Reimpostazione del PIN
Questo articolo descrive come il servizio di reimpostazione del PIN Microsoft consente agli utenti di ripristinare un PIN di Windows Hello for Business dimenticato e come configurarlo.
Panoramica
Windows Hello for Business offre agli utenti la possibilità di reimpostare i PIN dimenticati. Esistono due forme di reimpostazione del PIN:
- Reimpostazione distruttiva del PIN: il PIN esistente dell'utente e le credenziali sottostanti, incluse le chiavi o i certificati aggiunti al contenitore Windows Hello, vengono eliminati dal client e viene effettuato il provisioning di una nuova chiave di accesso e di un nuovo PIN. La reimpostazione distruttiva del PIN è l'opzione predefinita e non richiede la configurazione
- Reimpostazione non distruttiva del PIN: il contenitore e le chiavi di Windows Hello for Business dell'utente vengono conservati, ma il PIN dell'utente usato per autorizzare l'utilizzo della chiave viene modificato. Per la reimpostazione non distruttiva del PIN, è necessario distribuire il servizio di reimpostazione del PIN Microsoft e configurare i criteri dei client per abilitare la funzionalità di ripristino del PIN
Funzionamento della reimpostazione non distruttiva del PIN
Fabbisogno:
- Distribuzioni di Windows Hello for Business ibride o solo cloud
- Edizioni Windows Enterprise, Education e Pro. Non è previsto alcun requisito di licenza per questa funzionalità
Quando la reimpostazione non distruttiva del PIN è abilitata in un client, viene generata una chiave AES a 256 bit in locale. La chiave viene aggiunta al contenitore Windows Hello for Business di un utente e alle chiavi come protezione per la reimpostazione del PIN. Questa protezione per la reimpostazione del PIN viene crittografata usando una chiave pubblica recuperata dal servizio di reimpostazione del PIN Microsoft e quindi archiviata nel client per un uso successivo durante la reimpostazione del PIN. Dopo che un utente avvia una reimpostazione del PIN, completa l'autenticazione e l'autenticazione a più fattori a Microsoft Entra ID, la protezione per la reimpostazione del PIN crittografata viene inviata al servizio di reimpostazione del PIN Microsoft, decrittografata e restituita al client. La protezione per la reimpostazione del PIN decrittografata viene usata per modificare il PIN usato per autorizzare le chiavi di Windows Hello for Business e viene quindi cancellata dalla memoria.
Usando Criteri di gruppo, Microsoft Intune o una soluzione MDM compatibile, è possibile configurare i dispositivi Windows per usare in modo sicuro il servizio di reimpostazione del PIN Microsoft, che consente agli utenti di reimpostare il PIN dimenticato senza dover ripetere la registrazione.
Nella tabella seguente viene confrontata la reimpostazione distruttiva e non distruttiva del PIN:
| Categoria | Reimpostazione distruttiva del PIN | Reimpostazione non distruttiva del PIN |
|---|---|---|
| Funzionalità | Il PIN esistente dell'utente e le credenziali sottostanti, incluse le chiavi o i certificati aggiunti al contenitore Windows Hello, vengono eliminati dal client e viene effettuato il provisioning di una nuova chiave di accesso e pin. | È necessario distribuire il servizio di reimpostazione del PIN Microsoft e i criteri client per abilitare la funzionalità di ripristino del PIN. Durante una reimpostazione non distruttiva del PIN, il contenitore e le chiavi di Windows Hello for Business dell'utente vengono mantenuti, ma il PIN dell'utente usato per autorizzare l'utilizzo della chiave viene modificato. |
| Microsoft Entra è stato aggiunto | Attendibilità del certificato, trust chiave e trust Kerberos cloud | Attendibilità del certificato, trust chiave e trust Kerberos cloud |
| Microsoft Entra ibrido aggiunto | L'attendibilità dei certificati e l'attendibilità Kerberos cloud per entrambe le impostazioni e oltre il blocco supportano la reimpostazione distruttiva del PIN. L'attendibilità chiave non supporta questa opzione dall'alto della schermata di blocco. Ciò è dovuto al ritardo di sincronizzazione tra quando un utente effettua il provisioning delle credenziali di Windows Hello for Business e la possibilità di usarlo per l'accesso. Supporta dalla pagina delle impostazioni e gli utenti devono avere una connettività di rete aziendale al controller di dominio. | L'attendibilità del certificato, l'attendibilità chiave e l'attendibilità Kerberos cloud per entrambe le impostazioni e oltre il blocco supportano la reimpostazione non distruttiva del PIN. Non è necessaria alcuna connessione di rete per il controller di dominio. |
| Locale | Se AD FS viene usato per le distribuzioni locali, gli utenti devono avere una connettività di rete aziendale ai servizi federativi. | Il servizio di reimpostazione del PIN si basa sulle identità di Microsoft Entra, quindi è disponibile solo per i dispositivi aggiunti a Microsoft Entra ibrido e aggiunti a Microsoft Entra. |
| Configurazione aggiuntiva necessaria | Supportato per impostazione predefinita e non richiede la configurazione | Distribuire il servizio di reimpostazione del PIN Microsoft e i criteri client per abilitare la funzionalità di ripristino del PIN. |
| MSA/Enterprise | MSA ed Enterprise | Solo enterprise. |
Abilitare il servizio Di reimpostazione PIN Microsoft nel tenant di Microsoft Entra
Prima di poter usare la reimpostazione non distruttiva del PIN, è necessario registrare due applicazioni nel tenant di Microsoft Entra:
- Microsoft Pin Reset Service Production
- Microsoft Pin Reset Client Production
Per registrare le applicazioni, seguire questa procedura:
- Passare al sito Web Microsoft PIN Reset Service Production e accedere come amministratore dell'applicazione. Esaminare le autorizzazioni richieste dall'applicazione Microsoft Pin Reset Service Production e selezionare Accetta per fornire il consenso all'applicazione per accedere all'organizzazione
- Passare al sito Web Microsoft PIN Reset Client Production e firmare come amministratore dell'applicazione. Esaminare le autorizzazioni richieste dall'applicazione Microsoft Pin Reset Client Production e selezionare Avanti.
- Esaminare le autorizzazioni richieste dall'applicazione Microsoft Pin Reset Service Production e selezionare Accetta per confermare il consenso a entrambe le applicazioni per accedere all'organizzazione.
Nota
Dopo l'accettazione, nella pagina di reindirizzamento verrà visualizzata una pagina vuota. Si tratta di un comportamento noto.
Verificare che le due entità servizio di reimpostazione PIN siano registrate nel tenant
- Accedere all'interfaccia di amministrazione di Microsoft Entra Manager
- Selezionare applicazioni Microsoft Entra ID > Applications > Enterprise
- Cercare in base al nome dell'applicazione "PIN Microsoft" e verificare che sia Microsoft Pin Reset Service Production che Microsoft Pin Reset Client Production siano presenti nella
Abilitare il ripristino del PIN nei client
Per abilitare il ripristino del PIN nei client, è possibile usare:
- Microsoft Intune/MDM
- Criteri di gruppo
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.
Intune
GPOPer configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Windows Hello For Business | Abilitare il ripristino dei pin | True |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Nota
È anche possibile configurare il ripristino del PIN dal pannello Sicurezza degli endpoint :
- Accedere all'interfaccia di amministrazione di Microsoft Intune
- Selezionare Endpoint security > Account protection > Crea criteri
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il CSP PassportForWork.
| URI OMA | Tipo di dati | Valore |
|---|---|---|
./Vendor/MSFT/Policy/PassportForWork/
TenantId/Policies/EnablePinRecovery |
Booleano | True |
Nota
È necessario sostituire TenantId con l'identificatore del tenant di Microsoft Entra. Per cercare l'ID tenant, vedere Come trovare l'ID tenant di Microsoft Entra o provare quanto segue, assicurandosi di accedere con l'account dell'organizzazione::
GET https://graph.microsoft.com/v1.0/organization?$select=id
Verificare che i criteri di ripristino pin siano applicati ai dispositivi
La configurazione della reimpostazione del PIN può essere visualizzata eseguendo dsregcmd /status dalla riga di comando. Questo stato è disponibile nella sezione relativa allo stato utente nell'output come elemento della riga CanReset . Se CanReset segnala come DestructiveOnly, è abilitata solo la reimpostazione distruttiva del PIN. Se CanReset segnala DestructiveAndNonDestructive, la reimpostazione non distruttiva del PIN è abilitata.
Output dello stato utente di esempio per la reimpostazione distruttiva del PIN
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
CanReset : DestructiveOnly
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Output dello stato utente di esempio per la reimpostazione non distruttiva del PIN
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Configurare gli URL consentiti per i provider di identità federati nei dispositivi aggiunti a Microsoft Entra
Si applica a: Dispositivi aggiunti a Microsoft Entra
La reimpostazione del PIN nei dispositivi aggiunti a Microsoft Entra usa un flusso denominato accesso Web per autenticare gli utenti nella schermata di blocco. L'accesso Web consente solo lo spostamento in domini specifici. Se l'accesso Web tenta di passare a un dominio non consentito, viene visualizzata una pagina con il messaggio di errore: Non è possibile aprire la pagina in questo momento.
Se si dispone di un ambiente federato e l'autenticazione viene gestita tramite AD FS o un provider di identità non Microsoft, è necessario configurare i dispositivi con un criterio per consentire un elenco di domini che è possibile raggiungere durante i flussi di reimpostazione del PIN. Se impostato, garantisce che le pagine di autenticazione di tale provider di identità possano essere usate durante la reimpostazione del PIN aggiunto a Microsoft Entra.
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Authentication | Configurare gli URL consentiti per l'accesso Web | Specificare un elenco delimitato da punto e virgola dei domini necessari per l'autenticazione durante lo scenario di reimpostazione del PIN. Un valore di esempio è signin.contoso.com; portal.contoso.com |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.
| Impostazione |
|---|
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
Nota
Per Azure per enti pubblici, si è verificato un problema noto con la reimpostazione del PIN nei dispositivi aggiunti a Microsoft Entra. Quando l'utente tenta di avviare la reimpostazione del PIN, l'interfaccia utente di reimpostazione del PIN visualizza una pagina di errore che indica che non è possibile aprire la pagina al momento. Il criterio ConfigureWebSignInAllowedUrls può essere usato per risolvere questo problema. Se si verifica questo problema e si usa il cloud di Azure US Government, impostare login.microsoftonline.us come valore per i criteri ConfigureWebSignInAllowedUrls.
Esperienza utente
Gli scenari di reimpostazione del PIN distruttivi e non distruttivi usano gli stessi passaggi per avviare una reimpostazione del PIN. Se gli utenti hanno dimenticato i PIN, ma hanno un metodo di accesso alternativo, possono passare alle opzioni di accesso in Impostazioni e avviare una reimpostazione del PIN dalle opzioni PIN. Se gli utenti non hanno un modo alternativo per accedere ai propri dispositivi, è anche possibile avviare la reimpostazione del PIN dalla schermata di blocco di Windows con il provider di credenziali PIN. Gli utenti devono autenticare e completare l'autenticazione a più fattori per reimpostare il PIN. Al termine della reimpostazione del PIN, gli utenti possono accedere usando il nuovo PIN.
Importante
Per i dispositivi aggiunti ibridi a Microsoft Entra, gli utenti devono disporre della connettività di rete aziendale ai controller di dominio per completare la reimpostazione distruttiva del PIN. Se AD FS viene usato per l'attendibilità dei certificati o solo per le distribuzioni locali, gli utenti devono anche disporre della connettività di rete aziendale ai servizi federativi per reimpostare il PIN.
Reimpostare il PIN dalle impostazioni
- Accedere a Windows 10 usando credenziali alternative
- Aprire le opzioni di accesso degli account > delle impostazioni >
- Selezionare PIN (Windows Hello) > Ho dimenticato il PIN e seguire le istruzioni
Reimpostare il PIN dalla schermata di blocco
Per i dispositivi aggiunti a Microsoft Entra:
- Se il provider di credenziali PIN non è selezionato, espandere il collegamento Opzioni di accesso e selezionare l'icona del riquadro PIN
- Selezionare Ho dimenticato il PIN dal provider di credenziali PIN
- Selezionare un'opzione di autenticazione nell'elenco delle opzioni presentate. Questo elenco si basa sui diversi metodi di autenticazione abilitati nel tenant (ad esempio Password, PIN, Chiave di sicurezza)
- Segui le istruzioni fornite dal processo di provisioning.
- Al termine, sbloccare il desktop usando il PIN appena creato
Per i dispositivi aggiunti ibridi a Microsoft Entra:
- Se il provider di credenziali PIN non è selezionato, espandere il collegamento Opzioni di accesso e selezionare l'icona del riquadro PIN
- Selezionare Ho dimenticato il PIN dal provider di credenziali PIN
- Immettere la password e premere INVIO
- Segui le istruzioni fornite dal processo di provisioning.
- Al termine, sbloccare il desktop usando il PIN appena creato
Nota
L'attendibilità chiave nei dispositivi aggiunti ibridi di Microsoft Entra non supporta la reimpostazione distruttiva del PIN da sopra la schermata di blocco. Ciò è dovuto al ritardo di sincronizzazione tra quando un utente effettua il provisioning delle credenziali di Windows Hello for Business e la possibilità di usarlo per l'accesso. Per questo modello di distribuzione, è necessario distribuire la reimpostazione non distruttiva del PIN per il funzionamento della reimpostazione del PIN di blocco precedente.
È possibile che la reimpostazione del PIN da Impostazioni funzioni solo dopo l'accesso. Inoltre, la funzione di reimpostazione pin della schermata di blocco non funziona se si dispone di una limitazione corrispondente della reimpostazione della password self-service dalla schermata di blocco. Per altre informazioni, vedere Abilitare la reimpostazione della password self-service di Microsoft Entra nella schermata di accesso di Windows.