PIN 重設

• 適用於:

  ✅ Windows 11, ✅ Windows 10

本文說明 Microsoft PIN 重設服務如何讓用戶復原忘記 Windows Hello 企業版 PIN，以及如何進行設定。

概觀

Windows Hello 企業版 可讓用戶重設忘記的 PIN。 PIN 重設有兩種形式：

• 破壞性 PIN 重設：用戶現有的 PIN 和基礎認證，包括新增至其 Windows Hello 容器的任何密鑰或憑證，都會從客戶端刪除，並佈建新的登入密鑰和 PIN。 破壞性 PIN 重設是預設選項，不需要設定
• 非破壞性 PIN 重設：會保留使用者的 Windows Hello 企業版 容器和密鑰，但使用者用來授權密鑰使用方式的 PIN 會變更。 針對非解構式 PIN 重設，您必須部署 Microsoft PIN 重設服務 ，並設定客戶端的原則以啟用 PIN 復原 功能

非解構 PIN 重設的運作方式

要求：

• 混合式或僅限雲端 Windows Hello 企業版 部署
• Windows 企業版、教育版和專業版。 此功能沒有授權需求

在用戶端上啟用非解構 PIN 重設時，會在本機產生 256 位 AES 金鑰。 密鑰會新增至使用者的 Windows Hello 企業版 容器和金鑰，作為 PIN 重設保護裝置。 此 PIN 重設保護裝置會使用從 Microsoft PIN 重設服務擷取的公鑰進行加密，然後儲存在用戶端上，以便稍後在 PIN 重設期間使用。 當使用者起始 PIN 重設、完成驗證和多重要素驗證以 Microsoft Entra ID 之後，加密的 PIN 重設保護裝置會傳送至 Microsoft PIN 重設服務、解密，並傳回給用戶端。 解密的 PIN 重設保護裝置可用來變更用來授權 Windows Hello 企業版 金鑰的 PIN，然後從記憶體中清除它。

您可以使用 群組原則、Microsoft Intune 或相容的 MDM 解決方案，將 Windows 裝置設定為安全地使用 Microsoft PIN 重設服務，讓使用者不需要重新註冊即可重設忘記的 PIN。

下表比較破壞性和非破壞性 PIN 重設：

類別	破壞性 PIN 重設	非解構式 PIN 重設
功能	用戶現有的 PIN 和基礎認證，包括新增至其 Windows Hello 容器的任何密鑰或憑證，都會從用戶端中刪除，並佈建新的登入密鑰和 PIN。	您必須部署 Microsoft PIN 重設服務和客戶端原則，才能啟用 PIN 復原功能。 在非解構 PIN 重設期間，會保留使用者的 Windows Hello 企業版 容器和密鑰，但使用者用來授權密鑰使用方式的 PIN 會變更。
Microsoft Entra 聯結	憑證信任、金鑰信任和雲端 Kerberos 信任	憑證信任、金鑰信任和雲端 Kerberos 信任
Microsoft Entra 混合式聯結	憑證信任和雲端 Kerberos 信任的設定和鎖定上方都支援破壞性 PIN 重設。 密鑰信任不支援鎖定畫面上方的這個選項。 這是因為使用者布建其 Windows Hello 企業版 認證，以及能夠將它用於登入之間的同步延遲。 它可從 [設定] 頁面提供支援，而且用戶必須具有DC的公司網路連線能力。	憑證信任、金鑰信任和雲端 Kerberos 信任這兩個設定和鎖定上方都支援非破壞性 PIN 重設。 DC 不需要網路連線。
內部部署	如果 AD FS 用於內部部署，則用戶必須具有與同盟服務的公司網路連線能力。	PIN 重設服務依賴 Microsoft Entra 身分識別，因此僅適用於 Microsoft Entra 混合式聯結和已加入 Microsoft Entra 裝置。
需要其他設定	默認支援且不需要設定	部署 Microsoft PIN 重設服務和客戶端原則，以啟用 PIN 復原功能。
MSA/Enterprise	MSA 與企業版	僅限企業。

在您的 Microsoft Entra 租用戶中啟用 Microsoft PIN 重設服務

您必須先在 Microsoft Entra 租使用者中註冊兩個應用程式，才能使用非解構 PIN 重設：

• Microsoft Pin Reset Service Production
• Microsoft Pin 重設客戶端生產

若要註冊應用程式，請遵循下列步驟：

1. 移至 Microsoft PIN 重設服務生產網站，並使用您用來管理 Microsoft Entra 租使用者的全域管理員帳戶登入。 檢閱 Microsoft Pin Reset Service Production 應用程式所要求的許可權，然後選取 [ 接受 ] 以同意應用程式存取您的組織

2. 移至 Microsoft PIN 重設用戶端生產網站，並使用您用來管理 Microsoft Entra 租使用者的全域管理員帳戶登入。 檢閱 Microsoft Pin Reset Client Production 應用程式所要求的許可權，然後選取 [ 下一步]。

3. 檢閱 Microsoft Pin Reset Service Production 應用程式所要求的許可權，然後選取 [ 接受 ] 以確認同意這兩個應用程式存取您的組織。

注意

接受之後，重新導向頁面會顯示空白頁面。 這是已知的行為。

確認兩個 PIN 重設服務主體已在您的租用戶中註冊

1. 登入 Microsoft Entra 管理員系統管理中心
2. 選 Microsoft Entra ID > 應用程式>企業應用程式
3. 搜尋 應用程式名稱 「Microsoft PIN」，並確認 Microsoft Pin Reset Service Production 和 Microsoft Pin Reset Client Production 都在列表

在用戶端上啟用 PIN 復原

若要在用戶端上啟用 PIN 復原，您可以使用：

• Microsoft Intune/MDM
• 群組原則

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune

若要使用 Microsoft Intune 設定裝置，請建立 [設定] 目錄原則，並使用下列設定：

類別	設定名稱	值
Windows Hello 商務用	啟用釘選復原	True

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

注意

您也可以從 [端點安全 性] 刀鋒視窗設定 PIN 復原：

1. 登入 Microsoft Intune 系統管理中心
2. 選 取 [端點安全 > 性帳戶保護 > ] [建立原則]

或者，您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。

OMA-URI	資料類型	值
./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery	布林值	True

注意

您必須將 取代TenantId為 Microsoft Entra 租使用者的識別碼。 若要查閱您的租使用者標識碼，請參閱如何尋找您的 Microsoft Entra 租使用者標識碼或嘗試下列動作，確保使用組織的帳戶登入：

GET https://graph.microsoft.com/v1.0/organization?$select=id

Gpo

若要使用組策略設定裝置，請使用本機 群組原則 編輯器。 若要設定多個已加入 Active Directory 的裝置，請 (GPO) 建立或編輯 組策略物件，並使用下列設定：

組策略路徑	組策略設定	值
計算機設定>系統管理>範本 Windows 元件 > Windows Hello 企業版	使用 PIN 復原	啟用

組策略可以 連結 至網域或組織單位、 使用安全組進行篩選，或 使用WMI篩選器進行篩選。

確認已在裝置上強制執行 PIN 修復原則

您可以從命令行執行 dsregcmd /status 來檢視 PIN 重設組態。 您可以在用戶狀態區段的輸出下找到這個狀態，做為 CanReset 行專案。 如果 CanReset 報告為[破壞性][僅限]，則只會啟用破壞性 PIN 重設。 如果 CanReset 報告 DestructiveAndNonDestructive，則會啟用非破壞性 PIN 重設。

破壞性 PIN 重設的範例用戶狀態輸出

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

非破壞性 PIN 重設的範例用戶狀態輸出

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

在已加入 Microsoft Entra 裝置上為同盟識別提供者設定允許的URL

適用於：已加入 Microsoft Entra 裝置

已加入 Microsoft Entra 裝置上的 PIN 重設會使用稱為 Web 登入的流程，在鎖定畫面中驗證使用者。 Web 登入僅允許導覽至特定網域。 如果 Web 登入嘗試流覽至不允許的網域，則會顯示含有錯誤訊息的頁面： 我們目前無法開啟該頁面。
如果您有同盟環境，而且驗證是使用AD FS或非 Microsoft 識別提供者來處理，則您必須使用原則來設定您的裝置，以允許在 PIN 重設流程期間可以連線到的網域清單。 設定時，可確保在聯結 PIN 重設期間，可以使用來自該識別提供者的驗證頁面 Microsoft Entra。

若要使用 Microsoft Intune 設定裝置，請建立 [設定] 目錄原則，並使用下列設定：

類別	設定名稱	值
Authentication	設定允許的 Web 登入 URL	在 PIN 重設案例期間，提供驗證所需的分號分隔網域清單。 範例值會 是 signin.contoso.com;portal.contoso.com

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者，您可以使用 自定義 原則搭配原則 CSP 來設定裝置。

設定
OMA-URI： ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 資料類型：字串 值：提供 PIN 重設案例期間驗證所需的網域分號分隔清單。 範例值會 是 signin.contoso.com;portal.contoso.com

注意

針對 Azure Government，已加入 Microsoft Entra 裝置上的 PIN 重設有已知問題。 當使用者嘗試啟動 PIN 重設時，PIN 重設 UI 會顯示錯誤頁面，指出 「目前無法開啟該頁面」。 ConfigureWebSignInAllowedUrls 原則可用來解決此問題。 如果您遇到此問題，而且正在使用 Azure 美國政府雲端，請將 login.microsoftonline.us 設定為 ConfigureWebSignInAllowedUrls 原則的值。

使用者體驗

破壞性和非破壞性 PIN 重設案例會使用相同的步驟來起始 PIN 重設。 如果使用者忘記其 PIN，但有替代的登入方法，他們可以流覽至 [ 設定 ] 中的 [登入] 選項，並從 PIN 選項起始 PIN 重設。 如果用戶沒有替代方式可以登入其裝置，也可以使用 PIN 認證提供者從 Windows 鎖定畫面起始 PIN 重設。 用戶必須驗證並完成多重要素驗證，才能重設其 PIN。 PIN 重設完成之後，用戶可以使用新的 PIN 登入。

重要

針對 Microsoft Entra 混合式聯結裝置，用戶必須具有域控制器的公司網路連線能力，才能完成破壞性 PIN 重設。 如果AD FS用於憑證信任或僅供內部部署使用，則使用者也必須具有與同盟服務的公司網路連線能力，才能重設其 PIN。

從設定重設 PIN

1. 使用替代認證登入 Windows 10
2. 開 啟 > 設定帳戶 > 登入選項
3. 選取 [PIN (Windows Hello) > 我忘記 PIN 碼，並遵循指示

從鎖定畫面重設 PIN

針對已加入 Microsoft Entra 裝置：

1. 如果未選取 PIN 認證提供者，請展開 [ 登入選項 ] 連結，然後選取 PIN 面板圖示
2. 從 PIN 認證提供者選取 [我忘記 PIN]
3. 從呈現的選項清單中選取驗證選項。 此清單是以租用戶中啟用的不同驗證方法為基礎， (例如密碼、PIN、安全性密鑰)
4. 依照佈建程序提供的指示操作
5. 完成時，請使用新建立的 PIN 將桌面解除鎖定

針對 Microsoft Entra 混合式聯結裝置：

1. 如果未選取 PIN 認證提供者，請展開 [ 登入選項 ] 連結，然後選取 PIN 面板圖示
2. 從 PIN 認證提供者選取 [我忘記 PIN]
3. 輸入您的密碼，然後按 Enter 鍵
4. 依照佈建程序提供的指示操作
5. 完成時，請使用新建立的 PIN 將桌面解除鎖定

注意

Microsoft Entra 混合式聯結裝置上的密鑰信任，不支援從鎖定畫面上方進行破壞性 PIN 重設。 這是因為使用者布建其 Windows Hello 企業版 認證，以及能夠使用它進行登入之間的同步延遲。 針對此部署模型，您必須部署非破壞性 PIN 重設，以上鎖定 PIN 重設才能運作。

您可能會發現[設定] 中的 PIN 重設只能在登入後運作。 此外，如果您從鎖定畫面對自助式密碼重設有任何相符的限制，鎖定畫面 PIN 重設函式將無法運作。 如需詳細資訊，請參閱在 Windows 登入畫面上啟用 Microsoft Entra 自助式密碼重設。