| PIN 重置 | 您所在的位置:网站首页 › windows无法添加pin › PIN 重置 |
|
PIN 重置
项目06/04/2024
适用于:
✅ Windows 11, ✅ Windows 10
本文介绍了 Microsoft PIN 重置服务 如何使用户能够恢复忘记的 Windows Hello 企业版 PIN,以及如何对其进行配置。 概述Windows Hello 企业版为用户提供重置忘记的 PIN 的功能。 有两种形式的 PIN 重置: 破坏性 PIN 重置:将从客户端中删除用户的现有 PIN 和基础凭据(包括添加到其 Windows Hello 容器的任何密钥或证书),并预配新的登录密钥和 PIN。 破坏性 PIN 重置是默认选项,不需要配置 非破坏性 PIN 重置:将保留用户的 Windows Hello 企业版容器和密钥,但用户用于授权密钥使用的 PIN 已更改。 对于非破坏性 PIN 重置,必须部署 Microsoft PIN 重置服务 ,并配置客户端策略以启用 PIN 恢复 功能 非破坏性 PIN 重置的工作原理要求: 混合或仅限云的 Windows Hello 企业版部署 Windows 企业版、教育版和专业版。 此功能没有许可要求在客户端上启用非破坏性 PIN 重置时,会在本地生成 256 位 AES 密钥。 密钥将添加到用户的 Windows Hello 企业版容器和密钥作为 PIN 重置保护程序。 此 PIN 重置保护程序使用从 Microsoft PIN 重置服务检索到的公钥进行加密,然后存储在客户端上供以后在 PIN 重置期间使用。 用户启动 PIN 重置、完成对 Microsoft Entra ID 的身份验证和多重身份验证后,加密的 PIN 重置保护程序将发送到 Microsoft PIN 重置服务、解密并返回到客户端。 解密的 PIN 重置保护程序用于更改用于授权 Windows Hello 企业版密钥的 PIN,然后将其从内存中清除。 使用组策略、Microsoft Intune 或兼容的 MDM 解决方案,可以将 Windows 设备配置为安全地使用 Microsoft PIN 重置服务,该服务使用户无需重新注册即可重置忘记的 PIN。 下表比较了破坏性 PIN 重置和非破坏性 PIN 重置: 类别 破坏性 PIN 重置 非破坏性 PIN 重置 功能 用户的现有 PIN 和基础凭据(包括添加到其 Windows Hello 容器的任何密钥或证书)将从客户端中删除,并预配新的登录密钥和 PIN。 必须部署 Microsoft PIN 重置服务和客户端策略才能启用 PIN 恢复功能。 在非破坏性 PIN 重置期间,会保留用户的 Windows Hello 企业版容器和密钥,但用于授权密钥使用的用户 PIN 会更改。 已加入 Microsoft Entra 证书信任、密钥信任和云 Kerberos 信任 证书信任、密钥信任和云 Kerberos 信任 已加入 Microsoft Entra 混合 证书信任和云 Kerberos 信任这两个设置和锁上方支持破坏性 PIN 重置。 密钥信任不支持锁屏界面上方的此选项。 这是因为用户预配其 Windows Hello 企业版凭据和能够使用该凭据进行登录之间的同步延迟。 它确实支持设置页,并且用户必须具有与 DC 的企业网络连接。 两个设置的证书信任、密钥信任和云 Kerberos 信任都支持非破坏性 PIN 重置。 DC 不需要网络连接。 本地 如果 AD FS 用于本地部署,则用户必须具有与联合身份验证服务的企业网络连接。 PIN 重置服务依赖于 Microsoft Entra 标识,因此它仅适用于已加入 Microsoft Entra 混合和已加入 Microsoft Entra 的设备。 需要其他配置 默认支持,不需要配置 部署 Microsoft PIN 重置服务和客户端策略以启用 PIN 恢复功能。 MSA/Enterprise MSA 和企业版 仅限企业版。 在 Microsoft Entra 租户中启用 Microsoft PIN 重置服务必须先在 Microsoft Entra 租户中注册两个应用程序,然后才能使用非破坏性 PIN 重置: Microsoft Pin 重置服务生产 Microsoft Pin 重置客户端生产若要注册应用程序,请执行以下步骤: 转到 Microsoft PIN 重置服务生产网站,并至少以 应用程序管理员身份登录。 查看 Microsoft Pin 重置服务生产 应用程序请求的权限,然后选择“ 接受 ”以同意应用程序访问你的组织转到 Microsoft PIN 重置客户端生产网站,并至少以 应用程序管理员身份签名。 查看 Microsoft Pin 重置客户端生产 应用程序请求的权限,然后选择“ 下一步”。 查看 Microsoft Pin 重置服务生产 应用程序请求的权限,然后选择“ 接受” 以确认同意这两个应用程序访问你的组织。 注意 接受后,重定向页面将显示空白页。 这是一种已知行为。 确认租户中注册了两个 PIN 重置服务主体 登录到 Microsoft Entra Manager 管理中心 选择 Microsoft Entra ID > 应用程序 > 企业应用程序 按应用程序名称“Microsoft PIN”搜索,并验证 “Microsoft PIN 重置服务生产” 和 “Microsoft Pin 重置客户端生产” 是否都位于“ 在客户端上启用 PIN 恢复 若要在客户端上启用 PIN 恢复,可以使用: Microsoft Intune/MDM 组策略以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。 Intune Gpo若要使用 Microsoft Intune 配置设备, 请创建设置目录策略 并使用以下设置: 类别 设置名称 值 Windows Hello 企业版 启用 Pin 恢复 True将策略分配给一个组,该组包含要配置的设备或用户作为成员。 注意 还可以从 “终结点安全” 边栏选项卡配置 PIN 恢复: 登录到 Microsoft Intune 管理中心 选择“终结点安全>帐户保护>”“创建策略”或者,可以使用 PassportForWork CSP 的自定义策略配置设备。 OMA-URI 数据类型 值 ./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery 布尔 True注意 必须将 替换为 TenantId Microsoft Entra 租户的标识符。 若要查找租户 ID,请参阅 如何查找 Microsoft Entra 租户 ID 或尝试以下操作,确保使用组织的帐户登录: GET https://graph.microsoft.com/v1.0/organization?$select=id若要使用组策略配置设备,请使用 本地组策略编辑器。 若要配置多个已加入 Active Directory 的设备,请 (GPO) 创建或编辑 组策略对象,并使用以下设置: 组策略路径 组策略设置 值 计算机配置 > 管理模板 > Windows 组件 > Windows Hello 企业版 使用 PIN 恢复 启用组策略可以 链接到 域或组织单位, 使用安全组进行筛选, 或使用 WMI 筛选器进行筛选。 确认在设备上强制实施 PIN 恢复策略可以通过从命令行运行 dsregcmd /status 来查看 PIN 重置配置。 此状态可以在用户状态部分的输出下找到,作为 CanReset 行项。 如果 CanReset 报告为 DestructiveOnly,则仅启用破坏性 PIN 重置。 如果 CanReset 报告了 DestructiveAndNonDestructive,则启用非破坏性 PIN 重置。 破坏性 PIN 重置的示例用户状态输出 +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : YES NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B} CanReset : DestructiveOnly WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd) +----------------------------------------------------------------------+非破坏性 PIN 重置的示例用户状态输出 +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : YES NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B} CanReset : DestructiveAndNonDestructive WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd) +----------------------------------------------------------------------+ 在已加入 Microsoft Entra 的设备上为联合标识提供者配置允许的 URL适用于: 已加入 Microsoft Entra 的设备 加入 Microsoft Entra 的设备上的 PIN 重置使用称为 Web 登录 的流在锁屏界面中对用户进行身份验证。 Web 登录仅允许导航到特定域。 如果 Web 登录尝试导航到不允许的域,则会显示一个页面,并显示错误消息: 我们现在无法打开该页面。 如果你有联合环境,并且身份验证是使用 AD FS 或非 Microsoft 标识提供者处理的,则必须使用策略配置设备,以允许在 PIN 重置流期间访问的域列表。 设置后,它可确保在 Microsoft Entra 加入 PIN 重置期间可以使用来自该标识提供者的身份验证页。 若要使用 Microsoft Intune 配置设备, 请创建设置目录策略 并使用以下设置: 类别 设置名称 值 身份验证 配置允许的 Web 登录 URL 提供 PIN 重置方案期间进行身份验证所需的域的分号分隔列表。 示例值为 signin.contoso.com;portal.contoso.com将策略分配给一个组,该组包含要配置的设备或用户作为成员。 或者,可以通过策略 CSP 使用自定义策略来配置设备。 设置 OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 数据类型:字符串值:提供 PIN 重置方案期间进行身份验证所需的域的分号分隔列表。 示例值为 signin.contoso.com;portal.contoso.com注意 对于 Azure 政府版,加入 Microsoft Entra 的设备上的 PIN 重置失败存在已知问题。 当用户尝试启动 PIN 重置时,PIN 重置 UI 会显示一个错误页,显示“我们当前无法打开该页面”。 ConfigureWebSignInAllowedUrls 策略可用于解决此问题。 如果遇到此问题,并且使用的是 Azure 美国政府云,请将 login.microsoftonline.us 设置为 ConfigureWebSignInAllowedUrls 策略的值。 用户体验破坏性和非破坏性的 PIN 重置方案使用相同的步骤来启动 PIN 重置。 如果用户忘记了 PIN,但使用备用登录方法,他们可以导航到 “设置” 中的“登录选项”,并从 PIN 选项启动 PIN 重置。 如果用户没有其他方式登录其设备,也可以使用 PIN 凭据提供程序从 Windows 锁屏界面启动 PIN 重置。 用户必须进行身份验证并完成多重身份验证才能重置其 PIN。 PIN 重置完成后,用户可以使用其新 PIN 登录。 重要提示 对于已加入 Microsoft Entra 混合的设备,用户必须与域控制器建立公司网络连接才能完成破坏性 PIN 重置。 如果 AD FS 用于证书信任或仅限本地部署,则用户还必须与联合身份验证服务建立企业网络连接才能重置其 PIN。 在“设置”中重置 PIN 使用备用凭据登录到 Windows 10 打开 “设置 > 帐户 > ”登录选项 (Windows Hello) > 我忘记了 PIN,然后选择 PIN,然后按照说明操作 从锁屏界面重置 PIN对于已加入 Microsoft Entra 的设备: 如果未选择 PIN 凭据提供程序,请展开 “登录选项” 链接,然后选择 PIN 板图标 从 PIN 凭据提供程序中选择 “我忘记了 PIN ” 从显示的选项列表中选择一个身份验证选项。 此列表基于租户中启用的不同身份验证方法, (如密码、PIN、安全密钥) 按照预配流程提供的说明操作 完成后,使用新创建的 PIN 解锁桌面对于已加入 Microsoft Entra 混合的设备: 如果未选择 PIN 凭据提供程序,请展开 “登录选项” 链接,然后选择 PIN 板图标 从 PIN 凭据提供程序中选择 “我忘记了 PIN ” 输入密码并按 Enter 按照预配流程提供的说明操作 完成后,使用新创建的 PIN 解锁桌面注意 Microsoft Entra 混合联接设备上的密钥信任不支持从锁屏界面上方进行破坏性 PIN 重置。 这是因为用户预配其 Windows Hello 企业版凭据和能够使用该凭据进行登录之间的同步延迟。 对于此部署模型,必须部署非破坏性 PIN 重置,以便上述锁 PIN 重置正常工作。 你可能会发现,“设置”中的 PIN 重置仅在登录后有效。 此外,如果你对锁屏界面中的自助密码重置有任何匹配限制,则锁屏 PIN 重置功能不起作用。 有关详细信息,请参阅 在 Windows 登录屏幕上启用 Microsoft Entra 自助服务密码重置。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |