PIN 回復を使用すると、ユーザーは Windows Hello for Business PIN 回復サービスを使って、忘れた PIN を変更することができます。このとき、デバイス上にあるユーザーの個人アカウントに関連付けられている任意のキーなど、関連付けられた資格情報や証明書が失われることはありません。この実現のために、Azure ベースの PIN 回復サービスによって回復シークレットが暗号化され、この回復シークレットがデバイスに保存されます。暗号化を解除するには、PIN 回復サービスとデバイスの両方が必要になります。PIN 回復では、ユーザーが Azure Active Directory の多要素認証を実行する必要があります。
このポリシー設定を有効にした場合、Windows Hello for Business で PIN 回復サービスが使用されます。
このポリシー設定を無効にするか、構成しない場合、Windows によって PIN 回復シークレットが作成されたり保存されたりすることはありません。ユーザーが PIN を忘れた場合は、既存の PIN を削除して、新しい PIN を作成する必要があります。さらに、以前の PIN でアクセスできるようにしていたすべてのサービスを再登録しなければなりません。
注意: このポリシーを適用できるのは Azure Active Directory に登録されたデバイスに限られます。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\PassportForWork |
Value Name | EnablePinRecovery |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |