Redefinição de PIN

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve como o serviço de redefinição de PIN da Microsoft permite que seus usuários recuperem um PIN Windows Hello para Empresas esquecido e como configurá-lo.

Visão geral

Windows Hello para Empresas fornece o recurso para os usuários redefinirem PINs esquecidos. Há duas formas de redefinição de PIN:

• Redefinição de PIN destrutiva: o PIN existente do usuário e as credenciais subjacentes, incluindo quaisquer chaves ou certificados adicionados ao contêiner Windows Hello, são excluídos do cliente e uma nova chave de entrada e PIN são provisionadas. A redefinição de PIN destrutiva é a opção padrão e não requer configuração
• Redefinição de PIN não destrutiva: o contêiner e as chaves Windows Hello para Empresas do usuário são preservados, mas o PIN do usuário que eles usam para autorizar o uso da chave é alterado. Para redefinição de PIN não estruturativa, você deve implantar o serviço de redefinição de PIN da Microsoft e configurar a política de seus clientes para habilitar o recurso de recuperação de PIN

Como funciona a redefinição de PIN não estruturativa

Requisitos:

• Implantações de Windows Hello para Empresas híbridas ou somente na nuvem
• Edições do Windows Enterprise, Education e Pro. Não há nenhum requisito de licenciamento para esse recurso

Quando a redefinição de PIN não estruturativa é habilitada em um cliente, uma chave AES de 256 bits é gerada localmente. A chave é adicionada ao contêiner de Windows Hello para Empresas do usuário e às chaves como o protetor de redefinição de PIN. Esse protetor de redefinição de PIN é criptografado usando uma chave pública recuperada do serviço de redefinição de PIN da Microsoft e armazenada no cliente para uso posterior durante a redefinição de PIN. Depois que um usuário inicia uma redefinição de PIN, conclui a autenticação e a autenticação multifator para Microsoft Entra ID, o protetor de redefinição pin criptografado é enviado para o serviço de redefinição de PIN da Microsoft, descriptografado e retornado ao cliente. O protetor de redefinição de PIN descriptografado é usado para alterar o PIN usado para autorizar Windows Hello para Empresas teclas e, em seguida, é desmarcado da memória.

Usando Política de Grupo, Microsoft Intune ou uma solução MDM compatível, você pode configurar dispositivos Windows para usar com segurança o serviço de redefinição de PIN da Microsoft, o que permite que os usuários redefinam seu PIN esquecido sem exigir o novo registro.

A tabela a seguir compara a redefinição de PIN destrutiva e não estruturativa:

Categoria	Redefinição de PIN destrutiva	Redefinição de PIN não estruturativa
Funcionalidade	O PIN existente do usuário e as credenciais subjacentes, incluindo quaisquer chaves ou certificados adicionados ao contêiner Windows Hello, são excluídos do cliente e uma nova chave de entrada e PIN são provisionadas.	Você deve implantar o serviço de redefinição de PIN da Microsoft e a política de cliente para habilitar o recurso de recuperação de PIN. Durante uma redefinição de PIN não estruturativa, o contêiner Windows Hello para Empresas do usuário e as chaves são preservados, mas o PIN do usuário que eles usam para autorizar o uso da chave é alterado.
Microsoft Entra ingressado	Confiança do Cert, Confiança de Chave e confiança kerberos de nuvem	Confiança do Cert, Confiança de Chave e confiança kerberos de nuvem
Microsoft Entra híbrido ingressado	Confiança do Cert e confiança kerberos na nuvem para configurações e acima do bloqueio dão suporte à redefinição destrutiva de PIN. O Key Trust não dá suporte a essa opção acima da tela de bloqueio. Isso ocorre devido ao atraso de sincronização entre quando um usuário provisiona sua credencial Windows Hello para Empresas e pode usá-la para entrar. Ele dá suporte na página de configurações e os usuários devem ter uma conectividade de rede corporativa com o DC.	Confiança do Cert, Key Trust e confiança kerberos na nuvem para configurações e acima do bloqueio dão suporte à redefinição de PIN não estruturativa. Nenhuma conexão de rede é necessária para o DC.
Local	Se o AD FS for usado para implantações locais, os usuários deverão ter uma conectividade de rede corporativa com os serviços de federação.	O serviço de redefinição de PIN depende de Microsoft Entra identidades, portanto, ele só está disponível para Microsoft Entra dispositivos híbridos ingressados e Microsoft Entra ingressados.
Configuração adicional necessária	Com suporte por padrão e não requer configuração	Implante o serviço de redefinição do MICROSOFT PIN e a política de cliente para habilitar o recurso de recuperação de PIN.
MSA/Enterprise	MSA e Enterprise	Somente empresa.

Habilitar o Serviço de Redefinição de PIN da Microsoft em seu locatário Microsoft Entra

Antes de poder usar a redefinição de PIN não estruturativa, você deve registrar dois aplicativos em seu locatário Microsoft Entra:

• Microsoft Pin Reset Service Production
• Microsoft Pin Reset Client Production

Para registrar os aplicativos, siga estas etapas:

1. Acesse o site do Microsoft PIN Reset Service Production e entre usando uma conta do Administrador Global que você usa para gerenciar seu locatário Microsoft Entra. Examine as permissões solicitadas pelo aplicativo Microsoft Pin Reset Service Production e selecione Aceitar para dar consentimento ao aplicativo para acessar sua organização

2. Acesse o site microsoft PIN Reset Client Production e entre usando uma conta do Administrador Global que você usa para gerenciar seu locatário Microsoft Entra. Examine as permissões solicitadas pelo aplicativo Microsoft Pin Reset Client Production e selecione Avançar.

3. Examine as permissões solicitadas pelo aplicativo Microsoft Pin Reset Service Production e selecione Aceitar para confirmar o consentimento de ambos os aplicativos para acessar sua organização.

Observação

Após a aceitação, a página de redirecionamento mostrará uma página em branco. Esse é um comportamento conhecido.

Confirme se as duas entidades de serviço pin reset estão registradas em seu locatário

1. Entre no centro de administração do Gerenciador de Microsoft Entra
2. Selecione aplicativos Microsoft Entra ID > Aplicativos > Empresariais
3. Pesquisa pelo nome do aplicativo "Microsoft PIN" e verifique se tanto a Produção do Serviço de Redefinição de Pinos da Microsoft quanto a Microsoft Pin Reset Client Production estão na de lista.

Habilitar a recuperação de PIN nos clientes

Para habilitar a recuperação de PIN nos clientes, você pode usar:

• Microsoft Intune/MDM
• Política de grupo

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Intune

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria	Nome da configuração	Valor
Windows Hello For Business	Habilitar a recuperação de pinos	True

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Observação

Você também pode configurar a recuperação de PIN da folha de segurança do Ponto de Extremidade :

1. Entre no centro de administração do Microsoft Intune
2. Selecione Proteção > de conta de segurança do ponto de extremidade > Criar Política

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP PassportForWork.

OMA-URI	Tipo de dados	Valor
./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery	Booliano	True

Observação

Você deve substituir TenantId pelo identificador do locatário Microsoft Entra. Para pesquisar sua ID do Locatário, consulte Como encontrar sua ID do locatário Microsoft Entra ou experimente o seguinte, garantindo entrar com a conta da sua organização::

GET https://graph.microsoft.com/v1.0/organization?$select=id

GPO

Para configurar um dispositivo com política de grupo, use a Política de Grupo Editor Local. Para configurar vários dispositivos ingressados no Active Directory, crie ou edite um GPO (objeto de política de grupo) e use as seguintes configurações:

Caminho da política de grupo	Configuração de política de grupo	Valor
Modelos administrativos de configuração > do computador Componentes >> do Windows Windows Hello para Empresas	Usar o PIN Recovery	Habilitado

As políticas de grupo podem ser vinculadas a domínios ou unidades organizacionais, filtradas usando grupos de segurança ou filtradas usando filtros WMI.

Confirme se a política de recuperação de PIN é imposta nos dispositivos

A configuração de redefinição de PIN pode ser exibida executando dsregcmd /status da linha de comando. Esse estado pode ser encontrado na saída na seção estado do usuário como o item de linha CanReset . Se o CanReset relatar como DestructiveOnly, somente a redefinição de PIN destrutiva será habilitada. Se o CanReset relatar DestructiveAndNonDestructive, a redefinição de PIN não estruturativa estará habilitada.

Saída de estado do usuário de exemplo para redefinição de PIN destrutiva

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Saída de estado do usuário de exemplo para redefinição de PIN não destrutiva

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Configurar URLs permitidas para provedores de identidade federados em dispositivos ingressados Microsoft Entra

Aplica-se a: Microsoft Entra dispositivos ingressados

A redefinição de PIN em Microsoft Entra dispositivos ingressados usa um fluxo chamado entrada da Web para autenticar usuários na tela de bloqueio. O logon da Web só permite a navegação para domínios específicos. Se o logon da Web tentar navegar até um domínio que não é permitido, ele exibirá uma página com a mensagem de erro: não podemos abrir essa página agora.
Se você tiver um ambiente federado e a autenticação for tratada usando o AD FS ou um provedor de identidade não Microsoft, você deverá configurar seus dispositivos com uma política para permitir uma lista de domínios que podem ser alcançados durante os fluxos de redefinição de PIN. Quando definido, ele garante que páginas de autenticação desse provedor de identidade possam ser usadas durante Microsoft Entra redefinição de PIN ingressada.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria	Nome da configuração	Valor
Authentication	Configurar urls permitidas de entrada da Web	Forneça uma lista delimitada de ponto e vírgula de domínios necessários para autenticação durante o cenário de redefinição de PIN. Um valor de exemplo seria signin.contoso.com; portal.contoso.com

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da política.

