что за пин код в майкрософт
Изменение ПИН-кода после входа на устройство
ПИН-код — это набор чисел или сочетание букв и цифр, которые вы выбираете сами. Использование ПИН-кода — это быстрый и безопасный способ входа на устройство с Windows. Ваш PIN-код надежно хранится на устройстве.
Чтобы сбросить PIN-код после входа в систему:
Убедитесь, что вы подключены к Интернету, чтобы изменения синхронизировались с вашей учетной записью Майкрософт.
Выберите ПИН-код для Windows Hello > Изменить ПИН-код и следуйте инструкциям. Вы должны знать и ввести старый ПИН-код, чтобы изменить его на новый.
Примечание: Если вы забыли ПИН-код и вошли в компьютер с помощью пароля, отпечатка пальца, ключа безопасности или другим способом, вы также можете нажать Я не помню свой ПИН-код и следовать указаниям, чтобы подтвердить свою учетную запись и выбрать новую.
PIN-код, который вы используете для доступа к устройству, отличается от пароля вашей учетной записи Microsoft. Если вам нужно сбросить пароль учетной записи Майкрософт, см. статью Изменение пароля учетной записи Майкрософт.
Статьи по теме
ПИН-код — это набор чисел или сочетание букв и цифр, которые вы выбираете сами. Использование ПИН-кода — это быстрый и безопасный способ входа на устройство с Windows. Ваш PIN-код надежно хранится на устройстве.
Чтобы сбросить PIN-код после входа в систему:
Убедитесь, что вы подключены к Интернету, чтобы изменения синхронизировались с вашей учетной записью Майкрософт.
Выберите ПИН-код для Windows Hello > Изменить и следуйте инструкциям. Вы должны знать и ввести старый ПИН-код, чтобы изменить его на новый.
Примечание: Если вы забыли ПИН-код и вошли в компьютер с помощью пароля, отпечатка пальца, ключа безопасности или другим способом, вы также можете нажать Я не помню свой ПИН-код и следовать указаниям, чтобы подтвердить свою учетную запись и выбрать новую.
PIN-код, который вы используете для доступа к устройству, отличается от пароля вашей учетной записи Microsoft. Если вам нужно сбросить пароль учетной записи Майкрософт, см. статью Изменение пароля учетной записи Майкрософт.
ПИН-код Windows 10: как создать, изменить или убрать
В операционной системе Windows 10 одним из вариантов входа в систему является ПИН код, в том случае, если пользователь использует на компьютере учетную запись Майкрософт. ПИН код Windows 10 используется на ПК наряду с учетной записью Microsoft.
На компьютерах, использующих учетную запись Майкрософт (MSA), есть возможность для выбора параметров входа в систему: при помощи ввода пароля от учетной записи Майкрософт, или при использовании ПИН-кода. Это добавляет некоторые удобства для пользователя при начальном запуске операционной системы, потому что с помощью ПИН-кода проще войти в Windows.
Пароль для входа в Windows используется для обеспечения безопасности и конфиденциальности пользователя. Посторонний не сможет войти в систему и получить доступ к личным или корпоративным данным, изменить настройки компьютера и т. п.
Сразу после запуска компьютера, при входе в Windows 10, предлагается ввести пароль от учетной записи Майкрософт. Без ввода правильного пароля войти в операционную систему нельзя.
Начиная с операционной системы Windows 8, пользователям предлагается создать учетную запись Майкрософт, которая используется для входа в систему, и для управления параметрами компьютера и других устройств, привязанных к данной учетной записи. При каждом запуске ПК, необходимо вводить пароль от учетной записи Microsoft для того, чтобы получить доступ к системе.
Несмотря на более высокий уровень безопасности, данный способ входа в систему не совсем удобен из-за того, что приходится каждый раз вводить сложный пароль (использовать слабый пароль не имеет смысла), а это вызывает некоторые затруднения. Для входа в Windows можно использовать локальную учетную запись, тогда не потребуется вводить пароль, а ПК будет доступен для каждого, кто может получить доступ к данному устройству.
Другой вариант: можно убрать ввод пароля при входе в операционную систему Windows, оставаясь в учетной записи Майкрософт. В этом случае, несмотря на удобство входа, пострадают безопасность и конфиденциальность.
Есть ли способ облегчить вход в Windows, не уменьшая уровень безопасности и конфиденциальности? В Microsoft предусмотрели подобный вариант: при входе Windows 10, ПИН-код заменяет пароль от учетной записи.
В статье вы найдете инструкции о том, как создать, пользоваться, изменит или отключить ПИН код Windows.
Отличие ПИН кода от учетной записи Майкрософт
При создании учетной записи Майкрософт предлагается создать ПИН код, который используется для входа в систему. ПИН-код — это производное от учетной записи, без нее PIN код нельзя создать на компьютере.
Учетная запись Майкрософт используется на всех устройствах, находящихся под управлением данной учетной записи. ПИН код привязан только к конкретному устройству: настольному компьютеру или ноутбуку. Информация о ПИН коде находится непосредственно на ПК, он защищен в TRM (компонент системы шифрования), ПИН кода нет в сети Интернет.
Для пользователя ПИН-код удобнее тем, что можно создать код ограниченный четырьмя знаками из букв и цифр. Конечно, можно сделать ПИН код с большим количеством знаков, ввести туда специальные символы, сделав его похожим на пароль. Но, тогда теряется смысл использования ПИН кода: он нужен для того, чтобы выполнить более простой вход в Windows.
При создании ПИН кода не получится создать совсем простой пароль, типа: «12345» или «11111», цифры должны отличаться друг от друга, разность соседних цифр должна быть разная. Из-за того, что ПИН-код, обычно, короче пароля от учетной записи, им пользоваться гораздо легче. В тоже время, компьютер защищен от доступа к нему других лиц.
ПИН-код не работает при загрузке в безопасном режиме Windows 10.
Как создать ПИН-код в Windows
При создании учетной записи Майкрософт дополнительно предлагается создать ПИН-код, который используется в качестве альтернативного варианта входа в операционную систему Windows 10. В этом случае, вместе создаются учетная запись Microsoft и ПИН-код.
Создать ПИН-код можно непосредственно из операционной системы, необходимое условие: предварительно должен быть создан пароль для входа в Windows (на ПК уже имеется учетная запись Майкрософт).
Создайте ПИН-код для этого компьютера.
При создании ПИН-кода соблюдайте следующие простые правила:
Запомните и сохраните созданный ПИН-код, вы будете его использовать для упрощенного входа в Windows.
Вход в Windows: ПИН код и пароль от учетной записи
При входе в операционную систему Windows, при условии использования на компьютере учетной записи Майкрософт, открывается окно с именем учетной записи и полем для ввода пароля.
Нажмите на ссылку «Параметры входа». В окне отобразятся две кнопки: первая кнопка служит для входа в Windows с помощью ПИН кода, вторая кнопка предназначена для входа в операционную систему с помощью пароля.
Нажмите на первую кнопку, в поле «ПИН-код» введите код для входа в систему.
Как изменить ПИН-код Windows 10
Если возникла необходимость поменять ПИН код входа в Windows, сделать это очень легко. Выполните следующие действия:
Как убрать ПИН-код Windows
Пользователю может понадобиться отключить ПИН-код Windows 10 по тем, или иным причинам. Для того, чтобы убрать ПИН-код Windows 10, потребуется войти в настройки операционной системы:
После этого, режим входа или блокировки компьютера в Windows 10 с помощью ПИН-кода будет отключен. Теперь для входа в Windows 10 необходимо вводить пароль от учетной записи Майкрософт.
В случае необходимости, пользователь может, в любой момент времени, снова создать ПИН-код, который будет использоваться для более простого входа в Windows.
Выводы статьи
При использовании на компьютере учетной записи Майкрософт, у пользователя имеется возможность создать ПИН-код, для более простого входа в Windows. В статье рассмотрены вопросы: как создать или изменить ПИН-код, как в Windows 10 отключить ПИН-код для входа в систему. Пользователь может удалить ПИН-код Windows 10, при помощи которого происходил входа в операционную систему.
Почему ПИН-код лучше пароля
Относится к:
Windows Hello в Windows 10 позволяет пользователям выполнять вход на устройстве с использованием ПИН-кода. В чем заключаются отличия ПИН-кода от пароля и его преимущества? На первый взгляд, ПИН-код во многом аналогичен паролю. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. Например, значение t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.
Посмотрите, как Дана Хуан объясняет, почему пин Windows Hello для бизнеса является более безопасным, чем пароль.
ПИН-код привязан к устройству
Важным различием между паролем и ПИН-кодом Hello является привязка ПИН-кода к конкретному устройству, на котором он был задан. ПИН-код не может использоваться без конкретного оборудования. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.
Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них.
ПИН-код хранится на устройстве локально
Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.
Подробную информацию об использовании пар ассиметричных ключей для проверки подлинности в Hello см. в разделе Windows Hello для бизнеса.
ПИН-код поддерживается оборудованием
ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.
Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку в Hello используются асимметричные пары ключей, учетные данные пользователей не могут быть украдены в тех случаях, когда поставщик удостоверений или веб-сайты, к которых пользователь получает доступ, были скомпрометированы.
TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.
ПИН-код может быть сложным
Что произойдет в случае кражи ноутбука или телефона?
Чтобы скомпрометировать учетную Windows Hello, которую защищает TPM, злоумышленник должен иметь доступ к физическому устройству, а затем найти способ подмены биометрии пользователя или угадать его ПИН-код, и все это должно быть сделано до того, как защита TPM заблокировать устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.
Настройка BitLocker без TPM
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запуске
В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.
Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить. Установка порога блокировки учетной записи
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи
Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК».
Почему для использования биометрии нужен ПИН-код?
Windows Hello позволяет выполнять вход в Windows 10 с помощью биометрии: отпечатки пальцев, радужная оболочка глаз или распознавание лиц. При первоначальной настройке Windows Hello предлагается создать ПИН-код. Этот ПИН-код позволяет войти в систему с помощью ПИН-кода, если вы не можете использовать предпочтительный биометрический код из-за повреждения или из-за недоступности или неправильной работы датчика.
Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Hello.
Сброс ПИН-кода, когда вы не выполнили вход в Windows
PIN-код — это набор чисел или сочетание букв и цифр, которые вы выбираете сами. Использование PIN-кода — это быстрый и безопасный способ входа на устройство с Windows 11. Ваш PIN-код надежно хранится на устройстве. Если вы не вошли в систему на устройстве и хотите сбросить ПИН-код, сделайте следующее.
Найдите область под текстовым полем ПИН-кода.
Если отображается параметр Я не помню свой ПИН-код, выберите его и следуйте инструкциям по сбросу ПИН-кода. Если на устройстве используется несколько учетных записей, выберите учетную запись для сброса.
Если вы не видите параметр Я не помню свой ПИН-код, выберите Варианты входа и нажмите Ввод пароля.
После входа выберите Пуск > Параметры > Учетные записи > Варианты входа > ПИН-код (Windows Hello) > Я не помню свой ПИН-код и следуйте инструкциям.
Примечание. ПИН-код, который вы используете для доступа к устройству, отличается от пароля вашей учетной записи Майкрософт. Если вам нужно сбросить пароль учетной записи Microsoft, перейдите на account.microsoft.com, выберите Войти и следуйте инструкциям. Затем выберите раздел Безопасность. В разделе Безопасность пароля выберите Изменить мой пароль и введите новый пароль. Если вам кажется, что неавторизованный пользователь получил доступ к вашей учетной записи, см. разделы Восстановление учетной записи Майкрософт и Сведения для защиты и коды проверки.
Найдите область под текстовым полем ПИН-кода.
Если отображается параметр Я не помню свой ПИН-код, выберите его и следуйте инструкциям по сбросу ПИН-кода. Если на устройстве используется несколько учетных записей, выберите учетную запись для сброса.
Если вы не видите параметр Я не помню свой ПИН-код, выберите Варианты входа и нажмите Ввод пароля.
После входа выберите Пуск > Параметры > Учетные записи > Варианты входа > ПИН-код для Windows Hello > Я не помню свой ПИН-код и следуйте инструкциям.
Сброс PIN-кода
Применяется к:
Windows Hello для бизнеса предоставляет пользователям возможность сбросить забытые ПИН-коды с помощью ссылки «Я забыл ПИН-код» на странице параметры sign-in в Параметры или сверху экрана блокировки. Для сброса ПИН-кода пользователю необходимо проверить подлинность и завершить многофакторную проверку подлинности.
Существует две формы сброса ПИН-кода, которые называются разрушительными и не разрушительными. Деструктивный сброс ПИН-кода является по умолчанию и не требует конфигурации. Во время деструктивного сброса ПИН-кода существующие пин-коды и основные учетные данные пользователя, включая все ключи или сертификаты, добавленные в контейнер Windows Hello, будут удалены из клиента, а также будут добавлены новый логотип и ПИН-код. Для неразрушительного сброса ПИН-кода необходимо развернуть службу сброса ПИН-кода Майкрософт и клиентскую политику, чтобы включить функцию восстановления ПИН-кода. Во время неразрушительного сброса ПИН-кода Windows Hello контейнера и ключей пользователя, но пин-код пользователя, который он использует для авторизации использования ключей, изменен.
С помощью сброса ПИН-кода
Требования
Деструктивный и неразрушимый сброс ПИН-кода использует те же точки входа для инициационного сброса ПИН-кода. Если пользователь забыл ПИН-код, но имеет альтернативный метод логона, он может перейти к параметрам вход в Параметры и инициировать сброс ПИН-кода из параметров PIN-кода. Если у них нет альтернативного способа входа на свое устройство, сброс ПИН-кода также можно инициировать сверху экрана блокировки в поставщике учетных данных ПИН-кода.
Для гибридных подключенных устройств Azure AD пользователи должны иметь корпоративную сеть подключения к контроллерам домена для завершения деструктивного сброса ПИН-кода. Если AD FS используется для доверия к сертификатам или только для локального развертывания, пользователи также должны иметь корпоративную сеть подключения к службам федерации для сброса ПИН-кода.
Сброс PIN-кода на странице «Параметры»
Сброс PIN-кода на экране блокировки
Для устройств, присоединив Azure AD:
Для гибридных устройств Azure AD:
Доверие ключей к гибридным устройствам Azure AD не поддерживает деструктивный сброс ПИН-кода сверху экрана блокировки. Это связано с задержкой синхронизации между предоставлением пользователем Windows Hello учетных данных для бизнеса и возможностью использовать их для входа. Для этой модели развертывания необходимо развернуть неразрушительное сброс ПИН-кода для сбросить ПИН-код выше блокировки для работы.
Вы можете обнаружить, что сброс ПИН-кода из параметров работает только после входа, и что функция сброса ПИН-кода «экран блокировки» не будет работать, если у вас есть какие-либо совпадающие ограничения сброса пароля SSPR с экрана блокировки. Дополнительные сведения см. в Azure Active Directory сброшении пароля самообслуживки на экране Windows регистрации — General.
Сброс ПИН-кода без деструктивного действия
Требования:
Когда в клиенте включена неразрушимая перезагрузка ПИН-кода, 256-битный ключ AES создается локально и добавляется в Windows Hello и клавиши пользователя в качестве прозатора сброса ПИН-кода. Этот протектор сброса ПИН-кода шифруется с помощью общедоступных ключей, полученных из службы сброса ПИН-кода Майкрософт, а затем хранится на клиенте для более позднего использования во время сброса ПИН-кода. После того как пользователь инициирует сброс ПИН-кода, завершает проверку подлинности в Azure и завершает многофакторную проверку подлинности, зашифрованный защитник сброса ПИН-кода отправляется в службу сброса ПИН-кода Майкрософт, расшифровываются и возвращаются клиенту. Расшифровка протектора сброса ПИН-кода используется для изменения ПИН-кода, используемой для авторизации Windows Hello для бизнеса, после чего он очищается из памяти.
С помощью групповой политики, Microsoft Intune или совместимого MDM можно настроить Windows устройства для безопасного использования службы сброса ПИН-кода Майкрософт, которая позволяет пользователям сбросить забытый ПИН-код с помощью параметров или над экраном блокировки, не требуя повторной регистрации.
Служба сброса ПИН-кода Майкрософт работает только с выпуск Enterprise для Windows 10 версии 1709-1809. Функция работает с выпуск Enterprise и Pro с Windows 10, версией 1903 и более новыми. Служба сброса ПИН-кода Microsoft в настоящее время недоступна в Azure Government.
Подключение службы сброса PIN-кода корпорации Майкрософт к клиенту Intune
Прежде чем удаленно сбросить ПИН-коды, необходимо на борту службы сброса ПИН-кода Майкрософт Azure Active Directory клиента и настроить управляемые устройства.
Подключение Azure Active Directory службой сброса ПИН-кода
Перейдите на веб-сайт Microsoft PIN-код reset Service Productionи войдите с помощью учетной записи глобального администратора, используемой для управления Azure Active Directory клиентом.
После входа в систему выберите Accept, чтобы дать согласие службе сброса ПИН-кода для доступа к вашей учетной записи.
Перейдите на веб-сайт Microsoft PIN-код сбросаклиентской продукции и войдите с помощью учетной записи глобального администратора, используемой для управления Azure Active Directory клиентом.
После входа в систему выберите Accept, чтобы дать согласие клиенту сброса ПИН-кода для доступа к вашей учетной записи.
После того как вы приняли службу сброса ПИН-кода и клиентские запросы, вы приземлите страницу, на которую будет заявляется: «У вас нет разрешения на просмотр этого каталога или страницы». Такое поведение ожидается. Убедитесь, что для клиента перечислены два приложения сброса ПИН-кода.
На портале Azureубедитесь, что служба сброса ПИН-кода Майкрософт и клиент сброса ПИН-кода Майкрософт интегрированы из Enterprise приложений. Фильтр до состояния приложения «Включено», и в клиенте будут показываться как Microsoft Pin Reset Service Production, так и Microsoft Pin Reset Client Production.
Настройка Windows устройств для использования сброса ПИН-кода с помощью групповой политики
Можно настроить Windows службу сброса ПИН-кода Майкрософт с помощью части конфигурации компьютера объекта групповой политики.
Создайте профиль конфигурации устройства сброса ПИН-кода с помощью Microsoft Intune
Вы также можете настроить восстановление ПИН-кода с помощью профилей конфигурации.
Назначение профиля конфигурации устройства сброса ПИН-кода с помощью Microsoft Intune
Подтверждение того, что политика восстановления ПИН-кода выполняется на клиенте
Конфигурацию сброса ПИН-кода для пользователя можно просмотреть с помощью dsregcmd/status из командной строки. Это состояние можно найти в разделе состояние пользователя в качестве элемента строки CanReset. Если CanReset сообщается как DestructiveOnly, то включен только деструктивный сброс ПИН-кода. Если CanReset сообщает о destructiveAndNonDestructive, то включена неразрушимая перезагрузка ПИН-кода.
Пример вывода состояния пользователя для деструктивного сброса ПИН-кода
Пример вывода состояния пользователя для неразрушительного сброса ПИН-кода
Настройка разрешенных URL-адресов веб-регистрации для сторонних поставщиков удостоверений на устройствах, вступив в Azure AD
Применяется к:
Политика ConfigureWebSignInAllowedUrls позволяет указать список доменов, в которые разрешено перемещаться во время потоков сброса ПИН-кода на присоединитых устройствах Azure AD. Если у вас федерарная среда и проверка подлинности обрабатывается с помощью AD FS или стороннее поставщика удостоверений, эта политика должна быть заданной для обеспечения использования страниц проверки подлинности от этого поставщика удостоверений во время сброса ПИН-кода Azure AD.
Настройка политики с помощью intune
Вход в центр администрирования Endpoint Manager с помощью учетной записи глобального администратора.
Щелкните Устройства. Щелкните профили конфигурации. Нажмите кнопку Создать профиль.
Для платформы выберите Windows 10 и более поздний, а для типа профилей выберите Шаблоны. В списке загруженных шаблонов выберите Настраиваемый и нажмите кнопку Создать.
В типе веб-введите поле Имя в разрешенных URL-адресах и необязательно указать описание конфигурации. Нажмите кнопку Далее.
На странице Параметры конфигурации щелкните Добавить, чтобы добавить настраиваемый параметр OMA-URI. Предоставление следующих сведений для настраиваемой настройки
Нажмите кнопку Сохранить, чтобы сохранить настраиваемую конфигурацию.
На странице Назначения используйте разделы «Включенные группы» и «Исключенные группы», чтобы определить группы пользователей или устройств, которые должны получать эту политику. После завершения настройки группы нажмите кнопку Далее.
На странице Правила применимости нажмите кнопку Далее.
Просмотрите конфигурацию, показанную на странице Обзор + создание, чтобы убедиться, что она является точной. Щелкните создать, чтобы сохранить профиль и применить его к настроенным группам.