11月28日消息，微软在本周二（11月25日）发布的技术公告中确认，用户在安装2025年9月预览版及后续更新后，使用FIDO2安全密钥登录Windows 11（24H2或25H2版本）时可能会被强制要求输入PIN码。

公告指出，用户在使用USB、NFC或蓝牙安全密钥登录Windows 11（24H2或25H2）时，即便此前从未设置过该选项，系统也可能提示并强制要求输入PIN码。

微软强调，这一行为调整并非系统漏洞，而是为了严格遵循WebAuthn规范而进行的有意调整。WebAuthn标准明确了PIN码、生物识别和硬件密钥在验证用户身份时的具体交互逻辑。

根据该标准，“用户验证”（User Verification）用于确认操作者是否为授权用户本人且在现场，该验证机制在配置中可设定为“不建议”（discouraged）、“首选”（preferred）或“必须”（required）。

当依赖方（Relying Party）或身份提供商（IDP）在验证过程中将参数设置为"User Verification = Preferred"时，如果验证器（如安全密钥）支持此功能，系统便会强制要求用户设置并使用PIN码。

微软表示，该功能始于2025年9月29日发布的预览更新KB5065789，并随着11月的安全更新KB5068861完成了全面部署。

对于不希望强制员工使用PIN码的企业或组织，微软提供了明确的配置方案。管理员可在WebAuthn配置设置中，将用户验证选项调整为“不建议”。

完成此设置后，即便用户使用的是支持验证功能的FIDO2密钥，系统也不会在登录过程中强制弹窗要求创建或输入PIN码，从而维持原有的无密码登录体验。