暗証番号 (PIN) のリセット

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

この記事では、Microsoft PIN リセット サービスを使用して、ユーザーが忘れたWindows Hello for Business PIN を回復する方法と、それを構成する方法について説明します。

概要

Windows Hello for Businessは、ユーザーが忘れた PIN をリセットする機能を提供します。 PIN リセットには、次の 2 つの形式があります。

• 破壊的 PIN リセット: ユーザーの既存の PIN と基になる資格情報 (Windows Hello コンテナーに追加されたキーまたは証明書を含む) がクライアントから削除され、新しいサインイン キーと PIN がプロビジョニングされます。 破壊的 PIN リセットは既定のオプションであり、構成は必要ありません。
• 非破壊的 PIN リセット: ユーザーのWindows Hello for Business コンテナーとキーは保持されますが、キーの使用を承認するために使用するユーザーの PIN は変更されます。 非破壊的な PIN リセットの場合は、 Microsoft PIN リセット サービス を展開し、 PIN 回復 機能を有効にするようにクライアントのポリシーを構成する必要があります。

非破壊的 PIN リセットのしくみ

必要条件：

• ハイブリッドまたはクラウドのみのWindows Hello for Businessデプロイ
• Windows Enterprise、Education、Pro の各エディション。 この機能のライセンス要件はありません

非破壊的 PIN リセットがクライアントで有効になっている場合、 256 ビット AES キーがローカルに生成されます。 キーはユーザーの Windows Hello for Business コンテナーに追加され、キーは PIN リセット 保護機能として追加されます。 この PIN リセット 保護機能は、Microsoft PIN リセット サービスから取得した公開キーを使用して暗号化され、後で PIN リセット中に使用できるようにクライアントに格納されます。 ユーザーが PIN リセットを開始し、認証と多要素認証を完了してMicrosoft Entra IDすると、暗号化された PIN リセット 保護機能が Microsoft PIN リセット サービスに送信され、暗号化解除され、クライアントに返されます。 暗号化解除された PIN リセット 保護機能は、Windows Hello for Business キーの承認に使用される PIN を変更するために使用され、メモリからクリアされます。

グループ ポリシー、Microsoft Intune、または互換性のある MDM ソリューションを使用して、Microsoft PIN リセット サービスを安全に使用するように Windows デバイスを構成できます。これにより、ユーザーは再登録を必要とせずに忘れた PIN をリセットできます。

次の表では、破壊的 PIN リセットと非破壊的 PIN リセットを比較します。

カテゴリ	破壊的 PIN リセット	非破壊的 PIN リセット
機能	ユーザーの既存の PIN と基になる資格情報 (Windows Hello コンテナーに追加されたキーや証明書など) はクライアントから削除され、新しいサインイン キーと PIN がプロビジョニングされます。	PIN 回復機能を有効にするには、Microsoft PIN リセット サービスとクライアント ポリシーを展開する必要があります。 非破壊的 PIN リセット中、ユーザーのWindows Hello for Business コンテナーとキーは保持されますが、キーの使用を承認するために使用するユーザーの PIN は変更されます。
Microsoft Entra参加済み	証明書信頼、キー信頼、クラウド Kerberos 信頼	証明書信頼、キー信頼、クラウド Kerberos 信頼
Microsoft Entraハイブリッド参加済み	設定とロックの上の両方に対する証明書信頼とクラウド Kerberos 信頼は、破壊的な PIN リセットをサポートします。 キー信頼は、ロック画面の上からこのオプションをサポートしていません。 これは、ユーザーがWindows Hello for Business資格情報をプロビジョニングしてからサインインに使用できるようになるまでの同期遅延が原因です。 設定ページからサポートされており、ユーザーは DC への企業ネットワーク接続が必要です。	Cert Trust、Key Trust、Cloud Kerberos の信頼は、設定とロックの上の両方で非破壊的 PIN リセットをサポートします。 DC にネットワーク接続は必要ありません。
オンプレミス	オンプレミスの展開に AD FS を使用する場合、ユーザーはフェデレーション サービスへの企業ネットワーク接続を持っている必要があります。	PIN リセット サービスはMicrosoft Entra ID に依存しているため、ハイブリッド参加済みデバイスとMicrosoft Entra参加済みデバイスMicrosoft Entraでのみ使用できます。
追加の構成が必要	既定でサポートされ、構成は必要ありません	MICROSOFT PIN リセット サービスとクライアント ポリシーを展開して、PIN 回復機能を有効にします。
MSA/Enterprise	MSA と Enterprise	エンタープライズのみ。

