Сброс PIN-кода

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этой статье описывается, как служба сброса ПИН-кода (Майкрософт) позволяет пользователям восстанавливать забытый ПИН-код Windows Hello для бизнеса и как его настроить.

Обзор

Windows Hello для бизнеса предоставляет пользователям возможность сбрасывать забытые ПИН-коды. Существует две формы сброса ПИН-кода:

• Деструктивный сброс ПИН-кода. Существующие ПИН-коды пользователя и базовые учетные данные, включая все ключи или сертификаты, добавленные в контейнер Windows Hello, удаляются из клиента и подготавливаются новый ключ входа и ПИН-код. Деструктивный сброс ПИН-кода является параметром по умолчанию и не требует настройки.
• Неразрушающий сброс ПИН-кода. Контейнер и ключи пользователя Windows Hello для бизнеса сохраняются, но ПИН-код пользователя, используемый для авторизации использования ключей, изменяется. Для неразрушительного сброса ПИН-кода необходимо развернуть службу сброса ПИН-кода (Майкрософт ) и настроить политику клиентов, чтобы включить функцию восстановления ПИН-кода .

Принцип работы неразрушающего сброса ПИН-кода

Требования:

• Гибридные или облачные развертывания Windows Hello для бизнеса
• Выпуски Windows Корпоративная, Для образовательных учреждений и Pro. Для этой функции нет требований к лицензированию

Если на клиенте включен неразрушающий сброс ПИН-кода, 256-разрядный ключ AES создается локально. Ключ добавляется в контейнер Windows Hello для бизнеса пользователя и ключи в качестве предохранителя сброса ПИН-кода. Этот предохранитель сброса ПИН-кода шифруется с помощью открытого ключа, полученного из службы сброса ПИН-кода Майкрософт, а затем сохраняется на клиенте для последующего использования во время сброса ПИН-кода. После того как пользователь инициирует сброс ПИН-кода, завершает проверку подлинности и многофакторную проверку подлинности для Microsoft Entra ID, зашифрованный предохранитель сброса ПИН-кода отправляется в службу сброса ПИН-кода Майкрософт, расшифровывается и возвращается клиенту. Расшифрованный предохранитель сброса ПИН-кода используется для изменения ПИН-кода, используемого для авторизации Windows Hello для бизнеса ключей, а затем очищается из памяти.

Используя групповая политика, Microsoft Intune или совместимое решение MDM, вы можете настроить устройства Windows для безопасного использования службы сброса ПИН-кода Майкрософт, которая позволяет пользователям сбрасывать забытый ПИН-код без необходимости повторной регистрации.

В следующей таблице сравниваются деструктивные и неразрушающие сбросы ПИН-кода.

Категория	Деструктивный сброс ПИН-кода	Неразрушающее сброс ПИН-кода
Функции	Существующий ПИН-код пользователя и базовые учетные данные, включая все ключи или сертификаты, добавленные в контейнер Windows Hello, удаляются из клиента и подготавливаются новый ключ входа и ПИН-код.	Чтобы включить функцию восстановления ПИН-кода, необходимо развернуть службу сброса ПИН-кода (Майкрософт) и политику клиента. Во время сброса НЕразрушающего ПИН-кода Windows Hello для бизнеса пользователя контейнер и ключи сохраняются, но ПИН-код пользователя, используемый для авторизации использования ключей, изменяется.
Microsoft Entra присоединено	Доверие сертификатов, доверие к ключам и доверие к облачным Kerberos	Доверие сертификатов, доверие к ключам и доверие к облачным Kerberos
Microsoft Entra гибридное присоединение	Доверие сертификатов и облачное доверие Kerberos для параметров и выше блокировки поддерживают деструктивный сброс ПИН-кода. Доверие к ключу не поддерживает этот параметр над экраном блокировки. Это связано с задержкой синхронизации между подготовкой пользователем Windows Hello для бизнеса учетных данных и возможностью их использования для входа. Он поддерживается на странице параметров, и пользователи должны иметь корпоративное сетевое подключение к контроллеру домена.	Доверие сертификатов, доверие ключей и облачное доверие Kerberos для параметров и выше блокировки поддерживают неразрушающее сброс ПИН-кода. Сетевое подключение для контроллера домена не требуется.
Локальная среда	Если AD FS используется для локальных развертываний, пользователи должны иметь корпоративное сетевое подключение к службам федерации.	Служба сброса ПИН-кода использует Microsoft Entra удостоверения, поэтому она доступна только для Microsoft Entra гибридных и Microsoft Entra присоединенных устройств.
Требуется дополнительная конфигурация	Поддерживается по умолчанию и не требует настройки	Разверните службу сброса ПИН-кода Майкрософт и политику клиента, чтобы включить функцию восстановления ПИН-кода.
MSA/Enterprise	MSA и Enterprise	Только для предприятий.

Включение службы сброса ПИН-кода (Майкрософт) в клиенте Microsoft Entra

Прежде чем использовать неразрушающий сброс ПИН-кода, необходимо зарегистрировать два приложения в клиенте Microsoft Entra:

• Microsoft Pin Reset Service Production
• Microsoft Pin Reset Client Production

Чтобы зарегистрировать приложения, выполните следующие действия.

1. Перейдите на веб-сайт Microsoft PIN Reset Service Production и войдите как минимум администратор приложения. Просмотрите разрешения, запрошенные рабочим приложением Службы сброса пин-кодов (Майкрософт ), и нажмите кнопку Принять , чтобы предоставить приложению согласие на доступ к вашей организации.

2. Перейдите на веб-сайт Microsoft PIN Reset Client Production и подпишитесь как минимум администратор приложения. Просмотрите разрешения, запрашиваемые приложением Microsoft Pin Reset Client Production , и нажмите кнопку Далее.

3. Просмотрите разрешения, запрошенные приложением Microsoft Pin Reset Service Production , и нажмите кнопку Принять , чтобы подтвердить согласие обоим приложениям на доступ к вашей организации.

Примечание.

После принятия на странице перенаправления будет отображаться пустая страница. Это известное поведение.

Убедитесь, что в клиенте зарегистрированы два субъекта-службы сброса ПИН-кода.

1. Войдите в Центр администрирования Microsoft Entra Manager
2. Выберите Microsoft Entra ID > приложения > Корпоративные приложения
3. Выполните поиск по имени приложения "Microsoft PIN- код" и убедитесь, что как Microsoft Pin Reset Service Production , так и Microsoft Pin Reset Client Production находятся на

Включение восстановления ПИН-кода на клиентах

Чтобы включить восстановление ПИН-кода на клиентах, можно использовать:

• Microsoft Intune/MDM
• Групповая политика

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Windows Hello для бизнеса	Включение восстановления контактов	True

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Примечание.

Вы также можете настроить восстановление ПИН-кода в колонке Безопасность конечных точек :

1. Вход в Центр администрирования Microsoft Intune
2. Выберите Защита учетных записей безопасности > конечных > точек Создать политику

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP PassportForWork.

OMA-URI	Тип данных	Значение
./Vendor/MSFT/Policy/PassportForWork/ Идентификатор клиента/Policies/EnablePinRecovery	Boolean (Логическое)	True

Примечание.

Необходимо заменить TenantId идентификатором клиента Microsoft Entra. Чтобы найти идентификатор клиента, ознакомьтесь с разделом Как найти идентификатор клиента Microsoft Entra или выполните следующие действия, чтобы войти в систему с учетной записью вашей организации:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Объект групповой политики

Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
> Конфигурация компьютера Административные шаблоны > Компоненты > Windows Windows Hello для бизнеса	Использование восстановления ПИН-кода	Enabled

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

Убедитесь, что политика восстановления ПИН-кода применяется на устройствах

Конфигурацию сброса ПИН-кода можно просмотреть, запустив dsregcmd /status из командной строки. Это состояние можно найти в выходных данных в разделе пользовательского состояния как элемент строки CanReset . Если Функция CanReset отображает значение DestructiveOnly, включено только деструктивное сброс ПИН-кода. Если CanReset сообщает о деструктивном инноннодеструктивном состоянии, включено неразрушающее сброс ПИН-кода.

Пример выходных данных пользовательского состояния для деструктивного сброса ПИН-кода

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Пример выходных данных пользовательского состояния для неразрушающего сброса ПИН-кода

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Настройка разрешенных URL-адресов для федеративных поставщиков удостоверений на устройствах, присоединенных к Microsoft Entra

Область применения: устройства, присоединенные к Microsoft Entra

Для сброса ПИН-кода на устройствах, присоединенных к Microsoft Entra, используется поток под названием веб-вход для проверки подлинности пользователей на экране блокировки. Веб-вход позволяет переходить только к определенным доменам. Если веб-вход пытается перейти к домену, который не разрешен, отображается страница с сообщением об ошибке: Не удается открыть страницу прямо сейчас.
Если у вас есть федеративная среда и проверка подлинности обрабатывается с помощью AD FS или поставщика удостоверений сторонних поставщиков, необходимо настроить на устройствах политику, чтобы разрешить список доменов, к которым можно обращаться во время потоков сброса ПИН-кода. Если этот параметр задан, он гарантирует, что страницы проверки подлинности от этого поставщика удостоверений можно использовать во время Microsoft Entra сброса ПИН-кода, присоединенного.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Authentication	Настройка разрешенных URL-адресов для веб-входа	Укажите разделенный точкой с запятой список доменов, необходимых для проверки подлинности во время сценария сброса ПИН-кода. Примером значения будет signin.contoso.com; portal.contoso.com

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.

Параметр
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls Тип данных: строка Значение. Укажите разделенный точкой с запятой список доменов, необходимых для проверки подлинности во время сценария сброса ПИН-кода. Примером значения будет signin.contoso.com; portal.contoso.com

Примечание.

Для Azure для государственных организаций существует известная проблема со сбросом ПИН-кода на Microsoft Entra присоединенных устройствах. Когда пользователь пытается запустить сброс ПИН-кода, в пользовательском интерфейсе сброса ПИН-кода отображается страница с ошибкой "Не удается открыть страницу прямо сейчас". Для решения этой проблемы можно использовать политику ConfigureWebSignInAllowedUrls. Если у вас возникла эта проблема и вы используете облако Azure для государственных организаций США, задайте login.microsoftonline.us в качестве значения политики ConfigureWebSignInAllowedUrls.

Взаимодействие с пользователем

Сценарии деструктивного и неразрушающего сброса ПИН-кода используют те же действия для инициации сброса ПИН-кода. Если пользователи забыли свои ПИН-коды, но имеют альтернативный метод входа, они могут перейти к параметрам входа в разделе Параметры и инициировать сброс ПИН-кода из параметров ПИН-кода. Если у пользователей нет альтернативного способа входа на свои устройства, сброс ПИН-кода также можно инициировать с экрана блокировки Windows с помощью поставщика учетных данных ПИН-кода. Чтобы сбросить ПИН-код, пользователи должны пройти проверку подлинности и завершить многофакторную проверку подлинности. После завершения сброса ПИН-кода пользователи могут входить в систему с помощью нового ПИН-кода.

Важно.

Для Microsoft Entra устройств с гибридным присоединением пользователи должны иметь подключение к корпоративной сети к контроллерам домена, чтобы завершить деструктивный сброс ПИН-кода. Если AD FS используется для доверия сертификатов или для локальных развертываний, пользователи также должны иметь корпоративное сетевое подключение к службам федерации для сброса ПИН-кода.

Сброс PIN-кода на странице "Параметры"

1. Вход в Windows 10 с помощью альтернативных учетных данных
2. Открытие параметров > Учетные > записи параметры входа
3. Выберите ПИН-код (Windows Hello) > Я забыл свой ПИН-код и следуйте инструкциям

Сброс ПИН-кода с экрана блокировки

Для устройств, присоединенных к Microsoft Entra:

1. Если поставщик учетных данных ДЛЯ ПИН-кода не выбран, разверните ссылку Параметры входа и щелкните значок панели ПИН-кода .
2. Выберите Я забыл ПИН-код в поставщике учетных данных ДЛЯ ПИН-кода.
3. Выберите параметр проверки подлинности в списке представленных параметров. Этот список основан на различных методах проверки подлинности, включенных в клиенте (например, пароль, ПИН-код, ключ безопасности).
4. Следуйте инструкциям, предоставляемым в процессе подготовки
5. По завершении разблокируйте рабочий стол с помощью только что созданного ПИН-кода

Для Microsoft Entra устройств с гибридным присоединением:

1. Если поставщик учетных данных ДЛЯ ПИН-кода не выбран, разверните ссылку Параметры входа и щелкните значок панели ПИН-кода .
2. Выберите Я забыл ПИН-код в поставщике учетных данных ДЛЯ ПИН-кода.
3. Введите пароль и нажмите клавишу ВВОД.
4. Следуйте инструкциям, предоставляемым в процессе подготовки
5. По завершении разблокируйте рабочий стол с помощью только что созданного ПИН-кода

Примечание.

Доверие к ключам на Microsoft Entra устройствах, присоединенных к гибридной среде, не поддерживает деструктивный сброс ПИН-кода над экраном блокировки. Это связано с задержкой синхронизации между подготовкой пользователем Windows Hello для бизнеса учетных данных и возможностью их использования для входа. Для этой модели развертывания необходимо развернуть неразрушающий сброс ПИН-кода, чтобы сработать приведенный выше сброс ПИН-кода блокировки.

Вы можете обнаружить, что сброс ПИН-кода из параметров работает только после входа. Кроме того, функция сброса ПИН-кода на экране блокировки не работает, если у вас есть какое-либо соответствующее ограничение на самостоятельный сброс пароля с экрана блокировки. Дополнительные сведения см. в статье Включение Microsoft Entra самостоятельного сброса пароля на экране входа в Windows.