PIN 重設

本文說明 Microsoft PIN 重設服務 如何讓用戶復原忘記的 Windows Hello 企業版 PIN,以及如何進行設定。

概觀

Windows Hello 企業版可讓使用者重設忘記的 PIN。 PIN 重設有兩種形式:

  • 破壞性 PIN 重設:用戶現有的 PIN 和基礎認證,包括新增至其 Windows Hello 容器的任何密鑰或憑證,都會從用戶端中刪除,並布建新的登入密鑰和 PIN。 破壞性 PIN 重設是預設選項,不需要設定
  • 非破壞性 PIN 重設:會保留使用者的 Windows Hello 企業版容器和密鑰,但使用者用來授權密鑰使用量的 PIN 會變更。 針對非解構式 PIN 重設,您必須部署 Microsoft PIN 重設服務 ,並設定客戶端的原則以啟用 PIN 復原 功能

非解構 PIN 重設的運作方式

要求:

  • 混合式或僅限雲端的 Windows Hello 企業版部署
  • Windows 企業版、教育版和專業版。 此功能沒有授權需求

在用戶端上啟用非解構 PIN 重設時,會在本機產生 256 位 AES 金鑰。 密鑰會新增至使用者的 Windows Hello 企業版容器和密鑰,作為 PIN 重設保護裝置。 此 PIN 重設保護裝置會使用從Microsoft PIN 重設服務擷取的公鑰進行加密,然後儲存在用戶端上,以便稍後在 PIN 重設期間使用。 當使用者起始 PIN 重設、完成驗證和多重要素驗證以Microsoft加密標識碼之後,加密的 PIN 重設保護裝置會傳送至Microsoft PIN 重設服務、解密,並傳回給用戶端。 解密的 PIN 重設保護裝置可用來變更用來授權 Windows Hello 企業版密鑰的 PIN,然後從記憶體中清除它。

您可以使用組策略、Microsoft Intune 或相容的 MDM 解決方案,將 Windows 裝置設定為安全地使用Microsoft PIN 重設服務,讓使用者不需要重新註冊即可重設忘記的 PIN。

下表比較破壞性和非破壞性 PIN 重設:

類別 破壞性 PIN 重設 非解構式 PIN 重設
功能 用戶現有的 PIN 和基礎認證,包括新增至其 Windows Hello 容器的任何密鑰或憑證,都會從用戶端中刪除,並佈建新的登入密鑰和 PIN。 您必須部署Microsoft PIN 重設服務和客戶端原則,才能啟用 PIN 復原功能。 在非解構 PIN 重設期間,會保留使用者的 Windows Hello 企業版容器和密鑰,但使用者用來授權金鑰使用方式的 PIN 會變更。
Microsoft加入 憑證信任、金鑰信任和雲端 Kerberos 信任 憑證信任、金鑰信任和雲端 Kerberos 信任
Microsoft已加入 Entra 混合式 憑證信任和雲端 Kerberos 信任的設定和鎖定上方都支援破壞性 PIN 重設。 密鑰信任不支援鎖定畫面上方的這個選項。 這是因為使用者布建其 Windows Hello 企業版認證與能夠使用它進行登入之間的同步延遲。 它可從 [設定] 頁面提供支援,而且用戶必須具有DC的公司網路連線能力。 憑證信任、金鑰信任和雲端 Kerberos 信任這兩個設定和鎖定上方都支援非破壞性 PIN 重設。 DC 不需要網路連線。
內部部署 如果 AD FS 用於內部部署,則用戶必須具有與同盟服務的公司網路連線能力。 PIN 重設服務依賴 Microsoft Entra 身分識別,因此它僅適用於已加入 Entra 混合式Microsoft和Microsoft加入 Entra 的裝置。
需要其他設定 默認支援且不需要設定 部署Microsoft PIN 重設服務和客戶端原則,以啟用 PIN 復原功能。
MSA/Enterprise MSA 與企業版 僅限企業。

在您的 Microsoft Entra 租用戶中啟用 Microsoft PIN 重設服務

您必須先在 Microsoft Entra 租用戶中註冊兩個應用程式,才能使用非解構式 PIN 重設:

  • Microsoft釘選重設服務生產環境
  • Microsoft釘選重設客戶端生產環境

若要註冊應用程式,請遵循下列步驟:

  1. 移至 Microsoft PIN 重設服務生產環境網站,並至少以應用程式 管理員身分登入。 檢閱 Microsoft Pin Reset Service Production 應用程式所要求的許可權,然後選取 [ 接受 ] 以同意應用程式存取您的組織

顯示 PIN 重設服務許可權頁面的螢幕快照。

  1. 移至 Microsoft PIN 重設用戶端生產網站,並至少以應用程式 管理員身分簽署。 檢閱 Microsoft Pin Reset Client Production 應用程式所要求的許可權,然後選取 [ 下一步]

顯示 PIN 重設客戶端許可權頁面的螢幕快照。

  1. 檢閱 Microsoft Pin Reset Service Production 應用程式所要求的許可權,然後選取 [ 接受 ] 以確認同意這兩個應用程式存取您的組織。

注意

接受之後,重新導向頁面會顯示空白頁面。 這是已知的行為。

顯示 PIN 重設服務許可權最終頁面的螢幕快照。

確認兩個 PIN 重設服務主體已在您的租用戶中註冊

  1. 登入 Microsoft Entra Manager 系統管理中心
  2. Microsoft Entra ID > 應用程式 > 企業應用程式
  3. 依應用程式名稱 「Microsoft PIN」 搜尋,並確認 Microsoft PIN 重設服務生產 環境和 Microsoft Pin 重設用戶端生產 ]都在清單 PIN 重設服務許可權頁面中。

在用戶端上啟用 PIN 復原

若要在用戶端上啟用 PIN 復原,您可以使用:

  • Microsoft Intune/MDM
  • 群組原則

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

若要使用 Microsoft Intune 設定裝置, 請建立 [設定] 目錄原則 ,並使用下列設定:

類別 設定名稱
Windows Hello 企業版 啟用釘選復原 True

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

注意

您也可以從 [端點安全 性] 刀鋒視窗設定 PIN 復原:

  1. 登入 Microsoft Intune 系統管理中心
  2. 取 [端點安全 > 性帳戶保護 > ] [建立原則]

或者,您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。

OMA-URI 資料類型
./Vendor/MSFT/Policy/PassportForWork/ TenantId/Policies/EnablePinRecovery 布林值 True

注意

您必須將 取代 TenantId 為 Microsoft Entra 租使用者的識別碼。 若要查閱您的租使用者標識碼,請參閱 如何尋找您的Microsoft租使用者標識 碼或嘗試下列動作,確保使用組織的帳戶登入:

GET https://graph.microsoft.com/v1.0/organization?$select=id

確認已在裝置上強制執行 PIN 修復原則

您可以從命令行執行 dsregcmd /status 來檢視 PIN 重設組態。 您可以在用戶狀態區段的輸出下找到這個狀態,做為 CanReset 行專案。 如果 CanReset 報告為[破壞性][僅限],則只會啟用破壞性 PIN 重設。 如果 CanReset 報告 DestructiveAndNonDestructive,則會啟用非破壞性 PIN 重設。

破壞性 PIN 重設的範例用戶狀態輸出

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

非破壞性 PIN 重設的範例用戶狀態輸出

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

在已加入 Entra 的裝置上為同盟識別提供者設定允許的 URL Microsoft

適用於: Microsoft加入 Entra 的裝置

Microsoft加入 Entra 的裝置上重設 PIN 會使用稱為 Web 登 入的流程,在鎖定畫面中驗證使用者。 Web 登入僅允許導覽至特定網域。 如果 Web 登入嘗試流覽至不允許的網域,則會顯示含有錯誤訊息的頁面: 我們目前無法開啟該頁面
如果您有同盟環境,而且驗證是使用AD FS或非Microsoft識別提供者來處理,則您必須使用原則來設定裝置,以允許在 PIN 重設流程期間可以連線到的網域清單。 設定時,可確保在Microsoft加入 Entra PIN 重設期間,可以使用來自該識別提供者的驗證頁面。

若要使用 Microsoft Intune 設定裝置, 請建立 [設定] 目錄原則 ,並使用下列設定:

類別 設定名稱
Authentication 設定允許的 Web 登入 URL 在 PIN 重設案例期間,提供驗證所需的分號分隔網域清單。 範例值會 是 signin.contoso.com;portal.contoso.com

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者,您可以使用 自定義 原則搭配原則 CSP 來設定裝置。

設定
  • OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
  • 資料類型:字串
  • 值:提供 PIN 重設案例期間驗證所需的網域分號分隔清單。 範例值會 是 signin.contoso.com;portal.contoso.com
    		•

    注意

    對於 Azure Government 而言,在已加入 Entra 的裝置Microsoft PIN 重設發生已知問題。 當使用者嘗試啟動 PIN 重設時,PIN 重設 UI 會顯示錯誤頁面,指出 「目前無法開啟該頁面」。 ConfigureWebSignInAllowedUrls 原則可用來解決此問題。 如果您遇到此問題,而且正在使用 Azure 美國政府雲端,請將 login.microsoftonline.us 設定為 ConfigureWebSignInAllowedUrls 原則的值。

    使用者體驗

    破壞性和非破壞性 PIN 重設案例會使用相同的步驟來起始 PIN 重設。 如果使用者忘記其 PIN,但有替代的登入方法,他們可以流覽至 [ 設定 ] 中的 [登入] 選項,並從 PIN 選項起始 PIN 重設。 如果用戶沒有替代方式可以登入其裝置,也可以使用 PIN 認證提供者從 Windows 鎖定畫面起始 PIN 重設。 用戶必須驗證並完成多重要素驗證,才能重設其 PIN。 PIN 重設完成之後,用戶可以使用新的 PIN 登入。

    重要

    針對Microsoft加入 Entra 的混合式裝置,用戶必須具有與域控制器的公司網路連線能力,才能完成破壞性 PIN 重設。 如果AD FS用於憑證信任或僅供內部部署使用,則使用者也必須具有與同盟服務的公司網路連線能力,才能重設其 PIN。

    從設定重設 PIN

    1. 使用替代認證登入 Windows 10
    2. 啟 > 設定帳戶 > 登入選項
    3. 取 [PIN (Windows Hello) > 我忘記 PIN, 並遵循指示

    從鎖定畫面重設 PIN

    針對Microsoft加入 Entra 的裝置:

    1. 如果未選取 PIN 認證提供者,請展開 [ 登入選項 ] 連結,然後選取 PIN 面板圖示
    2. 從 PIN 認證提供者選取 [我忘記 PIN]
    3. 從呈現的選項清單中選取驗證選項。 此清單是以租用戶中啟用的不同驗證方法為基礎, (例如密碼、PIN、安全性密鑰)
    4. 依照佈建程序提供的指示操作
    5. 完成時,請使用新建立的 PIN 將桌面解除鎖定

    針對Microsoft已加入 Entra 的混合式裝置:

    1. 如果未選取 PIN 認證提供者,請展開 [ 登入選項 ] 連結,然後選取 PIN 面板圖示
    2. 從 PIN 認證提供者選取 [我忘記 PIN]
    3. 輸入您的密碼,然後按 Enter 鍵
    4. 依照佈建程序提供的指示操作
    5. 完成時,請使用新建立的 PIN 將桌面解除鎖定

    注意

    Microsoft混合式聯結裝置上的密鑰信任不支援從鎖定畫面上方進行破壞性 PIN 重設。 這是因為使用者布建其 Windows Hello 企業版認證與能夠使用它進行登入之間的同步延遲。 針對此部署模型,您必須部署非破壞性 PIN 重設,以上鎖定 PIN 重設才能運作。

    您可能會發現[設定] 中的 PIN 重設只能在登入後運作。 此外,如果您從鎖定畫面對自助式密碼重設有任何相符的限制,鎖定畫面 PIN 重設函式將無法運作。 如需詳細資訊,請 參閱在 Windows 登入畫面上啟用Microsoft自助式密碼重設