Áp dụng cho
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions

Ngày phát hành ban đầu: Ngày 25 tháng 11 năm 2025

ID KB: 5073129

Trải nghiệm được cập nhật

Sau khi cài đặt bản cập nhật Windows, ngày 29 tháng 9 năm 2025—KB5065789 (Bản dựng HĐH 26200.6725 và 26100.6725) hoặc các bản cập nhật mới hơn, bạn có thể được yêu cầu tạo mã PIN để đăng nhập bằng khóa bảo mật, ngay cả khi không yêu cầu hoặc đặt mã PIN trong quá trình đăng ký ban đầu.

Hành vi này sẽ xảy ra khi một Bên Phụ thuộc (RP) hoặc Nhà cung cấp Danh tính (IDP) yêu cầu User Verification = Preferred trong quá trình xác thực với khóa bảo mật Fast IDentity Online 2 (FIDO2) không có mã PIN được đặt.

Nguyên nhân

Đây là hành vi dự kiến, được thực hiện để duy trì tuân thủ với các đặc tả WebAuthn.

Hỗ trợ cho hành vi này bắt đầu dần được phát hành cho các thiết bị Windows 11 sau khi cài đặt bản cập nhật xem trước ngày 29 tháng 9 năm 2025 (KB5065789). Việc triển khai đã được hoàn tất trên máy khách Windows 11 sau khi cài đặt bản cập nhật bảo mật Windows, ngày 11 tháng 11 năm 2025—KB5068861 (Bản dựng HĐH 26200.7171 và 26100.7171) hoặc các bản cập nhật mới hơn.

Các bản cập nhật này đã bổ sung hỗ trợ cho việc thiết lập mã PIN cho khóa bảo mật nếu chưa được thiết lập, khi Bên Phụ thuộc (RP) đặt "userVerification" thành "preferred" trong PublicKeyCredentialRequestOptions trong quy trình xác thực WebAuthn.

Bối cảnh

Xác minh người dùng (UV) xác nhận rằng người dùng có mặt và được phép sử dụng khóa bảo mật, thường là thông qua mã PIN hoặc sinh trắc học. Xác minh người dùng có thể được đặt thành Discouraged, Preferred, hoặc Required

User Verification = Preferred nghĩa là RP muốn xác minh người dùng nếu trình xác thực có khả năng làm như vậy. Điều đó có nghĩa là nếu cần thiết lập mã PIN, nền tảng sẽ làm như vậy.

User Verification = Discouraged nghĩa là RP không muốn xác minh người dùng. Nếu chưa thiết lập mã PIN, bạn không cần phải làm như vậy (trừ khi cấu hình trình xác thực yêu cầu).

Hỗ trợ thiết lập mã PIN trong dòng xác thực đã được thêm vào để nhất quán giữa cả quy trình đăng ký và xác thực.

Các bước mới

Nếu Bên Phụ thuộc không muốn xác minh người dùng và không muốn người dùng tạo hoặc nhập mã PIN cho khóa bảo mật, họ nên đặt "userVerification" thành "không khuyến khích" trong PublicKeyCredentialRequestOptions.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng