Dotyczy
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions

Oryginalna data publikacji: 25 listopada 2025 r.

Identyfikator BAZY WIEDZY: 5073129

Zaktualizowane środowisko

Po zainstalowaniu aktualizacji systemu Windows, 29 września 2025 r. — KB5065789 (kompilacje systemu operacyjnego 26200.6725 i 26100.6725) w wersji zapoznawczej lub nowszych, może być konieczne utworzenie numeru PIN w celu zalogowania się przy użyciu klucza zabezpieczeń, nawet jeśli numer PIN nie był wymagany lub ustawiony podczas początkowej rejestracji.

Takie zachowanie występuje, gdy jednostka uzależniona (RP) lub dostawca tożsamości (IDP) żąda User Verification = Preferred podczas uwierzytelniania przy użyciu klucza zabezpieczeń usługi Fast IDentity Online 2 (FIDO2), który nie ma ustawionego numeru PIN.

Przyczyna

Jest to zamierzone zachowanie zaimplementowane w celu zachowania zgodności ze specyfikacjami webauthn.

Obsługa tego zachowania zaczęła stopniowo wdrażać się na Windows 11 urządzeniach po zainstalowaniu aktualizacji preview (KB5065789) z 29 września 2025 r. Wdrożenie zostało zakończone na klientach Windows 11 po zainstalowaniu aktualizacji zabezpieczeń systemu Windows, 11 listopada 2025 r. — KB5068861 (kompilacje systemu operacyjnego 26200.7171 i 26100.7171) lub nowszych.

Te aktualizacje dodały obsługę konfigurowania numeru PIN dla kluczy zabezpieczeń, jeśli nie został jeszcze skonfigurowany, gdy jednostki uzależnione (RP) ustawiały "userVerification" na "preferowane" w publicKeyCredentialRequestOptions w przepływie uwierzytelniania WebAuthn.

Tło

Weryfikacja użytkownika (UV) potwierdza, że użytkownik jest obecny i upoważniony do używania klucza zabezpieczeń, zazwyczaj za pomocą kodu PIN lub danych biometrycznych. Weryfikację użytkownika można ustawić na Discouraged, Preferredlub Required

User Verification = Preferred oznacza, że RP chce weryfikacji użytkownika, jeśli uwierzytelnienie jest w stanie to zrobić. Oznacza to, że jeśli trzeba skonfigurować kod PIN, platforma powinna to zrobić.

User Verification = Discouraged oznacza, że RP nie chce weryfikacji użytkownika. Jeśli numer PIN nie został skonfigurowany, nie ma potrzeby wykonywania tej czynności (chyba że jest to wymagane przez konfigurację uwierzytelniania).

Dodano obsługę konfiguracji numeru PIN w przepływie uwierzytelniania, aby była spójna zarówno dla przepływów rejestracji, jak i uwierzytelniania.

Nowe kroki

Jeśli strona uzależniona nie chce weryfikacji użytkownika i nie chce, aby użytkownicy tworzyli lub wprowadzali kod PIN kluczy zabezpieczeń, powinni ustawić "userVerification" na "zniechęcony" w publicKeyCredentialRequestOptions.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu