序访问你的组织。
注意
接受后,重定向页面将显示空白页。 这是一种已知行为。
确认租户中注册了两个 PIN 重置服务主体
- 登录到 Microsoft Entra Manager 管理中心
- 选择 Microsoft Entra ID > 应用程序 > 企业应用程序
- 按应用程序名称“Microsoft PIN”搜索,并验证 Microsoft Pin 重置服务生产 “和 ”Microsoft Pin 重置客户端生产 “是否都位于
在客户端上启用 PIN 恢复
若要在客户端上启用 PIN 恢复,可以使用:
- Microsoft Intune/MDM
- 组策略
以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。
若要使用 Microsoft Intune 配置设备, 请创建设置目录策略 并使用以下设置:
类别 | 设置名称 | 值 |
---|---|---|
Windows Hello 企业版 | 启用 Pin 恢复 | True |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
或者,可以使用 PassportForWork CSP 的自定义策略配置设备。
OMA-URI | 数据类型 | 值 |
---|---|---|
./Vendor/MSFT/Policy/PassportForWork/
TenantId/Policies/EnablePinRecovery |
布尔 | True |
注意
必须将 替换为 TenantId
Microsoft Entra 租户的标识符。 若要查找租户 ID,请参阅 如何查找Microsoft Entra 租户 ID 或尝试以下操作,确保使用组织的帐户登录:
GET https://graph.microsoft.com/v1.0/organization?$select=id
确认在设备上强制实施 PIN 恢复策略
可以通过从命令行运行 dsregcmd /status 来查看 PIN 重置配置。 此状态可以在用户状态部分的输出下找到,作为 CanReset 行项。 如果 CanReset 报告为 DestructiveOnly,则仅启用破坏性 PIN 重置。 如果 CanReset 报告了 DestructiveAndNonDestructive,则启用非破坏性 PIN 重置。
破坏性 PIN 重置的示例用户状态输出
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
CanReset : DestructiveOnly
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
非破坏性 PIN 重置的示例用户状态输出
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
在已加入 Entra 的设备上为联合标识提供者配置允许的 URL Microsoft
适用于: Microsoft已加入 Entra 的设备
Microsoft已加入 Entra 的设备上的 PIN 重置使用名为 Web 登录 的流在锁屏界面中对用户进行身份验证。 Web 登录仅允许导航到特定域。 如果 Web 登录尝试导航到不允许的域,则会显示一个页面,并显示错误消息: 我们现在无法打开该页面。
如果你有联合环境,并且使用 AD FS 或非Microsoft标识提供者处理身份验证,则必须使用策略配置设备,以允许 PIN 重置流期间可以访问的域列表。 设置后,它可确保在Microsoft Entra 联接的 PIN 重置期间可以使用来自该标识提供者的身份验证页。
若要使用 Microsoft Intune 配置设备, 请创建设置目录策略 并使用以下设置:
类别 | 设置名称 | 值 |
---|---|---|
身份验证 | 配置允许的 Web 登录 URL | 提供 PIN 重置方案期间进行身份验证所需的域的分号分隔列表。 示例值为 signin.contoso.com;portal.contoso.com |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
设置 |
---|
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
注意
对于 Azure 政府版,Microsoft已加入 Entra 的设备上出现 PIN 重置失败的已知问题。 当用户尝试启动 PIN 重置时,PIN 重置 UI 会显示一个错误页,显示“我们当前无法打开该页面”。 ConfigureWebSignInAllowedUrls 策略可用于解决此问题。 如果遇到此问题,并且使用的是 Azure 美国政府云,请将 login.microsoftonline.us 设置为 ConfigureWebSignInAllowedUrls 策略的值。
用户体验
破坏性和非破坏性的 PIN 重置方案使用相同的步骤来启动 PIN 重置。 如果用户忘记了 PIN,但使用备用登录方法,他们可以导航到 “设置” 中的“登录选项”,并从 PIN 选项启动 PIN 重置。 如果用户没有其他方式登录其设备,也可以使用 PIN 凭据提供程序从 Windows 锁屏界面启动 PIN 重置。 用户必须进行身份验证并完成多重身份验证才能重置其 PIN。 PIN 重置完成后,用户可以使用其新 PIN 登录。
重要提示
对于Microsoft Entra 混合联接设备,用户必须具有与域控制器的公司网络连接才能完成破坏性 PIN 重置。 如果 AD FS 用于证书信任或仅限本地部署,则用户还必须与联合身份验证服务建立企业网络连接才能重置其 PIN。
在“设置”中重置 PIN
- 使用备用凭据登录到 Windows 10
- 打开 “设置 > 帐户 > ”登录选项
- (Windows Hello) > 我忘记了 PIN,然后选择 PIN,然后按照说明操作
从锁屏界面重置 PIN
对于Microsoft已加入 Entra 的设备:
- 如果未选择 PIN 凭据提供程序,请展开 “登录选项” 链接,然后选择 PIN 板图标
- 从 PIN 凭据提供程序中选择 “我忘记了 PIN ”
- 从显示的选项列表中选择一个身份验证选项。 此列表基于租户中启用的不同身份验证方法, (如密码、PIN、安全密钥)
- 按照预配流程提供的说明操作
- 完成后,使用新创建的 PIN 解锁桌面
对于Microsoft Entra 混合联接设备:
- 如果未选择 PIN 凭据提供程序,请展开 “登录选项” 链接,然后选择 PIN 板图标
- 从 PIN 凭据提供程序中选择 “我忘记了 PIN ”
- 输入密码并按 Enter
- 按照预配流程提供的说明操作
- 完成后,使用新创建的 PIN 解锁桌面
注意
Microsoft Entra 混合联接设备上的密钥信任不支持从锁屏界面上方进行破坏性 PIN 重置。 这是因为用户预配其 Windows Hello 企业版凭据和能够使用该凭据进行登录之间的同步延迟。 对于此部署模型,必须部署非破坏性 PIN 重置,以便上述锁 PIN 重置正常工作。
你可能会发现,“设置”中的 PIN 重置仅在登录后有效。 此外,如果你对锁屏界面中的自助密码重置有任何匹配限制,则锁屏 PIN 重置功能不起作用。 有关详细信息,请参阅 在 Windows 登录屏幕上启用 Microsoft Entra 自助服务密码重置。