Configuração
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls Tipo de dados: string Valor: forneça uma lista delimitada de ponto e vírgula de domínios necessários para autenticação durante o cenário de redefinição de PIN. Um valor de exemplo seria signin.contoso.com; portal.contoso.com

Observação

Para Azure Governamental, há um problema conhecido com a redefinição de PIN em Microsoft Entra dispositivos ingressados falhando. Quando o usuário tenta iniciar a redefinição de PIN, a interface do usuário de redefinição de PIN mostra uma página de erro que diz : "Não podemos abrir essa página agora". A política ConfigurarWebSignInAllowedUrls pode ser usada para resolver esse problema. Se você estiver enfrentando esse problema e estiver usando a nuvem do Azure US Government, defina login.microsoftonline.us como o valor da política ConfigureWebSignInAllowedUrls.

Experiência do usuário

Cenários de redefinição de PIN destrutivos e não destrutivos usam as mesmas etapas para iniciar uma redefinição de PIN. Se os usuários esquecerem seus PINs, mas tiverem um método de entrada alternativo, eles poderão navegar até as opções de entrada em Configurações e iniciar uma redefinição de PIN a partir das opções PIN. Se os usuários não tiverem uma maneira alternativa de entrar em seus dispositivos, a redefinição de PIN também poderá ser iniciada a partir da tela de bloqueio do Windows com o provedor de credencial PIN. Os usuários devem autenticar e concluir a autenticação multifator para redefinir seu PIN. Depois que a redefinição de PIN for concluída, os usuários poderão entrar usando seu novo PIN.

Importante

Para Microsoft Entra dispositivos híbridos ingressados, os usuários devem ter conectividade de rede corporativa com controladores de domínio para concluir a redefinição destrutiva do PIN. Se o AD FS estiver sendo usado para confiança de certificado ou apenas para implantações locais, os usuários também deverão ter conectividade de rede corporativa com os serviços de federação para redefinir seu PIN.

Redefinir PIN em Configurações

1. Entrar no Windows 10 usando uma credencial alternativa
2. Abrir opções > de entrada de contas > de configurações
3. Selecione PIN (Windows Hello) > Esqueci meu PIN e segui as instruções

Redefinir PIN da tela de bloqueio

Para Microsoft Entra dispositivos ingressados:

1. Se o provedor de credencial PIN não estiver selecionado, expanda o link de opções de entrada e selecione o ícone pin pad
2. Selecione Esqueci meu PIN no provedor de credencial PIN
3. Selecione uma opção de autenticação na lista de opções apresentadas. Essa lista é baseada nos diferentes métodos de autenticação habilitados em seu locatário (como Senha, PIN, Chave de segurança)
4. Siga as instruções fornecidas pelo processo de provisionamento
5. Quando terminar, desbloqueie sua área de trabalho usando seu PIN recém-criado

Para Microsoft Entra dispositivos híbridos ingressados:

1. Se o provedor de credencial PIN não estiver selecionado, expanda o link de opções de entrada e selecione o ícone pin pad
2. Selecione Esqueci meu PIN no provedor de credencial PIN
3. Insira sua senha e pressione enter
4. Siga as instruções fornecidas pelo processo de provisionamento
5. Quando terminar, desbloqueie sua área de trabalho usando seu PIN recém-criado

Observação

A confiança de chave em Microsoft Entra dispositivos híbridos ingressados não dá suporte à redefinição de PIN destrutiva acima da Tela de Bloqueio. Isso ocorre devido ao atraso de sincronização entre quando um usuário provisiona sua credencial Windows Hello para Empresas e pode usá-la para entrar. Para esse modelo de implantação, você deve implantar a redefinição de PIN não destrutiva para redefinição de PIN de bloqueio acima para funcionar.

Você pode descobrir que a redefinição de PIN de Configurações só funciona após a entrada. Além disso, a função de redefinição de PIN da tela de bloqueio não funcionará se você tiver qualquer limitação correspondente da redefinição de senha de autoatendimento da tela de bloqueio. Para obter mais informações, consulte Habilitar Microsoft Entra redefinição de senha de autoatendimento na tela de entrada do Windows.