PIN 重置

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文介绍 Microsoft PIN 重置服务如何使用户能够恢复忘记的Windows Hello 企业版 PIN，以及如何对其进行配置。

概述

Windows Hello 企业版为用户提供重置忘记的 PIN 的功能。 有两种形式的 PIN 重置：

• 破坏性 PIN 重置：将从客户端中删除用户的现有 PIN 和基础凭据（包括添加到其Windows Hello容器的任何密钥或证书），并预配新的登录密钥和 PIN。 破坏性 PIN 重置是默认选项，不需要配置
• 非破坏性 PIN 重置：将保留用户的Windows Hello 企业版容器和密钥，但更改了用户用于授权密钥使用的 PIN。 对于非破坏性 PIN 重置，必须部署 Microsoft PIN 重置服务 ，并配置客户端策略以启用 PIN 恢复 功能

非破坏性 PIN 重置的工作原理

要求：

• 混合部署或仅限云Windows Hello 企业版部署
• Windows 企业版、教育版和专业版。 此功能没有许可要求

在客户端上启用非破坏性 PIN 重置时，会在本地生成 256 位 AES 密钥。 密钥将添加到用户的Windows Hello 企业版容器中，密钥作为 PIN 重置保护程序。 此 PIN 重置保护程序使用从 Microsoft PIN 重置服务检索到的公钥进行加密，然后存储在客户端上供以后在 PIN 重置期间使用。 在用户启动 PIN 重置、完成身份验证和多重身份验证以Microsoft Entra ID之后，加密的 PIN 重置保护程序将发送到 Microsoft PIN 重置服务，解密并返回到客户端。 解密的 PIN 重置保护程序用于更改用于授权Windows Hello 企业版密钥的 PIN，然后将其从内存中清除。

使用组策略、Microsoft Intune或兼容的 MDM 解决方案，可以将 Windows 设备配置为安全地使用 Microsoft PIN 重置服务，该服务使用户无需重新注册即可重置忘记的 PIN。

下表比较了破坏性 PIN 重置和非破坏性 PIN 重置：

类别	破坏性 PIN 重置	非破坏性 PIN 重置
功能	用户的现有 PIN 和基础凭据（包括添加到其Windows Hello容器的任何密钥或证书）将从客户端中删除，并预配新的登录密钥和 PIN。	必须部署 Microsoft PIN 重置服务和客户端策略才能启用 PIN 恢复功能。 在非破坏性 PIN 重置期间，会保留用户的Windows Hello 企业版容器和密钥，但用于授权密钥使用的用户 PIN 会更改。
已加入Microsoft Entra	证书信任、密钥信任和云 Kerberos 信任	证书信任、密钥信任和云 Kerberos 信任
Microsoft Entra混合联接	证书信任和云 Kerberos 信任这两个设置和锁上方支持破坏性 PIN 重置。 密钥信任不支持锁屏界面上方的此选项。 这是因为用户预配其Windows Hello 企业版凭据和能够使用它进行登录之间的同步延迟。 它确实支持设置页，并且用户必须具有与 DC 的企业网络连接。	两个设置的证书信任、密钥信任和云 Kerberos 信任都支持非破坏性 PIN 重置。 DC 不需要网络连接。
本地	如果 AD FS 用于本地部署，则用户必须具有与联合身份验证服务的企业网络连接。	PIN 重置服务依赖于Microsoft Entra标识，因此它仅适用于Microsoft Entra混合联接和Microsoft Entra联接的设备。
需要其他配置	默认支持，不需要配置	部署 Microsoft PIN 重置服务和客户端策略以启用 PIN 恢复功能。
MSA/Enterprise	MSA 和企业版	仅限企业版。

在Microsoft Entra租户中启用 Microsoft PIN 重置服务

在使用非破坏性 PIN 重置之前，必须在Microsoft Entra租户中注册两个应用程序：

• Microsoft Pin 重置服务生产
• Microsoft Pin 重置客户端生产

若要注册应用程序，请执行以下步骤：

1. 转到 Microsoft PIN 重置服务生产网站，并使用用于管理Microsoft Entra租户的全局管理员帐户登录。 查看 Microsoft Pin 重置服务生产 应用程序请求的权限，然后选择“ 接受 ”以同意应用程序访问你的组织

2. 转到 Microsoft PIN 重置客户端生产网站，并使用用于管理Microsoft Entra租户的全局管理员帐户登录。 查看 Microsoft Pin 重置客户端生产 应用程序请求的权限，然后选择“ 下一步”。

3. 查看 Microsoft Pin 重置服务生产 应用程序请求的权限，然后选择“ 接受” 以确认同意这两个应用程序访问你的组织。

注意

接受后，重定向页面将显示空白页。 这是一种已知行为。

确认租户中注册了两个 PIN 重置服务主体

1. 登录到 Microsoft Entra Manager 管理中心
2. 选择“Microsoft Entra ID>应用程序”>“企业应用程序”
3. 按应用程序名称“Microsoft PIN”搜索，并验证“Microsoft PIN 重置服务生产”和“Microsoft Pin 重置客户端生产”是否都位于“

在客户端上启用 PIN 恢复

若要在客户端上启用 PIN 恢复，可以使用：

• Microsoft Intune/MDM
• 组策略

以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。

Intune

若要使用Microsoft Intune配置设备，请创建设置目录策略并使用以下设置：

类别	设置名称	值
Windows Hello商业版	启用 Pin 恢复	True

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

注意

还可以从 “终结点安全” 边栏选项卡配置 PIN 恢复：

1. 登录到 Microsoft Intune 管理中心
2. 选择“终结点安全>帐户保护>”“创建策略”

或者，可以使用 PassportForWork CSP 的自定义策略配置设备。

OMA-URI	数据类型	值
./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery	布尔	True

注意

必须将 替换为TenantIdMicrosoft Entra租户的标识符。 若要查找租户 ID，请参阅如何查找Microsoft Entra租户 ID 或尝试以下操作，确保使用组织的帐户登录：

GET https://graph.microsoft.com/v1.0/organization?$select=id

Gpo

若要使用组策略配置设备，请使用本地组策略 编辑器。 若要配置多个已加入 Active Directory 的设备，请 (GPO) 创建或编辑 组策略对象，并使用以下设置：

组策略路径	组策略设置	值
计算机配置>管理模板 > Windows 组件>Windows Hello 企业版	使用 PIN 恢复	启用

组策略可以 链接到 域或组织单位， 使用安全组进行筛选， 或使用 WMI 筛选器进行筛选。

确认在设备上强制实施 PIN 恢复策略

可以通过从命令行运行 dsregcmd /status 来查看 PIN 重置配置。 此状态可以在用户状态部分的输出下找到，作为 CanReset 行项。 如果 CanReset 报告为 DestructiveOnly，则仅启用破坏性 PIN 重置。 如果 CanReset 报告了 DestructiveAndNonDestructive，则启用非破坏性 PIN 重置。

破坏性 PIN 重置的示例用户状态输出

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

非破坏性 PIN 重置的示例用户状态输出

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

在加入Microsoft Entra的设备上为联合标识提供者配置允许的 URL

适用于：已加入Microsoft Entra设备

在已加入Microsoft Entra设备上的 PIN 重置使用称为 Web 登录的流在锁屏界面中对用户进行身份验证。 Web 登录仅允许导航到特定域。 如果 Web 登录尝试导航到不允许的域，则会显示一个页面，并显示错误消息： 我们现在无法打开该页面。
如果你有联合环境，并且身份验证是使用 AD FS 或非 Microsoft 标识提供者处理的，则必须使用策略配置设备，以允许在 PIN 重置流期间访问的域列表。 设置后，它可确保在Microsoft Entra加入 PIN 重置期间可以使用来自该标识提供者的身份验证页。

若要使用Microsoft Intune配置设备，请创建设置目录策略并使用以下设置：

类别	设置名称	值
身份验证	配置允许的 Web 登录 URL	提供 PIN 重置方案期间进行身份验证所需的域的分号分隔列表。 示例值为 signin.contoso.com;portal.contoso.com

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以通过策略 CSP 使用自定义策略来配置设备。

设置
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 数据类型：字符串 值：提供 PIN 重置方案期间进行身份验证所需的域的分号分隔列表。 示例值为 signin.contoso.com;portal.contoso.com

注意

对于Azure 政府，加入Microsoft Entra设备上的 PIN 重置失败存在已知问题。 当用户尝试启动 PIN 重置时，PIN 重置 UI 会显示一个错误页，显示“我们当前无法打开该页面”。 ConfigureWebSignInAllowedUrls 策略可用于解决此问题。 如果遇到此问题，并且使用的是 Azure 美国政府云，请将 login.microsoftonline.us 设置为 ConfigureWebSignInAllowedUrls 策略的值。

用户体验

破坏性和非破坏性的 PIN 重置方案使用相同的步骤来启动 PIN 重置。 如果用户忘记了 PIN，但使用备用登录方法，他们可以导航到 “设置” 中的“登录选项”，并从 PIN 选项启动 PIN 重置。 如果用户没有其他方式登录其设备，也可以使用 PIN 凭据提供程序从 Windows 锁屏界面启动 PIN 重置。 用户必须进行身份验证并完成多重身份验证才能重置其 PIN。 PIN 重置完成后，用户可以使用其新 PIN 登录。

重要提示

对于Microsoft Entra混合加入的设备，用户必须具有与域控制器的企业网络连接才能完成破坏性 PIN 重置。 如果 AD FS 用于证书信任或仅限本地部署，则用户还必须与联合身份验证服务建立企业网络连接才能重置其 PIN。

在“设置”中重置 PIN

1. 使用备用凭据登录到Windows 10
2. 打开 “设置 > 帐户 > ”登录选项
3. (Windows Hello) > 忘记 PIN，请选择“PIN”，然后按照说明操作

从锁屏界面重置 PIN

对于已加入Microsoft Entra的设备：

1. 如果未选择 PIN 凭据提供程序，请展开 “登录选项” 链接，然后选择 PIN 板图标
2. 从 PIN 凭据提供程序中选择 “我忘记了 PIN ”
3. 从显示的选项列表中选择一个身份验证选项。 此列表基于租户中启用的不同身份验证方法， (如密码、PIN、安全密钥)
4. 按照预配流程提供的说明操作
5. 完成后，使用新创建的 PIN 解锁桌面

对于Microsoft Entra混合联接的设备：

1. 如果未选择 PIN 凭据提供程序，请展开 “登录选项” 链接，然后选择 PIN 板图标
2. 从 PIN 凭据提供程序中选择 “我忘记了 PIN ”
3. 输入密码并按 Enter
4. 按照预配流程提供的说明操作
5. 完成后，使用新创建的 PIN 解锁桌面

注意

Microsoft Entra混合联接设备上的密钥信任不支持从锁屏界面上方进行破坏性 PIN 重置。 这是因为用户预配其Windows Hello 企业版凭据和能够使用它进行登录之间的同步延迟。 对于此部署模型，必须部署非破坏性 PIN 重置，以便上述锁 PIN 重置正常工作。

你可能会发现，“设置”中的 PIN 重置仅在登录后有效。 此外，如果你对锁屏界面中的自助密码重置有任何匹配限制，则锁屏 PIN 重置功能不起作用。 有关详细信息，请参阅在 Windows 登录屏幕上启用Microsoft Entra自助密码重置。