暗証番号 (PIN) のリセット
この記事では、 Microsoft PIN リセット サービス を使用して、忘れた Windows Hello for Business PIN を回復する方法と、それを構成する方法について説明します。
概要
Windows Hello for Business には、ユーザーが忘れた PIN をリセットする機能が用意されています。 PIN リセットには、次の 2 つの形式があります。
- 破壊的 PIN リセット: ユーザーの既存の PIN と基になる資格情報 (Windows Hello コンテナーに追加されたキーや証明書など) がクライアントから削除され、新しいサインイン キーと PIN がプロビジョニングされます。 破壊的 PIN リセットは既定のオプションであり、構成は必要ありません
- 非破壊的 PIN リセット: ユーザーの Windows Hello for Business コンテナーとキーは保持されますが、キーの使用を承認するために使用するユーザーの PIN は変更されます。 非破壊的 PIN リセットの場合は、 Microsoft PIN リセット サービス を展開し、 PIN 回復 機能を有効にするようにクライアントのポリシーを構成する必要があります
非破壊的 PIN リセットのしくみ
必要条件:
- ハイブリッドまたはクラウドのみの Windows Hello for Business 展開
- Windows Enterprise、Education、Pro の各エディション。 この機能のライセンス要件はありません
非破壊的 PIN リセットがクライアントで有効になっている場合、 256 ビット AES キーがローカルに生成されます。 キーは、ユーザーの Windows Hello for Business コンテナーに追加され、 PIN リセット 保護機能としてキーが追加されます。 この PIN リセット 保護機能は、Microsoft PIN リセット サービスから取得した公開キーを使用して暗号化され、後で PIN リセット中に使用できるようにクライアントに格納されます。 ユーザーが PIN リセットを開始し、Microsoft Entra ID への認証と多要素認証を完了すると、暗号化された PIN リセット 保護機能が Microsoft PIN リセット サービスに送信され、暗号化解除され、クライアントに返されます。 暗号化解除された PIN リセット 保護機能は、Windows Hello for Business キーを承認するために使用される PIN を変更するために使用され、メモリからクリアされます。
グループ ポリシー、Microsoft Intune、または互換性のある MDM ソリューションを使用して、Microsoft PIN リセット サービスを安全に使用するように Windows デバイスを構成できます。これにより、ユーザーは再登録を必要とせずに忘れた PIN をリセットできます。
次の表では、破壊的 PIN リセットと非破壊的 PIN リセットを比較します。
カテゴリ | 破壊的 PIN リセット | 非破壊的 PIN リセット |
---|---|---|
機能 | Windows Hello コンテナーに追加されたキーや証明書など、ユーザーの既存の PIN と基になる資格情報がクライアントから削除され、新しいサインイン キーと PIN がプロビジョニングされます。 | PIN 回復機能を有効にするには、Microsoft PIN リセット サービスとクライアント ポリシーを展開する必要があります。 非破壊的 PIN リセット中、ユーザーの Windows Hello for Business コンテナーとキーは保持されますが、キーの使用を承認するために使用するユーザーの PIN は変更されます。 |
Microsoft Entra 参加済み | 証明書信頼、キー信頼、クラウド Kerberos 信頼 | 証明書信頼、キー信頼、クラウド Kerberos 信頼 |
Microsoft Entra ハイブリッド参加済み | 設定とロックの上の両方に対する証明書信頼とクラウド Kerberos 信頼は、破壊的な PIN リセットをサポートします。 キー信頼は、ロック画面の上からこのオプションをサポートしていません。 これは、ユーザーが Windows Hello for Business 資格情報をプロビジョニングしてからサインインに使用できるようになるまでの同期遅延が原因です。 設定ページからサポートされており、ユーザーは DC への企業ネットワーク接続が必要です。 | Cert Trust、Key Trust、Cloud Kerberos の信頼は、設定とロックの上の両方で非破壊的 PIN リセットをサポートします。 DC にネットワーク接続は必要ありません。 |
オンプレミス | オンプレミスの展開に AD FS を使用する場合、ユーザーはフェデレーション サービスへの企業ネットワーク接続を持っている必要があります。 | PIN リセット サービスは Microsoft Entra ID に依存しているため、Microsoft Entra ハイブリッド参加済みデバイスと Microsoft Entra 参加済みデバイスでのみ使用できます。 |
追加の構成が必要 | 既定でサポートされ、構成は必要ありません | MICROSOFT PIN リセット サービスとクライアント ポリシーを展開して、PIN 回復機能を有効にします。 |
MSA/Enterprise | MSA と Enterprise | エンタープライズのみ。 |
Microsoft Entra テナントで Microsoft PIN リセット サービスを有効にする
非破壊的 PIN リセットを使用する前に、Microsoft Entra テナントに 2 つのアプリケーションを登録する必要があります。
- Microsoft Pin Reset Service Production
- Microsoft Pin Reset クライアントの運用
アプリケーションを登録するには、次の手順に従います。
- Microsoft PIN Reset Service Production Web サイトに移動し、少なくともアプリケーション管理者としてサインインします。 Microsoft Pin Reset Service Production アプリケーションによって要求されたアクセス許可を確認し、[同意する] を選択して、組織にアクセスするアプリケーションに同意します
- Microsoft PIN リセット クライアント運用 Web サイトに移動し、少なくともアプリケーション管理者として署名します。 Microsoft Pin Reset Client Production アプリケーションによって要求されたアクセス許可を確認し、[次へ] を選択します。
- Microsoft Pin Reset Service Production アプリケーションによって要求されたアクセス許可を確認し、[同意する] を選択して、組織にアクセスするための両方のアプリケーションへの同意を確認します。
注
同意すると、リダイレクト ページに空白のページが表示されます。 これは既知の動作です。
2 つの PIN リセット サービス プリンシパルがテナントに登録されていることを確認する
- Microsoft Entra Manager 管理センターにサインインする
- [Microsoft Entra ID > Applications > Enterprise アプリケーション] を選択します
- アプリケーション名 "Microsoft PIN" で検索し、Microsoft Pin Reset Service Production と Microsoft Pin Reset Client Production の両方がの一覧にあることを確認します。
クライアントで PIN 回復を有効にする
クライアントで PIN 回復を有効にするには、次を使用できます。
- Microsoft Intune/MDM
- グループ ポリシー
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
Windows Hello For Business | Pin Recovery を有効にする | True |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
注
[エンドポイント セキュリティ] ブレードから PIN 回復を構成することもできます。
- Microsoft Intune 管理センターにサインインする
- [ エンドポイント セキュリティ] > [アカウント保護] > [ポリシーの作成] を選択します
または、PassportForWork CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
OMA-URI | データ型 | 値 |
---|---|---|
./Vendor/MSFT/Policy/PassportForWork/
TenantId/Policies/EnablePinRecovery |
ブール値 | True |
注
TenantId
を Microsoft Entra テナントの識別子に置き換える必要があります。 テナント ID を検索するには、「 Microsoft Entra テナント ID を見つける方法 」を参照するか、次を試して、組織のアカウントでサインインしてください。
GET https://graph.microsoft.com/v1.0/organization?$select=id
PIN 回復ポリシーがデバイスに適用されていることを確認する
PIN リセット構成は、コマンド ラインから dsregcmd /status を実行することで表示できます。 この状態は、 CanReset 行項目としてユーザー状態セクションの出力の下にあります。 CanReset が DestructiveOnly と報告された場合、破壊的 PIN リセットのみが有効になります。 CanReset で DestructiveAndNonDestructive が報告された場合、非破壊的 PIN リセットが有効になります。
破壊的 PIN リセットのサンプル ユーザー状態出力
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
CanReset : DestructiveOnly
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
非破壊的 PIN リセットのサンプル ユーザー状態出力
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Microsoft Entra 参加済みデバイス上のフェデレーション ID プロバイダーに許可される URL を構成する
適用対象: Microsoft Entra 参加済みデバイス
Microsoft Entra 参加済みデバイスの PIN リセットでは、 Web サインイン と呼ばれるフローを使用して、ロック画面でユーザーを認証します。 Web サインインでは、特定のドメインへのナビゲーションのみが許可されます。 Web サインインが許可されていないドメインに移動しようとすると、エラー メッセージが表示されたページが表示されます。 現在、そのページを開くことはできません。
フェデレーション環境があり、認証が AD FS または Microsoft 以外の ID プロバイダーを使用して処理される場合は、PIN リセット フロー中に到達できるドメインの一覧を許可するようにポリシーを使用してデバイスを構成する必要があります。 設定すると、Microsoft Entra 参加済み PIN のリセット中に、その ID プロバイダーからの認証ページを使用できるようになります。
Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
認証 | Web サインイン許可 URL を構成する | PIN リセット シナリオ中の認証に必要なドメインのセミコロン区切りの一覧を指定します。 値の例を signin.contoso.com します。portal.contoso.com |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
設定 |
---|
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls |
注
Azure Government の場合、Microsoft Entra 参加済みデバイスでの PIN リセットに関する既知の問題が発生しています。 ユーザーが PIN リセットを起動しようとすると、PIN リセット UI にエラー ページが表示されます 。"このページを今すぐ開くことができない" というエラー ページが表示されます。 ConfigureWebSignInAllowedUrls ポリシーを使用して、この問題を回避できます。 この問題が発生していて、Azure US Government クラウドを使用している場合は、ConfigureWebSignInAllowedUrls ポリシーの値として login.microsoftonline.us を設定します。
ユーザー エクスペリエンス
破壊的および非破壊的な PIN リセット シナリオでは、PIN リセットを開始する場合と同じ手順を使用します。 ユーザーが PIN を忘れたが、別のサインイン方法がある場合は、[ 設定] の [サインイン オプション] に移動し、PIN オプションから PIN のリセットを開始できます。 ユーザーがデバイスにサインインする別の方法がない場合は、 PIN 資格情報プロバイダーを使用して Windows ロック画面から PIN リセットを開始することもできます。 ユーザーは、PIN をリセットするために、多要素認証を認証して完了する必要があります。 PIN のリセットが完了すると、ユーザーは新しい PIN を使用してサインインできます。
重要
Microsoft Entra ハイブリッド参加済みデバイスの場合、破壊的な PIN リセットを完了するには、ユーザーがドメイン コントローラーへの企業ネットワーク接続を持っている必要があります。 AD FS が証明書の信頼またはオンプレミスのみの展開に使用されている場合、ユーザーは PIN をリセットするために、フェデレーション サービスへの企業ネットワーク接続も必要です。
設定からの PIN のリセット
- 別の資格情報を使用して Windows 10 にサインインする
- [設定] > [アカウント] >サインイン オプションを開く
- PIN を忘れた> PIN (Windows Hello) を選択し、指示に従います
ロック画面から PIN をリセットする
Microsoft Entra 参加済みデバイスの場合:
- PIN 資格情報プロバイダーが選択されていない場合は、[ サインイン オプション ] リンクを展開し、PIN パッド アイコンを選択します
- [PIN 資格情報プロバイダーから PIN を忘れた場合 ] を選択します
- 表示されるオプションの一覧から認証オプションを選択します。 この一覧は、テナントで有効になっているさまざまな認証方法 (パスワード、PIN、セキュリティ キーなど) に基づいています
- プロビジョニング プロセスによって表示される指示に従います
- 完了したら、新しく作成した PIN を使用してデスクトップのロックを解除します
Microsoft Entra ハイブリッド参加済みデバイスの場合:
- PIN 資格情報プロバイダーが選択されていない場合は、[ サインイン オプション ] リンクを展開し、PIN パッド アイコンを選択します
- [PIN 資格情報プロバイダーから PIN を忘れた場合 ] を選択します
- パスワードを入力し、Enter キーを押します
- プロビジョニング プロセスによって表示される指示に従います
- 完了したら、新しく作成した PIN を使用してデスクトップのロックを解除します
注
Microsoft Entra ハイブリッド参加済みデバイスのキー信頼では、ロック画面の上からの破壊的な PIN リセットはサポートされていません。 これは、ユーザーが Windows Hello for Business 資格情報をプロビジョニングしてからサインインに使用できるようになるまでの同期遅延が原因です。 このデプロイ モデルでは、上記のロック PIN リセットを機能させるには、非破壊的 PIN リセットをデプロイする必要があります。
[設定] からの PIN リセットは、サインイン後にのみ機能する場合があります。 また、ロック画面からのセルフサービスパスワードリセットに一致する制限がある場合、ロック画面の PIN リセット機能は機能しません。 詳細については、「 Windows サインイン画面で Microsoft Entra セルフサービス パスワード リセットを有効にする」を参照してください。