Microsoft Entra テナントで Microsoft PIN リセット サービスを有効にする

非破壊的 PIN リセットを使用する前に、Microsoft Entra テナントに 2 つのアプリケーションを登録する必要があります。

• Microsoft Pin Reset Service Production
• Microsoft Pin Reset クライアントの運用

アプリケーションを登録するには、次の手順に従います。

1. Microsoft PIN Reset Service Production Web サイトに移動し、少なくともアプリケーション管理者としてサインインします。 Microsoft Pin Reset Service Production アプリケーションによって要求されたアクセス許可を確認し、[同意する] を選択してアプリケーションに同意して、organizationにアクセスします。

2. Microsoft PIN リセット クライアント運用 Web サイトに移動し、少なくともアプリケーション管理者として署名します。 Microsoft Pin Reset Client Production アプリケーションによって要求されたアクセス許可を確認し、[次へ] を選択します。

3. Microsoft Pin Reset Service Production アプリケーションによって要求されたアクセス許可を確認し、[同意する] を選択して、両方のアプリケーションに同意してorganizationにアクセスすることを確認します。

注

同意すると、リダイレクト ページに空白のページが表示されます。 これは既知の動作です。

2 つの PIN リセット サービス プリンシパルがテナントに登録されていることを確認する

1. Microsoft Entra Manager 管理センターにサインインする
2. [Microsoft Entra ID > アプリケーション] > [エンタープライズ アプリケーション] を選択します
3. アプリケーション名 "Microsoft PIN" で検索し、Microsoft Pin Reset Service Production と Microsoft Pin Reset Client Production の両方がの一覧にあることを確認します。

クライアントで PIN 回復を有効にする

クライアントで PIN 回復を有効にするには、次を使用できます。

• Microsoft Intune/MDM
• グループ ポリシー

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ	設定名	値
ビジネス向けWindows Hello	Pin Recovery を有効にする	True

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

注

[エンドポイント セキュリティ] ブレードから PIN 回復を構成することもできます。

1. Microsoft Intune管理センターにサインインする
2. [ エンドポイント セキュリティ] > [アカウント保護] > [ポリシーの作成] を選択します

または、PassportForWork CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

OMA-URI	データ型	値
./Vendor/MSFT/Policy/PassportForWork/ TenantId/Policies/EnablePinRecovery	ブール値	True

注

TenantIdをMicrosoft Entra テナントの識別子に置き換える必要があります。 テナント ID を検索するには、「Microsoft Entra テナント ID を見つける方法」を参照するか、次を試して、organizationのアカウントでサインインしてください。

GET https://graph.microsoft.com/v1.0/organization?$select=id

GPO

グループ ポリシーを使用してデバイスを構成するには、ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。

グループ ポリシー パス	グループ ポリシー設定	値
Windows コンポーネント > Windows Hello for Business>管理用テンプレート>コンピューターの構成	PIN 回復を使用する	有効

グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。

PIN 回復ポリシーがデバイスに適用されていることを確認する

PIN リセット構成は、コマンド ラインから dsregcmd /status を実行することで表示できます。 この状態は、 CanReset 行項目としてユーザー状態セクションの出力の下にあります。 CanReset が DestructiveOnly と報告された場合、破壊的 PIN リセットのみが有効になります。 CanReset で DestructiveAndNonDestructive が報告された場合、非破壊的 PIN リセットが有効になります。

破壊的 PIN リセットのサンプル ユーザー状態出力

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

非破壊的 PIN リセットのサンプル ユーザー状態出力

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Microsoft Entra参加済みデバイス上のフェデレーション ID プロバイダーに許可される URL を構成する

適用対象: 参加済みデバイスMicrosoft Entra

Microsoft Entra参加しているデバイスの PIN リセットでは、Web サインインと呼ばれるフローを使用して、ロック画面でユーザーを認証します。 Web サインインでは、特定のドメインへのナビゲーションのみが許可されます。 Web サインインが許可されていないドメインに移動しようとすると、エラー メッセージが表示されたページが表示されます。 現在、そのページを開くことはできません。
フェデレーション環境があり、認証が AD FS または Microsoft 以外の ID プロバイダーを使用して処理される場合は、PIN リセット フロー中に到達できるドメインの一覧を許可するようにポリシーを使用してデバイスを構成する必要があります。 設定すると、その ID プロバイダーからの認証ページが、参加している PIN のリセット中Microsoft Entra使用できるようになります。

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ	設定名	値
認証	Web サインイン許可 URL を構成する	PIN リセット シナリオ中の認証に必要なドメインのセミコロン区切りの一覧を指定します。 値の例を signin.contoso.com します。portal.contoso.com

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

設定
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls データ型: 文字列型 値: PIN リセット シナリオ中に認証に必要なドメインのセミコロン区切りの一覧を指定します。 値の例を signin.contoso.com します。portal.contoso.com

注

Azure Governmentの場合、参加しているデバイスの PIN リセットに関する既知の問題Microsoft Entra発生しています。 ユーザーが PIN リセットを起動しようとすると、PIN リセット UI にエラー ページが表示されます 。"このページを今すぐ開くことができない" というエラー ページが表示されます。 ConfigureWebSignInAllowedUrls ポリシーを使用して、この問題を回避できます。 この問題が発生していて、Azure US Government クラウドを使用している場合は、ConfigureWebSignInAllowedUrls ポリシーの値として login.microsoftonline.us を設定します。

ユーザー エクスペリエンス

破壊的および非破壊的な PIN リセット シナリオでは、PIN リセットを開始する場合と同じ手順を使用します。 ユーザーが PIN を忘れたが、別のサインイン方法がある場合は、[ 設定] の [サインイン オプション] に移動し、PIN オプションから PIN のリセットを開始できます。 ユーザーがデバイスにサインインする別の方法がない場合は、 PIN 資格情報プロバイダーを使用して Windows ロック画面から PIN リセットを開始することもできます。 ユーザーは、PIN をリセットするために、多要素認証を認証して完了する必要があります。 PIN のリセットが完了すると、ユーザーは新しい PIN を使用してサインインできます。

重要

ハイブリッド参加済みデバイスMicrosoft Entra場合、破壊的な PIN リセットを完了するには、ドメイン コントローラーへの企業ネットワーク接続が必要です。 AD FS が証明書の信頼またはオンプレミスのみの展開に使用されている場合、ユーザーは PIN をリセットするために、フェデレーション サービスへの企業ネットワーク接続も必要です。

設定からの PIN のリセット

1. 別の資格情報を使用してWindows 10にサインインする
2. [設定] > [アカウント] >サインイン オプションを開く
3. PIN を忘れた> PIN (Windows Hello) を選択し、指示に従います

ロック画面から PIN をリセットする

Microsoft Entra参加済みデバイスの場合:

1. PIN 資格情報プロバイダーが選択されていない場合は、[ サインイン オプション ] リンクを展開し、PIN パッド アイコンを選択します
2. [PIN 資格情報プロバイダーから PIN を忘れた場合 ] を選択します
3. 表示されるオプションの一覧から認証オプションを選択します。 この一覧は、テナントで有効になっているさまざまな認証方法 (パスワード、PIN、セキュリティ キーなど) に基づいています
4. プロビジョニング プロセスによって表示される指示に従います
5. 完了したら、新しく作成した PIN を使用してデスクトップのロックを解除します

Microsoft Entraハイブリッド参加済みデバイスの場合:

1. PIN 資格情報プロバイダーが選択されていない場合は、[ サインイン オプション ] リンクを展開し、PIN パッド アイコンを選択します
2. [PIN 資格情報プロバイダーから PIN を忘れた場合 ] を選択します
3. パスワードを入力し、Enter キーを押します
4. プロビジョニング プロセスによって表示される指示に従います
5. 完了したら、新しく作成した PIN を使用してデスクトップのロックを解除します

注

ハイブリッド参加済みデバイスMicrosoft Entraキー信頼では、ロック画面の上からの破壊的な PIN リセットはサポートされません。 これは、ユーザーがWindows Hello for Business資格情報をプロビジョニングしてからサインインに使用できるようになるまでの同期遅延が原因です。 このデプロイ モデルでは、上記のロック PIN リセットを機能させるには、非破壊的 PIN リセットをデプロイする必要があります。

[設定] からの PIN リセットは、サインイン後にのみ機能する場合があります。 また、ロック画面からのセルフサービスパスワードリセットに一致する制限がある場合、ロック画面の PIN リセット機能は機能しません。 詳細については、「Windows サインイン画面Microsoft Entraセルフサービス パスワード リセットを有効にする」を参照してください。